Zwiększenie bezpieczeństwa transakcji w Internecie
STRESZCZENIE DOKUMENTU:
Rozporządzenie (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym
STRESZCZENIE
JAKIE SĄ CELE NINIEJSZEGO ROZPORZĄDZENIA?
-
Rozporządzenie w sprawie identyfikacji elektronicznej i usług zaufania (eIDAS) ustanawia nowy system bezpiecznych interakcji elektronicznych w całej UE pomiędzy przedsiębiorstwami, obywatelami i władzami publicznymi.
-
Jego celem jest zwiększenie zaufania do transakcji elektronicznych realizowanych w całej UE, w celu podniesienia efektywności publicznych i prywatnych usług online i handlu elektronicznego. Rozporządzenie obejmuje:
-
programy identyfikacji elektronicznej (eID)* zgłoszone Komisji Europejskiej przez kraje UE,
-
dostawców usług zaufania mających siedzibę w UE.
-
Znosi ono istniejące bariery w stosowaniu środków identyfikacji elektronicznej w UE. Przykładowo przedsiębiorstwo z Portugalii będzie mogło w prosty sposób złożyć ofertę przetargową w ramach zamówienia na usługi publiczne w Szwecji, a dotacjami UE będzie mogło zarządzać w całości on-line.
KLUCZOWE ZAGADNIENIA
Identyfikacja elektroniczna
-
Środek identyfikacji elektronicznej wydany przez dany kraj UE musi być uznawany przez inne kraje UE. Ta zasada ma zastosowanie, pod warunkiem że środek identyfikacji elektronicznej spełnia wymogi niniejszego rozporządzenia i został zgłoszony Komisji oraz zamieszczony w opublikowanym wykazie. Zasada wzajemnego uznawania środków identyfikacji elektronicznej zacznie obowiązywać od 28 września 2018 r. ułatwiając prowadzenie bezpiecznych transakcji w całej UE.
-
Program identyfikacji elektronicznej musi określać jeden z trzech poziomów bezpieczeństwa (niski, średni, wysoki) formy identyfikacji elektronicznej wydanej w ramach tego programu. Zasada wzajemnego uznawania obowiązuje wyłącznie w przypadku, gdy poziom bezpieczeństwa środka identyfikacji elektronicznej stosowanego przez odpowiedni podmiot sektora publicznego odpowiada średniemu lub wysokiemu poziomowi bezpieczeństwa.
Notyfikacja
-
Podczas zgłaszania Komisji programów identyfikacji elektronicznej kraje UE muszą określić:
-
poziomy bezpieczeństwa oraz stronę wydającą środki identyfikacji elektronicznej w ramach tego programu,
-
mające zastosowanie systemy nadzoru i systemy odpowiedzialności,
-
jednostkę zarządzającą rejestracją unikalnych danych identyfikujących osobę.
-
W przypadku naruszenia bezpieczeństwa systemu identyfikacji elektronicznej lub uwierzytelniania, notyfikujący kraj UE musi:
-
bezzwłocznie zawiesić lub unieważnić obowiązujące w całej UE uwierzytelnianie lub naruszone części programu,
-
powiadomić o tym pozostałe państwa członkowskie i Komisję.
Odpowiedzialność
-
W przypadku każdej transakcji prowadzonej pomiędzy krajami UE, odpowiedzialność za szkody wyrządzone w sposób zamierzony lub z powodu zaniedbania osobie fizycznej lub prawnej w związku z niewypełnieniem obowiązków określonych w niniejszym rozporządzeniu ponoszą:
-
notyfikujący kraj UE,
-
strona wydająca środek identyfikacji elektronicznej,
-
strona zarządzająca procedurą uwierzytelniania.
Współpraca i interoperacyjność w krajach UE
-
Notyfikowane krajowe systemy identyfikacji elektronicznej muszą być interoperacyjne. Ramy interoperacyjności muszą być neutralne pod względem technologicznym i nie mogą dyskryminować żadnych konkretnych krajowych rozwiązań technicznych w zakresie identyfikacji elektronicznej.
Usługi zaufania
-
Rozporządzenie definiuje usługi zaufania jako usługi świadczone za wynagrodzeniem, obejmujące:
-
tworzenie, weryfikację, walidację podpisów elektronicznych, pieczęci elektronicznych lub elektronicznych znaczników czasu, usług rejestrowanego doręczenia elektronicznego oraz certyfikatów powiązanych z tymi usługami,
-
tworzenie, weryfikację i walidację certyfikatów uwierzytelniania witryn internetowych,
-
konserwację elektronicznych podpisów, pieczęci lub certyfikatów powiązanych z tymi usługami.
-
Dostawcy usług zaufania mający siedzibę w UE są uznawani za „kwalifikowanych”, jeżeli spełniają odpowiednie wymogi rozporządzenia. Są oni zgodnie z prawem uprawnieni do świadczenia kwalifikowanychusług zaufania (np. kwalifikowanych podpisów elektronicznych, pieczęci elektronicznych lub certyfikatów elektronicznych) we wszystkich krajach UE. Usługi zaufania świadczone przez dostawców usług zaufania mających siedzibę w państwie trzecim są uznawane za prawnie równoważne kwalifikowanym usługom zaufania wyłącznie na mocy umowy zawartej między UE a danym państwem trzecim lub organizacją międzynarodową.
Nadzór
-
Zgodnie z rozporządzeniem kraje UE muszą ustanowić co najmniej jeden organ do prowadzenia działań nadzorczych. Te organy powinny współpracować z organami ochrony danych w stosownych przypadkach.
-
Wszyscy dostawcy usług zaufania podlegają działaniom nadzorczym, ocenie ryzyka oraz obowiązkowi zgłaszania przypadków naruszenia bezpieczeństwa.
-
Niekwalifikowani dostawcy usług zaufania podlegają łagodnym działaniom nadzorczym, czyli organ nadzoru podejmuje działania wyłącznie wtedy, gdy dostawca jest podejrzewany o uchybienie.
-
Kwalifikowani dostawcy usług zaufania mający siedzibę w UE są objęci ścisłym nadzorem. Mają m.in. obowiązek uzyskania uprzedniego zezwolenia organów nadzoru i poddania się audytowi, co najmniej raz na 2 lata, prowadzonemu przez organizację, która ocenia, czy spełniają oni wymogi określone w rozporządzeniu.
-
Nowy dobrowolny znak zaufania UE będzie stosowany do oznaczania kwalifikowanych usług zaufania świadczonych przez odpowiednich dostawców.
Szereg aktów przyjętych przez Komisję Europejską w 2015 r. określa:
OD KIEDY NINIEJSZE ROZPORZĄDZENIE MA ZASTOSOWANIE?
Niniejsze rozporządzenie ma zastosowanie od 17 września 2014 r.
KLUCZOWE POJĘCIE
* środki identyfikacji elektronicznej (eID): oznaczają materialną lub niematerialną jednostkę zawierającą dane identyfikujące osobę i używaną do celów uwierzytelniania dla usługi on-line.
AKT
Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (Dz.U. L 257 z 28.8.2014, s. 73–114)
Kolejne zmiany do rozporządzenia (UE) nr 910/2014 zostały włączone do tekstu pierwotnego. Niniejszy tekst skonsolidowany ma jedynie wartość dokumentalną.
Ostatnia aktualizacja: 17.03.2016
Top