28.8.2014   

HR

Službeni list Europske unije

L 257/73

(1)

Izgradnja povjerenja u online okruženje ključna je za gospodarski i socijalni razvoj. Zbog nedostatka povjerenja, posebno zbog osjećaja pravne nesigurnosti, potrošači, poduzeća i tijela javne vlasti oklijevaju provoditi transakcije elektroničkim putem te koristiti odnosno uvoditi nove usluge.

(2)

Ovom Uredbom nastoji se povećati povjerenje u elektroničke transakcije na unutarnjem tržištu pružanjem zajedničkog temelja za sigurnu elektroničku interakciju između građana, poduzećâ i tijela javne vlasti, povećavajući time djelotvornost javnih i privatnih online usluga, elektroničkog poslovanja i elektroničke trgovine u Uniji.

(3)

Direktivom 1999/93/EZ Europskog parlamenta i Vijeća (3) uređeni su elektronički potpisi, no nije utvrđen sveobuhvatan prekogranični i međusektorski okvir za sigurne i vjerodostojne elektroničke transakcije te elektroničke transakcije koje bi bile jednostavne za korištenje. Ovom se Uredbom unapređuje i širi pravna stečevina navedene Direktive.

(4)

U Komunikaciji Komisije od 26. kolovoza 2010. pod nazivom „Digitalni program za Europu” rascjepkanost digitalnog tržišta, nedostatak interoperabilnosti i povećanje mrežnog kriminala prepoznati su kao glavne prepreke uspješnom ciklusu digitalnog gospodarstva. U svome Izvješću EU-a o građanstvu iz 2010. pod nazivom „Ukidanje prepreka za prava građana EU-a” Komisija je dodatno istaknula nužnost rješavanja glavnih poteškoća koje građane Unije priječe u korištenju pogodnostima digitalnog jedinstvenog tržišta i prekograničnih digitalnih usluga.

(5)

U svojim zaključcima od 4. veljače 2011. i 23. listopada 2011. Europsko vijeće pozvalo je Komisiju da do 2015. uspostavi jedinstveno digitalno tržište radi brzog napretka u ključnim područjima digitalnog gospodarstva i promicanja potpuno integriranog jedinstvenog digitalnog tržišta olakšavanjem prekogranične uporabe online usluga, uz pridavanje posebne pozornosti olakšavanju sigurne elektroničke identifikacije i autentikacije.

(6)

Vijeće je u svojim zaključcima od 27. svibnja 2011. pozvalo Komisiju da doprinese jedinstvenom digitalnom tržištu stvaranjem odgovarajućih uvjeta za uzajamno priznavanje ključnih prekograničnih čimbenika, kao što su elektronička identifikacija, elektronički dokumenti, elektronički potpisi i usluge elektroničke dostave, te uvjeta za interoperabilne usluge e-uprave širom Europske unije.

(7)

Europski parlament je u svojoj rezoluciji od 21. rujna 2010. o dovršetku formiranja unutarnjeg tržišta za elektroničku trgovinu (4) naglasio važnost sigurnosti elektroničkih usluga, naročito elektroničkih potpisa, i potrebu za stvaranjem infrastrukture javnog ključa (Public Key Infrastructure – PKI) na paneuropskoj razini, te je pozvao Komisiju da uspostavi europski portal tijelâ za validaciju radi osiguravanja prekogranične interoperabilnosti elektroničkih potpisa i povećavanja sigurnosti transakcija koje se obavljaju putem interneta.

(8)

Direktivom 2006/123/EZ Europskog parlamenta i Vijeća (5) od država članica se zahtijeva uspostava „jedinstvenih kontaktnih točaka” („JKT”) kako bi se osiguralo da se svi postupci i formalnosti povezani s pristupom uslužnoj djelatnosti i obavljanjem uslužne djelatnosti mogu lako obaviti, na daljinu i elektroničkim putem, preko odgovarajućeg JKT-a ili putem odgovarajućih tijela. Mnoge online usluge koje su dostupne putem JKT-a iziskuju elektroničku identifikaciju, autentikaciju i potpis.

(9)

U većini slučajeva građani ne mogu koristiti elektroničku identifikaciju u svrhu autentikacije u drugoj državi članici jer nacionalni sustavi elektroničke identifikacije u njihovoj zemlji nisu priznati u drugim državama članicama. Zbog te elektroničke prepreke pružatelji usluga ne mogu koristiti sve pogodnosti unutarnjeg tržišta. Uzajamno priznata sredstva elektroničke identifikacije olakšat će prekogranično pružanje brojnih usluga na unutarnjem tržištu te poduzećima omogućiti prekogranično poslovanje bez suočavanja s brojnim preprekama u interakcijama s tijelima javne vlasti.

(10)

Direktivom 2011/24/EU Europskog parlamenta i Vijeća (6) uspostavljena je mreža nacionalnih tijela odgovornih za eZdravstvo. Radi veće sigurnosti i kontinuiteta prekogranične zdravstvene zaštite, mreža bi trebala izrađivati smjernice o prekograničnom pristupu elektroničkim podacima i uslugama u području zdravstva, uključujući pružanjem podrške „zajedničkim mjerama za identifikaciju i autentikaciju radi olakšavanja prenosivosti podataka u prekograničnoj zdravstvenoj zaštiti”. Uzajamno priznavanje elektroničke identifikacije i autentikacije ključ je ostvarivanja prekogranične zdravstvene zaštite za europske građane. Kada ljudi putuju radi liječenja, njihovi medicinski podaci moraju biti dostupni u zemlji u kojoj se liječe. To iziskuje čvrst, siguran i pouzdan okvir elektroničke identifikacije.

(11)

Ova Uredba trebala bi se primjenjivati uz puno poštovanje načela povezanih sa zaštitom osobnih podataka predviđenih u Direktivi 95/46/EZ Europskog parlamenta i Vijeća (7). U tom pogledu, s obzirom na načelo uzajamnog priznavanja uspostavljeno ovom Uredbom, autentikacija bi se za online uslugu trebala odnositi na obradu samo onih identifikacijskih podataka koji su odgovarajući, relevantni i nisu preopsežni, za odobravanje pristupa toj usluzi online. Nadalje, pružatelji usluga povjerenja i nadležna tijela trebali bi poštovati zahtjeve prema Direktivi 95/46/EZ koji se tiču povjerljivosti i sigurnosti obrade.

(12)

Jedan od ciljeva ove Uredbe jest uklanjanje postojećih prepreka u prekograničnom korištenju sredstvima elektroničke identifikacije koja se koriste u državama članicama za autentikaciju, barem za javne usluge. Ova Uredba nema za cilj zadirati u elektroničke sustave upravljanja identitetom i s njima povezane infrastrukture uspostavljene u državama članicama. Cilj ove Uredbe jest osigurati da pri pristupu prekograničnim online uslugama koje nude države članice postoji mogućnost sigurne elektroničke identifikacije i autentikacije.

(13)

Države članice bi i dalje trebale biti u mogućnosti koristiti se sredstvima za potrebe elektroničke identifikacije radi pristupa online uslugama ili uvoditi takva sredstva. Također bi trebale moći odlučiti hoće li uključiti privatni sektor u pružanje tih sredstava. Države članice ne bi trebale biti obvezne Komisiji prijaviti svoje sustave elektroničke identifikacije. Države članice mogu birati hoće li Komisiji prijaviti sve sustave, pojedine sustave ili joj uopće neće prijaviti sustave elektroničke identifikacije koji se koriste na nacionalnoj razini za pristup barem javnim online uslugama ili specifičnim uslugama.

(14)

U ovoj Uredbi moraju biti određeni izvjesni uvjeti o tome koja sredstva elektroničke identifikacije moraju biti priznata i o načinu na koji bi sustave elektroničke identifikacije trebalo prijaviti. Ti bi uvjeti trebali pomoći državama članicama da izgrade nužno međusobno povjerenje u njihove sustave elektroničke identifikacije i uzajamno priznaju sredstva elektroničke identifikacije koja su obuhvaćena njihovim prijavljenim sustavima. Načelo uzajamnog priznavanja trebalo bi vrijediti ako sustav elektroničke identifikacije države članice koja provodi prijavljivanje ispunjava uvjete prijavljivanja i ako je prijava objavljena u Službenom listu Europske unije. Međutim, načelo uzajamnog priznavanja trebalo bi se odnositi samo na autentikaciju na online uslugu. Pristup tim online uslugama i njihovo konačno pružanje podnositelju trebali bi biti usko povezani s pravom primanja takvih usluga pod uvjetima određenima nacionalnim zakonodavstvom.

(15)

Obveza priznavanja sredstava elektroničke identifikacije trebala bi se odnositi samo na ona sredstva čija razina osiguranja identiteta odgovara razini koja je jednaka ili viša od razine koja se zahtijeva za dotičnu online uslugu. Pored toga, ta obveza trebala bi se primjenjivati samo kada dotično tijelo javnog sektora koristi razinu sigurnosti koja je „značajna” ili „visoka” u odnosu na pristup toj usluzi online. U skladu s pravom Unije, države članice trebale bi i dalje imati slobodu priznavanja sredstava elektroničke identifikacije koja imaju niže razine osiguranja identiteta.

(16)

Razine osiguranja identiteta trebale bi označivati stupanj pouzdanja u sredstva elektroničke identifikacije pri utvrđivanju identiteta osobe te na taj način osigurati da osoba koja se predstavlja pod određenim identiteom stvarno jest osoba kojoj je taj identitet dodijeljen. Razina sigurnosti ovisi o stupnju pouzdanja koji sredstvo elektroničke identifikacije pruža u odnosu na traženi ili utvrđeni identitet osobe uzimajući u obzir postupke (na primjer dokazivanje identiteta i verifikaciju te autentikaciju), aktivnosti upravljanja (na primjer tijelo koje izdaje sredstva elektroničke identifikacije i postupak izdavanja takvih sredstava) i provedene tehničke kontrole. Postoje različite tehničke definicije i opisi razina sigurnosti koje su posljedica opsežnih pilot-istraživanja financiranih sredstvima Unije, kao i normizacije i međunarodnih aktivnosti. Posebice, opsežni pilot-projekti STORK i ISO 29115 odnose se, između ostalog, na razine 2, 3 i 4, o čemu bi trebalo voditi u najvećoj mogućoj mjeri računa pri određivanju minimalnih tehničkih zahtjeva, normi i postupaka za nisku, značajnu i visoku razinu sigurnosti u smislu ove Uredbe, osiguravajući pritom dosljednu primjenu ove Uredbe, posebno u pogledu visoke razine sigurnosti koja se odnosi na dokazivanje identiteta za izdavanje kvalificiranih certifikata. Utvrđeni zahtjevi trebali bi biti tehnološki neutralni. Neophodne sigurnosne zahtjeve trebalo bi biti moguće ispuniti primjenom različitih tehnologija.

(17)

Države članice trebale bi poticati privatni sektor da dobrovoljno koristi sredstva elektroničke identifikacije u okviru prijavljenog sustava u svrhu identifikacije kada je to potrebno za online usluge ili elektroničke transakcije. Mogućnost korištenja takvim sredstvima elektroničke identifikacije privatnom bi sektoru omogućila da se pouzda u elektroničku identifikaciju i autentikaciju koje se već uvelike koriste u mnogim državama članicama barem za javne usluge, a poduzećima i građanima olakšala bi pristup prekograničnim online uslugama. Kako bi se privatnom sektoru olakšalo korištenje takvim sredstvima prekogranične elektroničke identifikacije, mogućnost autentikacije koju osiguravaju pojedine države članice trebala bi biti dostupna pouzdajućim stranama privatnog sektora s poslovnim nastanom izvan državnog područja te države članice pod istim onim uvjetima koji se primjenjuju na pouzdajuće strane privatnog sektora s poslovnim nastanom unutar te države članice. Shodno tome, u pogledu pouzdajućih strana privatnog sektora, država članica koja provodi prijavljivanje može odrediti uvjete pristupa sredstvima autentikacije. Ti uvjeti pristupa mogu ukazivati na to jesu li sredstva autentikacije koja se odnose na prijavljeni sustav trenutno dostupna pouzdajućim stranama privatnog sektora.

(18)

Ova Uredba trebala bi predvidjeti odgovornost države članice koja provodi prijavljivanje, strane koja izdaje sredstva elektroničke identifikacije i strane koja provodi postupak autentikacije za neispunjavanje odgovarajućih obveza prema ovoj Uredbi. Međutim, ova bi se Uredba trebala primjenjivati u skladu s nacionalnim pravilima o odgovornosti. Prema tome, ona ne utječe na nacionalna pravila, primjerice, o definiciji štete ili na pravila o odgovarajućim postupovnim pravilima koja su na snazi, uključujući teret dokaza.

(19)

Sigurnost sustava elektroničke identifikacije ključna je za vjerodostojno prekogranično uzajamno priznavanje sredstava elektroničke identifikacije. U vezi s tim, države članice trebale bi surađivati u pogledu sigurnosti i interoperabilnosti sustavâ elektroničke identifikacije na razini Unije. Uvijek kada sustavi elektroničke identifikacije zahtijevaju da pouzdajuće strane na nacionalnoj razini koriste poseban hardver ili softver, prekogranična interoperabilnost traži od tih država članica da pouzdajućim stranama s poslovnim nastanom izvan njihovog državnog područja ne nameće takve zahtjeve i pripadajuće troškove. U tom slučaju trebalo bi razmotriti i razviti odgovarajuća rješenja unutar područja primjene okvira za interoperabilnost. S druge strane, neizbježni su tehnički zahtjevi koji proizlaze iz nužno povezanih specifikacija nacionalnih sredstava elektroničke identifikacije i koji bi mogli utjecati na imatelje takvih elektroničkih sredstava (npr. pametnih kartica).

(20)

Suradnja država članica trebala bi olakšati tehničku interoperabilnost prijavljenih sustava elektroničke identifikacije u cilju poticanja visoke razine pouzdanosti i sigurnosti sukladno stupnju rizika. Razmjena informacija i najbolje prakse među državama članicama u cilju njihova uzajamnog priznavanja trebale bi pomoći takvoj suradnji.

(21)

Ovom bi se Uredbom također trebao uspostaviti opći pravni okvir za korištenje uslugama povjerenja. Međutim, njome se ne bi trebalo uvesti opću obvezu njihovog korištenja ili uvođenja pristupne točke za sve postojeće usluge povjerenja. Posebice, ona ne bi smjela obuhvaćati pružanje usluga koje se isključivo koriste unutar zatvorenih sustava među utvrđenom skupinom sudionika koji nemaju nikakav utjecaj na treće strane. Primjerice, sustavi uspostavljeni u poduzećima ili upravama javnih tijela radi upravljanja internim postupcima koji koriste usluge povjerenja ne bi trebali biti podložni zahtjevima ove Uredbe. Samo usluge povjerenja koje se pružaju javnosti i koje imaju učinke na treće strane trebale bi ispunjavati zahtjeve utvrđene u Uredbi. Ova Uredba ne bi trebala obuhvaćati ni aspekte koji se odnose na sklapanje i valjanost ugovorâ ili drugih pravnih obveza ako postoje zahtjevi vezani uz oblik utvrđeni nacionalnim pravom ili pravom Unije. Osim toga, ona ne bi trebala utjecati na nacionalne zahtjeve vezane uz oblik koji vrijede za javne registre, a posebno trgovačke registre i zemljišne knjige.

(22)

Radi doprinosa njihovom općem prekograničnom korištenju, trebalo bi biti moguće usluge povjerenja koristiti kao dokaze u sudskim postupcima u svim državama članicama. Pravne učinke usluga povjerenja potrebno je odrediti nacionalnim pravom, osim ako je drukčije predviđeno ovom Uredbom.

(23)

U mjeri u kojoj se ovom Uredbom stvara obveza priznavanja usluge povjerenja, takva usluga povjerenja može biti odbijena samo ako je osoba na koju se obveza odnosi, zbog tehničkih razloga na koje ona ne može neposredno utjecati, nije u mogućnosti učitati ili verificirati tu uslugu. Međutim, ta obveza sama po sebi ne bi smjela od javnog tijela zahtijevati nabavu hardvera ili softvera potrebnih za tehničku mogućnost učitavanja svih postojećih usluga povjerenja.

(24)

Države članice mogu zadržati ili uvesti nacionalne odredbe koje se odnose na usluge povjerenja, u skladu s pravom Unije, ako te usluge nisu u potpunosti usklađene s ovom Uredbom. Međutim, usluge povjerenja koje su u skladu s ovom Uredbom trebale bi slobodno cirkulirati na unutarnjem tržištu.

(25)

Države članice trebale bi i dalje moći slobodno određivati druge vrste usluga povjerenja, uz one koje su dio konačnog popisa usluga povjerenja predviđenog ovom Uredbom, u svrhu njihovog priznavanja na nacionalnoj razini kao kvalificiranih usluga povjerenja.

(26)

Zbog brzine tehnoloških promjena, ovom Uredbom trebalo bi usvojiti pristup otvoren za inovacije.

(27)

Ova Uredba trebala bi biti tehnološki neutralna. Pravni učinci koji se njome osiguravaju trebali bi biti ostvarivi bilo kojim tehničkim sredstvima pod uvjetom da su zahtjevi ove Uredbe ispunjeni.

(28)

Kako bi se povećalo povjerenje posebice malih i srednjih poduzeća (MSP-ova) te potrošača u unutarnje tržište i promicalo korištenje uslugama povjerenja i proizvodima povjerenja, trebalo bi uvesti pojmove „kvalificirana usluga povjerenja” i „kvalificirani pružatelj usluga povjerenja” s ciljem naznačivanja zahtjeva i obveza koji osiguravaju visoku razinu sigurnosti svih kvalificiranih usluga povjerenja i proizvoda povjerenja koji se koriste ili pružaju.

(29)

U skladu s obvezama prema Konvenciji Ujedinjenih naroda o pravima osoba s invaliditetom, koja je odobrena Odlukom Vijeća 2010/48/EZ (8), a posebno člankom 9. Konvencije, osobe s invaliditetom trebale bi moći koristiti usluge povjerenja i proizvode za krajnjeg korisnika koji se koriste pri pružanju tih usluga na ravnopravnoj osnovi s drugim potrošačima. Stoga bi, gdje je to moguće, usluge povjerenja i proizvodi za krajnjeg korisnika koji se koriste pri pružanju tih usluga trebali biti dostupni osobama s invaliditetom. Procjena izvedivosti trebala bi, između ostalog, uključivati tehničke i ekonomske aspekte.

(30)

Države članice trebale bi odrediti nadzorno tijelo ili nadzorna tijela za provedbu nadzornih aktivnosti prema ovoj Uredbi. Države članice također bi trebale moći odlučivati, na temelju uzajamnog dogovora s drugom državom članicom, o određivanju nadzornog tijela na državnom području te druge države članice.

(31)

Nadzorna tijela trebala bi surađivati s tijelima za zaštitu podataka, primjerice na način da ih obavješćuju o rezultatima revizija kvalificiranih pružatelja usluga povjerenja, u slučaju kada se čini da je došlo do povrede pravila o zaštiti osobnih podataka. Pružanje informacija trebalo bi posebno obuhvaćati sigurnosne incidente te povrede povezane s osobnim podacima.

(32)

Svi pružatelji usluga povjerenja trebali bi biti dužni primjenjivati dobru sigurnosnu praksu primjerenu rizicima koji su povezani s njihovim aktivnostima kako bi se ojačalo povjerenje korisnikâ u jedinstveno tržište.

(33)

Odredbe o korištenju pseudonimom u certifikatima ne bi trebale sprečavati države članice da zahtijevaju identifikaciju osoba na temelju prava Unije ili nacionalnog prava.

(34)

Sve države članice trebale bi poštovati zajedničke osnovne kriterije nadzora radi osiguravanja usporedive sigurnosne razine zaštite kvalificiranih usluga povjerenja. Radi olakšavanja dosljedne primjene tih zahtjeva širom Unije, države članice trebale bi usvojiti usporedive postupke i razmjenjivati informacije o svojim aktivnostima nadzora i najboljoj praksi u tom području.

(35)

Svi pružatelji usluga povjerenja trebali bi biti podvrgnuti zahtjevima ove Uredbe, posebno onima koji se tiču sigurnosti i odgovornosti kako bi se osigurala odgovarajuća brzina pružanja i transparentnost njihovih djelatnosti i usluga te odgovornost za njihove djelatnosti i usluge. Međutim, uzimajući u obzir vrstu usluga koje pružaju pružatelji usluga povjerenja, potrebno je, u pogledu tih zahtjeva, razlikovati između kvalificiranih i nekvalificiranih pružatelja usluga povjerenja.

(36)

Uspostavljanje sustava nadzora za sve pružatelje usluga povjerenja trebalo bi osigurati ravnopravne tržišne uvjete u odnosu na sigurnost i odgovornost njihovih djelatnosti i usluga, doprinoseći na taj način zaštiti korisnikâ i funkcioniranju unutarnjeg tržišta. Nekvalificirani pružatelji usluga povjerenja trebali bi biti podvrgnuti neobvezujućim i reaktivnim naknadnim (ex post) nadzornim aktivnostima koje su opravdane zbog prirode njihovih usluga i djelatnosti. Nadzorno tijelo stoga ne bi trebalo imati opću obvezu nadzora nekvalificiranih davatelja usluga. Nadzorno tijelo trebalo bi djelovati samo kada je obaviješteno (primjerice od strane samog nekvalificiranog pružatelja usluga povjerenja, drugog nadzornog tijela, putem prijave korisnika ili poslovnog partnera ili na temelju vlastite istrage) da nekvalificirani pružatelj usluga povjerenja ne ispunjava zahtjeve ove Uredbe.

(37)

Ovom bi se Uredbom trebala predvidjeti odgovornost svih pružatelja usluga povjerenja. Njome se posebno uspostavlja sustav odgovornosti prema kojemu bi svi pružatelji usluga povjerenja trebali biti odgovorni za štetu nanesenu svakoj fizičkoj ili pravnoj osobi zbog neispunjavanja obveza u skladu s ovom Uredbom. Kako bi se olakšala procjena financijskog rizika koji bi pružatelji usluga povjerenja mogli snositi ili koji bi trebali pokriti policama osiguranja, ovom se Uredbom dopušta pružateljima usluga povjerenja da odrede ograničenja, pod određenim uvjetima, za korištenje uslugama koje oni pružaju te da ne podliježu odgovornosti za štete povezane s korištenjem uslugama koje prelazi takva ograničenja. Korisnike usluga trebalo bi na odgovarajući način i unaprijed obavješćivati o tim ograničenjima. Ta ograničenja trebala bi biti prepoznatljiva trećim osobama, na primjer, uvrštavanjem informacija o ograničenjima u uvjete poslovanja za pruženu uslugu ili putem drugih dopustivih sredstava. U svrhu provedbe tih načela u praksi, ovu bi Uredbu trebalo primjenjivati u skladu s nacionalnim pravilima o odgovornosti. Ova Uredba stoga ne utječe na nacionalna pravila, primjerice, o definiranju šteta, namjeri, nepažnji ili odgovarajuća postupovna pravila koja su na snazi.

(38)

Prijava povreda sigurnosti i procjena sigurnosnog rizika neophodna je radi pružanja odgovarajuće informacije zainteresiranim stranama, u slučaju povrede sigurnosti ili narušavanja cjelovitosti.

(39)

Kako bi Komisija i države članice mogle procijeniti djelotvornost mehanizma za prijavu povreda koji se uvodi ovom Uredbom, od nadzornih tijela trebalo bi zatražiti da Komisiji i Agenciji Europske unije za sigurnost mreža i podataka (ENISA) dostave sažete informacije.

(40)

Kako bi Komisija i države članice mogle procijeniti djelotvornost mehanizma pojačanog nadzora koji se uvodi ovom Uredbom, od nadzornih tijela trebalo bi zatražiti da izvješćuju o svojim aktivnostima. Time bi se olakšala razmjena dobre prakse između nadzornih tijela i osigurala provjera dosljedne i učinkovite provedbe osnovnih kriterija nadzora u svim državama članicama.

(41)

Radi osiguravanja održivosti i trajnosti kvalificiranih usluga povjerenja i jačanja pouzdanja korisnikâ u kontinuitet kvalificiranih usluga povjerenja, nadzorna tijela trebala bi provjeriti postojanje i pravilnu primjenu odredaba o planovima za slučaj prekida pružanja usluga u slučajevima kada kvalificirani pružatelji usluga povjerenja prestanu obavljati svoju djelatnost.

(42)

Radi olakšavanja nadzora kvalificiranih pružatelja usluga povjerenja, primjerice kada pružatelj pruža svoje usluge na državnom području druge države članice u kojoj ne podliježe nadzoru, ili kada su računala pružatelja smještena na državnom području države članice koja nije država u kojoj ima poslovni nastan, trebalo bi uspostaviti sustav uzajamne pomoći među nadzornim tijelima u državama članicama.

(43)

Kako bi se osigurala usklađenost kvalificiranih pružatelja usluga povjerenja i usluga koje oni pružaju sa zahtjevima određenima u ovoj Uredbi, tijelo za ocjenu sukladnosti trebalo bi provoditi ocjenjivanja sukladnosti, a tako dobivena izvješća o ocjenjivanju sukladnosti kvalificirani pružatelji usluga povjerenja trebali bi podnositi nadzornom tijelu. Uvijek kada nadzorno tijelo od kvalificiranog pružatelja usluga povjerenja zahtijeva podnošenje ad hoc izvješća o ocjenjivanju sukladnosti, to nadzorno tijelo trebalo bi posebno poštovati načela dobrog upravljanja, uključujući obvezu obrazlaganja svojih odluka, kao i načelo proporcionalnosti. Stoga bi nadzorno tijelo trebalo na odgovarajući način obrazložiti svoju odluku kojom zahtijeva ad hoc ocjenjivanje sukladnosti.

(44)

Cilj ove Uredbe jest osiguravanje dosljednog okvira radi pružanja visoke razine sigurnosti i pravne sigurnosti usluga povjerenja. U tom pogledu, kada se govori o ocjenjivanju sukladnosti proizvodâ i usluga, Komisija bi, prema potrebi, trebala težiti sinergijama s postojećim relevantnim europskim i međunarodnim sustavima poput Uredbe (EZ) br. 765/2008 Europskog parlamenta i Vijeća (9) o utvrđivanju zahtjeva za akreditaciju tijela za ocjenjivanje sukladnosti i za nadzor tržišta proizvoda.

(45)

Kako bi se omogućilo učinkovito pokretanje postupka koji bi trebao dovesti do uvrštavanja kvalificiranih pružatelja usluga povjerenja i kvalificiranih usluga povjerenja koje oni pružaju na pouzdane popise, trebalo bi poticati prethodno zajedničko djelovanje između potencijalnih pružatelja kvalificiranih usluga povjerenja i nadležnog nadzornog tijela radi olakšavanja dubinske analize koja vodi do pružanja kvalificiranih usluga povjerenja.

(46)

Pouzdani popisi bitni su elementi pri izgradnji povjerenja među tržišnim operatorima jer upućuju na kvalificirani status pružatelja usluga u trenutku nadzora.

(47)

Pouzdanje u uporabu online usluga i jednostavnost njihove uporabe imaju presudno značenje za to da njihovi korisnici mogu u potpunosti iskoristiti prednosti elektroničkih usluga i svjesno se pouzdati u njih. U tu svrhu trebalo bi stvoriti kvalificirani EU znak pouzdanosti kako bi se utvrdile kvalificirane usluge povjerenja koje pružaju kvalificirani pružatelji usluga povjerenja. Takvim EU znakom pouzdanosti za kvalificirane usluge povjerenja jasno bi se razlučile kvalificirane usluge povjerenja od drugih usluga povjerenja čime bi se doprinijelo transparentnosti na tržištu. Korištenje EU znakom pouzdanosti trebalo bi biti dobrovoljno za kvalificirane pružatelje usluga povjerenja te ne bi trebalo stvarati bilo koji drugi zahtjev osim onih koji su već predviđeni ovom Uredbom.

(48)

Iako je za osiguravanje uzajamnog priznavanja elektroničkih potpisa potrebna visoka razina sigurnosti, u posebnim slučajevima, kao na primjer u kontekstu Odluke Komisije 2009/767/EZ (10), elektronički potpisi s nižom razinom sigurnosne zaštite također bi trebali biti prihvaćeni.

(49)

Ovom bi Uredbom trebalo uspostaviti načelo prema kojem se elektroničkom potpisu ne bi smio uskratiti pravni učinak zbog toga što je on u elektroničkom obliku ili zbog toga što ne ispunjava zahtjeve kvalificiranog elektroničkog potpisa. Međutim, pravne učinke elektroničkih potpisa, osim zahtjeva predviđenih u ovoj Uredbi prema kojima bi kvalificirani elektronički potpis trebao imati jednake pravne učinke kao vlastoručni potpis, potrebno je odrediti nacionalnim pravom.

(50)

Budući da nadležna tijela u državama članicama trenutno koriste različite formate naprednih elektroničkih potpisa za elektroničko potpisivanje svojih dokumenata, potrebno je osigurati da države članice mogu tehnički podržati barem određeni broj formata naprednih elektroničkih potpisa kada prime elektronički potpisane dokumente. Slično tomu, kada nadležna tijela u državama članicama koriste napredne elektroničke pečate, bilo bi potrebno osigurati da podržavaju barem određeni broj formata naprednih elektroničkih pečata.

(51)

Potpisnik bi trebao moći povjeriti kvalificirana sredstva za izradu elektroničkog potpisa na čuvanje trećoj osobi, pod uvjetom da postoje odgovarajući mehanizmi i postupci kojima se osigurava da potpisnik ima isključivu kontrolu nad korištenjem svojim podacima za izradu elektroničkog potpisa, te da su pri korištenju tim sredstvom ispunjeni zahtjevi za kvalificirani elektronički potpis.

(52)

Izradu udaljenih elektroničkih potpisa kada okruženjem za izradu elektroničkog potpisa u ime potpisnika upravlja pružatelj usluga povjerenja trebalo bi povećati s obzirom na s time povezane višestruke gospodarske koristi. Međutim, kako bi se osiguralo da takvi elektronički potpisi budu u pravnom smislu jednako priznati kao i elektronički potpisi koji su u potpunosti izrađeni u okruženju kojim upravlja korisnik, pružatelji usluge udaljenog elektroničkog potpisa trebali bi primjenjivati posebne postupke upravljanja i postupke sigurnosnog administriranja te koristiti vjerodostojne sustave i proizvode, uključujući sigurne elektroničke komunikacijske kanale, kako bi jamčili da je okruženje za izradu elektroničkog potpisa pouzdano i da se koristi pod isključivom kontrolom potpisnika. Kada je kvalificirani elektronički potpis izrađen korištenjem sredstva za izradu udaljenog elektroničkog potpisa, trebali bi se primjenjivati zahtjevi primjenjivi na kvalificirane pružatelje usluge povjerenja određeni ovom Uredbom.

(53)

Suspenzija kvalificiranih certifikata ustaljena je praksa postupanja pružatelja usluga povjerenja u nizu država članica, a razlikuje se od opoziva te podrazumijeva privremeni gubitak valjanosti certifikata. Zbog razloga pravne sigurnosti suspenzija certifikata uvijek mora biti jasno naznačena. U tu bi svrhu pružatelji usluga povjerenja trebali biti odgovorni za jasno naznačavanje statusa certifikata i, ako je certifikat suspendiran, točnog razdoblja suspenzije. Ovom se Uredbom pružateljima usluga povjerenja ili državama članicama ne bi trebala nametati primjena suspenzije, već bi trebalo predvidjeti pravila o transparentnosti kada i ako je takva praksa dostupna.

(54)

Prekogranična interoperabilnost i priznavanje kvalificiranih certifikata preduvjet je za prekogranično priznavanje kvalificiranih elektroničkih potpisa. Kvalificirani certifikati stoga ne bi trebali podlijegati obveznim zahtjevima koji prelaze zahtjeve utvrđene u ovoj Uredbi. Međutim, na nacionalnoj bi razini trebalo dopustiti uvrštavanje posebnih značajki, poput jedinstvenih identifikatora, u kvalificirane certifikate, pod uvjetom da takve posebne značajke ne ometaju prekograničnu interoperabilnost i priznavanje kvalificiranih certifikata i elektroničkih potpisa.

(55)

Certificiranje sigurnosti informacijske tehnologije na temelju međunarodnih normi, kao što su ISO 15408 i povezani načini evaluacije i dogovori o uzajamnom priznavanju, važan je alat za verifikaciju sigurnosti kvalificiranih sredstava za izradu elektroničkih potpisa i trebalo bi ga promicati. Međutim, inovativna rješenja i usluge, kao što su potpisivanje pomoću mobilnih uređaja i potpisivanje pomoću tehnologije oblaka (cloud signing) oslanjaju se na tehnička i organizacijska rješenja za kvalificirana sredstva za izradu elektroničkih potpisa za koje sigurnosne norme možda još nisu dostupne ili za koje je prvo certificiranje sigurnosti informacijske tehnologije još uvijek u tijeku. Razinu sigurnosti takvih kvalificiranih sredstava za izradu elektroničkih potpisa moglo bi se ocjenjivati primjenom alternativnih postupaka samo ako takve sigurnosne norme nisu dostupne ili ako je prvo certificiranje sigurnosti informacijske tehnologije još uvijek u tijeku. Ti bi postupci trebali biti usporedivi s normama za certificiranje sigurnosti informacijske tehnologije ako su njihove razine sigurnosti jednakovrijedne. Stručna revizija mogla bi olakšati te postupke.

(56)

Ovom Uredbom trebalo bi utvrditi zahtjeve za kvalificirana sredstva za izradu elektroničkih potpisa kako bi se osigurala funkcionalnost naprednih elektroničkih potpisa. Ova Uredba ne bi trebala obuhvaćati cjelokupno okruženje sustava u kojemu se takva sredstva primjenjuju. Stoga bi se opseg certificiranja kvalificiranih sredstava za izradu elektroničkih potpisa trebao ograničiti na hardver i softver sustava koji se koristi za upravljanje i zaštitu podataka za izradu potpisa koji su izrađeni, pohranjeni ili obrađeni u sredstvu za izradu potpisa. Kao što je navedeno u relevantnim normama, područje primjene obveze certificiranja ne bi trebalo uključivati aplikacije za izradu potpisa.

(57)

Radi osiguravanja pravne sigurnosti u pogledu valjanosti potpisa, nužno je utvrditi komponente kvalificiranog elektroničkog potpisa koje bi trebala procijeniti pouzdajuća strana koja obavlja validaciju. Osim toga, utvrđivanjem zahtjeva za kvalificirane pružatelje usluga povjerenja koji mogu pružiti kvalificiranu uslugu validacije pouzdajućim stranama koje ne žele ili ne mogu same obaviti validaciju kvalificiranih elektroničkih potpisa, trebali bi potaknuti privatni i javni sektor na ulaganja u takve usluge. Oba elementa trebala bi za sve aktere na razini Unije omogućiti jednostavnu i praktičnu validaciju kvalificiranog elektroničkog potpisa.

(58)

Kada je za transakciju potreban kvalificirani elektronički pečat pravne osobe, kvalificirani elektronički potpis ovlaštenog predstavnika pravne osobe trebao bi biti jednako prihvatljiv.

(59)

Elektronički pečati trebali bi služiti kao dokaz da je elektronički dokument izdala pravna osoba, jamčeći na taj način izvornost i cjelovitost dokumenta.

(60)

Pružatelji usluga povjerenja koji izdaju kvalificirane certifikate za elektroničke pečate trebali bi primjenjivati neophodne mjere kako bi bili u mogućnosti utvrditi identitet fizičke osobe koja zastupa pravnu osobu kojoj je izdan kvalificirani certifikat za elektronički pečat, ako je takva identifikacija potrebna na nacionalnoj razini u kontekstu sudskog ili upravnog postupka.

(61)

Ovom bi Uredbom trebalo osigurati dugoročno čuvanje informacija kako bi se osigurala pravna valjanost elektroničkih potpisa i elektroničkih pečata tijekom duljih razdoblja, čime bi se zajamčila mogućnost njihove validacije neovisno o budućim tehnološkim promjenama.

(62)

Kako bi se osigurala sigurnost kvalificiranih elektroničkih vremenskih žigova, ovom bi se Uredbom trebalo zahtijevati korištenje naprednim elektroničkim pečatom ili naprednim elektroničkim potpisom ili drugim jednakovrijednim metodama. Pretpostavlja se da inovacije mogu dovesti do novih tehnologija kojima se može osigurati jednaka razina sigurnosti za vremenske žigove. Kad god se umjesto naprednog elektroničkog pečata ili naprednog elektroničkog potpisa koristi neka druga metoda, kvalificirani pružatelj usluga povjerenja trebao bi dokazati, u skladu s izvješćem o ocjenjivanju sukladnosti, da takva metoda osigurava jednakovrijednu razinu sigurnosti i da ispunjava obveze određene u ovoj Uredbi.

(63)

Elektronički dokumenti važni su za daljnji razvoj prekograničnih elektroničkih transakcija na unutarnjem tržištu. Ovom bi Uredbom trebalo uspostaviti načelo prema kojem se elektroničkom dokumentu ne bi smio uskratiti pravni učinak zbog toga što je on u elektroničkom obliku, a kako bi se osiguralo da elektronička transakcija ne bude odbijena samo zbog toga što je određeni dokument u elektroničkom obliku.

(64)

Komisija bi se pri razmatranju formata naprednih elektroničkih potpisa i pečata trebala osloniti na postojeću praksu, norme i zakonodavstvo, a posebno na Odluku Komisije 2011/130/EU (11).

(65)

Osim autentikacije dokumenta koji je izdala pravna osoba, elektronički pečati mogu se koristiti i za autentikaciju bilo koje digitalne imovine pravne osobe, kao što su softverski kod ili poslužitelji.

(66)

Bitno je osigurati pravni okvir kako bi se olakšalo prekogranično priznavanje među postojećim nacionalnim pravnim sustavima u odnosu na usluge elektroničke preporučene dostave. Tim bi se okvirom mogle otvoriti i nove tržišne mogućnosti za Unijine pružatelje usluga povjerenja jer će oni na paneuropskoj razini moći ponuditi nove usluge elektroničke preporučene dostave.

(67)

Usluge autentikacije mrežnih stranica osiguravaju sredstva pomoću kojih posjetitelj mrežnih stranica može biti siguran da iza tih mrežnih stranica stoji vjerodostojan i zakoniti subjekt. Te usluge doprinose izgradnji povjerenja i pouzdanja u vođenje poslovanja online jer će korisnici imati pouzdanja u mrežne stranice koje su autenticirane. Pružanje i korištenje uslugama autentikacije mrežnih stranica u cijelosti su dobrovoljni. Međutim, kako bi autentikacija mrežnih stranica postala sredstvo jačanja povjerenja, pružanja boljeg iskustva za korisnika i unapređivanja rasta na unutarnjem tržištu, ovom bi Uredbom trebalo utvrditi minimalne obveze u odnosu na sigurnost i odgovornost pružateljâ usluga i usluga koje oni pružaju. U tu svrhu, u obzir su uzeti rezultati postojećih industrijskih inicijativa, na primjer, Tijela za certificiranje/Forum preglednikâ – Forum CA/B. Osim toga, ova Uredba ne bi trebala ograničavati korištenje drugim sredstvima ili metodama autentikacije mrežnih stranica koji nisu obuhvaćeni ovom Uredbom niti bi trebala sprečavati pružatelje usluga autentikacije mrežnih stranica iz trećih zemalja da svoje usluge pružaju korisnicima u Uniji. Međutim, usluge autentikacije mrežnih stranica pružatelja usluga iz treće zemlje trebale bi se priznavati kao kvalificirane, u skladu s ovom Uredbom, samo ako je sklopljen međunarodni sporazum između Unije i zemlje u kojoj taj pružatelj usluge ima poslovni nastan.

(68)

U skladu s odredbama o poslovnom nastanu iz Ugovora o funkcioniranju Europske unije (UFEU), pojam „pravne osobe” gospodarskim subjektima ostavlja mogućnost da odaberu pravni oblik koji smatraju prikladnim za obavljanje svoje djelatnosti. Sukladno tomu, „pravne osobe”, u smislu UFEU-a, znači svi subjekti koji su osnovani prema pravu države članice ili uređeni pravom države članice, bez obzira na njihov pravni oblik.

(69)

Institucije, tijela, urede i agencije Unije potiče se da priznaju elektroničku identifikaciju i usluge povjerenja obuhvaćene ovom Uredbom u svrhu kapitalizacije administrativne suradnje, posebno u vezi s postojećom dobrom praksom i rezultatima projekata koji su u tijeku u područjima obuhvaćenima ovom Uredbom.

(70)

Kako bi se određeni podrobni tehnički aspekti ove Uredbe dopunili na fleksibilan i brz način, Komisiji bi, u pogledu kriterija koje trebaju ispuniti tijela odgovorna za certificiranje kvalificiranih sredstava za izradu elektroničkih potpisa, trebalo delegirati ovlast za donošenje akata u skladu s člankom 290. UFEU-a. Posebno je važno da Komisija tijekom svog pripremnog rada provede odgovarajuća savjetovanja, uključujući i ona na razini stručnjaka. Prilikom pripreme i izrade delegiranih akata, Komisija bi trebala osigurati da se relevantni dokumenti Europskom parlamentu i Vijeću šalju istodobno, na vrijeme i na primjeren način.

(71)

Kako bi se osiguravali jedinstveni uvjeti za provedbu ove Uredbe, posebno uvjeti za utvrđivanje referentnih brojeva normi čije bi korištenje predmnijevalo ispunjavanje određenih zahtjeva koji su utvrđeni u ovoj Uredbi, provedbene ovlasti trebalo bi dodijeliti Komisiji. Te bi se ovlasti trebale izvršavati u skladu s Uredbom (EU) br. 182/2011 Europskog parlamenta i Vijeća (12).

(72)

Komisija bi pri donošenju delegiranih ili provedbenih akata trebala posebno uzeti u obzir norme i tehničke specifikacije koje su izradile europske i međunarodne normizacijske organizacije i normizacijska tijela, posebno Europski odbor za normizaciju (CEN), Europski institut za telekomunikacijske norme (ETSI), Međunarodna organizacija za normizaciju (ISO) i Međunarodna telekomunikacijska unija (ITU), s ciljem osiguravanja visoke razine sigurnosti i interoperabilnosti elektroničke identifikacije i usluga povjerenja.

(73)

Zbog razloga pravne sigurnosti i jasnoće, Direktivu 1999/93/EZ trebalo bi staviti izvan snage.

(74)

Radi osiguravanja pravne sigurnosti za tržišne operatore koji već koriste kvalificirane certifikate izdane fizičkim osobama u skladu s Direktivom 1999/93/EZ, potrebno je osigurati dovoljno dugo prijelazno razdoblje. Slično tome, trebalo bi uspostaviti prijelazne mjere za sredstva za sigurnu izradu potpisa, čija je sukladnost utvrđena u skladu s Direktivom 1999/93/EZ, kao i za pružatelje usluga certificiranja koji su izdali kvalificirane certifikate prije 1. srpnja 2016. Naposljetku, također je potrebno Komisiji osigurati sredstva za donošenje provedbenih akata i delegiranih akata prije tog datuma.

(75)

Datumi primjene određeni u ovoj Uredbi ne utječu na postojeće obveze država članica prema pravu Unije, posebno prema Direktivi 2006/123/EZ.

(76)

S obzirom na to da ciljeve ove Uredbe ne mogu dostatno ostvariti države članice, nego se zbog opsega djelovanja oni na bolji način mogu ostvariti na razini Unije, Unija može donijeti mjere u skladu s načelom supsidijarnosti utvrđenim u članku 5. Ugovora o Europskoj uniji. U skladu s načelnom proporcionalnosti utvrđenim u tom članku, ova Uredba ne prelazi ono što je potrebno za ostvarivanje tih ciljeva.

(77)

Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka u skladu s člankom 28. stavkom 2. Uredbe (EZ) br. 45/2001 Europskog parlamenta i Vijeća (13) koji je dao mišljenje 27. rujna 2012. (14),

(a)

utvrđuju uvjeti pod kojima države članice priznaju sredstva elektroničke identifikacije fizičkih i pravnih osoba koja su obuhvaćena prijavljenim sustavom elektroničke identifikacije druge države članice;

(b)

utvrđuju pravila za usluge povjerenja, posebno za elektroničke transakcije; i

(c)

uspostavlja pravni okvir za elektroničke potpise, elektroničke pečate, elektroničke vremenske žigove, elektroničke dokumente, usluge elektroničke preporučene dostave i usluge certificiranja za autentikaciju mrežnih stranica.

1.

„elektronička identifikacija” znači postupak korištenja osobnim identifikacijskim podacima u elektroničkom obliku koji na nedvojben način predstavljaju bilo fizičku ili pravnu osobu ili fizičku osobu koja predstavlja pravnu osobu;

2.

„sredstvo elektroničke identifikacije” znači materijalna i/ili nematerijalna jedinica koja sadrži osobne identifikacijske podatke i koja se koristi za autentikaciju na online uslugu;

3.

„osobni identifikacijski podaci” znači skup podataka koji omogućavaju da se utvrdi identitet fizičke ili pravne osobe ili fizičke osobe koja predstavlja pravnu osobu;

4.

„sustav elektroničke identifikacije” znači sustav za elektroničku identifikaciju u okviru kojega se izdaju sredstva elektroničke identifikacije fizičkim ili pravnim osobama ili fizičkim osobama koje predstavljaju pravne osobe;

5.

„autentikacija” znači elektronički postupak koji omogućava da elektronička identifikacija fizičke ili pravne osobe ili izvornost i cjelovitost podataka u elektroničkom obliku budu potvrđeni;

6.

„pouzdajuća strana” znači fizička ili pravna osoba koja se oslanja na elektroničku identifikaciju ili uslugu povjerenja;

7.

„tijelo javnog sektora” znači državno, regionalno ili lokalno tijelo, javnopravno tijelo ili udruženje koje se sastoji od jednog ili nekoliko takvih tijela ili jednog ili nekoliko takvih javnopravnih tijela ili privatni subjekt koji je ovlastilo barem jedno od tih vlasti, tijela ili udruženja za pružanje javnih usluga kada djeluju u okviru takve ovlasti;

8.

„javnopravno tijelo” znači tijelo definirano u članku 2. stavku 1. točki 4. Direktive 2014/24/EU Europskog parlamenta i Vijeća (15);

9.

„potpisnik” znači fizička osoba koja izrađuje elektronički potpis;

10.

„elektronički potpis” znači podaci u elektroničkom obliku koji su pridruženi ili su logički povezani s drugim podacima u elektroničkom obliku i koje potpisnik koristi za potpisivanje;

11.

„napredan elektronički potpis” znači elektronički potpis koji ispunjava zahtjeve navedene u članku 26.;

12.

„kvalificirani elektronički potpis” znači napredan elektronički potpis koji je izrađen pomoću kvalificiranih sredstava za izradu elektroničkog potpisa i temelji se na kvalificiranom certifikatu za elektroničke potpise;

13.

„podaci za izradu elektroničkog potpisa” znači jedinstveni podaci koje potpisnik koristi za izradu elektroničkog potpisa;

14.

„certifikat za elektronički potpis” znači elektronička potvrda koja povezuje podatke za validaciju elektroničkog potpisa s fizičkom osobom i potvrđuje barem ime ili pseudonim te osobe;

15.

„kvalificirani certifikat za elektronički potpis” znači certifikat za elektroničke potpise koji izdaje kvalificirani pružatelj usluga povjerenja i koji ispunjava zahtjeve utvrđene u Prilogu I.;

16.

„usluga povjerenja” znači elektronička usluga koja se u pravilu pruža uz naknadu i koja se sastoji od:

17.

„kvalificirana usluga povjerenja” znači usluga povjerenja koja ispunjava odgovarajuće zahtjeve utvrđene u ovoj Uredbi;

18.

„tijelo za ocjenjivanje sukladnosti” znači tijelo u smislu članka 2. točke 13. Uredbe (EZ) br. 765/2008 koje je u skladu s tom Uredbom ovlašteno kao nadležno za provedbu ocjenjivanja sukladnosti kvalificiranog pružatelja usluga povjerenja i kvalificiranih usluga povjerenja koje on pruža;

19.

„pružatelj usluga povjerenja” znači fizička ili pravna osoba koja pruža jednu ili više usluga povjerenja bilo kao kvalificirani ili nekvalificirani pružatelj usluga povjerenja;

20.

„kvalificirani pružatelj usluga povjerenja” znači pružatelj usluga povjerenja koji pruža jednu ili više kvalificiranih usluga povjerenja i kojemu je nadzorno tijelo odobrilo kvalificirani status;

21.

„proizvod” znači hardver ili softver ili odgovarajuće komponente hardvera ili softvera koji su namijenjeni za korištenje u svrhu pružanja usluga povjerenja;

22.

„sredstvo za izradu elektroničkog potpisa” znači konfigurirani softver ili hardver koji se koristi za izradu elektroničkog potpisa;

23.

„kvalificirano sredstvo za izradu elektroničkog potpisa” znači sredstvo za izradu elektroničkog potpisa koje ispunjava zahtjeve utvrđene u Prilogu II.;

24.

„autor pečata” znači pravna osoba koja izrađuje elektronički pečat;

25.

„elektronički pečat” znači podaci u elektroničkom obliku koji su pridruženi drugim podacima u elektroničkom obliku ili su logički povezani s njima radi osiguravanja izvornosti i cjelovitosti tih podataka;

26.

„napredan elektronički pečat” znači elektronički pečat koji ispunjava zahtjeve navedene u članku 36.;

27.

„kvalificirani elektronički pečat” znači napredan elektronički pečat koji je izrađen pomoću kvalificiranog sredstva za izradu elektroničkog pečata i koji se temelji na kvalificiranom certifikatu za elektronički pečat;

28.

„podaci za izradu elektroničkog pečata” znači jedinstveni podaci koje autor elektroničkog pečata koristi za izradu elektroničkog pečata;

29.

„certifikat za elektronički pečat” znači elektronička potvrda koja povezuje podatke za validaciju elektroničkog pečata s pravnom osobom i potvrđuje naziv te osobe;

30.

„kvalificirani certifikat za elektronički pečat” znači certifikat za elektronički pečat koji izdaje kvalificirani pružatelj usluge povjerenja i koji ispunjava zahtjeve određene u Prilogu III.;

31.

„sredstvo za izradu elektroničkog pečata” znači konfigurirani softver ili hardver koji se koristi za izradu elektroničkog pečata;

32.

„sredstvo za izradu kvalificiranog elektroničkog pečata” znači sredstvo za izradu elektroničkog pečata koje mutatis mutandis ispunjava zahtjeve određene u Prilogu II.;

33.

„elektronički vremenski žig” znači podaci u elektroničkom obliku koji povezuju druge podatke u elektroničkom obliku s određenim vremenom i na taj način dokazuju da su ti podaci postojali u to vrijeme;

34.

„kvalificirani elektronički vremenski žig” znači elektronički vremenski žig koji ispunjava zahtjeve navedene u članku 42.;

35.

„elektronički dokument” znači svaki sadržaj koji je pohranjen u elektroničkom obliku, a posebno kao tekstualni ili zvučni, vizualni ili audiovizualni zapis;

36.

„usluga elektroničke preporučene dostave” znači usluga koja omogućava prijenos podataka među trećim stranama pomoću elektroničkih sredstava i pruža dokaz o postupanju s prenesenim podacima, uključujući dokaz o slanju i primanju podataka, čime se preneseni podaci štite od rizika gubitka, krađe, oštećenja ili bilo kakvih neovlaštenih preinaka;

37.

„kvalificirana usluga elektroničke preporučene dostave” znači usluga elektroničke preporučene dostave koja ispunjava zahtjeve utvrđene u članku 44.;

38.

„certifikat za autentikaciju mrežnih stranica” znači potvrda pomoću koje je moguće izvršiti autentikaciju mrežnih stranica te kojom se mrežne stranice povezuju s fizičkom ili pravnom osobom kojoj je izdan certifikat;

39.

„kvalificirani certifikat za autentikaciju mrežnih stranica” znači certifikat za autentikaciju mrežnih stranica koji izdaje kvalificirani pružatelj usluga povjerenja i koji ispunjava zahtjeve utvrđene u Prilogu IV.;

40.

„podaci za validaciju” znači podaci koji se koriste za validaciju elektroničkog potpisa ili elektroničkog pečata;

41.

„validacija” znači postupak verifikacije i potvrđivanja da su elektronički potpis ili pečat valjani.

(a)

sredstvo elektroničke identifikacije izdano je u okviru sustava elektroničke identifikacije koji je uvršten na popis koji je objavila Komisija na temelju članka 9.;

(b)

razina sigurnosti tih sredstava elektroničke identifikacije odgovara razini sigurnosti koja je jednaka ili viša od razine sigurnosti koju zahtijeva nadležno tijelo javnog sektora radi pristupa toj usluzi online u prvoj državi članici ili viša od te razine, pod uvjetom da razina sigurnosti tih sredstava elektroničke identifikacije odgovara značajnoj ili visokoj razini sigurnosti;

(c)

odgovarajuće tijelo javnog sektora primjenjuje značajnu ili visoku razinu sigurnosti u odnosu na pristupanje toj usluzi online.

(a)

sredstva elektroničke identifikacije u okviru sustava elektroničke identifikacije izdana su:

(b)

sredstva elektroničke identifikacije u okviru sustava elektroničke identifikacije mogu se koristiti za pristup barem jednoj usluzi koju pruža tijelo javnog sektora i koja zahtijeva elektroničku identifikaciju u državi članici koja provodi prijavljivanje;

(c)

sustav elektroničke identifikacije i sredstva elektroničke identifikacije izdana u okviru tog sustava ispunjavaju zahtjeve barem jedne od razina sigurnosti određenih u provedbenom aktu iz članka 8. stavka 3.;

(d)

država članica koja provodi prijavljivanje osigurava da se osobni identifikacijski podaci koji nedvojbeno predstavljaju osobu o kojoj je riječ, u skladu s tehničkim specifikacijama, normama i postupcima za odgovarajuću razinu sigurnosti određenu u provedbenom aktu iz članka 8. stavka 3., pripisuju fizičkoj ili pravnoj osobi iz članka 3. točke 1. u vrijeme kada su sredstva elektroničke identifikacije izdana u okviru tog sustava;

(e)

strana koja izdaje sredstva elektroničke identifikacije u okviru tog sustava osigurava da se sredstva elektroničke identifikacije pripisuju osobi iz točke (d) ovog članka u skladu s tehničkim specifikacijama, normama i postupcima za odgovarajuću razinu sigurnosti određenu u provedbenom aktu iz članka 8. stavka 3.;

(f)

država članica koja provodi prijavljivanje osigurava dostupnost autentikacije online, tako da svaka pouzdajuća strana s poslovnim nastanom na državnom području druge države članice može potvrditi osobne identifikacijske podatke zaprimljene u elektroničkom obliku.

Za pouzdajuće strane koje nisu tijela javnog sektora, država članica koja provodi prijavljivanje može odrediti uvjete pristupa toj autentikaciji. Prekogranična autentikacija pruža se bez naknade kada se provodi online u vezi s uslugom koju pruža tijelo javnog sektora.

Države članice ne nameću bilo kakve posebne nerazmjerne tehničke zahtjeve pouzdajućim stranama koje namjeravaju provesti takvu autentikaciju ako takvi zahtjevi sprečavaju ili znatno ograničavaju interoperabilnost prijavljenih sustava elektroničke identifikacije;

(g)

najmanje šest mjeseci prije prijave na temelju članka 9. stavka 1., za potrebe obveze prema članku 12. stavku 5., država članica koja provodi prijavljivanje drugoj državi članici dostavlja opis tog sustava u skladu s postupovnim aranžmanima koji su utvrđeni provedbenim aktima iz članka 12. stavka 7.;

(h)

sustav elektroničke identifikacije ispunjava zahtjeve određene u provedbenom aktu iz članka 12. stavka 8.

(a)

niska razina sigurnosti odnosi se na sredstva elektroničke identifikacije u kontekstu sustava elektroničke identifikacije, koja pruža ograničen stupanj pouzdanja u odnosu na traženi ili utvrđeni identitet osobe te je karakterizirana upućivanjem na tehničke specifikacije, norme i s njima povezane postupke, uključujući tehničke kontrole čija je svrha smanjenje rizika zlouporabe ili promjene identiteta;

(b)

značajna razina sigurnosti odnosi se na sredstva elektroničke identifikacije u kontekstu sustava elektroničke identifikacije, koja pruža značajan stupanj pouzdanja u odnosu na traženi ili utvrđeni identitet osobe te je karakterizirana upućivanjem na tehničke specifikacije, norme i s njima povezane postupke, uključujući tehničke kontrole čija je svrha značajno smanjenje rizika zlouporabe ili promjene identiteta;

(c)

visoka razina sigurnosti odnosi se na sredstva elektroničke identifikacije u kontekstu sustava elektroničke identifikacije, koja pruža viši stupanj pouzdanja u odnosu na traženi ili utvrđeni identitet osobe od sredstava elektroničke identifikacije sa značajnom razinom sigurnosti te je karakterizirana upućivanjem na tehničke specifikacije, norme i s njima povezane postupke, uključujući tehničke kontrole čija je svrha značajno smanjenje rizika zlouporabe ili promjene identiteta.

(a)

postupka radi dokazivanja i verifikacije identiteta fizičke ili pravne osobe koja podnosi zahtjev za izdavanje sredstava elektroničke identifikacije;

(b)

postupka za izdavanje traženih sredstava elektroničke identifikacije;

(c)

mehanizma autentikacije putem kojeg fizička ili pravna osoba koristi sredstva elektroničke identifikacije za potvrđivanje svoga identiteta pouzdajućoj strani;

(d)

tijela koje izdaje sredstvo elektroničke identifikacije;

(e)

svakog drugog tijela uključenog u podnošenje zahtjeva za izdavanje sredstava elektroničke identifikacije; i

(f)

tehničkih i sigurnosnih specifikacija izdanih sredstava elektroničke identifikacije.

(a)

opis sustava elektroničke identifikacije, uključujući njegove razine sigurnosti i izdavatelja ili izdavatelje sredstava elektroničke identifikacije u okviru sustava;

(b)

primjenjivi sustav nadzora i informacije o pravilima o odgovornosti s obzirom na sljedeće:

(c)

tijelo ili tijela odgovorno (odgovorna) za sustav elektroničke identifikacije;

(d)

informacije o subjektu ili subjektima koji upravljaju registracijom jedinstvenih osobnih identifikacijskih podataka;

(e)

opis načina ispunjavanja zahtjeva određenih u provedbenim aktima iz članka 12. stavka 8.;

(f)

opis autentikacije iz članka 7. točke (f);

(g)

dogovori za suspenziju ili opoziv bilo prijavljenog sustava elektroničke identifikacije ili autentikacije ili ugroženih dijelova o kojima je riječ.

(a)

za cilj ima tehnološku neutralnost i ne pravi razliku između bilo kojih posebnih nacionalnih tehničkih rješenja za elektroničku identifikaciju unutar određene države članice;

(b)

pridržava se europskih i međunarodnih normi, kada je to moguće;

(c)

olakšava provedbu načela „ugrađene zaštite privatnosti”; i

(d)

osigurava obradu osobnih podataka u skladu s Direktivom 95/46/EZ.

(a)

upućivanja na minimalne tehničke zahtjeve koji se odnose na razine sigurnosti prema članku 8.;

(b)

raspoređivanja nacionalnih razina sigurnosti prijavljenih sustava elektroničke identifikacije na razine sigurnosti prema članku 8.;

(c)

upućivanja na minimalne tehničke zahtjeve za interoperabilnost;

(d)

upućivanja na najmanji skup osobnih identifikacijskih podataka koji na nedvojben način predstavljaju fizičku ili pravnu osobu i kojim raspolažu sustavi elektroničke identifikacije;

(e)

poslovnika;

(f)

dogovorâ za rješavanje sporova; i

(g)

zajedničkih operativnih sigurnosnih normi.

(a)

interoperabilnosti sustava elektroničke identifikacije koji su prijavljeni na temelju članka 9. stavka 1. i sustava elektroničke identifikacije koje države članice namjeravaju prijaviti; i

(b)

sigurnosti sustavâ elektroničke identifikacije.

(a)

razmjene informacija, iskustva i dobre prakse u vezi sa sustavima elektroničke identifikacije i posebno u vezi s tehničkim zahtjevima koji se odnose na interoperabilnost i razine sigurnosti;

(b)

razmjene informacija, iskustva i dobre prakse u vezi s radom s razinama sigurnosti sustavâ elektroničke identifikacije u skladu s člankom 8.;

(c)

stručnog pregleda sustava elektroničke identifikacije obuhvaćenih ovom Uredbom; i

(d)

pregleda odgovarajućih kretanja u sektoru elektroničke identifikacije.

(a)

pružatelji usluga povjerenja u trećoj zemlji ili međunarodne organizacije s kojima je sklopljen sporazum i usluge povjerenja koje oni pružaju ispunjavaju zahtjeve koji se primjenjuju na kvalificirane pružatelje usluga povjerenja s poslovnim nastanom u Uniji i na kvalificirane usluge povjerenja koje oni pružaju;

(b)

kvalificirane usluge povjerenja koje pružaju kvalificirani pružatelji usluga povjerenja s poslovnim nastanom u Uniji budu priznate kao pravno jednake uslugama povjerenja koje pružaju pružatelji usluga povjerenja u trećoj zemlji ili koje pružaju međunarodne organizacije s kojima je sklopljen sporazum.

(a)

da nadzire kvalificirane pružatelje usluga povjerenja s poslovnim nastanom na državnom području države članice koja ga određuje kako bi se osiguralo, putem prethodnih (ex ante) i naknadnih (ex post) aktivnosti nadzora, da ti kvalificirani pružatelji usluga povjerenja i kvalificirane usluge povjerenja koje oni pružaju ispunjavaju zahtjeve utvrđene u ovoj Uredbi;

(b)

da, prema potrebi, poduzima mjere u odnosu na nekvalificirane pružatelje usluga povjerenja s poslovnim nastanom na državnom području države članice koja ga određuje, putem naknadnih (ex post) aktivnosti nadzora, kada primi obavijest da ti nekvalificirani pružatelji usluga povjerenja ili usluge povjerenja koje oni pružaju navodno ne ispunjavaju zahtjeve utvrđene u ovoj Uredbi.

(a)

suradnju s drugim nadzornim tijelima i pružanje pomoći tim tijelima u skladu s člankom 18.;

(b)

analiziranje izvješćâ o ocjenjivanju sukladnosti iz članka 20. stavka 1. i članka 21. stavka 1.;

(c)

obavješćivanje drugih nadzornih tijela i javnosti o povredama sigurnosti ili gubitku cjelovitosti u skladu s člankom 19. stavkom 2.;

(d)

izvješćivanje Komisije o svojim glavnim aktivnostima u skladu sa stavkom 6. ovog članka;

(e)

obavljanje revizija ili zahtijevanje od tijela za ocjenjivanje sukladnosti da provede ocjenjivanje sukladnosti kvalificiranih pružatelja usluga povjerenja u skladu s člankom 20. stavkom 2.;

(f)

suradnju s tijelima za zaštitu podataka, a posebice obavješćujući ih, bez odgađanja, o rezultatima revizija kvalificiranih pružatelja usluga povjerenja, u slučaju kada se čini da je došlo do povrede pravila o zaštiti osobnih podataka;

(g)

dodjeljivanje kvalificiranog statusa pružateljima usluga povjerenja i uslugama koje oni pružaju i ukidanje tog statusa u skladu s člancima 20. i 21.;

(h)

obavješćivanje tijela odgovornog za nacionalni pouzdani popis iz članka 22. stavka 3. o odlukama o dodjeljivanju ili ukidanju kvalificiranog statusa, osim ako je to tijelo ujedno i nadzorno tijelo;

(i)

provjeravanje postojanja i pravilne primjene odredaba o planovima prekida u slučajevima kada kvalificirani pružatelj usluga povjerenja prekine svoje aktivnosti, uključujući način na koji se održava dostupnost informacija u skladu s člankom 24. stavkom 2. točkom (h);

(j)

zahtijevanje od pružatelja usluga povjerenja da otklone svako nepoštovanje zahtjeva utvrđenih u ovoj Uredbi.

(a)

nadzorno tijelo nije nadležno za pružanje tražene pomoći;

(b)

tražena pomoć nije razmjerna aktivnostima nadzora nadzornog tijela koje se provode u skladu s člankom 17.;

(c)

pružanje tražene pomoći ne bi bilo u skladu s ovom Uredbom.

(a)

podrobnije odrediti mjere iz stavka 1.; i

(b)

odrediti oblike i postupke, uključujući rokove, primjenjive za potrebe stavka 2.

(a)

akreditacije tijela za ocjenu sukladnosti i za izvješće o ocjenjivanju sukladnosti iz stavka 1.;

(b)

pravila revizije prema kojima će tijela za ocjenjivanje sukladnosti provoditi ocjenjivanje sukladnosti kvalificiranih pružatelja usluga povjerenja kako je navedeno u stavku 1.

(a)

fizičkom prisutnošću fizičke osobe ili ovlaštenog predstavnika pravne osobe; ili

(b)

na daljinu, pomoću sredstava elektroničke identifikacije, za koja je prije izdavanja kvalificiranog certifikata osigurana fizička prisutnost fizičke osobe ili ovlaštenog predstavnika pravne osobe i koja ispunjavaju zahtjeve određene u članku 8. u pogledu sigurnosnih razina „značajna” ili „visoka”; ili

(c)

pomoću certifikata kvalificiranog elektroničkog potpisa ili kvalificiranog elektroničkog pečata izdanog u skladu s točkom (a) ili (b); ili

(d)

pomoću drugih metoda identifikacije priznatih na nacionalnoj razini koja po pitanju pouzdanosti pružaju sigurnost jednaku fizičkoj prisutnosti. Jednaku sigurnost potvrđuje tijelo za ocjenjivanje sukladnosti.

(a)

obavješćuje nadzorno tijelo o svim promjenama u vezi s pružanjem svojih kvalificiranih usluga povjerenja te o namjeri prestanka obavljanja te djelatnosti;

(b)

zapošljava osoblje i, ako je to primjenjivo, podizvođače koji posjeduju potrebno stručno znanje, pouzdanost, iskustvo i kvalifikacije i koji su prošli odgovarajuće osposobljavanje u vezi sa sigurnošću i propisima o zaštiti osobnih podataka te primjenjuju upravne i upravljačke postupke u skladu s europskim ili međunarodnim normama;

(c)

u pogledu rizika od odgovornosti za štetu u skladu s člankom 13., raspolaže dostatnim financijskim sredstvima i/ili je sklopio odgovarajuće osiguranje od odgovornosti, u skladu s nacionalnim pravom;

(d)

prije stupanja u ugovorni odnos, obavješćuje, na jasan i sveobuhvatan način, svaku osobu koja želi koristiti kvalificiranu uslugu povjerenja o točnim uvjetima korištenja tom uslugom, uključujući bilo kakva ograničenja korištenja;

(e)

koristi vjerodostojne sustave i proizvode koji su zaštićeni od preinaka te osiguravaju tehničku sigurnost i pouzdanost postupaka koje ti sustavi i proizvodi podržavaju;

(f)

koristi vjerodostojne sustave za pohranu podataka koji su mu dostavljeni, u obliku koji se može provjeriti, kako bi:

(g)

poduzima odgovarajuće mjere protiv krivotvorenja i krađe podataka;

(h)

bilježi i čini dostupnima tijekom odgovarajućeg razdoblja, uključujući razdoblje nakon prestanka obavljanja djelatnosti kvalificiranog pružatelja usluga povjerenja, sve bitne informacije u vezi s podacima koje izdaje i prima kvalificirani pružatelj usluga povjerenja, a posebno za potrebe predlaganja dokaza u sudskim postupcima i u svrhu osiguravanja kontinuiteta usluge. Takvo se bilježenje može obavljati elektronički;

(i)

ima ažuriran plan prekida pružanja usluge radi osiguravanja njezina kontinuiteta u skladu s odredbama koje je potvrdilo nadzorno tijelo prema članku 17. stavku 4. točki (i);

(j)

osigurava zakonitu obradu osobnih podataka u skladu s Direktivom 95/46/EZ;

(k)

ako je riječ o kvalificiranim pružateljima usluga povjerenja koji izdaju kvalificirane certifikate, uspostavlja i ažurira bazu podataka certifikata.

(a)

na nedvojben način je povezan s potpisnikom;

(b)

omogućava identificiranje potpisnika;

(c)

izrađen je korištenjem podacima za izradu elektroničkog potpisa koje potpisnik može, uz visoku razinu pouzdanja, koristiti pod svojom isključivom kontrolom; i

(d)

povezan je s njime potpisanim podacima na način da se može otkriti bilo koja naknadna izmjena podataka.

(a)

ako je kvalificirani certifikat za elektronički potpis privremeno suspendiran, taj certifikat gubi valjanost tijekom razdoblja suspenzije;

(b)

razdoblje suspenzije jasno se naznačuje u bazi podataka certifikata, a status suspenzije je tijekom razdoblja suspenzije vidljiv iz usluge u okviru koje se pružaju informacije o statusu certifikata.

(a)

postupku sigurnosne evaluacije u skladu s jednom od normi za ocjenu sigurnosti proizvoda informacijske tehnologije uvrštenih na popis koji se utvrđuje u skladu s drugim podstavkom; ili

(b)

postupku različitom od postupka iz prethodne točke, pod uvjetom da on koristi usporedive sigurnosne razine te pod uvjetom da javno ili privatno tijelo iz stavka 1. obavijesti Komisiju o tom postupku. Taj se postupak može koristiti samo u slučaju nepostojanja normi navedenih u točki (a) ili kada je postupak sigurnosne evaluacije iz točke (a) u tijeku.

(a)

certifikat koji podržava potpis je u trenutku potpisivanja bio kvalificirani certifikat za elektronički potpis koji je u skladu Prilogom I.;

(b)

kvalificirani certifikat izdao je kvalificirani pružatelj usluga povjerenja i bio je valjan u trenutku potpisivanja;

(c)

podaci za validaciju potpisa odgovaraju podacima koji se pružaju pouzdajućoj strani;

(d)

jedinstveni skup podataka koji predstavlja potpisnika u certifikatu ispravno je dostavljen pouzdajućoj strani;

(e)

korištenje pseudonimom, ako je pseudonim bio korišten u trenutku potpisivanja, jasno je naznačeno pouzdajućoj strani;

(f)

elektronički potpis izrađen je sredstvom za izradu kvalificiranog elektroničkog potpisa;

(g)

nije ugrožena cjelovitost potpisanih podataka;

(h)

zahtjevi predviđeni u članku 26. bili su ispunjeni u trenutku potpisivanja.

(a)

pruža validaciju u skladu s člankom 32. stavkom 1.; i

(b)

omogućuje pouzdajućim stranama primanje rezultata postupka validacije na automatizirani način koji je pouzdan, učinkovit i nosi napredan elektronički potpis ili napredan elektronički pečat kvalificiranog pružatelja usluge validacije.

(a)

na nedvojben način je povezan s autorom pečata;

(b)

omogućava identificiranje autora pečata;

(c)

izrađen je korištenjem podacima za izradu elektroničkog pečata koje autor pečata može, uz visoku razinu pouzdanja i pod svojom kontrolom, koristiti za izradu elektroničkog pečata; i

(d)

povezan je s podacima na koje se odnosi na takav način da se može otkriti bilo koja naknadna izmjena podataka.

(a)

ako je kvalificirani certifikat za elektronički pečat privremeno suspendiran, taj certifikat gubi valjanost tijekom razdoblja suspenzije;

(b)

razdoblje suspenzije jasno se naznačuje u bazi podataka certifikata, a status suspenzije je tijekom razdoblja suspenzije vidljiv iz usluge u okviru koje pružaju informacije o statusu certifikata.

(a)

povezuje datum i vrijeme s podacima na način kojim se u razumnoj mjeri isključuje mogućnost nezapažene promjene podataka;

(b)

temelji se na izvoru točnog vremena povezanom s koordiniranim svjetskim vremenom; i

(c)

potpisan je pomoću naprednog elektroničkog potpisa ili pečaćen pomoću naprednog elektroničkog pečata kvalificiranog pružatelja usluga povjerenja ili jednakovrijednom metodom.

(a)

pruža ih jedan kvalificirani pružatelj usluga povjerenja ili više njih;

(b)

uz visoku razinu pouzdanja osiguravaju identifikaciju pošiljatelja;

(c)

osiguravaju identifikaciju primatelja prije dostave podataka;

(d)

slanje i primanje podataka osigurano je naprednim elektroničkim potpisom ili naprednim elektroničkim pečatom kvalificiranog pružatelja usluga povjerenja na način kojim se isključuje mogućnost nezapažene promjene podataka;

(e)

pošiljatelju i primatelju podataka jasno se naznačuje svaka promjena podataka potrebna radi slanja ili primanja podataka;

(f)

datum i vrijeme slanja, primanja i eventualne promjene podataka naznačuju se kvalificiranim elektroničkim vremenskim žigom.

(a)

članak 8. stavak 3., članak 9. stavak 5., članak 12. stavci od 2. do 9., članak 17. stavak 8., članak 19. stavak 4., članak 20. stavak 4., članak 21. stavak 4., članak 22. stavak 5., članak 23. stavak 3., članak 24. stavak 5., članak 27. stavci 4. i 5., članak 28. stavak 6., članak 29. stavak 2., članak 30. stavci 3. i 4., članak 31. stavak 3., članak 32. stavak 3., članak 33. stavak 2., članak 34. stavak 2., članak 37. stavci 4. i 5., članak 38. stavak 6., članak 42. stavak 2., članak 44. stavak 2., članak 45. stavak 2., članak 47. i članak 48. primjenjuju se od 17. rujna 2014.;

(b)

članak 7., članak 8. stavci 1. i 2., članci 9.,10., 11. i članak 12. stavak 1. primjenjuju se od dana primjene provedbenih akata iz članka 8. stavka 3. i članka 12. stavka 8.;

(c)

članak 6. primjenjuje se nakon tri godine od dana primjene provedbenih akata iz članka 8. stavka 3. i članka 12. stavka 8.