Sigurnije transakcije na internetu

SAŽETAK DOKUMENTA:

Uredba (EU) br. 910/2014: o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu

SAŽETAK

ČEMU SLUŽI OVA UREDBA?

• Uredba o elektroničkoj identifikaciji i uslugama povjerenja (eIDAS) stvara novi sustav za sigurne elektroničke interakcije diljem EU-a među poduzećima, građanima i tijelima javne vlasti.
• Njome se nastoji povećati povjerenje u elektroničke transakcije diljem EU-a kako bi se povećala djelotvornost javnih i privatnih online usluga i elektroničke trgovine. Ona se odnosi na:
  • sustave elektroničke identifikacije (eID)* koje su zemlje EU-a prijavile Europskoj komisiji;
  • pružatelje usluga povjerenja sa sjedištem u EU-u.
• Njome se uklanjaju postojeće prepreke korištenju eID-om u EU-u. Primjerice, sada bi poduzeće iz Portugala moglo izravno sudjelovati na natječaju za pružanje javne usluge u Švedskoj, a financijskom potporom EU-a može se u potpunosti upravljati online.

KLJUČNE TOČKE

Elektronička identifikacija

• eID izdan u jednoj zemlji EU-a moraju priznati sve druge zemlje. To vrijedi samo ako eID ispunjava zahtjeve utvrđene u Uredbi i ako je prijavljen Komisiji i objavljen na popisu. Uzajamno priznavanje eID-a bit će obvezno od jeseni 28. rujna 2018. godine te će olakšati sigurne elektroničke transakcije u cijelom EU-u.
• eID sustav mora odrediti jednu od tri razine osiguranja (niska, značajna, visoka) za oblik elektroničke identifikacije koji je izdan u okviru tog sustava. Uzajamno priznavanje obvezno je samo kada odgovarajuće tijelo javnog sektora primjenjuje „značajnu” ili „visoku” razinu za pristupanje toj usluzi online.

Prijavljivanje

• Pri prijavljivanju eID sustava Komisiji, zemlje EU-a moraju dostaviti informacije o aspektima poput:
  • razina osiguranja i izdavateljeID-a u sklopu tog sustava;
  • primjenjivih sustava nadzora i odgovornosti;
  • tijela koje upravlja registracijom jedinstvenih osobnih identifikacijskih podataka.
• U slučaju povrede sigurnosti eID sustava ili autentifikacije, zemlja EU-a koja provodi prijavljivanje mora:
  • brzo suspendirati/opozvati tu prekograničnu autentifikaciju ili ugrožene dijelove plana; i
  • obavijestiti ostale zemlje EU-a i Komisiju.

Odgovornost

• U svakoj transakciji između zemalja EU-a u kojoj je došlo do nepoštivanja obveza navedenih u Uredbi, navedene strane mogu se smatrati odgovornom za bilo kakvu štetu koja je namjerno ili nepažnjom prouzročena svakoj fizičkoj ili pravnoj osobi:
  • zemlja EU-a koja provodi prijavljivanje;
  • strana koja izdaje eID;
  • strana koja provodi postupak autentifikacije.

Suradnja i operabilnost među zemljama EU-a

• Prijavljeni nacionalni eID sustavi moraju biti interoperabilni. Okvir za interoperabilnost mora biti tehnološki neutralan te ne favorizirati bilo koje posebno nacionalno tehničko rješenje za eID.

Usluge povjerenja

• Uredbom se usluge povjerenja definiraju kao plaćene usluge koje uključuju:
  • izradu, verifikaciju i validaciju elektroničkih potpisa; elektroničkih pečata; ili elektroničkih vremenskih žigova; ili usluge elektroničke preporučene dostave i certifikata koji se odnose na te usluge; ili
  • izradu, verifikaciju i validaciju certifikata za autentifikaciju mrežnih stranica; ili
  • čuvanja elektroničkih potpisa, pečata ili certifikata koji se odnose na te usluge.
• Pružatelji usluga povjerenja sa sjedištem u EU-u koji se smatraju „kvalificiranima” ako ispunjavaju zahtjeve iz Uredbe koji se odnose na njih. Oni su zakonski ovlašteni pružati kvalificiraneusluge povjerenja (npr. kvalificirane elektroničke potpise, pečate ili certifikate) u svim zemljama EU-a. Usluge povjerenja koje nude pružatelji usluga iz zemalja koje nisu članice EU-a mogu se smatrati pravno jednakima kvalificiranim uslugama, ali tek nakon sklapanja sporazuma između EU-a i treće zemlje ili međunarodne organizacije.

Nadzor

• Zemlje EU-a moraju izabrati jedno ili više tijela za aktivnosti nadzora predviđene ovom uredbom. Ta tijela moraju surađivati s tijelima za zaštitu podataka kada je to potrebno.
• Svi pružatelji usluga povjerenja podliježu nadzoru te obvezi upravljanja rizicima i obvezi prijave povrede sigurnosti.
• Nekvalificirani pružatelji usluga povjerenja podliježu neobvezujućem obliku nadzora, tj. nadzorno tijelo reagira samo ako se sumnja na ozbiljan propust pružatelja usluge.
• Kvalificirani pružatelji usluga povjerenja sa sjedištem u EU-u podliježu strogom nadzoru. To uključuje prethodno odobrenje nadzornih tijela te provođenje revizije najmanje jednom svake dvije godine od strane organizacije koja procjenjuje udovoljavaju li zahtjevima iz Uredbe.
• Novim EU-ovim znakom pouzdanosti koji se dobrovoljno koristi identificirat će se kvalificirane usluge povjerenja koje pružaju relevantni pružatelji usluga.

Europska komisija je tijekom 2015. donijela niz akata kojima se utvrđuju:

• postupovni aranžmani za suradnju među zemljama EU-a o elektroničkoj identifikaciji
• specifikacije u vezi s oblikom EU znaka pouzdanosti za kvalificirane usluge povjerenja;
• tehnički i operativni zahtjevi okvira za interoperabilnost;
• minimalne tehničke specifikacije i postupke za razine sigurnosti za sredstva eID-a;
• tehničke specifikacije i formati u vezi s pouzdanim popisima;
• specifikacije u vezi s formatima naprednih elektroničkih potpisa i naprednih pečata koja trebaju priznati tijela javnog sektora; i
• okolnosti, oblike i postupke prijava sustava eID-a.

OTKAD SE UREDBA PRIMJENJUJE?

Primjenjuje se od 17. rujna 2014. godine.

KLJUČNI POJAM

* elektronička identifikacija (eID): opipljivi ili neopipljivi oblici identifikacije koji sadrže osobne identifikacijske podatke kakvi se koriste za autentifikaciju online usluge.

DOKUMENT

Uredba (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ (SL L 257, 28.8.2014., str. 73.–114.)

Sukcesivne izmjene i dopune Uredbe (EU) br. 910/2014 uključene su u izvorni dokument. Ovaj pročišćeni tekst ima samo dokumentarnu vrijednost.

Posljednje ažuriranje 17.03.2016