02014R0910 — ET — 20.05.2024 — 001.001
Käesolev tekst on üksnes dokumenteerimisvahend ning sel ei ole mingit õiguslikku mõju. Liidu institutsioonid ei vastuta selle teksti sisu eest. Asjakohaste õigusaktide autentsed versioonid, sealhulgas nende preambulid, on avaldatud Euroopa Liidu Teatajas ning on kättesaadavad EUR-Lexi veebisaidil. Need ametlikud tekstid on vahetult kättesaadavad käesolevasse dokumenti lisatud linkide kaudu
|
EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS (EL) nr 910/2014, 23. juuli 2014, (ELT L 257 28.8.2014, lk 73) |
Muudetud:
|
|
|
Euroopa Liidu Teataja |
||
|
nr |
lehekülg |
kuupäev |
||
|
EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS (EL) 2024/1183, 11. 11 aprill 2024, |
L 1183 |
1 |
30.4.2024 |
|
EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS (EL) nr 910/2014,
23. juuli 2014,
e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul ja millega tunnistatakse kehtetuks direktiiv 1999/93/EÜ
I
PEATÜKK
ÜLDSÄTTED
Artikkel 1
Reguleerimisese
Käesoleva määruse eesmärk on tagada siseturu nõuetekohane toimimine ning kogu liidus kasutatavate e-identimise vahendite ja usaldusteenuste asjakohane turvalisuse tase, et võimaldada füüsilistel ja juriidilistel isikutel kasutada õigust osaleda turvaliselt digiühiskonnas ning pääseda juurde internetipõhistele avalikele ja erasektori teenustele kogu liidus ning hõlbustada neil selle õiguse kasutamist. Neil eesmärkidel käesolevas määruses:
sätestatakse tingimused, mille alusel liikmesriigid tunnustavad füüsiliste ja juriidiliste isikute e-identimise vahendeid, mis kuuluvad teise liikmesriigi teavitatud e-identimise süsteemi, ning teevad kättesaadavaks ja tunnustavad Euroopa digiidentiteedikukruid;
sätestatakse normid usaldusteenuste, eelkõige e-tehingute jaoks;
luuakse õigusraamistik e-allkirja, e-templi, e-ajatempli, e-dokumentide, registreeritud e-andmevahetusteenuste, veebisaitide autentimise sertifitseerimisteenuste, elektroonilise arhiveerimise, elektrooniliste tõendite, e-allkirja andmise vahendite, e-templi loomise vahendite ning elektrooniliste arvestusraamatute jaoks.
Artikkel 2
Kohaldamisala
Artikkel 3
Mõisted
Käesolevas määruses kasutatakse järgmisi mõisteid:
|
1) |
„e-identimine” – protsess, mille käigus kasutatakse elektroonilisi isikutuvastusandmeid, mis tähistavad üheselt füüsilist või juriidilist isikut või teist füüsilist isikut või juriidilist isikut esindavat füüsilist isikut; |
|
2) |
„e-identimise vahend” – kehaline ja/või kehatu üksus, mis sisaldab isikutuvastusandmeid ja mida kasutatakse autentimiseks internetipõhiste või asjakohasel juhul veebiväliste teenuste puhul; |
|
3) |
„isikutuvastusandmed” – liidu või riigisisese õiguse kohaselt väljastatud andmed, mis võimaldavad teha kindlaks füüsilise või juriidilise isiku või teist füüsilist isikut või juriidilist isikut esindava füüsilise isiku; |
|
4) |
„e-identimise süsteem” – e-identimiseks vajalik süsteem, mille raames väljastatakse e-identimise vahendeid füüsilistele või juriidilistele isikutele või teist füüsilist isikut või juriidilist isikut esindavatele füüsilistele isikutele; |
|
5) |
„autentimine” – elektrooniline protsess, mis võimaldab füüsilise või juriidilise isiku e-identimise kinnitamist või elektrooniliste andmete päritolu ja tervikluse kinnitamist; |
|
5a) |
„kasutaja” – füüsiline või juriidiline isik või teist füüsilist isikut või juriidilist isikut esindav füüsiline isik, kes kasutab käesoleva määruse kohaselt pakutavaid usaldusteenuseid või e-identimise vahendeid; |
|
6) |
„tuginev isik” – füüsiline või juriidiline isik, kes tugineb e-identimisele, Euroopa digiidentiteedikukrutele või muudele e-identimise vahenditele või usaldusteenusele; |
|
7) |
„avaliku sektori asutus” – riigi-, piirkondlik või kohalik asutus, avalik-õiguslik isik või ühe või mitme kõnealuse asutuse või avalik-õigusliku isiku poolt asutatud ühendus või eraõiguslik isik, kellele on vähemalt üks kõnealune asutus, isik või ühendus andnud õiguse osutada avalikke teenuseid, kui ta tegutseb kõnealust õigust teostades; |
|
8) |
„avalik-õiguslik isik” – Euroopa Parlamendi ja nõukogu direktiivi 2014/24/EL ( 2 ) artikli 2 lõike 1 punktis 4 määratletud isik; |
|
9) |
„allkirja andja” – e-allkirja andnud füüsiline isik; |
|
10) |
„e-allkiri” – elektroonilised andmed, mis on lisatud muudele elektroonilistele andmetele või on nendega loogiliselt seotud ja mida allkirja andja kasutab allkirja andmiseks; |
|
11) |
„täiustatud e-allkiri” – e-allkiri, mis vastab artiklis 26 sätestatud nõuetele; |
|
12) |
„kvalifitseeritud e-allkiri” – täiustatud e-allkiri, mis antakse kvalifitseeritud e-allkirja andmise vahendi abil ja mis põhineb e-allkirja kvalifitseeritud sertifikaadil; |
|
13) |
„e-allkirja andmiseks vajalikud andmed” – ainulaadsed andmed, mida allkirja andja kasutab e-allkirja andmiseks; |
|
14) |
„e-allkirja sertifikaat” – elektrooniline dokument, mis seob e-allkirja valideerimise andmed füüsilise isikuga ja kinnitab vähemalt selle isiku nime või varjunime; |
|
15) |
„e-allkirja kvalifitseeritud sertifikaat” – e-allkirja sertifikaat, mille väljastab kvalifitseeritud usaldusteenuse osutaja ja mis vastab I lisas sätestatud nõuetele; |
|
16) |
„usaldusteenus” – elektrooniline teenus, mida tavaliselt osutatakse tasu eest ja mis hõlmab üht järgmistest:
a)
e-allkirja sertifikaatide, e-templi sertifikaatide, veebisaidi autentimise sertifikaatide või muude usaldusteenuste osutamiseks vajalike sertifikaatide väljastamine;
b)
e-allkirja sertifikaatide, e-templi sertifikaatide, veebisaidi autentimise sertifikaatide või muude usaldusteenuste osutamiseks vajalike sertifikaatide valideerimine;
c)
e-allkirjade või e-templite loomine;
d)
e-allkirjade või e-templite valideerimine;
e)
e-allkirjade, e-templite, e-allkirja sertifikaatide või e-templi sertifikaatide säilitamine;
f)
e-allkirja või e-templi kaugloomise vahendite haldamine;
g)
elektrooniliste tõendite väljastamine;
h)
elektrooniliste tõendite valideerimine;
i)
e-ajatemplite loomine;
j)
e-ajatemplite valideerimine;
k)
registreeritud e-andmevahetusteenuste osutamine;
l)
registreeritud e-andmevahetusteenuste kaudu edastatud andmete ja nendega seotud tõendite valideerimine;
m)
elektrooniliste andmete ja e-dokumentide elektrooniline arhiveerimine;
n)
elektrooniliste andmete kandmine elektroonilisse arvestusraamatusse; |
|
17) |
„kvalifitseeritud usaldusteenus” – usaldusteenus, mis vastab käesolevas määruses sätestatud kohaldatavatele nõuetele; |
|
18) |
„vastavushindamisasutus” – määruse (EÜ) nr 765/2008 artikli 2 punktis 13 määratletud vastavushindamisasutus, mis on kooskõlas nimetatud määrusega akrediteeritud kui asutus, mis on pädev tegema kvalifitseeritud usaldusteenuse osutaja ja tema osutatavate kvalifitseeritud usaldusteenuste vastavushindamist või on pädev sertifitseerima Euroopa digiidentiteedikukruid või e-identimise vahendeid; |
|
19) |
„usaldusteenuse osutaja” – füüsiline või juriidiline isik, kes osutab üht või mitut usaldusteenust kas kvalifitseeritud või kvalifitseerimata usaldusteenuse osutajana; |
|
20) |
„kvalifitseeritud usaldusteenuse osutaja” – usaldusteenuse osutaja, kes osutab üht või mitut kvalifitseeritud usaldusteenust ning kellele järelevalveasutus on andnud kvalifitseeritud staatuse; |
|
21) |
„toode” – riist- või tarkvara või riist- või tarkvara asjakohased osad, mis on ette nähtud e-identimiseks ja usaldusteenuste osutamiseks; |
|
22) |
„e-allkirja andmise vahend” – seadistatud tark- või riistvara, mida kasutatakse e-allkirja andmiseks; |
|
23) |
„kvalifitseeritud e-allkirja andmise vahend” – e-allkirja andmise vahend, mis vastab II lisas sätestatud nõuetele; |
|
23a) |
„kvalifitseeritud e-allkirja kaugloomise vahend” – kvalifitseeritud e-allkirja andmise vahend, mida kvalifitseeritud usaldusteenuse osutaja haldab allkirja andja nimel vastavalt artiklile 29a; |
|
23b) |
„kvalifitseeritud e-templi kaugloomise vahend” – kvalifitseeritud e-templi loomise vahend, mida kvalifitseeritud usaldusteenuse osutaja haldab templi looja nimel vastavalt artiklile 39a; |
|
24) |
„templi andja” – e-templi loonud juriidiline isik; |
|
25) |
„e-tempel” – elektroonilised andmed, mis on lisatud muudele elektroonilistele andmetele või on nendega loogiliselt seotud ja mis tagavad viimatinimetatud andmete päritolu ja tervikluse; |
|
26) |
„täiustatud e-tempel” – e-tempel, mis vastab artiklis 36 sätestatud nõuetele; |
|
27) |
„kvalifitseeritud e-tempel” – täiustatud e-tempel, mis luuakse kvalifitseeritud e-templi loomise vahendi abil ja mis põhineb e-templi kvalifitseeritud sertifikaadil; |
|
28) |
„e-templi loomiseks vajalikud andmed” – ainulaadsed andmed, mida e-templi andja kasutab e-templi loomiseks; |
|
29) |
„e-templi sertifikaat” – elektrooniline dokument, mis seob e-templi valideerimise andmed juriidilise isikuga ja kinnitab selle isiku nime; |
|
30) |
„e-templi kvalifitseeritud sertifikaat” – e-templi sertifikaat, mille väljastab kvalifitseeritud usaldusteenuse osutaja ja mis vastab III lisas sätestatud nõuetele; |
|
31) |
„e-templi loomise vahend” – seadistatud tark- või riistvara, mida kasutatakse e-templi loomiseks; |
|
32) |
„kvalifitseeritud e-templi loomise vahend” – e-templi loomise vahend, mis vastab mutatis mutandis II lisas sätestatud nõuetele; |
|
33) |
„e-ajatempel” – elektroonilised andmed, mis seovad muud elektroonilised andmed kindla ajahetkega ja tõendavad, et viimatinimetatud andmed olid sel ajahetkel olemas; |
|
34) |
„kvalifitseeritud e-ajatempel” – e-ajatempel, mis vastab artiklis 42 sätestatud nõuetele; |
|
35) |
„e-dokument” – mis tahes sisu, mida säilitatakse elektroonilisel kujul, eelkõige teksti või heli visuaal- või audiovisuaalsalvestisena; |
|
36) |
„registreeritud e-andmevahetusteenus” – teenus, mis võimaldab edastada kolmandate isikute vahel andmeid elektrooniliselt, tõendab edastatud andmete käitamist, sealhulgas andmete saatmist ja kättesaamist, ning kaitseb edastatud andmeid kadumise, varguse, kahjustamise või lubamatu muutmise eest; |
|
37) |
„kvalifitseeritud registreeritud e-andmevahetusteenus” – registreeritud e-andmevahetusteenus, mis vastab artiklis 44 sätestatud nõuetele; |
|
38) |
„veebisaidi autentimise sertifikaat” – elektrooniline tõend, mis võimaldab autentida veebisaiti ja seob selle füüsilise või juriidilise isikuga, kellele sertifikaat on väljastatud; |
|
39) |
„kvalifitseeritud sertifikaat veebisaidi autentimiseks” – sertifikaat veebisaidi autentimiseks, mille on väljastanud kvalifitseeritud usaldusteenuse osutaja ja mis vastab IV lisas sätestatud nõuetele; |
|
40) |
„valideerimisandmed” – andmed, mida kasutatakse e-allkirja või e-templi valideerimiseks; |
|
41) |
„valideerimine” – protsess, mille käigus kontrollitakse ja kinnitatakse, et elektroonilised andmed on käesoleva määruse kohaselt kehtivad. |
|
42) |
„Euroopa digiidentiteedikukkur” – e-identimise vahend, mis võimaldab kasutajal turvaliselt salvestada, hallata ja valideerida isikutuvastusandmeid ja elektroonilisi tõendeid, et esitada neid tuginevatele isikutele ja teistele Euroopa digiidentiteedikukrute kasutajatele, ning allkirjastada kvalifitseeritud e-allkirjaga või kinnitada kvalifitseeritud e-templiga; |
|
43) |
„atribuut” – füüsilise või juriidilise isiku või eseme tunnus, omadus, õigus või luba; |
|
44) |
„elektrooniline tõend” – elektrooniline tõend, mis võimaldab atribuute autentida; |
|
45) |
„kvalifitseeritud elektrooniline tõend” – elektrooniline tõend, mille on väljastanud kvalifitseeritud usaldusteenuse osutaja ja mis vastab V lisas sätestatud nõuetele; |
|
46) |
„autentse allika eest vastutava avaliku sektori asutuse või tema nimel välja antud elektrooniline tõend” – elektrooniline tõend, mille on välja andnud autentse allika eest vastutav avaliku sektori asutus või avaliku sektori asutus, kelle liikmesriik on määranud välja andma selliseid tõendeid autentsete allikate eest vastutavate avaliku sektori asutuste nimel kooskõlas artikliga 45f ja VII lisaga; |
|
47) |
„autentne allikas” – avaliku sektori asutuse või eraõigusliku isiku vastutusel olev andmehoidla või süsteem, mis sisaldab ja pakub füüsilise või juriidilise isiku või eseme atribuute ja mida peetakse selle teabe peamiseks allikaks või mis on liidu või riigisisese õiguse, sealhulgas haldustava kohaselt tunnustatud autentsena; |
|
48) |
„elektrooniline arhiveerimine” – teenus, millega tagatakse elektrooniliste andmete ja e-dokumentide vastuvõtmine, säilitamine, otsimine ja kustutamine, et tagada nende säilivus ja loetavus ning säilitada nende terviklus, konfidentsiaalsus ja päritolutõend kogu säilitamisaja jooksul; |
|
49) |
„kvalifitseeritud elektroonilise arhiveerimise teenus” – elektroonilise arhiveerimise teenus, mida osutab kvalifitseeritud usaldusteenuse osutaja ja mis vastab artiklis 45j sätestatud nõuetele; |
|
50) |
„ELi digiidentiteedikukru usaldusmärk” – selgelt esitatud kontrollitav, lihtne ja äratuntav märge selle kohta, et Euroopa digiidentiteedikukrut pakutakse kooskõlas käesoleva määrusega; |
|
51) |
„tugev kasutaja autentimine” – autentimine, mille käigus kasutatakse vähemalt kahte erineva kategooria autentimistegurit, mis kuuluvad teadmise (miski, mida teab üksnes kasutaja), valdamise (miski, mida valdab üksnes kasutaja) või tunnuse (miski, mis on kasutajale omane) kategooriasse ja on sõltumatud, nii et turvarikkumine neist ühe puhul ei kahjustaks teiste usaldusväärsust, ning mille ülesehitus võimaldab kaitsta autentimisandmete konfidentsiaalsust; |
|
52) |
„elektrooniline arvestusraamat” – elektrooniliste andmekirjete jada, mis tagab nende kirjete tervikluse ja nende kirjete kronoloogilise järjestuse täpsuse; |
|
53) |
„kvalifitseeritud elektrooniline arvestusraamat” – elektrooniline arvestusraamat, mille teeb kättesaadavaks kvalifitseeritud usaldusteenuse osutaja ja mis vastab artiklis 45l sätestatud nõuetele; |
|
54) |
„isikuandmed” – igasugune määruse (EL) 2016/679 artikli 4 punktis 1 määratletud teave; |
|
55) |
„identiteedi ühitamine” – protsess, mille käigus isikutuvastusandmed või e-identimise vahendid ühendatakse või seotakse samale isikule kuuluva olemasoleva kontoga; |
|
56) |
„andmekirje” – elektroonilised andmed, mis on salvestatud koos seotud metaandmetega, mis toetavad andmete töötlemist; |
|
57) |
„võrguväline” – Euroopa digiidentiteedikukrute puhul kasutaja ja kolmanda isiku vaheline suhtlus füüsilises asukohas, kasutades lähisidetehnoloogiat, mille puhul ei ole digiidentiteedikukrul vaja suhtluse eesmärgil elektroonilise side võrkude kaudu kaugsüsteemidele juurde pääseda. |
Artikkel 4
Siseturu põhimõtted
Artikkel 5
Varjunimed e-tehingute tegemisel
Ilma et see piiraks kasutajate suhtes kohaldatavate endi identimise nõuet käsitlevate liidu või riigisisese õiguse kohaste erinormide kohaldamist või riigisisese õiguse kohast varjunimede õiguslikku toimet, ei keelata e-tehingute tegemisel kasutaja valitud varjunimede kasutamist.
II
PEATÜKK
E-IDENTIMINE
1. JAGU
euroopa digiidentiteedikukkur
Artikkel 5a
Euroopa digiidentiteedikukrud
Euroopa digiidentiteedikukkur tehakse kättesaadavaks ühel või mitmel järgmisel viisil:
vahetult liikmesriigi poolt;
liikmesriigi antud volituse alusel;
liikmesriigist sõltumatult, kuid liikmesriik tunnustab seda.
Euroopa digiidentiteedikukrud võimaldavad kasutajal kasutajasõbralikul, läbipaistval ja kasutaja poolt jälgitaval viisil
turvaliselt taotleda, saada, valida, kombineerida, salvestada, kustutada, jagada ja esitada kasutaja ainukontrolli all isikutuvastusandmeid, ning kui see on kohaldatav, koos elektrooniliste tõenditega autentida tuginevate isikute jaoks võrgus ja asjakohasel juhul võrguväliselt, et pääseda juurde avalikele ja erasektori teenustele, tagades samal ajal andmete valikulise avaldamise võimaluse;
luua varjunimesid ja salvestada need krüpteerituna ja lokaalselt Euroopa digiidentiteedikukrus;
turvaliselt autentida teise isiku Euroopa digiidentiteedikukrut ning saada ja vahetada isikutuvastusandmeid ja elektroonilisi tõendeid turvalisel viisil kahe Euroopa digiidentiteedikukru vahel;
saada juurdepääsu kõigi Euroopa digiidentiteedikukru kaudu tehtud tehingute logile ühise töölaua kaudu, mis võimaldab kasutajal
vaadata ajakohastatud selliste tuginevate isikute loetelu, kellega kasutaja on loonud ühenduse, ja kui see on kohaldatav, kõiki vahetatud andmeid;
taotleda tuginevalt isikult hõlpsasti isikuandmete kustutamist vastavalt määruse (EL) 2016/679 artiklile 17;
teatada hõlpsasti tuginevast isikust pädevale riiklikule andmekaitseasutusele, kui on saadud väidetavalt ebaseaduslik või kahtlane taotlus andmete saamiseks;
allkirjastada kvalifitseeritud e-allkirjaga või kinnitada kvalifitseeritud e-templiga;
laadida alla kasutaja andmeid, elektroonilisi tõendeid ja konfiguratsioone tehniliselt mõistlikus ulatuses;
kasutada kasutaja õigust andmete ülekantavusele.
Euroopa digiidentiteedikukrud peavad eelkõige
toetama ühiseid protokolle ja liideseid, et
väljastada Euroopa digiidentiteedikukrule isikutuvastusandmeid, kvalifitseeritud ja kvalifitseerimata elektroonilisi tõendeid või kvalifitseeritud ja kvalifitseerimata sertifikaate;
tuginevatel isikutel oleks võimalik taotleda ja valideerida isikutuvastusandmeid ja elektroonilisi tõendeid;
jagada ja esitada tuginevatele isikutele võrgus ja asjakohasel juhul võrguväliselt isikutuvastusandmeid, elektroonilisi tõendeid või valikuliselt avaldatud seotud andmeid;
kasutajal oleks võimalik suhelda Euroopa digiidentiteedikukruga ja kuvada ELi digiidentiteedikukru usaldusmärki;
kasutaja turvaliselt aktiveerida, kasutades artikli 5a lõike 24 kohast e-identimise vahendit;
suhelda kahe isiku Euroopa digiidentiteedikukruga eesmärgiga saada, vahetada ja valideerida isikutuvastusandmeid ja elektroonilisi tõendeid turvalisel viisil;
autentida ja identifitseerida tuginevaid isikuid, rakendades autentimismehhanisme kooskõlas artikliga 5b;
tuginevad isikud saaksid kontrollida Euroopa digiidentiteedikukru autentsust ja kehtivust;
tuginevalt isikult saaks taotleda isikuandmete kustutamist vastavalt määruse (EL) 2016/679 artiklile 17;
tuginevast isikust saaks teatada pädevale riiklikule andmekaitseasutusele, kui on saadud väidetavalt ebaseaduslik või kahtlane taotlus andmete saamiseks;
võimaldada luua kvalifitseeritud e-allkirju või e-templeid kvalifitseeritud e-allkirja andmise või e-templi loomise vahendite abil;
mitte andma elektrooniliste tõendite usaldusteenuste osutajatele mingit teavet nende elektrooniliste tõendite kasutamise kohta;
tagama, et tuginevaid isikuid saab autentida ja identifitseerida, rakendades autentimismehhanisme kooskõlas artikliga 5b;
vastama artiklis 8 sätestatud nõuetele kõrge usaldusväärsuse taseme kohta, eelkõige seoses identiteedi tõendamise ja kontrollimise ning e-identimise vahendite haldamise ja autentimise nõuetega;
rakendama integreeritud avalikustamispoliitikaga elektrooniliste tõendite korral asjakohast mehhanismi, et teavitada kasutajat sellest, et tugineval isikul või kõnealust elektroonilist tõendit taotleval Euroopa digiidentiteedikukru kasutajal on tõendile juurdepääsuks luba;
tagama, et isikutuvastusandmed, mis on kättesaadavad e-identimise süsteemi kaudu, mille alusel Euroopa digiidentiteedikukrut pakutakse, tähistavad üheselt füüsilist isikut, juriidilist isikut või füüsilist või juriidilist isikut esindavat füüsilist isikut ning on seotud selle Euroopa digiidentiteedikukruga;
pakkuma kõigile füüsilistele isikutele vaikimisi ja tasuta võimalust anda allkiri kvalifitseeritud e-allkirjana.
Olenemata esimese lõigu punktist g võivad liikmesriigid ette näha proportsionaalsed meetmed tagamaks, et kvalifitseeritud e-allkirjade tasuta kasutamine füüsiliste isikute poolt piirdub mittekutseliste eesmärkidega.
Liikmesriigid pakuvad tasuta valideerimismehhanisme, et
Euroopa digiidentiteedikukrute autentsust ja kehtivust saab kontrollida;
võimaldada kasutajatel kontrollida artikli 5b kohaselt registreeritud tuginevate isikute identiteedi autentsust ja kehtivust.
Liikmesriigid tagavad, et Euroopa digiidentiteedikukru saab kehtetuks tunnistada järgmistel juhtudel:
kasutaja sõnaselge taotluse korral;
kui Euroopa digiidentiteedikukru turvalisust on kahjustatud;
kasutaja surma või juriidilise isiku tegevuse lõppemise korral.
Euroopa digiidentiteedikukru tehniline raamistik
ei tohi võimaldada elektrooniliste tõendite pakkujatel ega muudel isikutel pärast atribuutide tõendamist saada andmeid, mis võimaldavad tehinguid või kasutaja käitumist jälgida, seostada, korreleerida või saada muul viisil teavet tehingute või kasutaja käitumise kohta, välja arvatud juhul, kui kasutaja on selleks sõnaselge loa andnud;
võimaldab privaatsuse säilitamise viise, mis tagavad seostamatuse, kui atribuutide tõendamine ei nõua kasutaja identimist.
Liikmesriigid edastavad komisjonile põhjendamatu viivituseta järgmise teabe:
asutus, kes vastutab Euroopa digiidentiteedikukrutele tuginevate registreeritud tuginevate isikute loetelu koostamise ja haldamise eest vastavalt artikli 5b lõikele 5, ja selle loetelu asukoht;
asutused, kes vastutavad Euroopa digiidentiteedikukrute pakkumise eest vastavalt artikli 5a lõikele 1;
asutused, kes vastutavad selle tagamise eest, et isikutuvastusandmed on seotud Euroopa digiidentiteedikukruga vastavalt artikli 5a lõike 5 punktile f;
mehhanism, mis võimaldab artikli 5a lõike 5 punktis f osutatud isikutuvastusandmeid ja tuginevate isikute identiteeti valideerida;
Euroopa digiidentiteedikukru autentsuse ja kehtivuse valideerimise mehhanism.
Komisjon teeb esimese lõigu kohaselt edastatud teabe turvalise kanali kaudu üldsusele kättesaadavaks elektrooniliselt allkirjastatud või e-templiga varustatud formaadis, mis sobib automaatseks töötlemiseks.
Artikkel 5b
Euroopa digiidentiteedikukrule tuginevad isikud
Registreerimisprotsess peab olema kulutõhus ja riski suhtes proportsionaalne. Tuginev isik esitab vähemalt järgmise teabe:
teave, mida on vaja autentimiseks Euroopa digiidentiteedikukrute jaoks, mis hõlmab vähemalt järgmist:
liikmesriik, kus tuginev isik on asutatud, ning
tugineva isiku nimi ja kui see on olemas, siis tema ametlikus registris esitatud registreerimisnumber koos selle ametliku registri identimisandmetega;
tugineva isiku kontaktandmed;
Euroopa digiidentiteedikukrute kavandatud kasutus, sealhulgas viide andmetele, mida tuginev isik kasutajatelt taotleb.
Artikkel 5c
Euroopa digiidentiteedikukrute sertifitseerimine
Artikkel 5d
Sertifitseeritud Euroopa digiidentiteedikukrute loetelu avaldamine
Piiramata artikli 5a lõike 18 kohaldamist, sisaldab käesoleva artikli lõikes 1 osutatud liikmesriikide esitatav teave vähemalt järgmist:
sertifitseeritud Euroopa digiidentiteedikukru sertifikaat ja sertifitseerimise hindamisaruanne;
selle e-identimise süsteemi kirjeldus, mille alusel Euroopa digiidentiteedikukrut pakutakse;
kohaldatav järelevalvekord ja Euroopa digiidentiteedikukru pakkuja vastutuskorda puudutav teave;
e-identimise süsteemi eest vastutav asutus või vastutavad asutused;
teavitatud e-identimise süsteemi, autentimise või asjaomase osa, mille turvalisust on kahjustatud, peatamise või kehtetuks tunnistamise kord.
Artikkel 5e
Euroopa digiidentiteedikukrute turvarikkumine
Liikmesriik kõrvaldab viivitamata Euroopa digiidentiteedikukrud kasutuselt, kui see on esimeses lõigus osutatud turvarikkumise või kahjustamise tõsidusest lähtudes põhjendatud.
Liikmesriik teavitab sellest mõjutatud kasutajaid, artikli 46c lõike 1 kohaselt määratud ühtseid kontaktpunkte, tuginevaid isikuid ja komisjoni.
Artikkel 5f
Piiriülene tuginemine Euroopa digiidentiteedikukrutele
2. JAGU
e-identimise süsteemid
Artikkel 6
Vastastikune tunnustamine
Kui ühes liikmesriigis nõutakse vastavalt siseriiklikule õigusele või haldustavale avaliku sektori asutuse osutatavale internetipõhisele teenusele juurdepääsuks e-identimist e-identimise vahendi abil ja e-autentimist, tunnustatakse selles liikmesriigis teises liikmesriigis väljastatud e-identimise vahendit kõnealuse internetipõhise teenuse piiriüleseks autentimiseks, kui täidetud on järgmised tingimused:
e-identimise vahend on väljastatud e-identimise süsteemi kohaselt, mis on kantud komisjoni poolt vastavalt artiklile 9 avaldatud nimekirja;
e-identimise vahendi usaldusväärsuse tase vastab usaldusväärsuse tasemele, mida avaliku sektori asutus nõuab kõnealusele internetipõhisele teenusele juurdepääsuks esimesena nimetatud liikmesriigis, või on sellest usaldusväärsuse tasemest kõrgem, eeldusel et selle e-identimise vahendi usaldusväärsuse tase on märkimisväärne või kõrge;
asjaomane avaliku sektori asutus kasutab kõnealusele internetipõhisele teenusele juurdepääsuks usaldusväärsuse taset, mille tase on märkimisväärne või kõrge.
Tunnustamine toimub hiljemalt 12 kuud pärast seda, kui komisjon avaldab esimese lõigu punktis a osutatud nimekirja.
Artikkel 7
E-identimise süsteemidest teavitamise tingimused
E-identimise süsteemist saab vastavalt artikli 9 lõikele 1 teavitada juhul, kui täidetud on kõik järgmised tingimused:
e-identimise süsteemi kuuluv e-identimise vahend on väljastatud:
teatava liikmesriigi poolt;
teavitava liikmesriigi volituse alusel või
sõltumatult teavitavast liikmesriigist ning see liikmesriik tunnustab seda;
e-identimise süsteemi kuuluvat e-identimise vahendit saab kasutada juurdepääsuks vähemalt ühele teenusele, mida osutab avaliku sektori asutus ja mis eeldab teavitavas liikmesriigis e-identimist;
e-identimise süsteem ja selle kohaselt väljastatud e-identimise vahend vastavad vähemalt ühe usaldusväärsuse taseme nõuetele, mis on sätestatud artikli 8 lõikes 3 osutatud rakendusaktis;
teavitav liikmesriik tagab, et ainulaadsed kõnealust isikut tähistavad isikutuvastusandmed omistatakse artikli 3 punktis 1 osutatud füüsilisele või juriidilisele isikule sellesse süsteemi kuuluva e-identimise vahendi väljastamisel kooskõlas tehniliste kirjelduste, standardite ja menetlustega, mis on artikli 8 lõikes 3 osutatud rakendusaktis ette nähtud asjakohase usaldusväärsuse taseme jaoks;
sellesse süsteemi kuuluvat e-identimise vahendit väljastav osaline tagab e-identimise vahendi omistamise käesoleva artikli punktis d osutatud isikule kooskõlas tehniliste kirjelduste, standardite ja menetlustega, mis on artikli 8 lõikes 3 osutatud rakendusaktis ette nähtud asjakohase usaldusväärsuse taseme jaoks;
teavitav liikmesriik tagab internetipõhise autentimise võimaluse nii, et teise liikmesriigi territooriumil asuv tuginev isik saab kinnitada elektrooniliselt saadud isikutuvastusandmeid.
Teavitav liikmesriik võib kindlaks määrata kõnealusee autentimise kasutustingimused tuginevatele isikutele, kes ei ole avaliku sektori asutused. Piiriülene autentimine on tasuta, kui autenditakse avaliku sektori asutuse internetipõhist teenust.
Liikmesriigid ei kehtesta autentimiskavatsusega tuginevate isikute suhtes ebaproportsionaalseid tehnilisi tingimusi, mis takistavad või raskendavad märkimisväärselt teavitatud e-identimise süsteemide koosvõimet;
vähemalt kuus kuud enne artikli 9 lõike 1 kohast teavitamist esitab teavitav liikmesriik teistele liikmesriikidele artikli 12 lõike 5 kohaldamise eesmärgil selle süsteemi kirjelduse artikli 12 lõikes 6 kohaselt vastu võetud rakendusaktidega kehtestatud menetluse kohaselt;
e-identimise süsteem vastab artikli 12 lõikes 8 osutatud rakendusaktis sätestatud nõuetele.
Artikkel 8
E-identimise süsteemide usaldusväärsuse tasemed
Madal, märkimisväärne ja kõrge usaldusväärsuse tase vastab järgmistele nõuetele:
madal usaldusväärsuse tase osutab e-identimise süsteemi kuuluvale e-identimise vahendile, mis on isiku väidetava või tema poolt kinnitatud isikusamasuse tuvastamiseks piiratud määral usaldusväärne ning mille kirjeldamisel osutatakse sellega seotud tehnilistele kirjeldustele, standarditele ja menetlustele, sealhulgas tehnilisele kontrollile, mille eesmärk on vähendada isikuandmete väärkasutamise või muutmise ohtu;
märkimisväärne usaldusväärsuse tase osutab e-identimise süsteemi kuuluvale e-identimise vahendile, mis on isiku väidetava või tema poolt kinnitatud isikusamasuse tuvastamiseks olulisel määral usaldusväärne ning mille kirjeldamisel osutatakse sellega seotud tehnilistele kirjeldustele, standarditele ja menetlustele, sealhulgas tehnilisele kontrollile, mille eesmärk on vähendada märkimisväärselt isikuandmete väärkasutamise või muutmise ohtu;
kõrge usaldusväärsuse tase osutab e-identimise süsteemi kuuluvale e-identimise vahendile, mis on isiku väidetava või tema poolt kinnitatud isikusamasuse tuvastamiseks kõrgema usaldusväärsuse tasemega kui märkimisväärse usaldusväärsuse tasemega e-identimise vahend ning mille kirjeldamisel osutatakse sellega seotud tehnilistele kirjeldustele, standarditele ja menetlustele, sealhulgas tehnilisele kontrollile, mille eesmärk on hoida ära isikuandmete väärkasutamist või muutmist.
Nimetatud minimaalsed tehnilised kirjeldused, standardid ja menetlused kehtestatakse, kasutades lähtealusena järgmiste elementide usaldusväärsust ja kvaliteeti:
e-identimise vahendi väljastamist taotleva füüsilise või juriidilise isiku isikusamasuse tõendamise ja kontrollimise menetlus;
taotletava e-identimise vahendi väljastamise menetlus;
autentimise mehhanism, kus füüsiline või juriidiline isik kasutab e-identimise vahendit selleks, et kinnitada oma isikusamasust tuginevale isikule;
e-identimise vahendit väljastav üksus;
muu asutus, kes osaleb e-identimise vahendi väljastamise taotlemises, ning
väljastatud e-identimise vahendite tehnilised kirjeldused ja turvaspetsifikaadid.
Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
Artikkel 9
Teavitamine
Teavitav liikmesriik edastab komisjonile järgmise teabe ja põhjendamatu viivituseta selle iga hilisema muudatuse:
e-identimise süsteemi kirjeldus. kaasa arvatud selle usaldusväärsuse tase ja sellesse süsteemi kuuluvate e-identimise vahendite väljastaja(d);
kohaldatav järelevalvekord ja järgmine vastutuskorda puudutav teave:
e-identimise vahendit väljastav osaline ning
autentimismenetlust läbiviiv osaline;
teavitatud e-identimise süsteemi eest vastutav asutus või vastutavad asutused;
teave ainulaadsete isikutuvastusandmete registreerimist haldava üksuse või haldavate üksuste kohta;
kirjeldus, kuidas täidetakse artikli 12 lõikes 8 osutatud rakendusaktis sätestatud nõuded;
artikli 7 punktis f osutatud autentimise kirjeldus;
teavitatud e-identimise süsteemi, autentimise või asjaomase ohustatud osa peatamise või tühistamise kord.
Artikkel 10
E-identimise süsteemide turvarikkumine
Komisjon avaldab põhjendamatu viivituseta Euroopa Liidu Teatajas artikli 9 lõikes 2 osutatud nimekirjas tehtud muudatused.
Artikkel 11
Vastutus
Artikkel 11a
Piiriülene identiteedi ühitamine
Artikkel 12
Koostalitlusvõime
Koosvõime raamistik peab vastama järgmistele nõuetele:
see on tehnoloogiliselt neutraalne ja ei diskrimineeri asjaomases liikmesriigis ühtegi konkreetset siseriiklikku e-identimise tehnilist lahendust;
see vastab võimaluse korral Euroopa ja rahvusvahelistele standarditele;
see hõlbustab lõimitud privaatsuse ja turbe rakendamist;
▼M1 —————
Koosvõime raamistik koosneb järgmisest:
viide artiklis 8 sätestatud usaldusväärsuse tasemetega seotud tehnilistele miinimumnõuetele;
teavitatud e-identimise süsteemide siseriiklike usaldusväärsuse tasemete seostamine artikli 8 kohaste usaldusväärsuse tasemetega;
viide ette nähtud tehnilise koosvõime miinimumnõuetele;
viide e-identimise süsteemidest kättesaadavatele minimaalsele hulgale isikutuvastusandmetele, mis on vajalikud ainuüksi ühe füüsilise või juriidilise isiku või teist füüsilist isikut või juriidilist isikut esindava füüsilise isiku tähistamiseks;
menetluseeskirjad;
vaidluste lahendamise kord ning
ühised toimimise turvalisuse standardid.
▼M1 —————
Artikkel 12a
E-identimise süsteemide sertifitseerimine
Artikkel 12b
Juurdepääs riist- ja tarkvarafunktsioonidele
Kui Euroopa digiidentiteedikukrute pakkujad ja teavitatud e-identimise vahendite väljastajad, kes tegutsevad äri- või kutsetegevuse raames ja kasutavad Euroopa Parlamendi ja nõukogu määruse (EL) 2022/1925 ( 7 ) artikli 2 punktis 2 määratletud põhiplatvormiteenuseid Euroopa digiidentiteedikukru teenuste ja e-identimise vahendite pakkumiseks või selle käigus, on nimetatud määruse artikli 2 punktis 21 määratletud ärikasutajad, võimaldavad pääsuvalitsejad neile eelkõige tõhusa koostalitlusvõime samade operatsioonisüsteemi ja riist- või tarkvarafunktsioonidega ning koostalitlusvõime eesmärgil juurdepääsu sellistele funktsioonidele. Selline tõhus koostalitlusvõime ja juurdepääs on tasuta ega olene sellest, kas riist- või tarkvarafunktsioonid on osa operatsioonisüsteemist, mis on kättesaadavad kõnealusele pääsuvalitsejale ja mida ta kasutab selliste teenuste osutamisel, nagu on kirjeldatud määruse (EL) 2022/1925 artikli 6 lõikes 7. Käesolev artikkel ei piira käesoleva määruse artikli 5a lõike 14 kohaldamist.
III
PEATÜKK
USALDUSTEENUSED
1.
JAGU
Üldsätted
Artikkel 13
Vastutus ja tõendamiskoormis
Kvalifitseerimata usaldusteenuse osutaja tegevuse tahtlikkuse või hooletuse tõendamise kohustus lasub füüsilisel või juriidilisel isikul, kes väidab, et talle on põhjustatud esimeses lõigus osutatud kahju.
Eeldatakse, et kvalifitseeritud usaldusteenuse osutaja on tegutsenud tahtlikult või hooletult, kui nimetatud kvalifitseeritud usaldusteenuse osutaja ei tõenda, et esimeses lõigus osutatud kahju tekkis ilma selle kvalifitseeritud usaldusteenuse osutaja tahtliku või hooletu tegutsemiseta.
Artikkel 14
Rahvusvahelised aspektid
Esimeses lõigus osutatud rakendusaktid võetakse vastu artikli 48 lõikes 2 osutatud kontrollimenetluse kohaselt.
Artikkel 15
Ligipääsetavus puuetega ja erivajadustega inimeste jaoks
E-identimise vahendite pakkumine ja usaldusteenuste osutamine ja nende teenuste osutamisel kasutatavad lõppkasutajatele suunatud tooted tehakse kättesaadavaks lihtsas ja arusaadavas keeles, kooskõlas ÜRO puuetega inimeste õiguste konventsiooniga ja direktiivis (EL) 2019/882 sätestatud ligipääsetavusnõuetega, tuues seega kasu ka piiratud funktsionaalse võimekusega inimestele, näiteks eakatele, ja isikutele, kellel on piiratud juurdepääs digitehnoloogiale.
Artikkel 16
Karistused
Liikmesriigid tagavad, et kui kvalifitseeritud ja kvalifitseerimata usaldusteenuse osutaja rikub käesolevat määrust, määratakse selle eest haldustrahv, mille maksimummäär on vähemalt
5 000 000 eurot, kui usaldusteenuse osutaja on füüsiline isik, või
kui usaldusteenuse osutaja on juriidiline isik, siis 5 000 000 eurot või 1 % selle ettevõtja üleilmsest aastasest kogukäibest, kuhu usaldusteenuse osutaja kuulus rikkumise toimumise aastale eelnenud majandusaastal, olenevalt sellest, kumb on suurem.
2.
JAGU
Kvalifitseerimata usaldusteenused
▼M1 —————
Artikkel 19
Usaldusteenuse osutajate suhtes kohaldatavad turvanõuded
Kui turvarikkumisel või tervikluse kaol on tõenäoliselt kahjulik mõju füüsilisele või juriidilisele isikule, kellele usaldusteenus on osutatud, teavitab usaldusteenuse osutaja põhjendamatu viivituseta ka füüsilist või juriidilist isikut turvarikkumisest või tervikluse kaost.
Kui see on asjakohane ja eelkõige juhul, kui turvarikkumine või tervikluse kadu hõlmab kahte või enamat liikmesriiki, teavitab teavitatud järelevalveasutus teiste asjaomaste liikmesriikide järelevalveasutusi ning ENISA-t.
Kui teavitatud järelevalveasutus leiab, et turvarikkumise või tervikluse kao avalikustamine on avalikes huvides, teavitab ta üldsust või nõuab üldsuse teavitamist asjaomaselt usaldusteenuse osutajalt.
Komisjon võib rakendusaktidega:
täpsustada lähemalt lõikes 1 osutatud meetmeid ning
määrata kindlaks lõike 2 kohaldamisega seotud formaadid ja menetlused, sealhulgas tähtajad.
Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
Artikkel 19a
Nõuded kvalifitseerimata usaldusteenuse osutajatele
Kvalifitseerimata usaldusteenuseid osutav kvalifitseerimata usaldusteenuse osutaja
evib asjakohaseid tegevuspõhimõtteid ja võtab vastavaid meetmeid, et juhtida kvalifitseerimata usaldusteenuse osutamisega seotud õiguslikke, ärilisi, tegevus- ja muid otseseid või kaudseid riske, mis olenemata direktiivi (EL) 2022/2555 artiklist 21 hõlmavad vähemalt meetmeid, mis on seotud
usaldusteenuse kasutamise registreerimise ja teenuse aktiveerimise menetlustega;
usaldusteenuste osutamiseks vajalike menetlus- või halduskontrollidega;
usaldusteenuste haldamise ja rakendamisega;
teavitab järelevalveasutust, tuvastatavaid mõjutatud isikuid, üldsust, kui see on avalikes huvides, ja kui see on kohaldatav, teisi asjaomaseid pädevaid asutusi kõigist sellistest teenuse osutamisel või punkti a alapunktis i, ii või iii osutatud meetmete rakendamisel esinenud turvarikkumistest või häiretest, millel on märkimisväärne mõju osutatavale usaldusteenusele või sellega seoses säilitatavatele isikuandmetele, tehes seda põhjendamatu viivituseta ja igal juhul 24 tunni jooksul turvarikkumisest või häirest teada saamist.
3.
JAGU
Kvalifitseeritud usaldusteenus
Artikkel 20
Kvalifitseeritud usaldusteenuse osutajate järelevalve
Kui asjaomane teenuseosutaja ei võta heastamismeetmeid järelevalveasutuse kehtestatud tähtaja jooksul, kui see on kohaldatav, võtab järelevalveasutus, kui seda õigustavad eelkõige kõnealuse nõuete täitmata jätmise ulatus, kestus ja tagajärjed, sellelt teenuseosutajalt või tema osutatavalt mõjutatud teenuselt kvalifitseeritud staatuse ära.
Hiljemalt 21. maiks 2025 kehtestab komisjon rakendusaktidega võrdlusstandardite loetelu ning vajaduse korral kirjeldused ja menetlused järgmise jaoks:
vastavushindamisasutuste akrediteerimine ja lõikes 1 osutatud vastavushindamisaruanne;
auditeerimisnõuded, mille alusel vastavushindamisasutused hindavad, sealhulgas kompleksse hindamise vormis, kvalifitseeritud usaldusteenuse osutajate nõuetele vastavust, nagu on osutatud lõikes 1;
vastavushindamissüsteemid kvalifitseeritud usaldusteenuse osutajate vastavushindamiseks vastavushindamisasutuste poolt ja lõikes 1 osutatud aruande esitamiseks.
Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
Artikkel 21
Kvalifitseeritud usaldusteenuse osutamise alustamine
Et kontrollida usaldusteenuse osutaja vastavust direktiivi (EL) 2022/2555 artikli 21 nõuetele, taotleb järelevalveasutus, et kõnealuse direktiivi artikli 8 lõike 1 kohaselt määratud või asutatud pädevad asutused võtaksid sellega seoses järelevalvemeetmeid ja esitaksid tulemuste kohta teabe põhjendamatu viivituseta ja igal juhul kahe kuu jooksul pärast taotluse saamist. Kui kahe kuu jooksul alates teavitamisest ei ole kontrolli lõpule viidud, teavitavad asjaomased pädevad asutused järelevalveasutust viivituse põhjustest ja ajavahemikust, mille jooksul kontroll lõpule viiakse.
Kui järelevalveasutus leiab, et usaldusteenuse osutaja ja tema osutatavad usaldusteenused vastavad käesolevas määruses sätestatud nõuetele, annab järelevalveasutus usaldusteenuse osutajale ja tema osutatavatele usaldusteenustele kvalifitseeritud staatuse ning teavitab artikli 22 lõikes 3 osutatud asutust artikli 22 lõikes 1 osutatud usaldusnimekirjade ajakohastamise eesmärgil hiljemalt kolme kuu möödumisel käesoleva artikli lõike 1 kohast teate esitamisest.
Kui kolme kuu jooksul alates teate esitamisest ei ole kontrolli lõpule viidud, teavitab järelevalveasutus usaldusteenuse osutajat viivituse põhjustest ja ajavahemikust, mille jooksul kontroll lõpule viiakse.
Artikkel 22
Usaldusnimekirjad
Artikkel 23
ELi kvalifitseeritud usaldusteenuse usaldusmärk
Artikkel 24
Nõuded kvalifitseeritud usaldusteenuse osutajatele
Kvalifitseeritud usaldusteenuse osutaja teeb lõikes 1 osutatud identiteedikontrolli asjakohasel viisil kas otse või kolmanda isiku abil, lähtudes ühest järgmisest meetodist või vajaduse korral nende kombinatsioonist kooskõlas lõikes 1c osutatud rakendusaktidega:
Euroopa digiidentiteedikukru või teavitatud e-identimise vahendi abil, mis vastab artiklis 8 sätestatud nõuetele seoses kõrge usaldusväärsuse tasemega;
kooskõlas punktiga a, c või d väljastatud kvalifitseeritud e-allkirja sertifikaadi või kvalifitseeritud e-templi sertifikaadi abil;
muude identimismeetodite abil, mis tagavad isiku tuvastamise kõrgel usaldusväärsuse tasemel ja mille vastavust kinnitab vastavushindamisasutus;
füüsilise isiku või juriidilise isiku volitatud esindaja füüsilise kohalolekuga vastavalt asjakohastele tõenditele ja, menetlustele kooskõlas riigisisese õigusega.
Kvalifitseeritud usaldusteenuse osutaja teeb lõikes 1 osutatud atribuutide kontrolli asjakohasel viisil kas otse või kolmanda isiku abil, lähtudes ühest järgmisest meetodist või vajaduse korral nende kombinatsioonist kooskõlas lõikes 1c osutatud rakendusaktidega
Euroopa digiidentiteedikukru või teavitatud e-identimise vahendi abil, mis vastab artiklis 8 sätestatud nõuetele seoses kõrge usaldusväärsuse tasemega;
kooskõlas lõike 1a punktiga a, c või d väljastatud kvalifitseeritud e-allkirja sertifikaadi või kvalifitseeritud e-templi sertifikaadi abil;
kvalifitseeritud elektroonilise tõendi abil;
muude meetodite abil, mis tagavad atribuutide kontrollimise tulemuste kõrge usaldusväärsuse taseme ja mille vastavust kinnitab vastavushindamisasutus;
füüsilise isiku või juriidilise isiku volitatud esindaja füüsilise kohalolekuga vastavalt asjakohastele tõenditele ja menetlustele kooskõlas riigisisese õigusega.
Kvalifitseeritud usaldusteenuseid osutav kvalifitseeritud usaldusteenuse osutaja:
teavitab järelevalveasutust vähemalt üks kuu ette enne mis tahes muudatuse rakendamist oma kvalifitseeritud usaldusteenuste osutamisel või vähemalt kolm kuud ette enne, kui on kavatsus selline tegevus lõpetada.
võtab tööle personali ja vajaduse korral alltöövõtjad, kellel on vajalik pädevus, usaldusväärsus, kogemus ja kvalifikatsioon ning kes on saanud turva- ja isikuandmete kaitse eeskirjade alal asjakohase koolituse ja rakendavad Euroopa või rahvusvahelistele standarditele vastavaid haldus- ja juhtimismenetlusi;
seoses artikli 13 kohase vastutusega võimalike kahjude eest omab piisavat hulka rahalisi vahendeid ja/või sõlmib asjakohase vastutuskindlustuse kooskõlas siseriikliku õigusega;
teavitab enne lepingu sõlmimist kõiki kvalifitseeritud usaldusteenust kasutada soovivaid isikuid selgel, põhjalikul ja hõlpsasti ligipääsetaval viisil, avalikult ligipääsetavas ruumis ja isiklikult kõnealuse teenuse kasutamise täpsetest tingimustest, sealhulgas kõigist selle kasutamise piirangutest;
kasutab usaldusväärseid süsteeme ja tooteid, mis on kaitstud muutmise eest, ja tagab nende toetatavate toimingute tehnilise turvalisuse ja usaldusväärsuse, sealhulgas kasutades sobivaid krüptomeetodeid;
kasutab usaldusväärseid süsteeme talle esitatud andmete säilitamiseks ehtsuse tõendamist võimaldavas formaadis nii, et:
need on otsingutes avalikult kättesaadavad üksnes siis, kui isik, kellega andmed on seotud, on andnud selleks nõusoleku,
säilitatud andmeid saavad sisestada ja muuta üksnes selleks volitatud isikud,
on võimalik kindlaks teha, kas andmed on ehtsad;
olenemata direktiivi (EL) 2022/2555 artiklis 21 sätestatust, evib asjakohaseid tegevuspõhimõtteid ja võtab vastavaid meetmeid, et juhtida kvalifitseeritud usaldusteenuse osutamisega seotud õiguslikke, ärilisi, tegevus- ja muid otseseid või kaudseid riske, sealhulgas vähemalt meetmeid, mis on seotud järgmisega:
teenuse kasutamiseks registreerimise ja teenuse aktiveerimise menetlused;
menetlus- või halduskontrollid;
teenuste haldamine ja rakendamine;
teavitab järelevalveasutust, tuvastatavaid mõjutatud isikuid, kohaldataval juhul teisi asjaomaseid pädevaid asutusi ning järelevalveasutuse taotlusel ka üldsust, kui see on avalikes huvides, kõigist sellistest teenuse osutamisel või punkti fa alapunktis i, ii või iii osutatud meetmete rakendamisel esinenud turvarikkumistest või häiretest, millel on märkimisväärne mõju osutatavale usaldusteenusele või sellega seoses säilitatavatele isikuandmetele, tehes seda põhjendamatu viivituseta ja igal juhul 24 tunni jooksul pärast intsidenti;
võtab asjakohaseid meetmeid andmete võltsimise, varguse või omastamise vastu või andmete loata kustutamise, muutmise või ligipääsmatuks muutmise vastu;
salvestab kogu asjakohase teabe kvalifitseeritud usaldusteenuse osutaja väljastatud ja saadud andmete kohta ja hoiab seda kättesaadavana vajaliku aja jooksul pärast seda, kui kvalifitseeritud usaldusteenuse osutaja on tegevuse lõpetanud, et esitada tõendeid kohtumenetlustes ja tagada teenuse järjepidevus. Sellised andmed võib salvestada elektrooniliselt;
omab teenuse järjepidevuse tagamiseks ajakohast tegevuse lõpetamise kava, mis vastab järelevalveasutuse poolt artikli 46b lõike 4 punkti i kohaselt kontrollitud sätetele;
▼M1 —————
juhul kui kvalifitseeritud usaldusteenuse osutaja väljastab kvalifitseeritud sertifikaate, loob sertifikaatide andmebaasi ja ajakohastab seda.
Järelevalveasutus võib nõuda täiendavat teavet lisaks esimese lõigu punkti a kohaselt esitatud teabele või vastavushindamise tulemusi ning võib kehtestada tingimusi kvalifitseeritud usaldusteenustes kavandatud muudatuste tegemiseks loa andmiseks. Kui kolme kuu jooksul alates teate esitamisest ei ole kontrolli lõpule viidud, teavitab järelevalveasutus usaldusteenuse osutajat viivituse põhjustest ja ajavahemikust, mille jooksul kontroll lõpule viiakse.
Artikkel 24a
Kvalifitseeritud usaldusteenuste tunnustamine
4.
JAGU
E-allkirjad
Artikkel 25
E-allkirjade õiguslik toime
▼M1 —————
Artikkel 26
Nõuded täiustatud e-allkirjale
Täiustatud e-allkiri vastab järgmistele nõuetele:
see on seotud ainuüksi allkirja andjaga;
selle abil on võimalik allkirja andjat tuvastada;
see antakse e-allkirja andmiseks vajalike andmete abil, mida saab kõrge salastatuse taseme juures kasutada üksnes allkirja andja, ning
see on allkirjastatud andmetega seotud sellisel viisil, et kõik hilisemad andmete muudatused on tuvastatavad.
Artikkel 27
E-allkirjad avalikus teenistuses
▼M1 —————
Artikkel 28
E-allkirjade kvalifitseeritud sertifikaadid
Liikmesriigid võivad järgmistel tingimustel kehtestada siseriiklikud eeskirjad e-allkirja kvalifitseeritud sertifikaatide ajutiseks peatamiseks:
kui e-allkirja kvalifitseeritud sertifikaat on ajutiselt peatatud, on kõnealune sertifikaat peatamise ajavahemikul kehtetu;
peatamise ajavahemik on sertifikaatide andmebaasis selgesti märgitud ja sertifikaatide staatuse kohta teavet andva teenuse kaudu saab peatamise ajavahemikul teavet peatamisstaatuse kohta.
Artikkel 29
Nõuded kvalifitseeritud e-allkirja andmise vahenditele
Artikkel 29a
Nõuded kvalifitseeritud e-allkirja kaugloomise vahendi haldamise kvalifitseeritud teenusele
Kvalifitseeritud e-allkirja kaugloomise vahendit haldab kvalifitseeritud teenuse osutamise raames üksnes kvalifitseeritud usaldusteenuse osutaja, kes
allkirja andja nimel loob või haldab e-allkirja andmiseks vajalikke andmeid;
olenemata II lisa punkti 1 alapunktist d dubleerib e-allkirja andmiseks vajalikke andmeid üksnes varundamise eesmärgil, kui on täidetud järgmised nõuded:
dubleeritud andmekogumite turvatase peab olema sama mis algsetel andmekogumitel;
dubleeritud andmekogumite arv ei tohi ületada teenuse järjepidevuse tagamiseks vajalikku miinimumi;
vastab kõigile nõuetele, mis on kindlaks määratud artikli 30 kohaselt väljastatud konkreetse kvalifitseeritud e-allkirja kaugloomise vahendi sertifitseerimise aruandes.
Artikkel 30
Kvalifitseeritud e-allkirja andmise vahendite sertifitseerimine
Lõikes 1 osutatud sertifitseerimine põhineb ühel järgmistest võimalustest:
turvalisuse hindamise protsess, mis on tehtud kooskõlas ühega standarditest selliste infotehnoloogiatoodete turvalisuse hindamiseks, mis on kantud kooskõlas teise lõiguga koostatud nimekirja, või
punktis a osutatust erinev protsess, tingimusel et selles protsessis kasutatakse samaväärseid turvatasemeid ning et lõikes 1 osutatud avalik-õiguslik või eraõiguslik asutus teatab sellest protsessist komisjonile. Seda protsessi võib kasutada üksnes punktis a osutatud standardite puudumisel või juhul kui käimas on punktis a osutatud turvalisuse hindamise protsess.
Komisjon koostab rakendusaktidega punktis a osutatud infotehnoloogiatoodete turvalisuse hindamise standardite nimekirja. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
Artikkel 31
Sertifitseeritud kvalifitseeritud e-allkirja andmise vahendite nimekirja avaldamine
Artikkel 32
Nõuded kvalifitseeritud e-allkirjade valideerimisele
Kvalifitseeritud e-allkirja valideerimise protsess kinnitab kvalifitseeritud e-allkirja kehtivust, kui on täidetud järgmised tingimused:
allkirja kinnitav sertifikaat oli allkirja andmise ajal I lisa sätetele vastav kvalifitseeritud e-allkirja sertifikaat;
kvalifitseeritud sertifikaadi väljastas kvalifitseeritud usaldusteenuse osutaja ja sertifikaat oli allkirja andmise ajal kehtiv;
allkirja valideerimise andmed vastavad tuginevatele isikutele esitatud andmetele;
sertifikaadil olevat allkirja andjat tähistavad kordumatud andmed on nõuetekohaselt esitatud tuginevatele isikutele;
kui allkirja andmisel kasutati varjunime, on varjunime kasutus tuginevale isikule selgesti näidatud;
e-allkiri on antud kvalifitseeritud e-allkirja andmise vahendiga;
allkirjastatud andmete terviklust ei ole rikutud;
artiklis 26 sätestatud nõuded olid allkirja andmise ajal täidetud.
Kui kvalifitseeritud e-allkirjade valideerimine vastab lõikes 3 osutatud standarditele, kirjeldustele ja menetlustele, loetakse käesoleva lõike esimeses lõigus osutatud nõuded täidetuks.
Artikkel 32a
Nõuded kvalifitseeritud sertifikaatidel põhinevate täiustatud e-allkirjade valideerimisele
Kvalifitseeritud sertifikaadil põhineva täiustatud e-allkirja valideerimise protsess kinnitab kvalifitseeritud sertifikaadil põhineva täiustatud e-allkirja kehtivust, kui on täidetud järgmised tingimused:
allkirja toetav sertifikaat oli allkirja andmise ajal I lisa nõuetele vastav e-allkirja kvalifitseeritud sertifikaat;
kvalifitseeritud sertifikaadi väljastas kvalifitseeritud usaldusteenuse osutaja ja sertifikaat oli allkirja andmise ajal kehtiv;
allkirja valideerimise andmed vastavad tuginevale isikule esitatud andmetele;
sertifikaadil allkirja andjat tähistavad kordumatud andmed on nõuetekohaselt esitatud tuginevale isikule;
kui allkirja andmisel kasutati varjunime, on varjunime kasutus tuginevale isikule selgesti näidatud;
allkirjastatud andmete terviklust ei ole kahjustatud;
artiklis 26 sätestatud nõuded olid allkirja andmise ajal täidetud.
Artikkel 33
Kvalifitseeritud e-allkirjade kvalifitseeritud valideerimisteenus
Kvalifitseeritud e-allkirjade kvalifitseeritud valideerimisteenust võib osutada üksnes kvalifitseeritud usaldusteenuse osutaja, kes:
osutab valideerimisteenust kooskõlas artikli 32 lõikega 1 ja
võimaldab tuginevatel isikutel saada valideerimisprotsessi tulemuse automaatsel viisil, mis on usaldusväärne, tõhus ja millel on kvalifitseeritud valideerimisteenuse osutaja täiustatud e-allkiri või täiustatud e-tempel.
Artikkel 34
Kvalifitseeritud e-allkirjade kvalifitseeritud säilitamisteenus
5.
JAGU
E-tempel
Artikkel 35
E-templi õiguslik toime
▼M1 —————
Artikkel 36
Nõuded täiustatud e-templile
Täiustatud e-tempel vastab järgmistele nõuetele:
see on seotud ainuüksi templi andjaga;
selle abil on võimalik templi andjat tuvastada;
see antakse e-templi loomiseks vajalike andmete abil, mida templi andja saab kõrge salastatuse taseme juures kasutada e-templi loomiseks, ning
see on seotud seda puudutavate andmetega sellisel viisil, et kõik hilisemad andmete muudatused on tuvastatavad.
Artikkel 37
E-templid avalikus teenistuses
▼M1 —————
Artikkel 38
E-templi kvalifitseeritud sertifikaadid
Liikmesriigid võivad järgmistel tingimustel kehtestada siseriiklikud eeskirjad e-templi kvalifitseeritud sertifikaatide ajutiseks peatamiseks:
kui e-templi kvalifitseeritud sertifikaat on ajutiselt peatatud, on kõnealune sertifikaat peatamise ajavahemikul kehtetu;
peatamise ajavahemik on sertifikaatide andmebaasis selgesti märgitud ja sertifikaatide staatuse kohta teavet andva teenuse kaudu saab peatamise ajavahemikul teavet sertifikaatide staatuse kohta.
Artikkel 39
Kvalifitseeritud e-templi loomise vahendid
Artikkel 39a
Nõuded kvalifitseeritud e-templi kaugloomise vahendi haldamise kvalifitseeritud teenusele
Kvalifitseeritud e-templi kaugloomise vahendi haldamise kvalifitseeritud teenuse suhtes kohaldatakse mutatis mutandis artiklit 29a.
Artikkel 40
Kvalifitseeritud e-templite valideerimine ja säilitamine
Kvalifitseeritud e-templite valideerimise ja säilitamise suhtes kohaldatakse mutatis mutandis artikleid 32, 33 ja 34.
Artikkel 40a
Nõuded kvalifitseeritud sertifikaatidel põhinevate täiustatud e-templite valideerimisele
Kvalifitseeritud sertifikaatidel põhinevate täiustatud e-templite valideerimise suhtes kohaldatakse mutatis mutandis artiklit 32a.
6.
JAGU
E-ajatemplid
Artikkel 41
E-ajatempli õiguslik toime
▼M1 —————
Artikkel 42
Nõuded kvalifitseeritud e-ajatemplitele
Kvalifitseeritud e-ajatempel vastab järgmistele nõuetele:
see seob kuupäeva ja ajahetke andmetega sellisel viisil, mis mõistlikkuse piires välistab andmete tuvastamatu muutmise võimaluse;
see põhineb täpsel ajaallikal, mis on seotud koordineeritud maailmaajaga, ning
see on allkirjastatud kvalifitseeritud usaldusteenuse osutaja täiustatud e-allkirjaga või kinnitatud kvalifitseeritud usaldusteenuse osutaja täiustatud e-templiga või mõne muu samaväärse meetodi abil.
7.
JAGU
Registreeritud e-andmevahetusteenused
Artikkel 43
Registreeritud andmevahetusteenuse õiguslik toime
Artikkel 44
Nõuded kvalifitseeritud registreeritud e-andmevahetusteenustele
Kvalifitseeritud registreeritud e-andmevahetusteenused peavad vastama järgmistele nõuetele:
neid pakub üks või mitu kvalifitseeritud usaldusteenuse osutajat;
need tagavad saatja väga usaldusväärse identimise;
need tagavad adressaadi identimise enne andmete kättetoimetamist;
andmete saatmine ja kättesaamine on kaitstud kvalifitseeritud usaldusteenuse osutaja pakutava täiustatud e-allkirja või täiustatud e-templiga viisil, mis välistab andmete tuvastamatu muutmise võimaluse;
mis tahes muudatusi andmete saatmiseks või kättesaamiseks vajalikes andmetes näidatakse andmete saatjale ja adressaadile selgesti;
andmete saatmise, kättesaamise ja mis tahes muudatuste tegemise kuupäev ja ajahetk näidatakse kvalifitseeritud e-ajatempliga.
Kui andmeid saadetakse kahe või enama kvalifitseeritud usaldusteenuse osutaja vahel, kohaldatakse punktides a–f osutatud nõudeid kõikide kvalifitseeritud usaldusteenuse osutajate suhtes.
8.
JAGU
Veebisaidi autentimine
Artikkel 45
Nõuded veebisaidi autentimise kvalifitseeritud sertifikaatidele
Artikkel 45a
Ettevaatusabinõud küberturvalisuse tagamiseks
9. JAGU
elektrooniline tõend
Artikkel 45b
Elektroonilise tõendi õiguslik toime
Artikkel 45c
Elektrooniline tõend avalike teenuste puhul
Kui vastavalt riigisisesele õigusele nõutakse avaliku sektori asutuse osutatavale internetipõhisele teenusele juurdepääsuks elektroonilist tuvastamist e-identimise vahendi abil ja autentimist, ei asenda elektroonilises tõendis sisalduvad isikutuvastusandmed elektroonilist tuvastamist e-identimise vahendi abil ja autentimist elektroonilise tuvastamise eesmärgil, välja arvatud juhul, kui liikmesriik seda konkreetselt lubab. Sellisel juhul aktsepteeritakse ka teiste liikmesriikide kvalifitseeritud elektroonilisi tõendeid.
Artikkel 45d
Kvalifitseeritud elektroonilistele tõenditele esitatavad nõuded
Artikkel 45e
Atribuutide kontrollimine autentsete allikate alusel
Artikkel 45f
Autentse allika eest vastutava avaliku sektori asutuse või tema nimel välja antud elektroonilistele tõenditele esitatavad nõuded
Autentse allika eest vastutava avaliku sektori asutuse või tema nimel välja antud elektrooniline tõend peab vastama järgmistele nõuetele:
VII lisas sätestatud nõuded;
VII lisa punktis b osutatud väljaandjana tuvastatud ja artikli 3 punktis 46 osutatud avaliku sektori asutuse kvalifitseeritud e-allkirja või kvalifitseeritud e-templit toetav kvalifitseeritud sertifikaat sisaldab automaatseks töötlemiseks sobivas formaadis konkreetseid sertifitseeritud atribuute,
millest nähtub, et väljastav asutus on asutatud vastavalt liidu või riigisisesele õigusele asutusena, mis vastutab autentse allika eest, mille alusel elektrooniline tõend välja antakse, või asutusena, mis on määratud tegutsema selle asutuse nimel;
mis hõlmavad andmeid, mis üheselt mõistetavalt tähistavad alapunktis i osutatud autentset allikat, ning
milles määratakse kindlaks alapunktis i osutatud liidu või riigisisene õigus.
Artikkel 45g
Elektrooniliste tõendite väljastamine Euroopa digiidentiteedikukrutesse
Artikkel 45h
Täiendavad normid elektroonilise tõendi teenuste osutamiseks
10. JAGU
elektroonilise arhiveerimise teenused
Artikkel 45i
Elektroonilise arhiveerimise teenuse õiguslik toime
Artikkel 45j
Kvalifitseeritud elektroonilise arhiveerimise teenustele esitatavad nõuded
Kvalifitseeritud elektroonilise arhiveerimise teenused vastavad järgmistele nõuetele:
neid osutavad kvalifitseeritud usaldusteenuse osutajad;
nende puhul kasutatakse menetlusi ja tehnoloogiat, millega on võimalik tagada elektrooniliste andmete ja e-dokumentide säilivus ja loetavus ka pärast nende tehnoloogilise kehtivusaja lõppemist ja vähemalt kogu nende õigusliku või lepingujärgse säilitamisaja jooksul, säilitades samal ajal nende tervikluse ja nende päritolu täpsuse;
nende puhul on tagatud, et elektroonilisi andmeid ja e-dokumente säilitatakse selliselt, et need on kaitstud kaotsimineku ja muutmise eest, välja arvatud muudatused seoses andmekandja või andmete elektroonilise vorminguga;
need võimaldavad volitatud tuginevatel isikutel saada automaatselt teate, mis kinnitab, et kvalifitseeritud elektroonilisest arhiivist saadud elektrooniliste andmete ja e-dokumentide puhul kehtib andmetervikluse presumptsioon nende säilitamisaja algusest kuni otsingu hetkeni.
Esimese lõigu punktis d osutatud teade esitatakse usaldusväärsel ja tõhusal viisil ning see ning sellel on kvalifitseeritud elektroonilise arhiveerimise teenuse osutaja kvalifitseeritud e-allkiri või kvalifitseeritud e-tempel.
11. JAGU
elektroonilised arvestusraamatud
Artikkel 45k
Elektrooniliste arvestusraamatute õiguslik toime
Artikkel 45l
Kvalifitseeritud elektroonilistele arvestusraamatutele esitatavad nõuded
Kvalifitseeritud elektroonilised arvestusraamatud vastavad järgmistele nõuetele:
need on loonud ja neid haldab üks või mitu kvalifitseeritud usaldusteenuse osutajat;
neis määratakse kindlaks arvestusraamatusse kantud andmekirjete päritolu;
need tagavad arvestusraamatusse kantud andmekirjete kordumatu kronoloogilise järjestuse;
neisse kantakse andmeid sellisel viisil, et kõik hilisemad andmete muudatused on kohe tuvastatavad, tagades andmete tervikluse ajas.
IV
PEATÜKK
E-DOKUMENDID
Artikkel 46
E-dokumentide õiguslik toime
E-dokumenti ei tunnistata õiguslikult kehtetuks ega kohtumenetlustes tõenduskõlbmatuks ainuüksi seetõttu, et see on elektroonilisel kujul.
PEATÜKK IVa
JUHTIMISRAAMISTIK
Artikkel 46a
Euroopa digiidentiteedikukru raamistiku järelevalve
Esimese lõigu kohaselt määratud järelevalveasutustele antakse oma ülesannete tulemuslikuks, tõhusaks ja sõltumatuks täitmiseks vajalikud volitused ja piisavad vahendid.
Lõike 1 kohaselt määratud järelevalveasutuste roll on
teha järelevalvet määrava liikmesriigi territooriumil asutatud Euroopa digiidentiteedikukrute pakkujate üle ning tagada eelneva ja järgneva järelevalve käigus, et need pakkujad ja nende pakutavad Euroopa digiidentiteedikukrud vastaksid käesolevas määruses sätestatud nõuetele;
võtta vajaduse korral järgneva järelevalve käigus meetmeid määrava liikmesriigi territooriumil asutatud Euroopa digiidentiteedikukrute pakkujate suhtes, kui nad on saanud teavet, et pakkujad või nende pakutavad Euroopa digiidentiteedikukrud rikuvad käesolevat määrust.
Lõike 1 kohaselt määratud järelevalveasutustel on eelkõige järgmised ülesanded:
teha koostööd teiste järelevalveasutustega ja anda neile abi kooskõlas artiklitega 46c ja 46e;
nõuda teavet, mida on vaja käesoleva määruse täitmise üle seire tegemiseks;
teavitada direktiivi (EL) 2022/2555 artikli 8 lõike 1 alusel määratud või asutatud asjaomaseid pädevaid asutusi igast olulisest turvarikkumisest või tervikluse kaost, millest nad oma ülesannete täitmisel teada saavad, ning teavitada teisi liikmesriike puudutava olulise turvarikkumise või tervikluse kao korral asjaomase liikmesriigi direktiivi (EL) 2022/2555 artikli 8 lõike 3 alusel määratud või asutatud ühtset kontaktpunkti ja teistes asjaomastes liikmesriikides käesoleva määruse artikli 46c lõike 1 alusel määratud ühtseid kontaktpunkte, samuti teavitada üldsust või nõuda, et Euroopa digiidentiteedikukru pakkujad seda teeks, kui nad on teinud kindlaks, et turvarikkumise või tervikluse kao avalikustamine oleks üldsuse huvides;
teha kohapealseid kontrolle ja kaugjärelevalvet;
nõuda Euroopa digiidentiteedikukrute pakkujatelt käesolevas määruses sätestatud nõuete täitmata jätmise heastamist;
peatada või tühistada tuginevate isikute registreerimine ja kaasamine artikli 5b lõikes 7 osutatud mehhanismi Euroopa digiidentiteedikukru ebaseadusliku või petturliku kasutamise korral;
teha koostööd määruse (EL) 2016/679 artikli 51 kohaselt asutatud pädevate järelevalveasutustega, eelkõige teavitades neid põhjendamatu viivituseta sellest, kui isikuandmete kaitse reegleid näib olevat rikutud, ja turvarikkumistest, mis näivad kujutavat endast isikuandmetega seotud rikkumisi.
Artikkel 46b
Usaldusteenuste järelevalve
Esimese lõigu kohaselt määratud järelevalveasutustele antakse oma ülesannete täitmiseks vajalikud volitused ja piisavad vahendid.
Lõike 1 kohaselt määratud järelevalveasutuste roll on
teha järelevalvet määrava liikmesriigi territooriumil asutatud kvalifitseeritud usaldusteenuse osutajate üle ning tagada eelneva ja järgneva järelevalve käigus, et kvalifitseeritud usaldusteenuse osutajad ja nende osutatavad kvalifitseeritud usaldusteenused vastaksid käesolevas määruses sätestatud nõuetele;
võtta järgneva järelevalve käigus vajaduse korral meetmeid määrava liikmesriigi territooriumil asutatud kvalifitseerimata usaldusteenuse osutajate suhtes, kui järelevalveasutusele teatatakse, et kvalifitseerimata usaldusteenuse osutajad või nende osutatavad usaldusteenused ei vasta väidetavalt käesolevas määruses sätestatud nõuetele.
Lõike 1 kohaselt määratud järelevalveasutusel on eelkõige järgmised ülesanded:
teavitada direktiivi (EL) 2022/2555 artikli 8 lõike 1 alusel määratud või asutatud asjaomaseid pädevaid asutusi igast olulisest turvarikkumisest või tervikluse kaost, millest ta oma ülesannete täitmisel teada saab, ning teavitada teisi liikmesriike puudutava olulise turvarikkumise või tervikluse kao korral asjaomase liikmesriigi direktiivi (EL) 2022/2555 artikli 8 lõike 3 alusel määratud või asutatud ühtset kontaktpunkti ja teistes asjaomastes liikmesriikides käesoleva määruse artikli 46c lõike 1 alusel määratud ühtseid kontaktpunkte, samuti teavitada üldsust või nõuda, et usaldusteenuse osutaja seda teeks, kui järelevalveasutus on teinud kindlaks, et turvarikkumise või tervikluse kao avalikustamine oleks üldsuse huvides;
teha koostööd teiste järelevalveasutustega ja anda neile abi kooskõlas artiklitega 46c ja 46e;
analüüsida artikli 20 lõikes 1 ja artikli 21 lõikes 1 osutatud vastavushindamisaruandeid;
anda komisjonile aru oma põhitegevusest kooskõlas käesoleva artikli lõikega 6;
korraldada auditeid või paluda vastavushindamisasutusel teha kvalifitseeritud usaldusteenuse osutajate vastavushindamine kooskõlas artikli 20 lõikega 2;
teha koostööd määruse (EL) 2016/679 artikli 51 kohaselt asutatud pädevate järelevalveasutustega, eelkõige teavitades neid põhjendamatu viivituseta sellest, kui isikuandmete kaitse reegleid näib olevat rikutud, ja turvarikkumistest, mis näivad kujutavat endast isikuandmetega seotud rikkumisi.
anda usaldusteenuse osutajatele ja nende osutatavatele teenustele kvalifitseeritud staatus ning võtta see staatus ära kooskõlas artiklitega 20 ja 21;
teavitada artikli 22 lõikes 3 osutatud riigisiseste usaldusnimekirjade eest vastutavat asutust oma otsustest anda kvalifitseeritud staatus või võtta see ära, välja arvatud juhul, kui kõnealune asutus on samuti lõike 1 kohaselt määratud järelevalveasutus;
kontrollida lõpetamiskava käsitlevate sätete olemasolu ja nõuetekohast kohaldamist, kui kvalifitseeritud usaldusteenuse osutaja lõpetab oma tegevuse, sealhulgas seda, kuidas teave hoitakse kättesaadavana kooskõlas artikli 24 lõike 2 punktiga h;
nõuda usaldusteenuse osutajatelt käesolevas määruses sätestatud nõuete täitmata jätmise heastamist;
uurida veebibrauserite pakkujate poolt artikli 45a kohaselt esitatud väiteid ja võtta vajaduse korral meetmeid.
Artikkel 46c
Ühtsed kontaktpunktid
Artikkel 46d
Vastastikune abi
Vastastikune abi hõlmab vähemalt järgmist:
ühes liikmesriigis järelevalve- ja täitemeetmeid kohaldav järelevalveasutus teavitab teise asjaomase liikmesriigi järelevalveasutust ja konsulteerib temaga;
järelevalveasutus võib taotleda teise liikmesriigi järelevalveasutuselt järelevalve- või täitemeetmete võtmist, sealhulgas näiteks taotlused artiklites 20 ja 21 osutatud vastavushindamisaruannetega seotud kontrollide tegemiseks seoses usaldusteenuste osutamisega;
kui see on asjakohane, võivad järelevalveasutused viia läbi ühiseid uurimisi teiste liikmesriikide järelevalveasutustega.
Asjaomased liikmesriigid lepivad esimese lõigus osutatud ühiste toimingute korras ja protseduurides kokku ning kehtestavad need oma riigisisese õiguse kohaselt.
Abitaotluse saanud järelevalveasutus võib taotluse täitmisest keelduda mis tahes järgmisel alusel:
taotletav abi ei ole proportsionaalne järelevalveasutuse järelevalvetegevusega vastavalt artiklitele 46a ja 46b;
järelevalveasutus ei ole pädev taotletavat abi andma;
taotletava abi andmine oleks vastuolus käesoleva määrusega.
Artikkel 46e
Euroopa digiidentiteedi koostöörühm
Koostöörühmal on järgmised ülesanded:
pidada komisjoniga nõu ja teha temaga koostööd uute poliitiliste algatuste osas digiidentiteedikukrute, e-identimise vahendite ja usaldusteenuste valdkonnas;
nõustada kohasel viisil komisjoni käesoleva määruse kohaselt vastuvõetavate rakendusaktide ja delegeeritud õigusaktide eelnõude ettevalmistamise varajases etapis;
selleks et toetada järelevalveasutusi käesoleva määruse sätete rakendamisel,
vahetada parimaid tavasid ja teavet käesoleva määruse sätete rakendamise kohta;
hinnata asjakohaseid arengusuundi digiidentiteedikukrute, e-identimise ja usaldusteenuste sektoris;
korraldada ühiskoosolekuid asjaomaste huvitatud pooltega kogu liidust, et arutada koostöörühma tegevust ja koguda teavet esilekerkivate poliitikaprobleemide kohta;
vahetada ENISA toetusel arvamusi, parimaid tavasid ja teavet Euroopa digiidentiteedikukrute, e-identimise süsteemide ja usaldusteenuste asjakohaste küberturvalisuse aspektide kohta;
vahetada parimaid tavasid seoses artiklites 5e ja 10 osutatud turvarikkumistest teatamise ja ühismeetmete alase poliitika väljatöötamise ja rakendamisega;
korraldada ühiskoosolekuid direktiivi (EL) 2022/2555 artikli 14 lõike 1 kohaselt loodud võrgu- ja infoturbe koostöörühmaga, et vahetada asjakohast teavet usaldusteenuste ja e-identimisega seotud küberohtude, intsidentide, nõrkuste, teadlikkuse suurendamise algatuste, koolituste, õppuste ja oskuste, suutlikkuse suurendamise, standardite ja tehniliste kirjelduste alase suutlikkuse ning standardite ja tehniliste kirjelduste kohta;
arutada järelevalveasutuse taotlusel konkreetseid vastastikuse abi taotlusi, nagu on osutatud artiklis 46d;
hõlbustada teabevahetust järelevalveasutuste vahel, andes suuniseid artiklis 46d osutatud vastastikuse abi korralduslike aspektide ja menetluste kohta;
korraldada selliste e-identimise süsteemide vastastikuseid hindamisi, millest tuleb käesoleva määruse kohaselt teavitada.
V
PEATÜKK
DELEGEERITUD ÕIGUSAKTID JA RAKENDUSAKTID
Artikkel 47
Delegeeritud volituste rakendamine
Artikkel 48
Komiteemenetlus
VI
PEATÜKK
LÕPPSÄTTED
Artikkel 48a
Aruandlusnõuded
Lõike 1 kohaselt kogutud statistika hõlmab järgmist:
nende füüsiliste ja juriidiliste isikute arv, kellel on kehtiv Euroopa digiidentiteedikukkur;
nende teenuste liik ja arv, mille puhul aktsepteeritakse Euroopa digiidentiteedikukru kasutamist;
tuginevate isikute ja kvalifitseeritud usaldusteenustega seotud kasutajapoolsete kaebuste ja tarbijakaitse- või andmekaitsealaste intsidentide arv;
koondaruanne, mis sisaldab andmeid Euroopa digiidentiteedikukru kasutamist takistavate intsidentide kohta;
kokkuvõttev teave Euroopa digiidentiteedikukrute või kvalifitseeritud usaldusteenuste oluliste turvaintsidentide, andmetega seotud rikkumiste ja mõjutatud kasutajate kohta.
Artikkel 49
Läbivaatamine
Artikkel 50
Kehtetuks tunnistamine
Artikkel 51
Üleminekumeetmed
Artikkel 52
Jõustumine
Käesolevat määrust kohaldatakse alates 1. juulist 2016, välja arvatud järgmised sätted:
artikli 8 lõiget 3, artikli 9 lõiget 5, artikli 12 lõikeid 2–9, artikli 17 lõiget 8, artikli 19 lõiget 4, artikli 20 lõiget 4, artikli 21 lõiget 4, artikli 22 lõiget 5, artikli 23 lõiget 3, artikli 24 lõiget 5, artikli 27 lõikeid 4 ja 5, artikli 28 lõiget 6, artikli 29 lõiget 2, artikli 30 lõikeid 3 ja 4, artikli 31 lõiget 3, artikli 32 lõiget 3, artikli 33 lõiget 2, artikli 34 lõiget 2, artikli 37 lõikeid 4 ja 5, artikli 38 lõiget 6, artikli 42 lõiget 2, artikli 44 lõiget 2, artikli 45 lõiget 2 ning artikleid 47 ja 48 kohaldatakse alates 17. septembrist 2014;
artiklit 7, artikli 8 lõikeid 1 ja 2, artikleid 9, 10 ja 11 ning artikli 12 lõiget 1 kohaldatakse alates artikli 8 lõikes 3 ja artikli 12 lõikes 8 osutatud rakendusaktide kohaldamise alguskuupäevast;
artiklit 6 kohaldatakse kolm aastat alates artikli 8 lõikes 3 ja artikli 12 lõikes 8 osutatud rakendusaktide kohaldamise alguskuupäevast.
Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.
I LISA
NÕUDED E-ALLKIRJA KVALIFITSEERITUD SERTIFIKAATIDELE
E-allkirja kvalifitseeritud sertifikaadid peavad sisaldama järgmist:
vähemalt automaatseks töötlemiseks sobivas formaadis märge selle kohta, et sertifikaat on väljastatud e-allkirja kvalifitseeritud sertifikaadina;
kvalifitseeritud sertifikaate väljastava kvalifitseeritud usaldusteenuse osutajat üheselt mõistetavalt tähistavad andmed, mis sisaldavad vähemalt selle liikmesriigi nime, kus kõnealune teenuseosutaja asub, ning
vähemalt allkirja andja nimi või varjunimi; kui kasutatakse varjunime, on varjunime kasutus selgesti näidatud;
e-allkirja valideerimisandmed, mis vastavad e-allkirja andmiseks vajalikele andmetele;
üksikasjalikud andmed sertifikaadi kehtivusaja alguse ja lõpu kohta;
kvalifitseeritud usaldusteenuse osutajale omistatud ainukordne sertifikaadi tunnuskood;
väljastava kvalifitseeritud usaldusteenuse osutaja täiustatud e-allkiri või täiustatud e-tempel;
koht, kus punktis g osutatud täiustatud e-allkirja või täiustatud e-templit kinnitav sertifikaat on tasuta kättesaadav;
teave kvalifitseeritud sertifikaadi kehtivuse kohta või selle kohta, kus asuvad teenused, mida saab kasutada kvalifitseeritud sertifikaadi kehtivuse kohta teabe saamiseks;
kui e-allkirja valideerimisandmetega seotud e-allkirja andmiseks vajalikud andmed asuvad kvalifitseeritud e-allkirja andmise vahendis, siis vähemalt automaatseks töötlemiseks sobivas formaadis asjakohane viide kõnealusele kohale.
II LISA
NÕUDED KVALIFITSEERITUD E-ALLKIRJA ANDMISE VAHENDITELE
1. Kvalifitseeritud e-allkirja andmise vahendid tagavad asjakohaste tehniliste ja menetluslike vahendite abil vähemalt selle, et:
e-allkirja andmiseks kasutatavate e-allkirja andmiseks vajalike andmete konfidentsiaalsus on piisavalt tagatud;
e-allkirja andmiseks kasutatavad e-allkirja andmiseks vajalikud andmed võivad reaalselt esineda ainult ühe korra;
on piisavalt kindel, et e-allkirja andmiseks kasutatavaid e-allkirja andmiseks vajalikke andmeid ei saa tuletada ja et e-allkiri on piisavalt kaitstud praegu kättesaadava tehnoloogia abil võltsimise vastu;
õiguspärane allkirja andja saab e-allkirja andmiseks kasutatavaid e-allkirja andmiseks vajalikke andmeid piisavalt kaitsta, et teised isikud ei saaks neid kasutada.
2. Kvalifitseeritud e-allkirja andmise vahendid ei tohi muuta allkirjastatavaid andmeid ega takistada selliste andmete esitamist allkirja andjale enne allkirja andmist.
▼M1 —————
III LISA
NÕUDED E-TEMPLITE KVALIFITSEERITUD SERTIFIKAATIDELE
E-templite kvalifitseeritud sertifikaadid peavad sisaldama järgmist:
vähemalt automaatseks töötlemiseks sobivas formaadis märge selle kohta, et sertifikaat on väljastatud e-templi kvalifitseeritud sertifikaadina;
kvalifitseeritud sertifikaate väljastava kvalifitseeritud usaldusteenuse osutajat üheselt mõistetavalt tähistavad andmed, mis sisaldavad vähemalt selle liikmesriigi nime, kus teenuseosutaja asub, ning
vähemalt e-templi andja nimi ja kui see on asjakohane, siis registrinumber, nagu see on esitatud ametlikes dokumentides;
e-templi valideerimisandmed, mis vastavad e-templi loomiseks vajalikele andmetele;
üksikasjalikud andmed sertifikaadi kehtivusaja alguse ja lõpu kohta;
kvalifitseeritud usaldusteenuse osutajale omistatud ainukordne sertifikaadi tunnuskood;
väljastava kvalifitseeritud usaldusteenuse osutaja täiustatud e-allkiri või täiustatud e-tempel;
koht, kus punktis g osutatud täiustatud e-allkirja või täiustatud e-templit kinnitav sertifikaat on tasuta kättesaadav;
teave kvalifitseeritud sertifikaadi kehtivuse kohta või selle kohta, kus asuvad teenused, mida saab kasutada kvalifitseeritud sertifikaadi kehtivuse kohta teabe saamiseks;
kui e-templi valideerimisandmetega seotud e-templi loomiseks vajalikud andmed asuvad kvalifitseeritud e-templi loomise vahendis, siis vähemalt automaatseks töötlemiseks sobivas formaadis asjakohane viide kõnealusele kohale.
IV LISA
NÕUDED VEEBISAIDI AUTENTIMISE KVALIFITSEERITUD SERTIFIKAATIDELE
Kvalifitseeritud sertifikaadid veebisaidi autentimiseks peavad sisaldama järgmist:
vähemalt automaatseks töötlemiseks sobivas formaadis märge selle kohta, et sertifikaat on väljastatud veebisaidi autentimise kvalifitseeritud sertifikaadina;
kvalifitseeritud sertifikaate väljastava kvalifitseeritud usaldusteenuse osutajat üheselt mõistetavalt tähistavad andmed, mis sisaldavad vähemalt selle liikmesriigi nime, kus teenuseosutaja asub, ning
kui tegemist on füüsilise isikuga: vähemalt selle isiku nimi või varjunimi, kellele sertifikaat on väljastatud; kui kasutatakse varjunime, on varjunime kasutus selgesti näidatud;
kui tegemist on juriidilise isikuga: seda juriidilist isikut, kellele sertifikaat on väljastatud, üheselt mõistetavalt tähistavad andmed, mis sisaldavad vähemalt selle juriidilise isiku nime, kellele sertifikaat on väljastatud, ja olemasolu korral registrinumbrit, nagu see on esitatud ametlikes dokumentides;
selle füüsilise või juriidilise isiku aadressi elemendid, kellele sertifikaat on väljastatud, sealhulgas vähemalt linn ja riik; kui see on asjakohane, siis sellisel kujul, nagu need on esitatud ametlikes dokumentides;
selle domeeni nimi/nende domeenide nimed, mida haldab füüsiline või juriidiline isik, kellele sertifikaat on väljastatud;
üksikasjalikud andmed sertifikaadi kehtivusaja alguse ja lõpu kohta;
kvalifitseeritud usaldusteenuse osutajale omistatud ainukordne sertifikaadi tunnuskood;
väljastava kvalifitseeritud usaldusteenuse osutaja täiustatud e-allkiri või täiustatud e-tempel;
koht, kus punktis h osutatud täiustatud e-allkirja või täiustatud e-templit kinnitav sertifikaat on tasuta kättesaadav;
teave kvalifitseeritud sertifikaadi kehtivuse kohta või selle kohta, kus asuvad teenused, mida saab kasutada kvalifitseeritud sertifikaadi kehtivuse kohta teabe saamiseks.
V LISA
KVALIFITSEERITUD ELEKTROONILISTELE TÕENDITELE ESITATAVAD NÕUDED
Kvalifitseeritud elektroonilised tõendid sisaldavad järgmist:
vähemalt automaatseks töötlemiseks sobivas formaadis märge selle kohta, et tõend on väljastatud kvalifitseeritud elektroonilise tõendina;
andmed, mis üheselt mõistetavalt tähistavad kvalifitseeritud elektroonilisi tõendeid väljastavat kvalifitseeritud usaldusteenuse osutajat, sealhulgas vähemalt selle liikmesriigi nimi, kus on teenuseosutaja asukoht, ning
juriidilise isiku puhul nimi ja olemasolu korral registrinumber, nagu see on esitatud ametlikes dokumentides,
füüsilise isiku puhul isiku nimi;
andmed, mis üheselt mõistetavalt tähistavad üksust, kellele tõendatud atribuudid viitavad; kui kasutatakse varjunime, on varjunime kasutus selgesti näidatud;
tõendatud atribuut või atribuudid, sealhulgas olemasolu korral teave, mida on vaja, et teha kindlaks nende atribuutide kohaldamisala;
üksikasjalikud andmed tõendi kehtivusaja alguse ja lõpu kohta;
tõendi identifitseerimiskood, mis peab olema iga kvalifitseeritud usaldusteenuse osutaja puhul kordumatu, ja olemasolu korral märge tõendite süsteemi kohta, kuhu tõend kuulub;
väljastava kvalifitseeritud usaldusteenuse osutaja kvalifitseeritud e-allkiri või kvalifitseeritud e-tempel;
koht, kus punktis g osutatud kvalifitseeritud e-allkirja või kvalifitseeritud e-templit toetav sertifikaat on tasuta kättesaadav;
teave kvalifitseeritud tõendi kehtivuse kohta või selle kohta, kus asuvad teenused, mida saab kasutada kvalifitseeritud tõendi kehtivuse kohta teabe saamiseks.
VI LISA
ATRIBUUTIDE MIINIMUMLOETELU
Vastavalt artiklile 45e tagavad liikmesriigid, et võetakse meetmeid, et võimaldada elektrooniliste tõendite kvalifitseeritud usaldusteenuse osutajatel kontrollida kasutaja taotlusel elektrooniliste vahendite abil järgmiste atribuutide autentsust asjaomasest autentsest allikast riiklikul tasandil või määratud vahendajate kaudu, kes on liidu või riigisisese õiguse kohaselt riiklikul tasandil tunnustatud ja juhul, kui need atribuudid põhinevad avaliku sektori autentsetel allikatel:
aadress;
vanus;
sugu;
perekonnaseis;
perekonna koosseis;
rahvus või kodakondsus;
haridusalane kvalifikatsioon, kraadid ja diplomid;
kutsekvalifikatsioon, kutsenimetused ja litsentsid;
füüsiliste või juriidiliste isikute esindamise volitused;
avalikud load ja litsentsid;
kui tegemist on juriidilise isikuga: finants- ja äriühinguandmed.
VII LISA
AUTENTSE ALLIKA EEST VASTUTAVA AVALIKU SEKTORI ASUTUSE VÕI TEMA NIMEL VÄLJA ANTUD ELEKTROONILISTELE TÕENDITELE ESITATAVAD NÕUDED
Autentse allika eest vastutava avaliku sektori asutuse või tema nimel välja antud elektrooniline tõend hõlmab järgmist:
vähemalt automaatseks töötlemiseks sobivas formaadis märge selle kohta, et tõend on väljastatud autentse allika eest vastutava avaliku sektori asutuse või tema nimel välja antud elektroonilise tõendina;
andmed, mis üheselt mõistetavalt tähistavad elektroonilisi tõendeid väljastavat avaliku sektori asutust ning sisaldavad vähemalt selle liikmesriigi nime, kõnealuse avaliku sektori asutuse asukohta, asutuse nime ja olemasolu korral registrinumbrit, nagu see on esitatud ametlikes dokumentides;
andmed, mis üheselt mõistetavalt tähistavad üksust, kellele tõendatud atribuudid viitavad; kui kasutatakse varjunime, on varjunime kasutus selgesti näidatud;
tõendatud atribuut või atribuudid, sealhulgas olemasolu korral teave, mida on vaja, et teha kindlaks nende atribuutide kohaldamisala;
üksikasjalikud andmed tõendi kehtivusaja alguse ja lõpu kohta;
tõendi identifitseerimiskood, mis peab olema iga väljastava avaliku sektori asutuse puhul kordumatu, ja olemasolu korral märge tõendite süsteemi kohta, kuhu tõend kuulub;
väljastava asutuse kvalifitseeritud e-allkiri või kvalifitseeritud e-tempel;
koht, kus punktis g osutatud kvalifitseeritud e-allkirja või kvalifitseeritud e-templit toetav sertifikaat on tasuta kättesaadav;
teave tõendi kehtivuse kohta või selle kohta, kus asuvad teenused, mida saab kasutada tõendi kehtivuse kohta teabe saamiseks.
( 1 ) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 4.5.2016, lk 1).
( 2 ) Euroopa Parlamendi ja nõukogu 26. veebruari 2014. aasta direktiiv 2014/24/EL, milles käsitletakse riigihankeid ja millega tunnistatakse kehtetuks direktiiv 2004/18/EÜ (ELT L 94, 28.3.2014, lk 65).
( 3 ) Euroopa Parlamendi ja nõukogu 17. aprilli 2019. aasta direktiiv (EL) 2019/882 toodete ja teenuste ligipääsetavusnõuete kohta (ELT L 151, 7.6.2019, lk 70).
( 4 ) Euroopa Parlamendi ja nõukogu 17. aprilli 2019. aasta määrus (EL) 2019/881, mis käsitleb ENISAt (Euroopa Liidu Küberturvalisuse Amet) ning info- ja kommunikatsioonitehnoloogia küberturvalisuse sertifitseerimist ja millega tunnistatakse kehtetuks määrus (EL) nr 526/2013 (küberturvalisuse määrus) (ELT L 151, 7.6.2019, lk 15).
( 5 ) Komisjoni 6. mai 2003. aasta soovitus 2003/361/EÜ mikro-, väikeste ja keskmise suurusega ettevõtjate määratluse kohta (ELT L 124, 20.5.2003, lk 36).
( 6 ) Euroopa Parlamendi ja nõukogu 19. oktoobri 2022. aasta määrus (EL) 2022/2065, mis käsitleb digiteenuste ühtset turgu ja millega muudetakse direktiivi 2000/31/EÜ (digiteenuste määrus) (ELT L 277, 27.10.2022, lk 1).
( 7 ) Euroopa Parlamendi ja nõukogu 14. septembri 2022. aasta määrus (EL) 2022/1925, mis käsitleb konkurentsile avatud ja õiglaseid turge digisektoris ning millega muudetakse direktiive (EL) 2019/1937 ja (EL) 2020/1828 (digiturgude määrus) (ELT L 265, 12.10.2022, lk 1).
( 8 ) Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta direktiiv (EL) 2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv) (ELT L 333, 27.12.2022, lk 80).