This document is an excerpt from the EUR-Lex website
Document 02014R0910-20241018
Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC
Consolidated text: 2014 m. liepos 23 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje, kuriuo panaikinama Direktyva 1999/93/EB
2014 m. liepos 23 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje, kuriuo panaikinama Direktyva 1999/93/EB
02014R0910 — LT — 18.10.2024 — 002.001
Šis tekstas yra skirtas tik informacijai ir teisinės galios neturi. Europos Sąjungos institucijos nėra teisiškai atsakingos už jo turinį. Autentiškos atitinkamų teisės aktų, įskaitant jų preambules, versijos skelbiamos Europos Sąjungos oficialiajame leidinyje ir pateikiamos svetainėje „EUR-Lex“. Oficialūs tekstai tiesiogiai prieinami naudojantis šiame dokumente pateikiamomis nuorodomis
|
EUROPOS PARLAMENTO IR TARYBOS REGLAMENTAS (ES) Nr. 910/2014 2014 m. liepos 23 d. (OL L 257 2014.8.28, p. 73) |
Iš dalies keičiamas:
|
|
|
Oficialusis leidinys |
||
|
Nr. |
puslapis |
data |
||
|
EUROPOS PARLAMENTO IR TARYBOS DIREKTYVA (ES) 2022/2555 2022 m. gruodžio 14 d. |
L 333 |
80 |
27.12.2022 |
|
|
EUROPOS PARLAMENTO IR TARYBOS REGLAMENTAS (ES) 2024/1183 2024 m. balandžio 11 d. |
L 1183 |
1 |
30.4.2024 |
|
Pataisytas:
EUROPOS PARLAMENTO IR TARYBOS REGLAMENTAS (ES) Nr. 910/2014
2014 m. liepos 23 d.
dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje, kuriuo panaikinama Direktyva 1999/93/EB
I
SKYRIUS
BENDROSIOS NUOSTATOS
1 straipsnis
Dalykas
Šiuo reglamentu siekiama užtikrinti tinkamą vidaus rinkos veikimą ir tinkamo lygio visoje Sąjungoje naudojamų elektroninės atpažinties priemonių ir patikimumo užtikrinimo paslaugų saugumą, kad fiziniams ir juridiniams asmenims būtų sudarytos sąlygos ir palengvinta naudotis teise saugiai dalyvauti skaitmeninėje visuomenėje ir naudotis viešosiomis ir privačiomis paslaugomis internetu visoje Sąjungoje. Tais tikslais šiame reglamente:
nustatomos sąlygos, kuriomis valstybės narės turi pripažinti fizinių ir juridinių asmenų elektroninės atpažinties priemones, kurioms taikoma kitos valstybės narės elektroninės atpažinties schema, apie kurią pranešta, ir teikti europines skaitmeninės tapatybės dėkles bei jas pripažinti;
nustatomos patikimumo užtikrinimo paslaugų, visų pirma elektroninių operacijų, taisyklės;
nustatoma elektroninių parašų, elektroninių spaudų, elektroninių laiko žymų, elektroninių dokumentų, elektroninio registruoto pristatymo paslaugų, interneto svetainių tapatumo nustatymo sertifikavimo paslaugų, elektroninio archyvavimo, elektroninio požymių liudijimo, elektroninio parašo kūrimo įtaisų, elektroninio spaudo kūrimo įtaisų ir elektroninių registrų teisinė sistema;
2 straipsnis
Taikymo sritis
3 straipsnis
Terminų apibrėžtys
Šiame reglamente vartojamų terminų apibrėžtys:
|
1. |
elektroninė atpažintis – elektroninės formos asmens tapatybės duomenų, kuriais vienareikšmiškai nurodomas konkretus fizinis ar juridinis asmuo arba kitam fiziniam asmeniui ar juridiniam asmeniui atstovaujantis fizinis asmuo, naudojimo procesas; |
|
2. |
elektroninės atpažinties priemonė – materialus ir (arba) nematerialus objektas, kuriame yra asmens tapatybės duomenys ir kuris naudojamas asmens, siekiančio naudotis paslauga, tapatumui nustatyti prisijungus arba, kai tinkama, neprisijungus prie interneto; |
|
3. |
asmens tapatybės duomenys – pagal Sąjungos ar nacionalinę teisę suteiktas duomenų rinkinys, pagal kurį galima nustatyti fizinio ar juridinio asmens arba kitam fiziniam asmeniui ar juridiniam asmeniui atstovaujančio fizinio asmens tapatybę; |
|
4. |
elektroninės atpažinties schema – elektroninės atpažinties sistema, pagal kurią fiziniams ar juridiniams asmenims arba kitiems fiziniams asmenims ar juridiniams asmenims atstovaujantiems fiziniams asmenims išduodamos elektroninės atpažinties priemonės; |
|
5. |
tapatumo nustatymas – elektroninis procesas, leidžiantis patvirtinti fizinio arba juridinio asmens elektroninę atpažintį arba patvirtinti elektroninės formos duomenų kilmę ir vientisumą; |
|
5a. |
naudotojas – fizinis ar juridinis asmuo arba kitam fiziniam asmeniui ar juridiniam asmeniui atstovaujantis fizinis asmuo, kuris naudojasi pagal šį reglamentą teikiamomis patikimumo užtikrinimo paslaugomis arba elektroninės atpažinties priemonėmis; |
|
6. |
pasikliaujančioji šalis – fizinis ar juridinis asmuo, kuris pasikliauja elektronine atpažintimi, europinėmis skaitmeninės tapatybės dėklėmis ar kitomis elektroninės atpažinties priemonėmis arba patikimumo užtikrinimo paslauga; |
|
7. |
viešojo sektoriaus įstaiga – valstybės, regioninė arba vietos valdžios institucija, viešosios teisės reglamentuojama įstaiga ar vienos arba kelių tokių institucijų arba vienos ar kelių tokių viešosios teisės reglamentuojamų įstaigų sudaryta asociacija arba bent vienos iš šių institucijų, įstaigų ar asociacijų teikti viešąsias paslaugas įgaliotas privatusis subjektas, kai jis veikia pagal tokį įgaliojimą; |
|
8. |
viešosios teisės reglamentuojamas subjektas – subjektas, kaip apibrėžta Europos Parlamento ir Tarybos direktyvos 2014/24/ES ( 2 ) 2 straipsnio 1 dalies 4 punkte; |
|
9. |
pasirašantis asmuo – fizinis asmuo, kuris sukuria elektroninį parašą; |
|
10. |
elektroninis parašas – elektroninės formos duomenys, kurie yra prijungti prie kitų elektroninės formos duomenų arba logiškai susieti su jais ir kuriuos pasirašantis asmuo naudoja pasirašydamas; |
|
11. |
pažangusis elektroninis parašas – elektroninis parašas, atitinkantis 26 straipsnyje nustatytus reikalavimus; |
|
12. |
kvalifikuotas elektroninis parašas – pažangusis elektroninis parašas, sukurtas naudojant kvalifikuotą elektroninio parašo kūrimo įtaisą ir patvirtintas kvalifikuotu elektroninio parašo sertifikatu; |
|
13. |
elektroninio parašo kūrimo duomenys – unikalūs duomenys, kuriuos pasirašantis asmuo naudoja kurdamas elektroninį parašą; |
|
14. |
elektroninio parašo sertifikatas – elektroninis liudijimas, kuriuo elektroninio parašo patvirtinimo duomenys susiejami su fiziniu asmeniu ir kuriuo patvirtinamas bent to asmens vardas ir pavardė arba slapyvardis; |
|
15. |
kvalifikuotas elektroninio parašo sertifikatas – elektroninio parašo sertifikatas, kurį išduoda kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas ir kuris atitinka I priede nustatytus reikalavimus; |
|
16. |
patikimumo užtikrinimo paslauga – elektroninė paslauga, kuri paprastai teikiama už atlygį ir kurią sudaro bet kuris iš toliau nurodytų aspektų:
a)
elektroninių parašų sertifikatų, elektroninių spaudų sertifikatų, interneto svetainių tapatumo nustatymo sertifikatų arba kitų patikimumo užtikrinimo paslaugų teikimo sertifikatų išdavimas;
b)
elektroninių parašų sertifikatų, elektroninių spaudų sertifikatų, interneto svetainių tapatumo nustatymo sertifikatų arba kitų patikimumo užtikrinimo paslaugų teikimo sertifikatų patvirtinimas;
c)
elektroninių parašų arba elektroninių spaudų kūrimas;
d)
elektroninių parašų arba elektroninių spaudų patvirtinimas;
e)
elektroninių parašų, elektroninių spaudų, elektroninių parašų sertifikatų arba elektroninių spaudų sertifikatų išsaugojimas;
f)
nuotolinių elektroninio parašo kūrimo įtaisų arba nuotolinių elektroninio spaudo kūrimo įtaisų administravimas;
g)
elektroninių požymių liudijimų išdavimas;
h)
elektroninio požymių liudijimo patvirtinimas;
i)
elektroninių laiko žymų sukūrimas;
j)
elektroninių laiko žymų patvirtinimas;
k)
elektroninio registruoto pristatymo paslaugų teikimas;
l)
duomenų, perduodamų naudojantis elektroninio registruoto pristatymo paslaugomis, ir susijusių įrodymų patvirtinimas;
m)
elektroninių duomenų ir elektroninių dokumentų elektroninis archyvavimas;
n)
elektroninių duomenų įrašymas į elektroninį registrą; |
|
17. |
kvalifikuota patikimumo užtikrinimo paslauga – šiame reglamente nustatytus taikytinus reikalavimus atitinkanti patikimumo užtikrinimo paslauga; |
|
18. |
atitikties vertinimo įstaiga – Reglamento (EB) Nr. 765/2008 2 straipsnio 13 punkte apibrėžta atitikties vertinimo įstaiga, pagal tą reglamentą akredituota kaip kompetentinga įstaiga atlikti kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo ir jo teikiamų kvalifikuotų patikimumo užtikrinimo paslaugų atitikties vertinimą arba kaip kompetentinga atlikti europinių skaitmeninės tapatybės dėklių ar elektroninės atpažinties priemonių sertifikavimą; |
|
19. |
patikimumo užtikrinimo paslaugų teikėjas – fizinis arba juridinis asmuo, teikiantis vieną arba daugiau patikimumo užtikrinimo paslaugų arba kaip kvalifikuotas, arba kaip nekvalifikuotas patikimumo užtikrinimo paslaugų teikėjas; |
|
20. |
kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas – patikimumo užtikrinimo paslaugų teikėjas, teikiantis vieną ar daugiau kvalifikuotų patikimumo užtikrinimo paslaugų, kuriam priežiūros įstaiga yra suteikusi kvalifikacijos statusą; |
|
21. |
produktas – aparatinė ar programinė įranga arba aparatinės ar programinės įrangos svarbūs komponentai, skirti naudoti teikiant elektroninės atpažinties ir patikimumo užtikrinimo paslaugas; |
|
22. |
elektroninio parašo kūrimo įtaisas – sukonfigūruota programinė arba aparatinė įranga, naudojama elektroniniam parašui kurti; |
|
23. |
kvalifikuotas elektroninio parašo kūrimo įtaisas – elektroninio parašo kūrimo įtaisas, atitinkantis II priede nustatytus reikalavimus; |
|
23a. |
nuotolinis kvalifikuotas elektroninio parašo kūrimo įtaisas – kvalifikuotas elektroninio parašo kūrimo įtaisas, kurį pasirašančiojo vardu pagal 29a straipsnį administruoja kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas; |
|
23b. |
nuotolinis kvalifikuotas elektroninio spaudo kūrimo įtaisas – kvalifikuotas elektroninio spaudo kūrimo įtaisas, kurį spaudo kūrėjo vardu pagal 39a straipsnį administruoja kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas; |
|
24. |
spaudo kūrėjas – juridinis asmuo, kuris sukuria elektroninį spaudą; |
|
25. |
elektroninis spaudas – elektroninės formos duomenys, prijungti prie kitų elektroninės formos duomenų arba su jais logiškai susieti, kad būtų užtikrinta pastarųjų kilmė ir vientisumas; |
|
26. |
pažangusis elektroninis spaudas – elektroninis spaudas, atitinkantis 36 straipsnyje nustatytus reikalavimus; |
|
27. |
kvalifikuotas elektroninis spaudas – pažangusis elektroninis spaudas, sukurtas naudojant kvalifikuotą elektroninio spaudo kūrimo įtaisą ir patvirtintas kvalifikuotu elektroninio spaudo sertifikatu; |
|
28. |
elektroninio spaudo kūrimo duomenys – unikalūs duomenys, kuriuos elektroninio spaudo kūrėjas naudoja kurdamas elektroninį spaudą; |
|
29. |
elektroninio spaudo sertifikatas – elektroninis liudijimas, kuriuo elektroninio spaudo patvirtinimo duomenys susiejami su juridiniu asmeniu ir kuriuo patvirtinamas to asmens pavadinimas; |
|
30. |
kvalifikuotas elektroninio spaudo sertifikatas – elektroninio spaudo sertifikatas, kurį išduoda kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas ir kuris atitinka III priede nustatytus reikalavimus; |
|
31. |
elektroninio spaudo kūrimo įtaisas – sukonfigūruota programinė arba aparatinė įranga, naudojama elektroniniam spaudui kurti; |
|
32. |
kvalifikuotas elektroninio spaudo kūrimo įtaisas – elektroninio spaudo kūrimo įtaisas, atitinkantis mutatis mutandis II priede nustatytus reikalavimus; |
|
33. |
elektroninė laiko žyma – elektroninės formos duomenys, kuriais kiti elektroninės formos duomenys susiejami su tam tikru laiku ir taip sukuriamas įrodymas, kad pastarieji egzistavo tuo metu; |
|
34. |
kvalifikuota elektroninė laiko žyma – elektroninė laiko žyma, atitinkanti 42 straipsnyje nustatytus reikalavimus; |
|
35. |
elektroninis dokumentas – bet koks turinys, saugomas elektronine forma, visų pirma tekstas ar garsas, vaizdo arba garso ir vaizdo įrašas; |
|
36. |
elektroninio registruoto pristatymo paslauga – paslauga, kuria sudaroma galimybė perduoti duomenis elektroninėmis priemonėmis tarp trečiųjų šalių ir kuria suteikiama su perduodamų duomenų tvarkymu susijusių įrodymų, įskaitant duomenų išsiuntimo ir gavimo įrodymą, ir kuria perduodami duomenys apsaugomi nuo praradimo, vagystės, sugadinimo arba neteisėto pakeitimo rizikos; |
|
37. |
kvalifikuota elektroninio registruoto pristatymo paslauga – elektroninio registruoto pristatymo paslauga, atitinkanti 44 straipsnyje nustatytus reikalavimus; |
|
38. |
interneto svetainės tapatumo nustatymo sertifikatas – elektroninis liudijimas, suteikiantis galimybę nustatyti interneto svetainės tapatumą ir susiejantis interneto svetainę su fiziniu ar juridiniu asmeniu, kuriam buvo išduotas sertifikatas; |
|
39. |
kvalifikuotas interneto svetainės tapatumo nustatymo sertifikatas – interneto svetainės tapatumo nustatymo sertifikatas, kurį išduoda kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas ir kuris atitinka IV priede nustatytus reikalavimus; |
|
40. |
patvirtinimo duomenys – duomenys, naudojami patvirtinti elektroninio parašo arba elektroninio spaudo galiojimą; |
|
41. |
patvirtinimas – patikrinimo ir patvirtinimo, kad elektroninės formos duomenys galioja pagal šį reglamentą, procedūra; |
|
42. |
europinė skaitmeninės tapatybės dėklė – elektroninės atpažinties priemonė, kuria naudodamasis naudotojas gali saugiai saugoti, tvarkyti ir patvirtinti asmens tapatybės duomenis ir elektroninius požymių liudijimus, kad galėtų juos pateikti pasikliaujančiosioms šalims ir kitiems europinių skaitmeninės tapatybės dėklių naudotojams, ir pasirašyti kvalifikuotu elektroniniu parašu ir užantspauduoti naudojant kvalifikuotus elektroninius spaudus; |
|
43. |
požymis – fizinio ar juridinio asmens arba objekto ypatybė, savybė, teisė ar leidimas; |
|
44. |
elektroninis požymių liudijimas – elektroninės formos liudijimas, pagal kurį galima nustatyti požymių tapatumą; |
|
45. |
kvalifikuotas elektroninis požymių liudijimas – elektroninis požymių liudijimas, kurį išduoda kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas ir kuris atitinka V priede nustatytus reikalavimus; |
|
46. |
elektroninis požymių liudijimas, išduotas už autentišką šaltinį atsakingos viešojo sektoriaus įstaigos arba jos vardu – elektroninis požymių liudijimas, išduotas už autentišką šaltinį atsakingos viešojo sektoriaus įstaigos arba viešojo sektoriaus įstaigos, valstybės narės paskirtos išduoti tokius požymių liudijimus viešojo sektoriaus įstaigų, atsakingų už autentiškus šaltinius pagal 45f straipsnį ir VII priedą, vardu; |
|
47. |
autentiškas šaltinis – viešojo sektoriaus įstaigos arba privačiojo subjekto kontroliuojama saugykla arba sistema, kurioje saugomi fizinio ar juridinio asmens arba objekto požymiai, kuri juos teikia ir kuri laikoma vienu iš pirminių tos informacijos šaltinių arba pagal Sąjungos ar nacionalinę teisę, įskaitant administracinę praktiką, yra pripažįstama autentiška; |
|
48. |
elektroninis archyvavimas – paslauga, kuria užtikrinamas elektroninių duomenų ir elektroninių dokumentų gavimas, saugojimas, radimas ir šalinimas siekiant užtikrinti jų patvarumą ir įskaitomumą, taip pat išsaugoti jų vientisumą, konfidencialumą ir kilmės įrodymą visą saugojimo laikotarpį; |
|
49. |
kvalifikuota elektroninio archyvavimo paslauga – elektroninio archyvavimo paslauga, kurią teikia kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas ir kuri atitinka 45j straipsnyje nustatytus reikalavimus; |
|
50. |
ES skaitmeninės tapatybės dėklės patikimumo ženklas – aiškiai nurodomas patikrinamas, paprastas ir atpažįstamas ženklas, kad europinė skaitmeninės tapatybės dėklė suteikta pagal šį reglamentą; |
|
51. |
saugesnis naudotojo tapatumo nustatymas – suprojektuotas taip, kad būtų apsaugotas tapatumo nustatymo duomenų konfidencialumas, tapatumo nustatymas, kai naudojami bent du tapatumo nustatymo veiksniai iš skirtingų kategorijų: žinojimo (tai, ką žino tik naudotojas), turėjimo (tai, ką turi tik naudotojas) ir būdingumo (tai, kas būdinga naudotojui), kurie yra vienas nuo kito nepriklausomi ir kurių vieną pažeidus kitų patikimumas nesumažėja; |
|
52. |
elektroninis registras – elektroninių duomenų įrašų seka, kuria užtikrinamas tų įrašų vientisumas ir chronologinės tų įrašų tvarkos tikslumas; |
|
53. |
kvalifikuotas elektroninis registras – elektroninis registras, kurį teikia kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas ir kuris atitinka 45l straipsnyje nustatytus reikalavimus; |
|
54. |
asmens duomenys – bet kokia informacija, kaip apibrėžta Reglamento (ES) 2016/679 4 straipsnio 1 punkte; |
|
55. |
tapatybės atitikties nustatymas – procesas, kurio metu nustatoma asmens tapatybės duomenų ar elektroninių tapatybės nustatymo priemonių ir esamos tam pačiam asmeniui priklausančios paskyros atitiktis arba jie susiejami su ta paskyra; |
|
56. |
duomenų įrašas – elektroniniai duomenys, įrašyti su susijusiais metaduomenimis, padedančiais tvarkyti duomenis; |
|
57. |
neprisijungimas prie interneto – kalbant apie europinių skaitmeninės tapatybės dėklių naudojimą, naudotojo ir trečiosios šalies sąveika fizinėje vietoje naudojant artimojo ryšio technologijas, kai sąveikos tikslais nebūtina naudojant europinę skaitmeninės tapatybės dėklę prisijungti prie nuotolinių sistemų elektroninių ryšių tinklais. |
4 straipsnis
Vidaus rinkos principas
5 straipsnis
Vykdant elektroninę operaciją naudojami slapyvardžiai
Nedarant poveikio konkrečioms Sąjungos ar nacionalinės teisės taisyklėms, pagal kurias reikalaujama, kad naudotojai nurodytų savo tapatybę, arba slapyvardžiams suteiktai teisinei galiai pagal nacionalinę teisę, naudoti naudotojo pasirinktus slapyvardžius nedraudžiama.
II
SKYRIUS
ELEKTRONINĖ ATPAŽINTIS
1 SKIRSNIS
Europinė skaitmeninės tapatybės dėklė
5a straipsnis
Europinės skaitmeninės tapatybės dėklės
Europinės skaitmeninės tapatybės dėklės yra teikiamos vienu ar daugiau toliau nurodytų būdų:
tiesiogiai valstybės narės;
pagal valstybės narės suteiktą įgaliojimą;
nepriklausomai nuo valstybės narės, bet tai valstybei narei pripažįstant.
Naudodamasis europinėmis skaitmeninės tapatybės dėklėmis naudotojas gali jam patogiu, aiškiu ir atsekamu būdu:
kontroliuojant vien naudotojui saugiai prašyti asmens tapatybės duomenų, juos gauti, pasirinkti, jungti, saugoti, šalinti, jais dalytis ir juos pateikti ir, kai taikytina, kartu su elektroniniais požymių liudijimais, pasikliaujančiosioms šalims patvirtinti savo tapatumą prisijungus ir, kai tinkama, neprisijungus prie interneto, kad galėtų gauti prieigą prie viešųjų ir privačiųjų paslaugų, kartu užtikrinant, kad būtų galima pasirinktinai atskleisti duomenis;
generuoti slapyvardžius ir saugoti juos užšifruotus vietos lygmeniu europinėje skaitmeninės tapatybės dėklėje;
saugiai nustatyti kito asmens europinės skaitmeninės tapatybės dėklės tapatumą ir saugiai gauti asmens tapatybės duomenis bei elektroninius požymių liudijimus ir jais dalytis tarp dviejų europinių skaitmeninės tapatybės dėklių;
prisijungti prie visų operacijų, vykdomų per europinę skaitmeninės tapatybės dėklę, registro per bendrą skydelį, kad naudotojas galėtų:
peržiūrėti naujausią pasikliaujančiųjų šalių, su kuriomis naudotojas užmezgė ryšį, sąrašą ir, kai taikytina, visus duomenis, kuriais keistasi;
lengvai prašyti, kad pasikliaujančioji šalis ištrintų asmens duomenis pagal Reglamento (ES) 2016/679 17 straipsnį;
lengvai pranešti apie pasikliaunančiąją šalį kompetentingai nacionalinei duomenų apsaugos institucijai, kai gaunamas tariamai neteisėtas ar įtartinas duomenų prašymas;
pasirašyti kvalifikuotu elektroniniu parašu ar užantspauduoti naudojant kvalifikuotus elektroninius spaudus;
kiek techniškai įmanoma, parsisiųsdinti naudotojo duomenis, elektroninį požymių liudijimus ir konfigūracijas;
naudotis naudotojo teisėmis į duomenų perkeliamumą.
Europinėse skaitmeninės tapatybės dėklėse visų pirma:
palaikomi bendri protokolai ir sąsajos:
kad į europinę skaitmeninės tapatybės dėklę būtų išduodami asmens tapatybės duomenys, kvalifikuoti ir nekvalifikuoti elektroniniai požymių liudijimai ar kvalifikuoti ir nekvalifikuoti sertifikatai;
pasikliaujančiosioms šalims, kad šios galėtų prašyti asmens tapatybės duomenų ir elektroninių požymių liudijimų ir juos tikrinti;
siekiant prisijungus ir, kai tinkama, neprisijungus prie interneto dalytis asmens tapatybės duomenimis, elektroniniu požymių liudijimu arba pasirinktinai atskleistais susijusiais duomenimis su pasikliaujančiosioms šalims ir juos joms pateikti;
kad būtų galima naudotojo sąveika su europine skaitmeninės tapatybės dėkle ir būtų rodomas ES skaitmeninės tapatybės dėklės patikimumo ženklas;
kad būtų saugiai prijungiamas naudotojas, naudojantis elektroninės atpažinties priemonėmis pagal 5a straipsnio 24 dalį;
kad būtų užtikrinta sąveika tarp dviejų asmenų europinių skaitmeninės tapatybės dėklių siekiant saugiu būdu gauti, patvirtinti ir dalintis asmens tapatybės duomenimis bei elektroniniais požymių liudijimais;
siekiant nustatyti ir nurodyti pasikliaujančiųjų šalių tapatybę įgyvendinant tapatumo nustatymo mechanizmus pagal 5b straipsnį;
kad pasikliaujančiosios šalys galėtų tikrinti europinių skaitmeninės tapatybės dėklių tapatumą ir galiojimą;
siekiant prašyti pasikliaujančiosios šalies ištrinti asmens duomenis pagal Reglamento (ES) 2016/679 17 straipsnį;
siekiant pranešti nacionalinei kompetentingai duomenų apsaugos institucijai apie pasikliaujančiąją šalį, kai gaunamas galimai neteisėtas arba įtartinas prašymas pateikti duomenis;
siekiant sukurti kvalifikuotus elektroninius parašus ar elektroninius spaudus naudojant elektroninio kvalifikuoto parašo arba elektroninio spaudo kūrimo įtaisus;
elektroninių požymių liudijimų patikimumo užtikrinimo paslaugų teikėjams neteikiama jokia informacija apie tų elektroninių liudijimų naudojimą;
užtikrinama, kad pasikliaujančiąsias šalis būtų galima nustatyti ir nurodyti įgyvendinant tapatumo nustatymo mechanizmus pagal 5b straipsnį;
laikomasi 8 straipsnyje nustatytų reikalavimų dėl aukšto saugumo užtikrinimo lygio, visų pirma reikalavimų dėl tapatybės įrodymo ir patikrinimo bei elektroninės atpažinties priemonių administravimo ir tapatumo nustatymo;
elektroninio požymių liudijimo su integruota informacijos atskleidimo politika atveju įgyvendinamas tinkamas mechanizmas, kuriuo naudotojas informuojamas, kad prašančioji pasikliaujančioji šalis arba prašantysis europinės skaitmeninės tapatybės dėklės naudotojas turi leidimą prisijungti prie tokio liudijimo;
užtikrinama, kad asmens tapatybės duomenys, kuriuos galima gauti iš elektroninės atpažinties schemos, pagal kurią suteikta europinė skaitmeninės tapatybės dėklė, nurodytų tik fizinį asmenį, juridinį asmenį arba fiziniam ar juridiniam asmeniui atstovaujantį fizinį asmenį ir būtų susieti su ta europine skaitmeninės tapatybės dėkle;
visiems fiziniams asmenims suteikiama galimybė automatiškai ir nemokamai pasirašyti kvalifikuotais elektroniniais parašais.
Nepaisant pirmos pastraipos g punkto, valstybės narės gali numatyti proporcingas priemones, kuriomis užtikrintų, kad fiziniai asmenys kvalifikuotus elektroninius parašus nemokamai naudoti galėtų tik neprofesiniais tikslais.
Valstybės narės nustato nemokamus patvirtinimo mechanizmus, kuriais:
užtikrinama, kad būtų galima patikrinti europinės skaitmeninės tapatybės dėklės tapatumą ir galiojimą;
europinės skaitmeninės tapatybės dėklės naudotojams sudaromos sąlygos patikrinti pagal 5b straipsnio 1 dalį registruotų pasikliaujančiųjų šalių tapatybės autentiškumą ir galiojimą.
Valstybės narės užtikrina, kad europinės skaitmeninės tapatybės dėklės galiojimas galėtų būti atšauktas šiomis aplinkybėmis:
gavus aiškų naudotojo prašymą;
kai kyla pavojus europinės skaitmeninės tapatybės dėklės saugumui;
naudotojo mirties arba juridinio asmens veiklos nutraukimo atveju.
Europinės skaitmeninės tapatybės dėklės techninė sistema:
neleidžia elektroninių požymių liudijimų teikėjams ar bet kuriai kitai šaliai, išdavus požymių liudijimą, gauti duomenų, kurie leistų sekti, susieti, sujungti operacijas ar naudotojo elgesį ar kitaip gauti žinių apie operacijas ar naudotojo elgesį, nebent naudotojas tai aiškiai leistų;
sudaro sąlygas taikyti privatumo išsaugojimo metodus, kuriais užtikrinamas nesusiejimas, kai pagal požymių liudijimą nereikalaujama nustatyti naudotojo tapatybės.
Valstybės narės nepagrįstai nedelsdamos praneša Komisijai informaciją apie:
įstaigą, atsakingą už registruotų pasikliaujančiųjų šalių, kurios kliaujasi europinėmis skaitmeninės tapatybės dėklėmis, kaip numatyta 5b straipsnio 5 dalyje, sąrašo sudarymą ir tvarkymą ir tai, kur tą sąrašą galima rasti;
įstaigas, atsakingas už europinių skaitmeninės tapatybės dėklių teikimą pagal 5a straipsnio 1 dalį;
įstaigas, atsakingas už užtikrinimą, kad asmens tapatybės duomenys būtų susieti su europine skaitmeninės tapatybės dėkle pagal 5a straipsnio 5 dalies f punktą;
mechanizmą, pagal kurį galima patvirtinti 5a straipsnio 5 dalies f punkte nurodytus asmens tapatybės duomenis ir pasikliaujančiųjų šalių tapatybę;
mechanizmą, pagal kurį patvirtinamas europinių skaitmeninės tapatybės dėklių tapatumas ir galiojimas.
Komisija užtikrina, kad informacija, apie kurią pranešta pagal pirmą pastraipą, būtų prieinama visuomenei saugiu kanalu, elektroniniu parašu arba spaudu patvirtinta forma, tinkama automatizuotam tvarkymui.
5b straipsnis
Europinės skaitmeninės tapatybės dėklės pasikliaujančiosios šalys
Registracijos procesas turi būti ekonomiškai efektyvus ir proporcingas rizikai. Pasikliaujančioji šalis pateikia bent:
informaciją, būtiną tapatumui nustatyti europinėse skaitmeninės tapatybės dėklėse, kuri apima bent informaciją apie:
valstybę narę, kurioje yra įsisteigusi pasikliaujančioji šalis, ir
pasikliaujančiosios šalies pavadinimą ir, kai taikytina, jos registracijos numerį, nurodytą oficialiame įraše, kartu su to oficialaus įrašo identifikavimo duomenimis;
pasikliaujančiosios šalies kontaktinius duomenis;
informaciją apie numatomą europinių skaitmeninės tapatybės dėklių naudojimą, įskaitant duomenų, kurių pasikliaujančioji šalis prašys iš naudotojų, nurodymą.
5c straipsnis
Europinių skaitmeninės tapatybės dėklių sertifikavimas
5d straipsnis
Sertifikuotų europinių skaitmeninės tapatybės dėklių sąrašo skelbimas
Nedarant poveikio 5a straipsnio 18 daliai, šio straipsnio 1 dalyje nurodyta valstybių narių teikiama informacija apima bent:
sertifikuotos europinės skaitmeninės tapatybės dėklės sertifikatą ir sertifikavimo vertinimo ataskaitą;
elektroninės atpažinties schemos, pagal kurią teikiama europinė skaitmeninės tapatybės dėklė, aprašymą;
taikytiną priežiūros režimą ir informaciją apie atsakomybės režimą, susijusius su europinę skaitmeninės tapatybės dėklę teikiančia šalimi;
valdžios instituciją arba institucijas, atsakingas už elektroninės atpažinties schemą;
elektroninės atpažinties schemos tapatumo nustatymo arba atitinkamų nepatikimų sudedamųjų dalių naudojimo sustabdymo arba atšaukimo nuostatas.
5e straipsnis
Europinių skaitmeninės tapatybės dėklių saugumo pažeidimas
Kai tai pateisinama atsižvelgiant į pirmoje pastraipoje nurodyto saugumo pažeidimo ar patikimumo pažeidimo sunkumą, valstybė narė nepagrįstai nedelsdama pašalina europines skaitmeninės tapatybės dėkles iš rinkos.
Valstybė narė atitinkamai informuoja susijusius naudotojus, pagal 46c straipsnio 1 dalį paskirtus bendruosius kontaktinius punktus, pasikliaujančiąsias šalis ir Komisiją.
5f straipsnis
Tarpvalstybinis kliovimasis europinėmis skaitmeninės tapatybės dėklėmis
2 SKIRSNIS
Elektroninės atpažinties schemos
6 straipsnis
Abipusis pripažinimas
Kai pagal nacionalinės teisės aktus arba nacionalinę administracinę praktiką reikalaujama, kad norint vienoje valstybėje narėje pasinaudoti viešojo sektoriaus įstaigos teikiama internetine paslauga būtina užtikrinti elektroninę atpažintį naudojant elektronines atpažinties priemones ir tapatumo nustatymą, tos internetinės paslaugos tarpvalstybinio tapatumo nustatymo tikslais pirmojoje valstybėje narėje pripažįstamos kitoje valstybėje narėje išduotos elektroninės atpažinties priemonės, su sąlyga, kad įvykdomos šios sąlygos:
elektroninės atpažinties priemonė yra išduota pagal elektroninės atpažinties schemą, kuri yra įtraukta į Komisijos pagal 9 straipsnį skelbiamą sąrašą;
elektroninės atpažinties priemonės saugumo užtikrinimo lygis atitinka saugumo užtikrinimo lygį, kuris yra lygiavertis saugumo užtikrinimo lygiui, kurio reikalauja atitinkama viešojo sektoriaus įstaiga, kad būtų galima pasinaudoti ta internetine paslauga pirmojoje valstybėje narėje, arba yra už jį aukštesnis, su sąlyga, kad tos elektroninės atpažinties priemonės saugumo užtikrinimo lygis atitinka pakankamą arba aukštą saugumo užtikrinimo lygį;
atitinkama viešojo sektoriaus įstaiga taiko pakankamą arba aukštą saugumo užtikrinimo lygį galimybės naudotis ta internetine paslauga atžvilgiu.
Toks pripažinimas atliekamas ne vėliau kaip per 12 mėnesių po to, kai Komisija paskelbia sąrašą, nurodytą pirmos pastraipos a punkte.
7 straipsnis
Pranešimo apie elektroninės atpažinties schemas atitiktis reikalavimams
Elektroninės atpažinties schema atitinka pranešimo apie ją pagal 9 straipsnio 1 dalį reikalavimus, su sąlyga, kad įvykdomos visos šios sąlygos:
elektroninės atpažinties priemonės pagal elektroninės atpažinties schemą yra išduotos:
pranešančiosios valstybės narės;
pagal pranešančiosios valstybės narės suteiktą įgaliojimą ar
nepriklausomai nuo pranešančiosios valstybės narės ir yra tos valstybės narės pripažintos;
elektroninės atpažinties priemonės pagal elektroninės atpažinties schemą gali būti naudojamos norint pasinaudoti bent viena viešojo sektoriaus įstaigos teikiama paslauga, kuria reikalaujama užtikrinti elektroninę atpažintį pranešančiojoje valstybėje narėje;
elektroninės atpažinties schema ir pagal ją išduodamos elektroninės atpažinties priemonės tenkina bent vieno iš saugumo užtikrinimo lygių reikalavimus, nustatytus 8 straipsnio 3 dalyje nurodytame įgyvendinimo akte;
pranešančioji valstybė narė užtikrina, kad asmens tapatybės duomenys, kuriais nurodomas konkretus atitinkamas asmuo, būtų susieti su 3 straipsnio 1 punkte nurodytu fiziniu arba juridiniu asmeniu elektroninės atpažinties priemonės išdavimo pagal tą schemą metu, laikantis atitinkamo saugumo užtikrinimo lygio techninių specifikacijų, standartų ir procedūrų, nustatytų 8 straipsnio 3 dalyje nurodytame įgyvendinimo akte;
elektroninę atpažinties priemonę pagal tą schemą išduodanti šalis užtikrina, kad elektroninė atpažinties priemonė būtų susieta su šio straipsnio d punkte nurodytu asmeniu, laikantis atitinkamo saugumo užtikrinimo lygio techninių specifikacijų, standartų ir procedūrų, nustatytų 8 straipsnio 3 dalyje nurodytame įgyvendinimo akte;
pranešančioji valstybė narė užtikrina tapatumo nustatymo internete galimybę, kad bet kuri pasikliaujančioji šalis, įsteigta kitos valstybės narės teritorijoje, galėtų patvirtinti gautus elektroninės formos asmens tapatybės duomenis.
Pasikliaujančiosioms šalims, kurios nėra viešojo sektoriaus įstaigos, pranešančioji valstybė narė gali nustatyti naudojimosi ta tapatumo nustatymo galimybe tvarką. Tarpvalstybinis tapatumo nustatymas yra nemokamas, kai jis susijęs su viešojo sektoriaus įstaigos teikiama internetine paslauga.
Valstybės narės nenustato pasikliaujančiosioms šalims, kurios ketina atlikti tokį tapatumo nustatymą, jokių specialių neproporcingų techninių reikalavimų, kai dėl tokių reikalavimų užkertamas kelias arba kyla esminių kliūčių elektroninės atpažinties schemų, apie kurias pranešta, sąveikumui;
bent prieš šešis mėnesius iki pranešimo pagal 9 straipsnio 1 dalį pranešančioji valstybė narė kitoms valstybėms narėms 12 straipsnio 5 dalies tikslais pateikia tos schemos aprašymą pagal procedūrines sąlygas, nustatytas pagal 12 straipsnio 6 dalies priimtus įgyvendinimo aktus;
elektroninės atpažinties schema atitinka 12 straipsnio 8 dalyje nurodytame įgyvendinimo akte nustatytus reikalavimus.
8 straipsnis
Elektroninės atpažinties schemų saugumo užtikrinimo lygiai
Žemas, pakankamas ir aukštas saugumo užtikrinimo lygiai atitinkamai atitinka šiuos kriterijus:
žemas saugumo užtikrinimo lygis grindžiamas elektroninės atpažinties priemone elektroninės atpažinties schemos kontekste, kuria užtikrinamas ribotas pareikštos arba patvirtintos asmens tapatybės patikimumo laipsnis ir kuri apibūdinama remiantis su ja susijusiomis techninėmis specifikacijomis, standartais ir procedūromis, įskaitant technines kontrolės priemones, kurių paskirtis – sumažinti netinkamo pasinaudojimo tapatybe arba jos pakeitimo riziką;
pakankamas saugumo užtikrinimo lygis grindžiamas elektroninės atpažinties priemone elektroninės atpažinties schemos kontekste, kuria užtikrinamas pakankamas pareikštos arba patvirtintos asmens tapatybės patikimumo laipsnis ir kuri apibūdinama remiantis su ja susijusiomis techninėmis specifikacijomis, standartais ir procedūromis, įskaitant technines kontrolės priemones, kurių paskirtis – labai sumažinti netinkamo pasinaudojimo tapatybe arba jos pakeitimo riziką;
aukštas saugumo užtikrinimo lygis grindžiamas elektroninės atpažinties priemone elektroninės atpažinties schemos kontekste, kuria užtikrinamas aukštesnis pareikštos arba patvirtintos asmens tapatybės patikimumo laipsnis nei pakankamo saugumo užtikrinimo lygio elektroninės atpažinties priemone ir kuri apibūdinama remiantis su ja susijusiomis techninėmis specifikacijomis, standartais ir procedūromis, įskaitant technines kontrolės priemones, kurių paskirtis – užkirsti kelią netinkamam pasinaudojimui tapatybe arba jos pakeitimui.
Tos minimalios techninės specifikacijos, standartai ir procedūros nustatomi remiantis tuo, ar toliau nurodyti elementai yra patikimi ir kokybiški:
fizinių ar juridinių asmenų, pateikusių prašymą išduoti elektroninės atpažinties priemones, tapatybės įrodymo ir patikrinimo procedūra;
prašomų elektroninės atpažinties priemonių išdavimo procedūra;
tapatumo nustatymo mechanizmas, kurį taikant fizinis arba juridinis asmuo naudojasi elektroninės atpažinties priemone, kad patvirtintų pasikliaujančiajai šaliai savo tapatybę;
elektroninės atpažinties priemonę išduodantis subjektas;
bet kuri kita įstaiga, dalyvaujanti teikiant prašymą išduoti elektroninės atpažinties priemonę, ir
išduotos elektroninės atpažinties priemonės techninės ir saugumo specifikacijos.
Tie įgyvendinimo aktai priimami laikantis 48 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.
9 straipsnis
Pranešimas
Pranešančioji valstybė narė praneša Komisijai toliau nurodomą informaciją ir nedelsdama informuoja apie visus vėlesnius jos pakeitimus:
elektroninės atpažinties schemos, apie kurią pranešama, aprašą, įskaitant jos saugumo užtikrinimo lygius ir elektroninės atpažinties priemonių pagal schemą išdavėją ar išdavėjus;
taikytiną priežiūros režimą ir informaciją apie atsakomybės režimą, susijusius su:
elektroninės atpažinties priemonę išduodančia šalimi ir
tapatumo nustatymo procedūrą vykdančia šalimi;
valdžios instituciją arba institucijas, atsakingas už elektroninės atpažinties schemą;
informaciją apie subjektą arba subjektus, kurie tvarko unikalių asmens tapatybės duomenų registraciją;
aprašymą, kaip vykdomi 12 straipsnio 8 dalyje nurodytuose įgyvendinimo aktuose nustatyti reikalavimai;
7 straipsnio f punkte nurodyto tapatumo nustatymo aprašą;
elektroninės atpažinties schemos, apie kurią pranešama, tapatumo nustatymo arba atitinkamų nepatikimų sudedamųjų dalių naudojimo sustabdymo arba atšaukimo nuostatas.
10 straipsnis
Elektroninės atpažinties schemų saugumo pažeidimas
Atitinkamus 9 straipsnio 2 dalyje nurodyto sąrašo pakeitimus Komisija nepagrįstai nedelsdama skelbia Europos Sąjungos oficialiajame leidinyje.
11 straipsnis
Atsakomybė
11a straipsnis
Tarpvalstybinis tapatybės atitikties nustatymas
12 straipsnis
Sąveikumas
Sąveikumo sistema turi atitikti šiuos kriterijus:
ja siekiama būti neutralia technologiniu požiūriu ir ja nediskriminuojami jokie konkretūs nacionaliniai elektroninės atpažinties techniniai sprendimai valstybėje narėje;
jei įmanoma, ji atitinka Europos ir tarptautinius standartus;
ja sudaromos palankios sąlygos įgyvendinti pritaikytojo privatumo ir saugumo principus
▼M2 —————
Sąveikumo sistemą sudaro:
nuoroda į minimalius techninius reikalavimus, susijusius su 8 straipsnyje numatytais saugumo užtikrinimo lygiais;
elektroninės atpažinties schemų, apie kurias pranešta, nacionalinių saugumo užtikrinimo lygių suderinimas su 8 straipsnyje numatytais saugumo užtikrinimo lygiais;
nuoroda į minimalius techninius sąveikumo reikalavimus;
nuoroda į minimalų būtinų asmens tapatybės duomenų, kuriais vienareikšmiškai nurodomas konkretus fizinis ar juridinis asmuo arba fizinis asmuo, atstovaujantis kitam fiziniam asmeniui ar juridiniam asmeniui, rinkinį, prieinamą pasitelkiant elektroninės atpažinties schemas;
darbo tvarkos taisyklės;
ginčų sprendimo tvarka; ir
bendri veiklos saugumo standartai.
▼M2 —————
12a straipsnis
Elektroninės atpažinties schemų sertifikavimas
12b straipsnis
Galimybė naudotis aparatinės ir programinės įrangos funkcijomis
Kai europinių skaitmeninės tapatybės dėklių teikėjai ir elektroninės atpažinties priemonių, apie kurias pranešta, išdavėjai, kurie vykdo komercinę ar profesinę veiklą ir naudojasi pagrindinėmis platformos paslaugomis, kaip apibrėžta Europos Parlamento ir Tarybos reglamento (ES) 2022/1925 ( 7 ) 2 straipsnio 2 punkte, siekdami teikti arba teikdami europinės skaitmeninės tapatybės dėklės paslaugas ir elektroninės atpažinties priemones galutiniams naudotojams, yra verslo klientai, kaip apibrėžta to reglamento 2 straipsnio 21 punkte, prieigos valdytojai visų pirma jiems leidžia užtikrinti veiksmingą sąveikumą su tomis pačiomis operacinės sistemos, aparatinės įrangos ar programinės įrangos funkcijomis, o sąveikumo tikslais suteikia galimybę jomis naudotis. Toks veiksmingas sąveikumas ir prieiga suteikiami nemokamai ir nepriklausomai nuo to, ar aparatinės ar programinės įrangos funkcijos yra operacinės sistemos dalis, kurios yra prieinamos tam prieigos valdytojui, kai jis teikia tokias paslaugas, ar yra jo naudojamos, kaip tai suprantama Reglamento (ES) 2022/1925 6 straipsnio 7 dalyje. Šis straipsnis nedaro poveikio šio reglamento 5a straipsnio 14 daliai.
III
SKYRIUS
PATIKIMUMO UŽTIKRINIMO PASLAUGOS
1
SKIRSNIS
Bendrosios nuostatos
13 straipsnis
Atsakomybė ir įrodinėjimo pareiga
Pareiga įrodyti nekvalifikuoto patikimumo užtikrinimo paslaugų teikėjo tyčią arba neatsargumą tenka fiziniam ar juridiniam asmeniui, reikalaujančiam atlyginti pirmoje pastraipoje nurodytą žalą.
Preziumuojama, kad kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas veikė tyčia ar dėl neatsargumo, nebent kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas įrodo, kad pirmoje pastraipoje nurodyta žala padaryta nesant to kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo tyčios ar neatsargumo.
14 straipsnis
Tarptautiniai aspektai
Pirmoje pastraipoje nurodyti įgyvendinimo aktai priimami laikantis 48 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.
15 straipsnis
Prieinamumas asmenims su negalia ir specialiųjų poreikių turintiems asmenims
Elektroninės atpažinties priemonių, patikimumo užtikrinimo paslaugų ir teikiant tas paslaugas naudojamų galutinio vartojimo gaminių teikimas užtikrinamas aiškia ir suprantama kalba, laikantis Jungtinių Tautų neįgaliųjų teisių konvencijos ir Direktyvos (ES) 2019/882 nustatytų prieinamumo reikalavimų, taip atsižvelgiant ir į asmenis, kurių funkcijos apribotos, pavyzdžiui, pagyvenusius žmones, ir asmenis, kurių prieiga prie skaitmeninių technologijų yra ribota.
16 straipsnis
Sankcijos
Valstybės narės užtikrina, kad už kvalifikuotų ir nekvalifikuotų patikimumo užtikrinimo paslaugų teikėjų padarytus šio reglamento pažeidimus būtų skiriamos administracinės baudos, kurių maksimalus dydis būtų bent:
5 000 000 EUR, kai patikimumo užtikrinimo paslaugų teikėjas yra fizinis asmuo, arba
kai patikimumo užtikrinimo paslaugų teikėjas yra juridinis asmuo -5 000 000 EUR arba 1 % įmonės, kuriai priklausė patikimumo užtikrinimo paslaugų teikėjas, bendros pasaulinės metinės apyvartos finansiniais metais, einančiais prieš metus, kuriais buvo padarytas pažeidimas, priklausomai nuo to, kuri suma yra didesnė.
2
SKIRSNIS
Nekvalifikuotos patikimumo užtikrinimo paslaugos
▼M2 —————
▼M1 —————
19a straipsnis
Nekvalifikuotiems patikimumo užtikrinimo paslaugų teikėjams taikomi reikalavimai
Nekvalifikuotas patikimumo užtikrinimo paslaugų teikėjas, teikiantis nekvalifikuotas patikimumo užtikrinimo paslaugas:
taiko atitinkamą politiką ir imasi atitinkamų su nekvalifikuotos patikimumo užtikrinimo paslaugos teikimu susijusios teisinės, verslo, veiklos ir kitos tiesioginės ar netiesioginės rizikos valdymo priemonių, kurios, nepaisant Direktyvos (ES) 2022/2555 21 straipsnio, apima bent priemones, susijusias su:
registravimosi patikimumo užtikrinimo paslaugai gauti ir prisijungimo prie tokios paslaugos procedūromis;
procedūriniais ar administraciniais patikrinimais, reikalingais norint teikti patikimumo užtikrinimo paslaugas;
patikimumo užtikrinimo paslaugų administravimu ir įgyvendinimu;
nepagrįstai nedelsdama ir bet kuriuo atveju ne vėliau kaip per 24 valandas nuo tada, kai sužino apie bet kokius a punkto i, ii arba iii papunktyje nurodytų priemonių įgyvendinimo saugumo pažeidimus ar sutrikimus, kurie daro didelį poveikį teikiamai patikimumo užtikrinimo paslaugai arba ją teikiant saugomiems asmens duomenims, praneša apie juos priežiūros įstaigai, poveikį patyrusiems asmenims, kurių tapatybė gali būti nustatyta, visuomenei, jei tai susiję su viešuoju interesu, ir, kai taikytina, kitoms atitinkamoms kompetentingoms institucijoms.
3
SKYRIUS
Kvalifikuotos patikimumo užtikrinimo paslaugos
20 straipsnis
Kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų priežiūra
Jei tas teikėjas pažeidimo neištaiso ir, kai taikytina, to nepadaro per priežiūros įstaigos nustatytą laikotarpį, priežiūros įstaiga, kai tai pateisinama, visų pirma atsižvelgiant į to pažeidimo mastą, trukmę ir pasekmes, panaikina to teikėjo arba paveiktos jo teikiamos paslaugos kvalifikacijos statusą.
Ne vėliau kaip 2025 m. gegužės 21 d. Komisija priima įgyvendinimo aktus, kuriais nustato referencinių standartų sąrašą ir, kai būtina, specifikacijas bei procedūras šiais tikslais:
atitikties vertinimo įstaigų akreditavimui ir 1 dalyje nurodytai atitikties vertinimo ataskaitai;
audito reikalavimams, kuriais atitikties vertinimo įstaigos turėtų remtis atlikdamos, kaip nurodyta 1 dalyje, kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų atitikties vertinimą, įskaitant sudėtinį vertinimą;
atitikties vertinimo schemoms, pagal kurias atitikties vertinimo įstaigos turėtų atlikti kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų atitikties vertinimą ir pateikti 1 dalyje nurodytą ataskaitą.
Tie įgyvendinimo aktai priimami laikantis 48 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.
21 straipsnis
Kvalifikuotos patikimumo užtikrinimo paslaugos inicijavimas
Siekdama patikrinti patikimumo užtikrinimo paslaugų teikėjo atitiktį Direktyvos (ES) 2022/2555 21 straipsnyje nustatytiems reikalavimams, priežiūros įstaiga prašo pagal tos direktyvos 8 straipsnio 1 dalį paskirtų arba įsteigtų kompetentingų institucijų tuo tikslu atlikti priežiūros veiksmus ir nepagrįstai nedelsiant ir bet kuriuo atveju per du mėnesius nuo to prašymo gavimo dienos pateikti informaciją apie rezultatus. Jeigu per du mėnesius nuo pranešimo dienos patikrinimas nebaigiamas, tos kompetentingos institucijos informuoja priežiūros įstaigą, nurodydamos vėlavimo priežastis ir laikotarpį, per kurį patikrinimas bus baigtas.
Jei priežiūros įstaiga padaro išvadą, kad patikimumo užtikrinimo paslaugų teikėjas ir jo teikiamos patikimumo užtikrinimo paslaugos atitinka šiame reglamente nustatytus reikalavimus, ji suteikia jam kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo, o jo teikiamoms paslaugoms – kvalifikuotų patikimumo užtikrinimo paslaugų statusą ir ne vėliau kaip per tris mėnesius nuo pranešimo pateikimo pagal šio straipsnio 1 dalį dienos apie tai praneša 22 straipsnio 3 dalyje nurodytai įstaigai, kad būtų galima atnaujinti 22 straipsnio 1 dalyje nurodytus patikimus sąrašus.
Jeigu patikrinimas nebaigiamas per tris mėnesius nuo pranešimo dienos, priežiūros įstaiga apie tai praneša patikimumo užtikrinimo paslaugų teikėjui, nurodydama vėlavimo priežastis ir laikotarpį, per kurį patikrinimas bus baigtas.
22 straipsnis
Patikimi sąrašai
23 straipsnis
Kvalifikuotų patikimumo užtikrinimo paslaugų ES pasitikėjimo ženklas
24 straipsnis
Kvalifikuotiems patikimumo užtikrinimo paslaugų teikėjams keliami reikalavimai
1 dalyje nurodytą tapatybės patikrinimą tinkamomis priemonėmis atlieka kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas tiesiogiai arba pasikliaudamas trečiąja šalimi, remdamasis vienu iš toliau nurodytų metodų arba, jei reikia, jų deriniu ir laikydamasis 1c dalyje nurodytų įgyvendinimo aktų:
naudodamas europinę skaitmeninės tapatybės dėklę arba elektroninės atpažinties priemonę, apie kurią pranešta, kuri atitinka 8 straipsnyje nustatytus reikalavimus dėl aukšto saugumo užtikrinimo lygio;
naudodamas pagal a, c arba d punktą išduotą kvalifikuoto elektroninio parašo arba kvalifikuoto elektroninio spaudo sertifikatą;
naudodamas kitus tapatybės nustatymo metodus, kuriais užtikrinamas aukšto patikimumo lygio asmens tapatybės nustatymas, kurio atitiktį turi patvirtinti atitikties vertinimo įstaiga;
fiziškai dalyvaujant fiziniam asmeniui arba juridinio asmens įgaliotajam atstovui, pateikiant įrodymus ir vykdant tinkamas procedūras laikantis nacionalinės teisės.
Pirmoje dalyje nurodytą požymių patikrinimą tinkamomis priemonėmis atlieka kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas tiesiogiai arba pasikliaudamas trečiąja šalimi, remdamasis vienu iš toliau nurodytų metodų arba, jei būtina, jų deriniu ir laikydamasis 1c dalyje nurodytų įgyvendinimo aktų:
naudodamas europinę skaitmeninės tapatybės dėklę arba elektroninės atpažinties priemonę, apie kurią pranešta, kuri atitinka 8 straipsnyje nustatytus reikalavimus dėl aukšto saugumo užtikrinimo lygio;
naudodamas pagal 1a dalies a, c arba d punktą išduotą kvalifikuoto elektroninio parašo arba kvalifikuoto elektroninio spaudo sertifikatą;
naudodamas kvalifikuotą elektroninį požymių liudijimą;
naudodamas kitus metodus, kuriais užtikrinamas aukšto patikimumo lygio požymių patikrinimas, kurio atitiktį turi patvirtinti atitikties vertinimo įstaiga;
fiziškai dalyvaujant fiziniam asmeniui arba juridinio asmens įgaliotajam atstovui, pateikiant tinkamus įrodymus ir vykdant tinkamas procedūras laikantis nacionalinės teisės.
Kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas, teikiantis kvalifikuotas patikimumo užtikrinimo paslaugas:
informuoja priežiūros įstaigą bent prieš mėnesį iki bet kokio jo kvalifikuotų patikimumo užtikrinimo paslaugų teikimo pakeitimo įgyvendinimo arba bent prieš tris mėnesius, jei ketinama tą veiklą nutraukti;
samdo darbuotojus ir, jei taikytina, subrangovus, kurie turi būtinos kompetencijos, yra patikimi, turi būtinos patirties ir kvalifikacijos, yra tinkamai apmokyti saugumo ir asmens duomenų apsaugos taisyklių, ir taiko Europos arba tarptautinius standartus atitinkančias administracines bei valdymo procedūras;
atsakomybės už žalą rizikos atžvilgiu pagal 13 straipsnį, disponuoja pakankamais finansiniais ištekliais ir (arba) gauna tinkamą atsakomybės draudimą pagal nacionalinės teisės aktus;
prieš užmegzdamas sutartinius santykius, aiškiai, išsamiai ir lengvai prieinamu būdu viešai prieinamoje erdvėje ir atskirai informuoja visus asmenis, kurie nori naudotis kvalifikuota patikimumo užtikrinimo paslauga, apie tikslias naudojimosi ta paslauga sąlygas, įskaitant visus naudojimosi ja apribojimus;
naudoja patikimas sistemas ir produktus, kurie yra apsaugoti nuo pakeitimų, ir užtikrina jų palaikomų procesų techninį saugumą ir patikimumą, be kita ko, naudodamas tinkamus kriptografinius metodus;
jam pateiktus duomenis patikrinama forma saugo patikimose sistemose, kad:
juos būtų galima viešai gauti tik gavus asmens, su kuriuo yra susiję šie duomenys, sutikimą;
saugomų duomenų įrašus ir pakeitimus galėtų daryti tik įgalioti asmenys;
būtų galima patikrinti duomenų tikrumą;
nepaisant Direktyvos (ES) 2022/2555 21 straipsnio, taiko tinkamą politiką ir imasi atitinkamų su kvalifikuotos patikimumo užtikrinimo paslaugos teikimu susijusios teisinės, verslo, veiklos ir kitos tiesioginės ar netiesioginės rizikos valdymo priemonių, įskaitant bent priemones, susijusias su:
registravimosi patikimumo užtikrinimo paslaugai gauti ir prisijungimo prie tokios paslaugos procedūromis;
procedūriniais ar administraciniais patikrinimais;
paslaugų administravimu ir įgyvendinimu;
nepagrįstai nedelsdama ir bet kuriuo atveju ne vėliau kaip per 24 valandas po incidento praneša priežiūros įstaigai, poveikį patyrusiems asmenims, kurių tapatybė gali būti nustatyta, kitoms atitinkamoms kompetentingoms įstaigoms, kai taikytina, ir, priežiūros įstaigos prašymu, visuomenei, jei tai susiję su viešuoju interesu, apie visus paslaugų teikimo saugumo pažeidimus ar sutrikimus arba fa punkto i, ii arba iii papunkčiuose nurodytų priemonių įgyvendinimo pažeidimus ar sutrikimus, kurie daro didelį poveikį teikiamai patikimumo užtikrinimo paslaugai arba ją teikiant saugomiems asmens duomenims;
imasi tinkamų priemonių, kad apsisaugotų nuo duomenų klastojimo, vagystės ar pasisavinimo, neteisėto duomenų šalinimo, keitimo ar prieigos prie duomenų užkirtimo;
tiek, kiek reikia, kvalifikuotam patikimumo užtikrinimo paslaugų teikėjui nutraukus veiklą, registruoja ir laiko prieinamą visą susijusią informaciją dėl kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo suteiktų ir gautų duomenų tam, kad šią informaciją būtų galima panaudoti teismo procese kaip įrodymą ir siekiant užtikrinti paslaugų tęstinumą. Tokia informacija gali būti registruojama elektroniniu būdu;
turi atnaujinamą nutraukimo planą, kad užtikrintų paslaugų tęstinumą, atsižvelgdamas į priežiūros įstaigos pagal 46b straipsnio 4 dalies i punktą patikrintas nuostatas;
▼M2 —————
tais atvejais, kai kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai išduoda kvalifikuotus sertifikatus – sukuria ir atnaujina sertifikatų duomenų bazę.
Priežiūros įstaiga gali paprašyti pateikti ne tik pagal pirmos pastraipos a punktą teikiamą informaciją, bet ir papildomą informaciją arba atitikties vertinimo rezultatus, o išduodama leidimą įgyvendinti numatytus kvalifikuotų patikimumo užtikrinimo paslaugų pakeitimus gali taikyti tam tikras sąlygas. Jeigu patikrinimas nebaigiamas per tris mėnesius nuo pranešimo dienos, priežiūros įstaiga apie tai praneša patikimumo užtikrinimo paslaugų teikėjui, nurodydama vėlavimo priežastis ir laikotarpį, per kurį patikrinimas bus baigtas.
24a straipsnis
Kvalifikuotų patikimumo užtikrinimo paslaugų pripažinimas
4
SKIRSNIS
Elektroniniai parašai
25 straipsnis
Elektroninių parašų teisinė galia
▼M2 —————
26 straipsnis
Pažangiojo elektroninio parašo reikalavimai
Pažangusis elektroninis parašas turi atitikti toliau išvardytus reikalavimus:
būti vienareikšmiškai susietas su pasirašančiu asmeniu;
pagal jį galima nustatyti pasirašančio asmens tapatybę;
sukurtas naudojant elektroninio parašo kūrimo duomenis, kuriuos tik pats pasirašantis asmuo gali labai patikimai naudoti; ir
susietas su juo pasirašytais duomenimis taip, kad bet koks tų duomenų pakeitimas būtų pastebimas.
27 straipsnis
Elektroniniai parašai viešųjų paslaugų srityje
▼M2 —————
28 straipsnis
Kvalifikuoti elektroninių parašų sertifikatai
Valstybės narės gali nustatyti kvalifikuotų elektroninių parašų sertifikatų galiojimo laikino sustabdymo nacionalines taisykles, laikydamosi šių sąlygų:
jei kvalifikuoto elektroninio parašo sertifikato galiojimas buvo laikinai sustabdytas, tas sertifikatas netenka galios sustabdymo laikotarpiu;
galiojimo sustabdymo laikotarpis yra aiškiai nurodomas sertifikatų duomenų bazėje, o tai, kad sertifikato galiojimas yra sustabdytas, galiojimo sustabdymo laikotarpiu matoma teikiant informaciją apie sertifikato statusą.
29 straipsnis
Reikalavimai kvalifikuotiems elektroninio parašo kūrimo įtaisams
29a straipsnis
Kvalifikuotai nuotolinių kvalifikuotų elektroninio parašo kūrimo įtaisų administravimo paslaugai taikomi reikalavimai
Nuotolinių kvalifikuotų elektroninio parašo kūrimo įtaisų administravimą kaip kvalifikuotą paslaugą atlieka tik kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas, kuris:
pasirašančiojo vardu kuria ar administruoja elektroninio parašo kūrimo duomenis;
nepaisant II priedo 1 dalies d punkto, kopijuoja elektroninio parašo kūrimo duomenis atsarginės kopijos tikslais tik jei laikomasi šių reikalavimų:
duomenų rinkinių kopijų saugumo lygis turi būti toks pat kaip originalių duomenų rinkinių;
duomenų rinkinių kopijų neturi būti daugiau nei būtina norint užtikrinti paslaugos tęstinumą;
laikosi visų reikalavimų, nustatytų pagal 30 straipsnį išduoto konkretaus nuotolinio kvalifikuoto elektroninio parašo kūrimo įtaiso sertifikavimo ataskaitoje.
30 straipsnis
Kvalifikuotų elektroninio parašo kūrimo įtaisų sertifikavimas
1 dalyje nurodytas sertifikavimas grindžiamas viena iš šių procedūrų:
saugumo vertinimo procedūra, atlikta pagal vieną iš informacinių technologijų produktų saugumo vertinimo standartų, įtrauktų į sąrašą nustatytą pagal antrą pastraipą, arba
kita nei a punkte nurodyta procedūra su sąlyga, kad joje taikomi panašūs saugumo lygiai, o 1 dalyje nurodyta viešoji ar privačioji įstaiga apie tą procedūrą praneša Komisijai. Ta procedūra gali būti taikoma tik tuo atveju, kai nėra a punkte nurodytų standartų arba kai tebevyksta a punkte nurodyta saugumo vertinimo procedūra.
Komisija priimdama įgyvendinimo aktus sudaro iš informacinių technologijų produktų, nurodytų a punkte, saugumo vertinimo standartų sąrašą. Tie įgyvendinimo aktai priimami laikantis 48 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.
31 straipsnis
Sertifikuotų kvalifikuotų elektroninio parašo kūrimo įtaisų sąrašo skelbimas
32 straipsnis
Reikalavimai kvalifikuotų elektroninių parašų galiojimo patvirtinimui
Kvalifikuoto elektroninio parašo galiojimo patvirtinimo procedūra patvirtinamas kvalifikuoto elektroninio parašo galiojimas su sąlyga, kad:
sertifikatas, kuriuo tvirtinamas parašas, pasirašymo metu buvo kvalifikuotas elektroninio parašo sertifikatas, atitinkantis I priedą;
kvalifikuotą sertifikatą išdavė kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas ir jis galiojo pasirašymo metu;
parašo patvirtinimo duomenys atitinka pasikliaujančiajai šaliai pateiktus duomenis;
unikalus duomenų, kuriais sertifikate nurodomas pasirašantis asmuo, rinkinys tinkamai pateikiamas pasikliaujančiajai šaliai;
jei pasirašymo metu buvo naudojamas slapyvardis, tai aiškiai nurodoma pasikliaujančiajai šaliai;
elektroninis parašas sukurtas naudojant kvalifikuotą elektroninio parašo kūrimo įtaisą;
nebuvo pažeistas pasirašytų duomenų vientisumas;
pasirašymo metu buvo laikomasi 26 straipsnyje nurodytų reikalavimų.
Jeigu kvalifikuotų elektroninių parašų patvirtinimas atitinka 3 dalyje nurodytus standartus, specifikacijas ir procedūras, preziumuojama, kad atitiktis šios dalies pirmoje pastraipoje nustatytiems reikalavimams užtikrinta.
32a straipsnis
Kvalifikuotais sertifikatais patvirtintų pažangiųjų elektroninių parašų patvirtinimui taikomi reikalavimai
Kvalifikuotu sertifikatu patvirtinto pažangiojo elektroninio parašo patvirtinimo procedūra patvirtinamas kvalifikuotu sertifikatu patvirtinto pažangiojo elektroninio parašo galiojimas su sąlyga, kad:
sertifikatas, kuriuo tvirtinamas parašas, pasirašymo metu buvo kvalifikuotas elektroninio parašo sertifikatas, atitinkantis I priedą;
kvalifikuotą sertifikatą išdavė kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas ir jis galiojo pasirašymo metu;
parašo patvirtinimo duomenys atitinka pasikliaujančiajai šaliai pateiktus duomenis;
unikalus duomenų, kuriais sertifikate nurodomas pasirašantis asmuo, rinkinys tinkamai pateikiamas pasikliaujančiajai šaliai;
jei pasirašymo metu buvo naudojamas slapyvardis, tai aiškiai nurodoma pasikliaujančiajai šaliai;
nebuvo pažeistas pasirašytų duomenų vientisumas;
pasirašymo metu buvo laikomasi 26 straipsnyje nurodytų reikalavimų.
33 straipsnis
Kvalifikuotų elektroninių parašų kvalifikuota galiojimo patvirtinimo paslauga
Kvalifikuotų elektroninių parašų kvalifikuotą galiojimo patvirtinimo paslaugą gali teikti tik kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas, kuris:
suteikia galiojimo patvirtinimą pagal 32 straipsnio 1 dalį, ir
suteikia pasikliaujančiosioms šalims galimybę galiojimo patvirtinimo procedūros rezultatą gauti automatizuotu būdu, kuris būtų patikimas, veiksmingas ir susietas su kvalifikuotos galiojimo patvirtinimo paslaugos teikėjo pažangiuoju elektroniniu parašu arba pažangiuoju elektroniniu spaudu.
34 straipsnis
Kvalifikuotų elektroninių parašų kvalifikuota ilgalaikės apsaugos paslauga
5
SKIRSNIS
Elektroniniai spaudai
35 straipsnis
Elektroninio spaudo teisinė galia
▼M2 —————
36 straipsnis
Reikalavimai pažangiesiems elektroniniams spaudams
Pažangusis elektroninis spaudas turi atitikti toliau išvardytus reikalavimus:
jis turi būti vienareikšmiškai susietas su spaudo kūrėju;
pagal jį galima nustatyti spaudo kūrėjo tapatybę;
jis turi būti sukurtas naudojant elektroninio spaudo kūrimo duomenis, kuriuos spaudo kūrėjas gali labai patikimai pats naudoti kurdamas elektroninį spaudą, ir
jis turi būti susietas su juo nurodomais duomenimis taip, kad būtų pastebimas bet koks vėlesnis tų duomenų pakeitimas.
37 straipsnis
Elektroniniai spaudai viešųjų paslaugų srityje
▼M2 —————
38 straipsnis
Kvalifikuoti elektroninių spaudų sertifikatai
Valstybės narės gali nustatyti kvalifikuotų elektroninių spaudų sertifikatų galiojimo laikino sustabdymo nacionalines taisykles, laikydamosi šių sąlygų:
jei kvalifikuoto elektroninio spaudo sertifikato galiojimas buvo laikinai sustabdytas, tas sertifikatas netenka galios sustabdymo laikotarpiu;
galiojimo sustabdymo laikotarpis yra aiškiai nurodomas sertifikatų duomenų bazėje ir tai, kad sertifikato galiojimas yra sustabdytas, galiojimo sustabdymo laikotarpiu matoma teikiant informaciją apie sertifikato statusą.
39 straipsnis
Kvalifikuoti elektroninio spaudo kūrimo įtaisai
39a straipsnis
Kvalifikuotai nuotolinių kvalifikuotų elektroninio spaudo kūrimo įtaisų administravimo paslaugai taikomi reikalavimai
Kvalifikuotai nuotolinių kvalifikuotų elektroninio spaudo kūrimo įtaisų administravimo paslaugai mutatis mutandis taikomas 29a straipsnis.
40 straipsnis
Kvalifikuotų elektroninių spaudų galiojimo patvirtinimas ir ilgalaikė apsauga
Kvalifikuotų elektroninių spaudų galiojimo patvirtinimui ir ilgalaikei apsaugai mutatis mutandis taikomi 32, 33 ir 34 straipsniai.
40a straipsnis
Kvalifikuotais sertifikatais patvirtintų pažangiųjų elektroninių spaudų patvirtinimui taikomi reikalavimai
Kvalifikuotais sertifikatais patvirtintų pažangiųjų elektroninių spaudų patvirtinimui mutatis mutandis taikomas 32a straipsnis.
6
SKIRSNIS
Elektroninė laiko žyma
41 straipsnis
Elektroninių laiko žymų teisinė galia
▼M2 —————
42 straipsnis
Kvalifikuotoms elektroninėms laiko žymoms keliami reikalavimai
Kvalifikuota elektroninė laiko žyma turi atitikti šiuos reikalavimus:
ji susieja datą ir laiką su duomenimis taip, kad pagrįstai neliktų galimybės nepastebimai pakeisti duomenų;
ji grindžiama tiksliu laiko šaltiniu, susietu su suderintuoju pasauliniu laiku, ir
ji pasirašyta naudojant kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo pažangųjį elektroninį parašą arba patvirtinta jo pažangiuoju elektroniniu spaudu arba lygiaverčiu būdu.
7
SKIRSNIS
Elektroninio registruoto pristatymo paslaugos
43 straipsnis
Elektroninio registruoto pristatymo paslaugų teisinė galia
44 straipsnis
Kvalifikuotoms elektroninio registruoto pristatymo paslaugoms keliami reikalavimai
Kvalifikuotos elektroninio registruoto pristatymo paslaugos turi atitikti šiuos reikalavimus:
jas teikia vienas arba daugiau kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas (-ai);
jos užtikrina galimybę labai patikimai nustatyti siuntėjo tapatybę;
jos turi užtikrinti, kad būtų nustatyta gavėjo tapatybė prieš duomenis pristatant;
duomenų siuntimas ir gavimas yra apsaugoti kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo pažangiuoju elektroniniu parašu arba pažangiuoju elektroniniu spaudu taip, kad neliktų galimybės nepastebimai pakeisti duomenų;
bet koks duomenų pakeitimas, būtinas norint išsiųsti arba gauti duomenis, aiškiai nurodomas duomenų siuntėjui ir gavėjui;
duomenų išsiuntimo, gavimo ir bet kokio duomenų pakeitimo data ir laikas yra nurodyti naudojant kvalifikuotą elektroninę laiko žymą.
Kai vienas ar daugiau kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų perduoda duomenis vienas kitam, a–f punktų reikalavimai taikomi visiems kvalifikuotiems patikimumo užtikrinimo paslaugų teikėjams.
8
SKIRSNIS
Interneto svetainės tapatumo nustatymas
45 straipsnis
Kvalifikuotiems interneto svetainių tapatumo nustatymo sertifikatams taikomi reikalavimai
45a straipsnis
Kibernetinio saugumo atsargumo priemonės
9 SKIRSNIS
Elektroninis požymių liudijimas
45b straipsnis
Elektroninio požymių liudijimo teisinė galia
45c straipsnis
Elektroninis požymių liudijimas teikiant viešąsias paslaugas
Kai pagal nacionalinės teisės aktus reikalaujama, kad norint pasinaudoti viešojo sektoriaus įstaigos teikiama internetine paslauga būtina užtikrinti elektroninę atpažintį naudojant elektroninės atpažinties priemones ir tapatumo nustatymą, elektroniniame požymių liudijime esantys asmens tapatybės duomenys neatstoja elektroninės atpažinties naudojant elektroninės atpažinties priemones ir tapatumo nustatymą, jei to nėra konkrečiai leidusi valstybė narė. Tokiu atveju pripažįstami ir kitų valstybių narių kvalifikuoti elektroniniai požymių liudijimai.
45d straipsnis
Kvalifikuotų elektroninių požymių liudijimų reikalavimai
45e straipsnis
Požymių tikrinimas pagal autentiškus šaltinius
45f straipsnis
Už autentišką šaltinį atsakingos viešojo sektoriaus įstaigos arba jos vardu išduodamam elektroniniam požymių liudijimui taikomi reikalavimai
Už autentišką šaltinį atsakingos viešojo sektoriaus įstaigos arba jos vardu išduotas elektroninis požymių liudijimas turi atitikti šiuos reikalavimus:
išdėstytuosius VII priede;
kvalifikuotame sertifikate, kuriuo tvirtinamas 3 straipsnio 46 punkte nurodytas viešojo sektoriaus įstaigos, kuri pagal VII priedo b punktą nurodyta kaip išdavėja, kvalifikuotas elektroninis parašas arba kvalifikuotas elektroninis spaudas, pateikiamas specifinis sertifikuotų požymių rinkinys automatiniam tvarkymui tinkama forma, ir:
nurodoma, kad išduodanti įstaiga pagal Sąjungos arba nacionalinę teisę įsteigta kaip atsakinga už autentišką šaltinį, kuriuo remiantis išduodamas elektroninis požymių liudijimas, arba kaip įstaiga, paskirta veikti jos vardu;
pateikiamas duomenų rinkinys, kuriame nedviprasmiškai nurodomas i punkte nurodytas autentiškas šaltinis, ir
nurodoma i punkte nurodyta Sąjungos arba nacionalinė teisė.
45g straipsnis
Europinių skaitmeninės tapatybės dėklių elektroninių požymių liudijimų išdavimas
45h straipsnis
Papildomos elektroninio požymių liudijimo paslaugų teikimo taisyklės
10 SKIRSNIS
Elektroninio archyvavimo paslaugos
45i straipsnis
Elektroninio archyvavimo paslaugų teisinė galia
45j straipsnis
Kvalifikuotoms elektroninio archyvavimo paslaugoms taikomi reikalavimai
Kvalifikuotos elektroninio archyvavimo paslaugos turi atitikti šiuos reikalavimus:
jas teikia kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai;
jas teikiant naudojamos procedūros ir technologijos, kuriomis, pasibaigus technologinio galiojimo laikotarpiui ir bent visą teisinio ar sutartinio saugojimo laikotarpį, užtikrinamas elektroninių duomenų ir elektroninių dokumentų patvarumas ir įskaitomumas, kartu išlaikant jų vientisumą ir kilmės tikslumą;
jas teikiant užtikrinama, kad tie elektroniniai duomenys ir tie elektroniniai dokumentai būtų saugomi taip, kad būtų apsaugoti nuo praradimo ir pakeitimo, išskyrus jų laikmenos ar elektroninio formato pakeitimus;
jas teikiant įgaliotos pasikliaujančiosios šalys gali automatiškai gauti pranešimą, kuriuo patvirtinama, kad iš kvalifikuoto elektroninio archyvo paimtiems elektroniniams duomenims ir elektroniniams dokumentams nuo saugojimo laikotarpio pradžios iki paieškos momento taikoma duomenų vientisumo prezumpcija.
Pirmos pastraipos d punkte nurodytas pranešimas pateikiamas patikimu ir veiksmingu būdu, su kvalifikuotos elektroninio archyvavimo paslaugos teikėjo kvalifikuotu elektroniniu parašu arba kvalifikuotu elektroniniu spaudu.
11 SKIRSNIS
Elektroniniai registrai
45k straipsnis
Elektroninių registrų teisinė galia
45l straipsnis
Kvalifikuotiems elektroniniams registrams taikomi reikalavimai
Kvalifikuoti elektroniniai registrai turi atitikti šiuos reikalavimus:
juos kuria ir administruoja vienas arba daugiau kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų;
juose nustatoma registro duomenų įrašų kilmė;
juose užtikrinama unikali chronologinė duomenų įrašų tvarka;
duomenys juose registruojami taip, kad būtų įmanoma nedelsiant nustatyti bet kokį vėlesnį pakeitimą, visą laiką užtikrinant jų vientisumą.
IV
SKYRIUS
ELEKTRONINIAI DOKUMENTAI
46 straipsnis
Elektroninių dokumentų teisinė galia
Negalima atsisakyti pripažinti elektroninio dokumento teisinės galios ir jo tinkamumo naudoti kaip įrodymą teismo procese tik dėl to, kad jis yra elektroninis.
IVa SKYRIUS
VALDYMO SISTEMA
46a straipsnis
Europos skaitmeninės tapatybės sistemos priežiūra
Pagal pirmą pastraipą paskirtoms priežiūros įstaigoms suteikiami reikiami įgaliojimai ir pakankami ištekliai, kad jos galėtų veiksmingai, efektyviai ir nepriklausomai vykdyti savo užduotis.
Pagal 1 dalį paskirtų priežiūros įstaigų vaidmuo:
prižiūrėti paskiriančiosios valstybės narės teritorijoje įsisteigusius europinių skaitmeninės tapatybės dėklių teikėjus ir užtikrinti, vykdant ex ante ir ex post priežiūros veiklą, kad tie teikėjai ir jų teikiamos europinės skaitmeninės tapatybės dėklės atitiktų šiame reglamente nustatytus reikalavimus;
prireikus imtis veiksmų, susijusių su paskiriančiosios valstybės narės teritorijoje įsisteigusiais europinių skaitmeninės tapatybės dėklių teikėjais, vykdant ex post priežiūros veiklą, kai informuojama, kad teikėjai arba jų teikiamos europinės skaitmeninės tapatybės dėklės pažeidžia šį reglamentą.
Pagal 1 dalį paskirtų priežiūros įstaigų užduotys apima visų pirma toliau nurodytas užduotis:
bendradarbiauti su kitomis priežiūros įstaigomis ir teikti joms pagalbą pagal 46c ir 46e straipsnius;
prašyti informacijos, reikalingos stebėti, kaip laikomasi šio reglamento;
informuoti atitinkamų valstybių narių atitinkamas kompetentingas institucijas, paskirtas arba įsteigtas pagal Direktyvos (ES) 2022/2555 8 straipsnio 1 dalį, apie visus reikšmingus saugumo pažeidimus arba vientisumo praradimą, apie kuriuos jos sužinojo vykdydamos savo užduotis, ir reikšmingo saugumo pažeidimo arba vientisumo praradimo, susijusio su kitomis valstybėmis narėmis, atveju informuoti atitinkamos valstybės narės bendrąjį kontaktinį punktą, paskirtą arba įsteigtą pagal Direktyvos (ES) 2022/2555 8 straipsnio 3 dalį, ir bendruosius kontaktinius punktus, paskirtus pagal šio reglamento 46c straipsnio 1 dalį kitose atitinkamose valstybėse narėse, ir informuoti visuomenę arba reikalauti, kad europinės skaitmeninės tapatybės dėklės teikėjai tai padarytų, kai priežiūros įstaiga nustato, kad saugumo pažeidimo arba vientisumo praradimo atskleidimas atitiktų viešąjį interesą;
atlikti patikrinimus vietoje ir priežiūrą ne vietoje;
reikalauti, kad europinių skaitmeninės tapatybės dėklių teikėjai ištaisytų šiame reglamente nustatytų reikalavimų laikymosi trūkumus;
sustabdyti arba panaikinti pasikliaujančiųjų šalių registraciją ir įtraukimą į 5b straipsnio 7 dalyje nurodytą mechanizmą neteisėto ar nesąžiningo europinės skaitmeninės tapatybės dėklės naudojimo atveju;
bendradarbiauti su kompetentingomis priežiūros institucijomis, įsteigtomis pagal Reglamento (ES) 2016/679 51 straipsnį, visų pirma, nepagrįstai nedelsiant jas informuojant, kai atrodo, kad buvo pažeistos asmens duomenų apsaugos taisyklės, ir apie saugumo pažeidimus, kurie atrodo esantys asmens duomenų pažeidimai.
46b straipsnis
Patikimumo užtikrinimo paslaugų priežiūra
Pagal pirmą pastraipą paskirtoms priežiūros įstaigoms suteikiami reikiami įgaliojimai ir pakankami ištekliai, kad jos galėtų vykdyti savo užduotis.
Pagal 1 dalį paskirtų priežiūros įstaigų vaidmuo yra:
prižiūrėti paskiriančiosios valstybės narės teritorijoje įsisteigusius kvalifikuotus patikimumo užtikrinimo paslaugų teikėjus ir užtikrinti vykdant ex ante ir ex post priežiūros veiklą, kad tie kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai ir jų teikiamos kvalifikuotos patikimumo užtikrinimo paslaugos atitiktų šiame reglamente nustatytus reikalavimus;
vykdant ex post priežiūros veiklą, jei būtina, imtis veiksmų paskiriančiosios valstybės narės teritorijoje įsisteigusių nekvalifikuotų patikimumo užtikrinimo paslaugų teikėjų atžvilgiu, sužinojus apie įtarimus, kad tie nekvalifikuoti patikimumo užtikrinimo paslaugų teikėjai ar jų teikiamos patikimumo užtikrinimo paslaugos neatitinka šiame reglamente nustatytų reikalavimų.
Pagal 1 dalį paskirtų priežiūros įstaigų užduotys apima visų pirma toliau nurodytus veiksmus:
informuoti atitinkamų valstybių narių atitinkamas kompetentingas institucijas, paskirtas arba įsteigtas pagal Direktyvos (ES) 2022/2555 8 straipsnio 1 dalį, apie bet kurį reikšmingą saugumo pažeidimą arba vientisumo praradimą, apie kuriuos ji sužinojo vykdydama savo užduotis, ir reikšmingo saugumo pažeidimo arba vientisumo praradimo, susijusio su kitomis valstybėmis narėmis, atveju informuoti atitinkamos valstybės narės bendrąjį kontaktinį punktą, paskirtą arba įsteigtą pagal Direktyvos (ES) 2022/2555 8 straipsnio 3 dalį, ir bendruosius kontaktinius punktus, paskirtus pagal šio reglamento 46c straipsnio 1 dalį kitose atitinkamose valstybėse narėse, ir informuoti visuomenę arba reikalauti, kad patikimumo užtikrinimo paslaugos teikėjas tai padarytų, kai priežiūros įstaiga nustato, kad saugumo pažeidimo arba vientisumo praradimo atskleidimas atitiktų viešąjį interesą;
bendradarbiauti su kitomis priežiūros įstaigomis ir teikti joms pagalbą pagal 46c ir 46e straipsnius;
analizuoti 20 straipsnio 1 dalyje ir 21 straipsnio 1 dalyje nurodytas atitikties vertinimo ataskaitas;
teikti Komisijai ataskaitas apie savo pagrindinę veiklą pagal šio straipsnio 6 dalį;
vykdyti auditą arba reikalauti, kad atitikties vertinimo įstaiga atliktų kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų atitikties vertinimą pagal 20 straipsnio 2 dalį;
bendradarbiauti su kompetentingomis priežiūros institucijomis, įsteigtomis pagal Reglamento (ES) 2016/679 51 straipsnį, visų pirma, nepagrįstai nedelsiant jas informuoti, kai atrodo, kad buvo pažeistos asmens duomenų apsaugos taisyklės, ir apie saugumo pažeidimus, kurie atrodo esantys asmens duomenų pažeidimai;
patikimumo užtikrinimo paslaugų teikėjams ir jų teikiamoms paslaugoms suteikti kvalifikacijos statusą ir tą statusą panaikinti pagal 20 ir 21 straipsnius;
22 straipsnio 3 dalyje nurodytai už nacionalinį patikimą sąrašą atsakingai įstaigai pranešti apie savo sprendimus suteikti arba panaikinti kvalifikacijos statusą, nebent ta įstaiga taip pat būtų pagal 1 dalį paskirta priežiūros įstaiga;
patikrinti, ar priimtos ir teisingai taikomos nuostatos dėl nutraukimo planų, kai kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas nutraukia savo veiklą, be kita ko, patikrinti, kaip išlaikoma prieiga prie informacijos pagal 24 straipsnio 2 dalies h punktą;
reikalauti, kad patikimumo užtikrinimo paslaugų teikėjai ištaisytų šiame reglamente nustatytų reikalavimų vykdymo pažeidimus;
tirti interneto naršyklių teikėjų pranešimus pagal 45a straipsnį ir prireikus imtis veiksmų.
46c straipsnis
Bendrieji kontaktiniai punktai
46d straipsnis
Savitarpio pagalba
Savitarpio pagalba apima bent tai, kad:
priežiūros įstaiga, taikanti priežiūros ir vykdymo užtikrinimo priemones vienoje valstybėje narėje, informuoja kitos atitinkamos valstybės narės priežiūros įstaigą ir ją konsultuoja;
priežiūros įstaiga gali prašyti kitos atitinkamos valstybės narės priežiūros įstaigos imtis priežiūros arba vykdymo užtikrinimo priemonių, įskaitant, pavyzdžiui, prašymus atlikti patikrinimus, susijusius su 20 ir 21 straipsniuose nurodytomis atitikties vertinimo ataskaitomis, kiek tai susiję su patikimumo užtikrinimo paslaugų teikimu;
kai tinkama, priežiūros įstaigos gali atlikti bendrus tyrimus su kitų valstybių narių priežiūros įstaigomis.
Dėl tokių bendrų veiksmų pagal pirmą pastraipą tvarkos ir procedūrų susitaria ir jas nustato atitinkamos valstybės narės, laikydamosi savo nacionalinės teisės.
Priežiūros įstaiga, kuriai teikiamas pagalbos prašymas, gali atsisakyti patenkinti tą prašymą remdamasi kuriuo nors iš šių pagrindų:
prašoma pagalba nėra proporcinga priežiūros įstaigos priežiūros veiklai, vykdomai pagal 46a ir 46b straipsnius;
priežiūros įstaiga nėra kompetentinga suteikti prašomą pagalbą;
prašomos pagalbos suteikimas būtų nesuderinamas su šiuo reglamentu.
46e straipsnis
Bendradarbiavimo dėl Europos skaitmeninės tapatybės grupė
Bendradarbiavimo grupė vykdo šias užduotis:
keičiasi patarimais ir bendradarbiauja su Komisija dėl besiformuojančių politikos iniciatyvų skaitmeninės tapatybės dėklių, elektroninės atpažinties priemonių ir patikimumo užtikrinimo paslaugų srityje;
atitinkamai teikia patarimus Komisijai įgyvendinimo ir deleguotųjų aktų, kurie turi būti priimti pagal šį reglamentą, projektų rengimo ankstyvuoju etapu;
siekiant padėti priežiūros įstaigoms įgyvendinti šio reglamento nuostatas:
keičiasi geriausios praktikos pavyzdžiais ir informacija, kiek tai susiję su šio reglamento nuostatų įgyvendinimu;
vertina atitinkamus pokyčius skaitmeninės tapatybės dėklės, elektroninės atpažinties ir patikimumo užtikrinimo paslaugų sektoriuose;
organizuoja bendrus posėdžius su atitinkamomis suinteresuotosiomis šalimis iš visos Sąjungos siekiant aptarti bendradarbiavimo grupės vykdomą veiklą ir surinkti informaciją apie kylančius politikos iššūkius;
su ENISA pagalba, keičiasi nuomonėmis, geriausios praktikos pavyzdžiais ir informacija, kiek tai susiję su atitinkamais kibernetinio saugumo aspektais europinių skaitmeninės tapatybės dėklių, elektroninės atpažinties schemų ir patikimumo užtikrinimo paslaugų srityje;
keičiasi geriausios praktikos pavyzdžiais, susijusiais su pranešimo apie saugumo pažeidimus politikos rengimu ir įgyvendinimu ir bendromis priemonėmis, kaip nurodyta 5e ir 10 straipsniuose;
organizuoja bendrus posėdžius su TIS bendradarbiavimo grupe, įsteigta pagal Direktyvos (ES) 2022/2555 14 straipsnio 1 dalį, siekiant keistis atitinkama informacija dėl patikimumo užtikrinimo paslaugų ir elektroninės atpažinties, kiek tai susiję su kibernetinėmis grėsmėmis, incidentais, pažeidžiamumu, informuotumo didinimo iniciatyvomis, mokymais, pratybomis ir įgūdžiais, gebėjimų stiprinimu, standartais ir techninių specifikacijų pajėgumu, taip pat standartais ir techninėmis specifikacijomis;
priežiūros įstaigos prašymu aptaria konkrečius savitarpio pagalbos prašymus, kaip nurodyta 46d straipsnyje;
sudaro palankesnes sąlygas priežiūros įstaigoms keistis informacija, teikdama gaires dėl savitarpio pagalbos organizacinių aspektų ir procedūrų, kaip nurodyta 46d straipsnyje;
organizuoja į šio reglamento taikymo sritį patenkančių elektroninės atpažinties schemų, apie kurias turi būti pranešta, tarpusavio vertinimus.
V
SKYRIUS
ĮGALIOJIMŲ DELEGAVIMAS IR ĮGYVENDINIMO NUOSTATOS
47 straipsnis
Įgaliojimų delegavimas
48 straipsnis
Komiteto procedūra
VI
SKYRIUS
BAIGIAMOSIOS NUOSTATOS
48a straipsnis
Informacijos teikimo reikalavimai
Pagal 1 dalį renkami statistiniai duomenys apima šiuos duomenis:
galiojančią europinę skaitmeninės tapatybės dėklę turinčių fizinių ir juridinių asmenų skaičių;
paslaugų, kurias teikiant pripažįstama europinė skaitmeninė tapatybės dėklė, tipą ir skaičių;
naudotojų skundų ir naudotojų apsaugos ar duomenų apsaugos incidentų, susijusių su pasikliaujančiosiomis šalimis ir kvalifikuotomis patikimumo užtikrinimo paslaugomis, skaičių;
suvestinę ataskaitą, įskaitant duomenis apie incidentus, kuriais užkertamas kelias europinės skaitmeninės tapatybės dėklės naudojimui;
reikšmingų saugumo incidentų, duomenų pažeidimų ir europinių skaitmeninės tapatybės dėklių arba kvalifikuotų patikimumo užtikrinimo paslaugų naudotojų, kuriems padarytas poveikis, suvestinę.
49 straipsnis
Peržiūra
50 straipsnis
Panaikinimas
51 straipsnis
Pereinamojo laikotarpio priemonės
52 straipsnis
Įsigaliojimas
Šis reglamentas taikomas nuo 2016 m. liepos 1 d., išskyrus:
8 straipsnio 3 dalį, 9 straipsnio 5 dalį, 12 straipsnio 2–9 dalis, 17 straipsnio 8 dalį, 19 straipsnio 4 dalį, 20 straipsnio 4 dalį, 21 straipsnio 4 dalį, 22 straipsnio 5 dalį, 23 straipsnio 3 dalį, 24 straipsnio 5 dalį, 27 straipsnio 4 ir 5 dalis, 28 straipsnio 6 dalį, 29 straipsnio 2 dalį, 30 straipsnio 3 ir 4 dalis, 31 straipsnio 3 dalį, 32 straipsnio 3 dalį, 33 straipsnio 2 dalį, 34 straipsnio 2 dalį, 37 straipsnio 4 ir 5 dalis, 38 straipsnio 6 dalį, 42 straipsnio 2 dalį, 44 straipsnio 2 dalį, 45 straipsnio 2 dalį, 47 ir 48 straipsnius, kurie taikomi nuo 2014 m. rugsėjo 17 d.;
7 straipsnį, 8 straipsnio 1 ir 2 dalis, 9 straipsnį, 10 straipsnį, 11 straipsnį, 12 straipsnio 1 dalį, kurie taikomi nuo 8 straipsnio 3 dalyje ir 12 straipsnio 8 dalyje nurodytų įgyvendinimo aktų taikymo pradžios dienos;
6 straipsnį, kuris pradedamas taikyti praėjus trejiems metams nuo 8 straipsnio 3 dalyje ir 12 straipsnio 8 dalyje nurodytų įgyvendinimo aktų taikymo pradžios dienos.
Šis reglamentas privalomas visas ir tiesiogiai taikomas visose valstybėse narėse.
I PRIEDAS
KVALIFIKUOTIEMS ELEKTRONINIŲ PARAŠŲ SERTIFIKATAMS KELIAMI REIKALAVIMAI
Kvalifikuotuose elektroninių parašų sertifikatuose pateikiama:
nuoroda (bent tokia forma, kad ją būtų galima tvarkyti automatizuotomis priemonėmis), kad sertifikatas išduotas kaip kvalifikuotas elektroninio parašo sertifikatas;
duomenų rinkinys, kuriuo vienareikšmiškai nurodomas kvalifikuotus sertifikatus išduodantis kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas, nurodant bent valstybę narę, kurioje jis yra įsisteigęs, ir:
bent pasirašančio asmens vardas ir pavardė arba slapyvardis; jei naudojamas slapyvardis, tai aiškiai nurodoma;
elektroninio parašo patvirtinimo duomenys, atitinkantys elektroninio parašo kūrimo duomenis;
duomenys apie sertifikato galiojimo laikotarpio pradžią ir pabaigą;
sertifikato identifikacinis kodas, kuris turi būti unikalus kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo atžvilgiu;
sertifikatą išduodančio kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo pažangusis elektroninis parašas arba pažangusis elektroninis spaudas;
vieta, kurioje galima nemokamai gauti sertifikatą, patvirtinantį g punkte nurodytą pažangųjį elektroninį parašą arba pažangųjį elektroninį spaudą;
informacija apie kvalifikuoto sertifikato galiojimą arba paslaugos, kuria naudojantis galima gauti tokią informaciją, nuoroda;
jeigu elektroninio parašo kūrimo duomenys, susiję su elektroninio parašo patvirtinimo duomenimis, yra kvalifikuotame elektroninio parašo kūrimo įtaise, atitinkama tai nurodanti informacija pateikiama bent tokia forma, kad ją būtų galima tvarkyti automatizuotomis priemonėmis.
II PRIEDAS
KVALIFIKUOTIEMS ELEKTRONINIO PARAŠO KŪRIMO ĮTAISAMS KELIAMI REIKALAVIMAI
1. Kvalifikuotais elektroninio parašo kūrimo įtaisais, taikant atitinkamas technines ir procedūrines priemones, užtikrinama bent tiek, kad:
būtų tinkamai užtikrintas kuriant elektroninį parašą naudojamų elektroninio parašo kūrimo duomenų konfidencialumas;
kuriant elektroninį parašą naudojami elektroninio parašo kūrimo duomenys faktiškai galėtų būti pateikiami tik vieną kartą;
būtų pakankamai patikimai pašalinta kuriant elektroninį parašą naudojamų elektroninio parašo kūrimo duomenų išvedimo galimybė ir kad elektroninis parašas būtų patikimai apsaugotas nuo klastotės taikant šiuo metu turimas technologijas;
teisę pasirašyti turintis pasirašantis asmuo galėtų patikimai apsaugoti kuriant elektroninį parašą naudojamus elektroninio parašo kūrimo duomenis taip, kad jais negalėtų pasinaudoti kiti asmenys.
2. Kvalifikuotais elektroninio parašo kūrimo įtaisais nekeičiami pasirašomi duomenys arba netrukdoma pateikti šių duomenų pasirašančiam asmeniui prieš pasirašymą.
▼M2 —————
III PRIEDAS
KVALIFIKUOTIEMS ELEKTRONINIŲ SPAUDŲ SERTIFIKATAMS KELIAMI REIKALAVIMAI
Kvalifikuotuose elektroninių spaudų sertifikatuose pateikiama:
nuoroda (bent tokia forma, kad ją būtų galima tvarkyti automatizuotomis priemonėmis), kad sertifikatas išduotas kaip kvalifikuotas elektroninio spaudo sertifikatas;
duomenų rinkinys, kuriuo vienareikšmiškai nurodomas kvalifikuotus sertifikatus išduodantis kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas, nurodant bent valstybę narę, kurioje jis yra įsisteigęs, ir:
bent spaudo kūrėjo pavadinimas (vardas ir pavardė) ir, jei taikoma, oficialiame registre nurodytas registracijos numeris;
elektroninio spaudo patvirtinimo duomenys, atitinkantys elektroninio spaudo kūrimo duomenis;
duomenys apie sertifikato galiojimo laikotarpio pradžią ir pabaigą;
sertifikato identifikacinis kodas, kuris turi būti unikalus kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo atžvilgiu;
sertifikatą išduodančio kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo pažangusis elektroninis parašas arba pažangusis elektroninis spaudas;
vieta, kurioje galima nemokamai gauti sertifikatą, patvirtinantį g punkte nurodytą pažangųjį elektroninį parašą arba pažangųjį elektroninį spaudą;
informacija apie kvalifikuoto sertifikato galiojimą arba paslaugos, kuria naudojantis galima gauti tokią informaciją, nuoroda;
jeigu elektroninio spaudo kūrimo duomenys, susiję su elektroninio spaudo patvirtinimo duomenimis, yra kvalifikuotame elektroninio spaudo kūrimo įtaise, atitinkama tai nurodanti informacija pateikiama bent tokia forma, kad ją būtų galima tvarkyti automatizuotomis priemonėmis.
IV PRIEDAS
KVALIFIKUOTIEMS INTERNETO SVETAINĖS TAPATUMO NUSTATYMO SERTIFIKATAMS KELIAMI REIKALAVIMAI
Kvalifikuotuose interneto svetainės tapatumo nustatymo sertifikatuose pateikiama:
nuoroda (bent tokia forma, kad ją būtų galima tvarkyti automatizuotomis priemonėmis), kad sertifikatas išduotas kaip kvalifikuotas interneto svetainės tapatumo nustatymo sertifikatas;
duomenų rinkinys, kuriuo vienareikšmiškai nurodomas kvalifikuotus sertifikatus išduodantis kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas, nurodant bent valstybę narę, kurioje jis yra įsisteigęs, ir:
fizinių asmenų atveju: bent to asmens, kuriam išduotas sertifikatas, vardas ir pavardė arba slapyvardis; jei naudojamas slapyvardis, tai aiškiai nurodoma;
juridinių asmenų atveju: unikalus duomenų rinkinys, kuriuo vienareikšmiškai nurodomas juridinis asmuo, kuriam išduotas sertifikatas, pateikiant bent juridinio asmens, kuriam išduotas sertifikatas, pavadinimą ir, kai taikytina, oficialiuose registruose nurodytą registracijos numerį;
fizinio ar juridinio asmens, kuriam išduotas sertifikatas, adreso duomenys, nurodant bent miestą ir valstybę, ir, jei taikoma, oficialiame registre nurodyti adreso duomenys;
domeno (-ų) vardas (-ai), kurį (-iuos) naudoja fizinis ar juridinis asmuo, kuriam išduotas sertifikatas;
duomenys apie sertifikato galiojimo laikotarpio pradžią ir pabaigą;
sertifikato identifikacinis kodas, kuris turi būti unikalus kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo atžvilgiu;
sertifikatą išduodančio kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo pažangusis elektroninis parašas arba pažangusis elektroninis spaudas;
vieta, kurioje galima nemokamai gauti sertifikatą, patvirtinantį h punkte nurodytą pažangųjį elektroninį parašą arba pažangųjį elektroninį spaudą;
informacija apie kvalifikuoto sertifikato galiojimą arba sertifikato galiojimo būsenos paslaugų, kuriomis naudojantis galima gauti tokią informaciją, nuoroda.
V PRIEDAS
KVALIFIKUOTŲ ELEKTRONINIŲ POŽYMIŲ LIUDIJIMŲ REIKALAVIMAI
Kvalifikuotuose elektroniniuose požymių liudijimuose turi būti ši informacija:
nuoroda, bent automatizuotoms duomenų tvarkymo priemonėms tinkama forma, kad liudijimas išduotas kaip kvalifikuotas elektroninis požymių liudijimas;
duomenų rinkinys, kuriuo vienareikšmiškai nurodomas kvalifikuotus elektroninius požymių liudijimus išduodantis kvalifikuotos patikimumo užtikrinimo paslaugos teikėjas, nurodant bent valstybę narę, kurioje jis yra įsisteigęs, ir:
juridinio asmens atveju: pavadinimas ir, kai taikytina, oficialiame registre nurodytas registracijos numeris;
fizinio asmens atveju: asmens vardas ir pavardė;
duomenų rinkinys, kuriuo vienareikšmiškai nurodomas subjektas, su kuriuo susiję liudijime nurodyti požymiai; jei naudojamas slapyvardis, tai aiškiai nurodoma;
liudijamas požymis ar požymiai, įskaitant, kai taikytina, tokių požymių taikymo sričiai nustatyti būtiną informaciją;
duomenys apie liudijimo galiojimo laikotarpio pradžią ir pabaigą;
liudijimo identifikacinis kodas, kuris turi būti unikalus kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo sistemoje, ir, jei taikytina, turi būti nurodyta liudijimų schema, pagal kurią išduotas požymių liudijimas;
liudijimą išduodančio kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo kvalifikuotas elektroninis parašas arba kvalifikuotas elektroninis spaudas;
vieta, kurioje galima nemokamai gauti sertifikatą, patvirtinantį g punkte nurodytą kvalifikuotą elektroninį parašą arba kvalifikuotą elektroninį spaudą;
informacija apie kvalifikuoto liudijimo galiojimą arba paslaugos, kuria naudojantis galima gauti tokią informaciją, nuoroda.
VI PRIEDAS
BŪTINŲJŲ POŽYMIŲ SĄRAŠAS
Pagal 45e straipsnį valstybės narės užtikrina, kad būtų imamasi priemonių sudaryti sąlygas kvalifikuotiems patikimumo užtikrinimo elektroninių požymių liudijimų teikėjams elektroniniu būdu naudotojui prašant patikrinti toliau nurodytų požymių tikrumą pagal atitinkamą autentišką šaltinį nacionaliniu lygmeniu ar per paskirtus nacionaliniu lygmeniu pripažįstamus tarpininkus laikantis Sąjungos ar nacionalinės teisės ir kai šie požymiai grindžiami viešojo sektoriaus autentiškais šaltiniais:
adresas;
amžius;
lytis;
civilinė būklė;
šeimos sudėtis;
pilietybė ar tautybė;
mokslo kvalifikacijos, pareigos ir licencijos;
profesinės kvalifikacijos, pareigos ir licencijos;
galios ir įgaliojimai atstovauti fiziniams ar juridiniams asmenims;
viešieji leidimai ir licencijos;
juridinių asmenų atveju – finansiniai ir bendrovių duomenys.
VII PRIEDAS
UŽ AUTENTIŠKĄ ŠALTINĮ ATSAKINGOS VIEŠOSIOS ĮSTAIGOS ARBA JOS VARDU IŠDUOTIEMS ELEKTRONINIAMS POŽYMIŲ LIUDIJIMAMS TAIKOMI REIKALAVIMAI
Už autentišką šaltinį atsakingos viešosios įstaigos arba jos vardu išduotame elektroniniame požymių liudijime pateikiama:
nuoroda, bent automatiniam tvarkymui tinkama forma, kad liudijimas buvo išduotas kaip už autentišką šaltinį atsakingos viešosios įstaigos arba jos vardu išduodamas elektroninis požymių liudijimas;
duomenų rinkinys, kuriuo vienareikšmiškai nurodoma elektroninį požymių liudijimą išdavusi viešoji įstaiga, įskaitant bent valstybę narę, kurioje ta viešoji įstaiga yra įsteigta, tos įstaigos pavadinimą ir, kai taikytina, registracijos numerį, kaip nurodyta oficialiuose įrašuose;
duomenų rinkinys, kuriuo vienareikšmiškai nurodomas subjektas, su kuriuo susiję liudijime nurodyti požymiai; jei naudojamas slapyvardis, tai aiškiai nurodoma;
liudijamas požymis ar požymiai, įskaitant, kai taikytina, tokių požymių taikymo sričiai nustatyti būtiną informaciją;
duomenys apie liudijimo galiojimo laikotarpio pradžią ir pabaigą;
liudijimo identifikacinis kodas, kuris turi būti unikalus išduodančios viešosios įstaigos sistemoje, ir, jei taikytina, turi būti nurodyta liudijimų schema, pagal kurią išduotas požymių liudijimas;
išduodančios įstaigos kvalifikuotas elektroninis parašas arba kvalifikuotas elektroninis spaudas;
vieta, kurioje galima nemokamai gauti sertifikatą, patvirtinantį g punkte nurodytą kvalifikuotą elektroninį parašą arba kvalifikuotą elektroninį spaudą;
informacija apie liudijimo galiojimą arba paslaugos, kuria naudojantis galima gauti tokią informaciją, nuoroda.
( 1 ) 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016 5 4, p. 1).
( 2 ) 2014 m. vasario 26 d. Europos Parlamento ir Tarybos direktyva 2014/24/ES dėl viešųjų pirkimų, kuria panaikinama Direktyva 2004/18/EB (OL L 94, 2014 3 28, p. 65).
( 3 ) 2019 m. balandžio 17 d. Europos Parlamento ir Tarybos direktyva (ES) 2019/882 dėl gaminių ir paslaugų prieinamumo reikalavimų (OL L 151, 2019 6 7, p. 70).
( 4 ) 2019 m. balandžio 17 d. Europos Parlamento ir Tarybos reglamentas (ES) 2019/881 dėl ENISA (Europos Sąjungos kibernetinio saugumo agentūros) ir informacinių ir ryšių technologijų kibernetinio saugumo sertifikavimo, kuriuo panaikinamas Reglamentas (ES) Nr. 526/2013 (Kibernetinio saugumo aktas) (OL L 151, 2019 6 7, p. 15).
( 5 ) 2003 m. gegužės 6 d. Komisijos rekomendacija 2003/361/EB dėl labai mažų, mažųjų ir vidutinių įmonių apibrėžties (OL L 124, 2003 5 20, p. 36).
( 6 ) 2022 m. spalio 19 d. Europos Parlamento ir Tarybos reglamentas (ES) 2022/2065 dėl bendrosios skaitmeninių paslaugų rinkos, kuriuo iš dalies keičiama Direktyva 2000/31/EB (Skaitmeninių paslaugų aktas) (OL L 277, 2022 10 27, p. 1).
( 7 ) 2022 m. rugsėjo 14 d. Europos Parlamento ir Tarybos reglamentas (ES) 2022/1925 dėl atvirų konkurencijai ir sąžiningų skaitmeninio sektoriaus rinkų, kuriuo iš dalies keičiamos direktyvos (ES) 2019/1937 ir (ES) 2020/1828 (Skaitmeninių rinkų aktas) (OL L 265, 2022 10 12, p. 1).
( 8 ) 2022 m. gruodžio 14 d. Europos Parlamento ir Tarybos direktyva (ES) 2022/2555 dėl priemonių aukštam bendram kibernetinio saugumo lygiui visoje Sąjungoje užtikrinti, kuria iš dalies keičiamas Reglamentas (ES) Nr. 910/2014 ir Direktyva (ES) 2018/1972 ir panaikinama Direktyva (ES) 2016/1148 (TIS 2 direktyva) (OL L 333, 2022 12 27, p. 80).