02014R0910 — SK — 20.05.2024 — 001.001
Tento text slúži výlučne ako dokumentačný nástroj a nemá žiadny právny účinok. Inštitúcie Únie nenesú nijakú zodpovednosť za jeho obsah. Autentické verzie príslušných aktov vrátane ich preambúl sú tie, ktoré boli uverejnené v Úradnom vestníku Európskej únie a ktoré sú dostupné na portáli EUR-Lex. Tieto úradné znenia sú priamo dostupné prostredníctvom odkazov v tomto dokumente
|
NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) č. 910/2014 z 23. júla 2014 (Ú. v. ES L 257 28.8.2014, s. 73) |
Zmenené a doplnené:
|
|
|
Úradný vestník |
||
|
Č. |
Strana |
Dátum |
||
|
NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2024/1183 z 11. apríla 2024, |
L 1183 |
1 |
30.4.2024 |
|
Opravené a doplnené:
NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) č. 910/2014
z 23. júla 2014
o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93/ES
KAPITOLA I
VŠEOBECNÉ USTANOVENIA
Článok 1
Predmet úpravy
Cieľom tohto nariadenia je zabezpečiť riadne fungovanie vnútorného trhu a primeranú úroveň bezpečnosti prostriedkov elektronickej identifikácie a dôveryhodných služieb používaných v celej Únii s cieľom umožniť a uľahčiť fyzickým a právnickým osobám vykonávať ich právo bezpečne sa zúčastňovať na digitálnej spoločnosti a právo na prístup k online verejným a súkromným službám v celej Únii. Na tieto účely sa týmto nariadením:
stanovujú podmienky, za ktorých majú členské štáty uznávať prostriedky elektronickej identifikácie fyzických a právnických osôb, na ktoré sa vzťahuje oznámená schéma elektronickej identifikácie iného členského štátu, a poskytnúť a uznávať európske peňaženky digitálnej identity;
stanovujú pravidlá pre dôveryhodné služby, najmä elektronické transakcie;
zriaďuje právny rámec pre elektronické podpisy, elektronické pečate, elektronické časové pečiatky, elektronické dokumenty, elektronické doručovacie služby pre registrované zásielky, certifikačné služby pre autentifikáciu webových sídiel, elektronickú archiváciu, elektronické osvedčenie atribútov, zariadenia na vyhotovenie elektronického podpisu, zariadenia na vyhotovenie elektronickej pečate a elektronické registre.
Článok 2
Rozsah pôsobnosti
Článok 3
Vymedzenie pojmov
Na účely tohto nariadenia sa uplatňujú tieto vymedzenia pojmov:
„elektronická identifikácia“ je proces používania osobných identifikačných údajov v elektronickej forme, ktoré jedinečne reprezentujú fyzickú osobu alebo právnickú osobu alebo fyzickú osobu zastupujúcu inú fyzickú alebo právnickú osobu;
„prostriedok elektronickej identifikácie“ je hmotná a/alebo nehmotná jednotka, ktorá obsahuje osobné identifikačné údaje a ktorá sa používa na autentifikáciu v rámci online služby, alebo v príslušnom prípade offline služby;
„osobné identifikačné údaje“ sú súbor údajov vydaný v súlade s právom Únie alebo vnútroštátnym právom, ktorý umožňuje určiť totožnosť fyzickej alebo právnickej osoby alebo fyzickej osoby zastupujúcej inú fyzickú alebo právnickú osobu;
„schéma elektronickej identifikácie“ je systém na elektronickú identifikáciu, v rámci ktorého sa fyzickým alebo právnickým osobám alebo fyzickým osobám zastupujúcim iné fyzické alebo právnické osoby vydávajú prostriedky elektronickej identifikácie;
„autentifikácia“ je elektronický proces, ktorý umožňuje potvrdenie elektronickej identifikácie fyzickej alebo právnickej osoby alebo potvrdenie pôvodu a integrity údajov v elektronickej forme;
„používateľ“ je fyzická alebo právnická osoba alebo fyzická osoba zastupujúca inú fyzickú alebo právnickú osobu, ktorá využíva dôveryhodné služby alebo prostriedky elektronickej identifikácie poskytované v súlade s týmto nariadením;
„spoliehajúca sa strana“ je fyzická alebo právnická osoba, ktorá sa spolieha na elektronickú identifikáciu, európske peňaženky digitálnej identity, iné prostriedky elektronickej identifikácie alebo na dôveryhodnú službu;
„subjekt verejného sektora“ je ústredný, regionálny alebo miestny orgán, verejnoprávny subjekt alebo združenie tvorené jedným alebo viacerými takýmito orgánmi alebo jedným či viacerými takýmito verejnoprávnymi subjektmi, alebo súkromný subjekt, ktorý aspoň jeden z takýchto orgánov, subjektov alebo združení poveril poskytovaním verejných služieb, keď koná na základe takéhoto poverenia;
„verejnoprávny subjekt“ je subjekt v zmysle článku 2 ods. 1 bodu 4 smernice Európskeho parlamentu a Rady 2014/24/EÚ ( 2 );
„podpisovateľ“ je fyzická osoba, ktorá vyhotovuje elektronický podpis;
„elektronický podpis“ sú údaje v elektronickej forme, ktoré sú pripojené alebo logicky pridružené k iným údajom v elektronickej forme a ktoré podpisovateľ používa na podpisovanie;
„zdokonalený elektronický podpis“ je elektronický podpis, ktorý spĺňa požiadavky stanovené v článku 26;
„kvalifikovaný elektronický podpis“ je zdokonalený elektronický podpis vyhotovený s použitím ►C1 zariadenia na vyhotovenie kvalifikovaného elektronického podpisu ◄ a založený na kvalifikovanom certifikáte pre elektronické podpisy;
„údaje na vyhotovenie elektronického podpisu“ sú jedinečné údaje, ktoré podpisovateľ používa na vyhotovenie elektronického podpisu;
„certifikát pre elektronický podpis“ je elektronické osvedčenie, ktoré spája údaje na validáciu elektronického podpisu s fyzickou osobou a potvrdzuje aspoň jej meno alebo pseudonym;
„kvalifikovaný certifikát pre elektronický podpis“ je certifikát pre elektronický podpis, ktorý vydáva kvalifikovaný poskytovateľ dôveryhodných služieb a ktorý spĺňa požiadavky stanovené v prílohe I;
„dôveryhodná služba“ je elektronická služba, ktorá sa spravidla poskytuje za protihodnotu a spočíva v ktorejkoľvek z týchto činností:
vydávanie certifikátov pre elektronické podpisy, certifikátov pre elektronické pečate, certifikátov pre autentifikáciu webových sídiel alebo certifikátov na poskytovanie iných dôveryhodných služieb;
validácia certifikátov pre elektronické podpisy, certifikátov pre elektronické pečate, certifikátov pre autentifikáciu webových sídiel alebo certifikátov na poskytovanie iných dôveryhodných služieb;
vyhotovovanie elektronických podpisov alebo elektronických pečatí;
validácia elektronických podpisov alebo elektronických pečatí;
uchovávanie elektronických podpisov, elektronických pečatí, certifikátov pre elektronické podpisy alebo certifikátov pre elektronické pečate;
správa zariadení na vyhotovenie elektronického podpisu na diaľku alebo zariadení na vyhotovenie elektronickej pečate na diaľku;
vydávanie elektronických osvedčení atribútov;
validácia elektronického osvedčenia atribútov;
vyhotovovanie elektronických časových pečiatok;
validácia elektronických časových pečiatok;
poskytovanie elektronickej doručovacej služby pre registrované zásielky;
validácia údajov prenášaných prostredníctvom elektronických doručovacích služieb pre registrované zásielky a súvisiacich dôkazov;
elektronická archivácia elektronických údajov a elektronických dokumentov;
zaznamenávanie elektronických údajov v elektronickom registri;
„kvalifikovaná dôveryhodná služba“ je dôveryhodná služba, ktorá spĺňa uplatniteľné požiadavky stanovené v tomto nariadení;
„orgán posudzovania zhody“ je orgán posudzovania zhody v zmysle vymedzenia v článku 2 bode 13 nariadenia (ES) č. 765/2008, ktorý je v súlade s uvedeným nariadením akreditovaný ako orgán príslušný na posudzovanie zhody kvalifikovaného poskytovateľa dôveryhodných služieb a kvalifikovaných dôveryhodných služieb, ktoré poskytuje, alebo príslušný na certifikáciu európskych peňaženiek digitálnej identity alebo prostriedkov elektronickej identifikácie;
„poskytovateľ dôveryhodných služieb“ je fyzická alebo právnická osoba poskytujúca jednu alebo viacero dôveryhodných služieb buď ako kvalifikovaný alebo nekvalifikovaný poskytovateľ dôveryhodných služieb;
„kvalifikovaný poskytovateľ dôveryhodných služieb“ je poskytovateľ dôveryhodných služieb, ktorý poskytuje jednu alebo viacero kvalifikovaných dôveryhodných služieb a ktorému orgán dohľadu udelil kvalifikovaný štatút;
„produkt“ je hardvér alebo softvér alebo príslušné zložky hardvéru alebo softvéru určené na používanie pri poskytovaní elektronickej identifikácie a dôveryhodných služieb;
„zariadenie na vyhotovenie elektronického podpisu“ je nakonfigurovaný softvér alebo hardvér používaný na vyhotovenie elektronického podpisu;
„ ►C1 zariadení na vyhotovenie kvalifikovaného elektronického podpisu ◄ “ je zariadenie na vyhotovenie elektronického podpisu, ktoré spĺňa požiadavky stanovené v prílohe II;
„zariadenie na vyhotovenie kvalifikovaného elektronického podpisu na diaľku“ je zariadenie na vyhotovenie kvalifikovaného elektronického podpisu spravované kvalifikovaným poskytovateľom dôveryhodných služieb v súlade s článkom 29a v mene podpisovateľa;
„zariadenie na vyhotovenie kvalifikovanej elektronickej pečate na diaľku“ je zariadenie na vyhotovenie kvalifikovanej elektronickej pečate spravované kvalifikovaným poskytovateľom dôveryhodných služieb v súlade s článkom 39a v mene pôvodcu pečate;
„pôvodca pečate“ je právnická osoba, ktorá vyhotovuje elektronickú pečať;
„elektronická pečať“ sú údaje v elektronickej forme, ktoré sú pripojené alebo logicky pridružené k iným údajom v elektronickej forme s cieľom zabezpečiť pôvod a integritu týchto pridružených údajov;
„zdokonalená elektronická pečať“ je elektronická pečať, ktorá spĺňa požiadavky stanovené v článku 36;
„kvalifikovaná elektronická pečať“ je zdokonalená elektronická pečať vyhotovená pomocou ►C1 zariadenia na vyhotovenie kvalifikovanej elektronickej pečate ◄ a založená na kvalifikovanom certifikáte pre elektronickú pečať;
„údaje pre vyhotovenie elektronickej pečate“ sú jedinečné údaje, ktoré používa pôvodca elektronickej pečate na vyhotovenie elektronickej pečate;
„certifikát pre elektronickú pečať“ je elektronické osvedčenie, ktoré spája údaje na validáciu elektronickej pečate s právnickou osobou a potvrdzuje jej názov;
„kvalifikovaný certifikát pre elektronickú pečať“ je certifikát pre elektronickú pečať, ktorý vydáva kvalifikovaný poskytovateľ dôveryhodných služieb a ktorý spĺňa požiadavky stanovené v prílohe III;
„zariadenie na vyhotovenie elektronickej pečate“ je nakonfigurovaný softvér alebo hardvér používaný na vyhotovenie elektronickej pečate;
„ ►C1 zariadenie na vyhotovenie kvalifikovanej elektronickej pečate ◄ “ je zariadenie na vyhotovenie elektronickej pečate, ktoré primerane spĺňa požiadavky stanovené v prílohe II;
„elektronická časová pečiatka“ sú údaje v elektronickej forme, ktoré viažu iné údaje v elektronickej forme s konkrétnym časom, čím tvoria dôkaz o existencii týchto iných údajov v danom čase;
„kvalifikovaná elektronická časová pečiatka“ je elektronická časová pečiatka, ktorá spĺňa požiadavky stanovené v článku 42;
„elektronický dokument“ je akýkoľvek obsah uložený v elektronickej forme, najmä text alebo zvukový, obrazový či audiovizuálny záznam;
„elektronická doručovacia služba pre registrované zásielky“ je služba, ktorá umožňuje posielanie údajov elektronickými prostriedkami medzi tretími stranami a poskytuje dôkaz týkajúci sa nakladania s odoslanými údajmi vrátane potvrdenia o odoslaní a doručení údajov a ktorá chráni odosielané údaje pred rizikom straty, krádeže, poškodenia alebo akýchkoľvek neoprávnených úprav;
„kvalifikovaná elektronická doručovacia služba pre registrované zásielky“ je elektronická doručovacia služba pre registrované zásielky, ktorá spĺňa požiadavky stanovené v článku 44;
„certifikát pre autentifikáciu webového sídla“ je elektronické osvedčenie, ktoré umožňuje autentifikáciu webového sídla a spája webové sídlo s fyzickou alebo právnickou osobou, ktorej bol certifikát vydaný;
„kvalifikovaný certifikát pre autentifikáciu webového sídla“ je certifikát pre autentifikáciu webového sídla, ktorý vydáva kvalifikovaný poskytovateľ dôveryhodných služieb a ktorý spĺňa požiadavky stanovené v prílohe IV;
„validačné údaje“ sú údaje, ktoré sa používajú na validáciu elektronického podpisu, alebo elektronickej pečate;
„validácia“ je proces overenia a potvrdenia, že údaje v elektronickej forme sú platné v súlade s týmto nariadením;
„európska peňaženka digitálnej identity“ je prostriedok elektronickej identifikácie, ktorý používateľovi umožňuje bezpečne uchovávať, spravovať a validovať údaje o totožnosti osoby a elektronické osvedčenia atribútov na účely ich poskytnutia spoliehajúcim sa stranám a iným používateľom európskych peňaženiek digitálnej identity, ako aj podpisovať prostredníctvom kvalifikovaných elektronických podpisov alebo pečatiť prostredníctvom kvalifikovaných elektronických pečatí;
„atribút“ je črta, vlastnosť, právo alebo povolenie fyzickej alebo právnickej osoby alebo predmetu;
„elektronické osvedčenie atribútov“ je osvedčenie v elektronickej forme, ktoré umožňuje autentifikáciu atribútov;
„kvalifikované elektronické osvedčenie atribútov“ je elektronické osvedčenie atribútov, ktoré vydáva kvalifikovaný poskytovateľ dôveryhodných služieb a ktoré spĺňa požiadavky stanovené v prílohe V;
„elektronické osvedčenie atribútov vydané subjektom verejného sektora zodpovedným za autentický zdroj alebo v jeho mene“ je elektronické osvedčenie atribútov, ktoré vydal subjekt verejného sektora zodpovedný za autentický zdroj alebo subjekt verejného sektora, ktorý členský štát určil na vydávanie takýchto osvedčení atribútov v mene subjektov verejného sektora zodpovedných za autentické zdroje v súlade s článkom 45f a s prílohou VII;
„autentický zdroj“ je úložisko alebo systém, za ktorý je zodpovedný subjekt verejného sektora alebo súkromný subjekt a ktorý obsahuje a poskytuje atribúty o fyzickej alebo právnickej osobe alebo objekte a považuje sa za primárny zdroj týchto informácií alebo je v súlade s právom Únie alebo vnútroštátnym právom vrátane administratívnej praxe uznaný za autentický;
„elektronická archivácia“ je služba zabezpečujúca príjem, uchovávanie, vyhľadávanie a vymazávanie elektronických údajov a elektronických dokumentov s cieľom zaistiť ich trvácnosť a čitateľnosť, ako aj zachovať ich integritu, dôvernosť a dôkaz o pôvode počas celého obdobia uchovávania;
„kvalifikovaná elektronická archivačná služba“ je elektronická archivačná služba, ktorú poskytuje kvalifikovaný poskytovateľ dôveryhodných služieb a ktorá spĺňa požiadavky stanovené v článku 45j;
„značka dôvery EÚ pre peňaženku digitálnej identity“ je overiteľné, jednoduché a rozpoznateľné označenie, ktorým sa jasne oznamuje, že európska peňaženka digitálnej identity bola poskytnutá v súlade s týmto nariadením;
„silná autentifikácia používateľa“ je autentifikácia založená na použití najmenej dvoch autentifikačných faktorov z rôznych kategórií, ktorými sú buď znalosť, niečo, čo vie len používateľ, vlastníctvo, niečo, čo vlastní len používateľ, alebo inherencia, niečo, čím používateľ je, a ktoré sú nezávislé v tom zmysle, že narušením jedného faktora sa neskompromituje spoľahlivosť ostatných faktorov, a je navrhnutá tak, aby sa ňou chránila dôvernosť autentifikačných údajov;
„elektronický register“ je postupnosť záznamov elektronických údajov, ktorá zabezpečuje integritu týchto záznamov a presnosť chronologického poradia týchto záznamov;
„kvalifikovaný elektronický register“ je elektronický register, ktorý poskytuje kvalifikovaný poskytovateľ dôveryhodných služieb a ktorý spĺňa požiadavky stanovené v článku 45l;
„osobné údaje“ sú všetky informácie v zmysle vymedzenia v článku 4 bode 1 nariadenia (EÚ) 2016/679;
„párovanie totožnosti“ je proces, pri ktorom sa osobné identifikačné údaje alebo elektronické identifikačné prostriedky párujú alebo spájajú s existujúcim účtom patriacim rovnakej osobe;
„záznam údajov“ sú elektronické údaje zaznamenané so súvisiacimi metaúdajmi, ktoré podporujú spracovanie údajov;
„offline režim“ je, pokiaľ ide o používanie európskych peňaženiek digitálnej identity, interakcia medzi používateľom a treťou stranou na fyzickom mieste s využitím technológií tesnej blízkosti, pričom na účely interakcie sa od európskej peňaženky digitálnej identity nevyžaduje prístup k diaľkovým systémom prostredníctvom elektronických komunikačných sietí.
Článok 4
Zásada vnútorného trhu
Článok 5
Pseudonymy v elektronickej transakcii
Používanie pseudonymov zvolených používateľom sa nezakazuje, pričom tým nie sú dotknuté osobitné pravidlá práva Únie alebo vnútroštátneho práva, podľa ktorých sa od používateľov vyžaduje, aby sa identifikovali, ani právny účinok pseudonymov podľa vnútroštátneho práva.
KAPITOLA II
ELEKTRONICKÁ IDENTIFIKÁCIA
ODDIEL 1
európska peňaženka digitálnej identity
Článok 5a
Európske peňaženky digitálnej identity
Európske peňaženky digitálnej identity sa poskytnú jedným alebo viacerými z týchto spôsobov:
priamo zo strany členského štátu;
na základe poverenia členského štátu;
nezávisle od členského štátu, ktorý však príslušný postup uznáva.
Európske peňaženky digitálnej identity umožňujú používateľovi používateľsky ústretovým, transparentným a vysledovateľným spôsobom:
pod výlučnou kontrolou používateľa bezpečne požadovať, získavať, vyberať, kombinovať, uchovávať, vymazávať, zdieľať a predkladať osobné identifikačné údaje, v príslušných prípadoch v kombinácii s elektronickými osvedčeniami atribútov, s cieľom autentifikovať sa spoliehajúcim sa stranám online a v príslušných prípadoch v offline režime, aby mohol mať prístup k verejným a súkromným službám, pričom sa zabezpečí možnosť selektívneho sprístupňovania údajov;
vytvárať pseudonymy a uchovávať ich zašifrované a lokálne v európskej peňaženke digitálnej identity;
bezpečne autentifikovať európsku peňaženku digitálnej identity inej osoby a prijímať a zdieľať údaje o totožnosti osoby a elektronické osvedčenia atribútov zabezpečeným spôsobom medzi dvoma európskymi peňaženkami digitálnej identity;
prístup k logu všetkých transakcií vykonaných prostredníctvom európskej peňaženky digitálnej identity prostredníctvom spoločného prehľadu, ktorý používateľovi umožní:
zobraziť aktuálny zoznam spoliehajúcich sa strán, s ktorými používateľ nadviazal spojenie, a v príslušnom prípade všetky vymenené údaje;
jednoducho požiadať, aby spoliehajúca sa strana vymazala osobné údaje podľa článku 17 nariadenia (EÚ) 2016/679;
v prípade prijatia údajne nezákonnej alebo podozrivej žiadosti o údaje jednoduchým spôsobom nahlásiť spoliehajúcu sa stranu príslušnému vnútroštátnemu orgánu pre ochranu údajov;
podpisovať pomocou kvalifikovaných elektronických podpisov alebo pečatiť pomocou kvalifikovaných elektronických pečatí;
sťahovať, pokiaľ je to technicky možné, používateľské údaje, elektronické osvedčenie atribútov a konfigurácie;
uplatňovať práva používateľa na prenosnosť údajov.
Európske peňaženky digitálnej identity najmä:
podporujú spoločné protokoly a rozhrania:
na vydávanie osobných identifikačných údajov, kvalifikovaných a nekvalifikovaných elektronických osvedčení atribútov alebo kvalifikovaných a nekvalifikovaných certifikátov pre európsku peňaženku digitálnej identity;
pre spoliehajúce sa strany, aby mohli požadovať a validovať osobné identifikačné údaje a elektronické osvedčenia atribútov;
na zdieľanie osobných identifikačných údajov, elektronického osvedčenia atribútov alebo selektívne sprístupnených súvisiacich údajov online a v príslušnom prípade v offline režime so spoliehajúcimi sa stranami a ich predkladanie spoliehajúcim sa stranám;
pre používateľa s cieľom umožniť interakciu s európskou peňaženkou digitálnej identity a zobraziť značku dôvery EÚ pre peňaženku digitálnej identity;
na bezpečné pridanie používateľa použitím prostriedku elektronickej identifikácie v súlade s článkom 5a ods. 24;
na interakciu medzi európskymi peňaženkami digitálnej identity dvoch osôb na účely bezpečného prijímania, validácie a zdieľania údajov o totožnosti osoby a elektronických osvedčení atribútov;
na autentifikáciu a identifikáciu spoliehajúcich sa strán zavedením autentifikačných mechanizmov v súlade s článkom 5b;
na overenie pravosti a platnosti európskych peňaženiek digitálnej identity spoliehajúcimi sa stranami;
na požiadanie spoliehajúcej sa strany o vymazanie osobných údajov podľa článku 17 nariadenia (EÚ) 2016/679;
na nahlásenie spoliehajúcej sa strany príslušnému vnútroštátnemu orgánu pre ochranu údajov v prípade prijatia údajne nezákonnej alebo podozrivej žiadosti o údaje;
na vyhotovenie kvalifikovaných elektronických podpisov alebo elektronických pečatí prostredníctvom zariadení na vyhotovenie kvalifikovaného elektronického podpisu alebo elektronickej pečate;
neposkytujú poskytovateľom dôveryhodných služieb elektronických osvedčení atribútov žiadne informácie o používaní týchto elektronických osvedčení;
zabezpečujú, aby spoliehajúce sa strany mohli byť autentifikované a identifikované zavedením autentifikačných mechanizmov v súlade s článkom 5b;
spĺňajú požiadavky stanovené v článku 8, pokiaľ ide o úroveň zabezpečenia „vysoká“, najmä vo vzťahu k požiadavkám na preukazovanie a overovanie totožnosti a správu a autentifikáciu prostriedkov elektronickej identifikácie;
v prípade elektronického osvedčenia atribútov so zahrnutými pravidlami sprístupňovania informácií zavádzajú vhodný mechanizmus na informovanie používateľa, že spoliehajúca sa strana alebo používateľ európskej peňaženky digitálnej identity požaduje, aby elektronické osvedčenie atribútov malo povolenie na prístup k takémuto osvedčeniu;
zabezpečujú, aby osobné identifikačné údaje, ktoré sú dostupné zo schémy elektronickej identifikácie, v rámci ktorej sa poskytuje európska peňaženka digitálnej identity, jedinečne reprezentovali fyzickú osobu, právnickú osobu alebo fyzickú osobu zastupujúcu fyzickú alebo právnickú osobu a aby boli spojené s danou európskou peňaženkou digitálnej identity;
dávajú štandardne všetkým fyzickým osobám možnosť bezplatne sa podpisovať prostredníctvom kvalifikovaných elektronických podpisov.
Bez ohľadu na písmeno g) prvého pododseku môžu členské štáty stanoviť primerané opatrenia na zabezpečenie toho, aby sa bezplatné používanie kvalifikovaných elektronických podpisov fyzickými osobami obmedzilo na neprofesionálne účely.
Členské štáty poskytnú mechanizmy validácie bezplatne s cieľom:
zabezpečiť, aby bolo možné overiť pravosť a platnosť európskych peňaženiek digitálnej identity;
umožniť používateľom overiť pravosť a platnosť totožnosti spoliehajúcich sa strán zaregistrovaných v súlade s článkom 5b.
Členské štáty zabezpečia, aby sa platnosť európskej peňaženky digitálnej identity mohla zrušiť za týchto okolností:
na výslovnú žiadosť používateľa;
ak bola skompromitovaná bezpečnosť európskej peňaženky digitálnej identity;
po smrti používateľa alebo ukončení činnosti právnickej osoby.
Technický rámec európskej peňaženky digitálnej identity:
neumožňuje poskytovateľom elektronických osvedčení atribútov ani akejkoľvek inej strane po vydaní osvedčenia atribútov získavať údaje, ktoré umožňujú sledovať transakcie alebo správanie používateľov, prepájať ich alebo vytvárať medzi nimi vzťahy, alebo inak získavať informácie o transakciách či správaní používateľov, pokiaľ to používateľ výslovne nepovolí;
umožňuje techniky ochrany súkromia, ktoré zabezpečujú neprepojiteľnosť, ak si osvedčenie atribútov nevyžaduje identifikáciu používateľa.
Členské štáty bez zbytočného odkladu oznámia Komisii informácie o:
orgáne zodpovednom za zostavenie a vedenie zoznamu registrovaných spoliehajúcich sa strán, ktoré využívajú európske peňaženky digitálnej identity v súlade s článkom 5b ods. 5, a umiestnenie tohto zoznamu;
orgánoch zodpovedných za poskytovanie európskych peňaženiek digitálnej identity v súlade s článkom 5a ods. 1;
orgánoch zodpovedných za zabezpečenie toho, aby osobné identifikačné údaje boli spojené s európskou peňaženkou digitálnej identity v súlade s článkom 5a ods. 5 písm. f);
mechanizme umožňujúcom validáciu osobných identifikačných údajov uvedených v článku 5a ods. 5 písm. f) a totožnosti spoliehajúcich sa strán;
mechanizme overovania pravosti a platnosti európskych peňaženiek digitálnej identity.
Komisia zverejní informácie oznámené podľa prvého pododseku prostredníctvom zabezpečeného kanála v elektronicky podpísanej alebo zapečatenej forme vhodnej na automatizované spracovanie.
Článok 5b
Spoliehajúce sa strany v prípade európskych peňaženiek digitálnej identity
Proces registrácie musí byť nákladovo efektívny a primeraný riziku. Spoliehajúca sa strana poskytne aspoň:
informácie potrebné na autentifikáciu európskych peňaženiek digitálnej identity, ktoré zahŕňajú prinajmenšom:
členský štát, v ktorom je spoliehajúca sa strana usadená; a
názov spoliehajúcej sa strany a v príslušných prípadoch jej registračné číslo uvedené v úradnom registri spolu s identifikačnými údajmi daného úradného registra;
kontaktné údaje spoliehajúcej sa strany;
zamýšľané použitie európskych peňaženiek digitálnej identity vrátane určenia údajov, ktoré bude spoliehajúca sa strana požadovať od používateľov.
Článok 5c
Certifikácia európskych peňaženiek digitálnej identity
Článok 5d
Uverejnenie zoznamu certifikovaných európskych peňaženiek digitálnej identity
Bez toho, aby bol dotknutý článok 5a ods. 18, informácie poskytnuté členskými štátmi a uvedené v odseku 1 tohto článku zahŕňajú aspoň:
certifikát a správu o posúdení certifikácie certifikovanej európskej peňaženky digitálnej identity;
opis schémy elektronickej identifikácie, v rámci ktorej sa poskytuje európska peňaženka digitálnej identity;
uplatniteľný režim dohľadu a informácie o režime zodpovednosti, pokiaľ ide o stranu poskytujúcu európsku peňaženku digitálnej identity;
orgán alebo orgány zodpovedné za schému elektronickej identifikácie;
opatrenia na pozastavenie alebo zrušenie schémy elektronickej identifikácie alebo autentifikácie alebo dotknutých skompromitovaných častí.
Článok 5e
Narušenie bezpečnosti európskych peňaženiek digitálnej identity
Ak je to odôvodnené závažnosťou narušenia bezpečnosti alebo kompromitácie uvedených v prvom pododseku, členský štát bez zbytočného odkladu európske peňaženky digitálnej identity stiahne.
Členský štát zodpovedajúcim spôsobom informuje dotknutých používateľov, jednotné kontaktné miesta určené podľa článku 46c ods. 1, spoliehajúce sa strany a Komisiu.
Článok 5f
Cezhraničné využívanie európskych peňaženiek digitálnej identity
ODDIEL 2
schémy elektronickej identifikácie
Článok 6
Vzájomné uznávanie
Keď sa podľa vnútroštátneho práva alebo administratívnej praxe na prístup k službe, ktorú poskytuje subjekt verejného sektora online v jednom členskom štáte, vyžaduje elektronická identifikácia pomocou prostriedkov elektronickej identifikácie a autentifikácia, prostriedky elektronickej identifikácie vydané v inom členskom štáte sa v prvom členskom štáte uznávajú na účely cezhraničnej autentifikácie pre danú službu online, ak sú splnené tieto podmienky:
prostriedky elektronickej identifikácie sa vydali v rámci schémy elektronickej identifikácie, ktorá je uvedená na zozname, ktorý Komisia uverejňuje podľa článku 9;
úroveň zabezpečenia prostriedkov elektronickej identifikácie zodpovedá úrovni zabezpečenia, ktorá je rovnaká alebo vyššia ako úroveň zabezpečenia, ktorú vyžaduje príslušný subjekt verejného sektora na prístup k danej službe online v prvom členskom štáte, za predpokladu, že úroveň zabezpečenia daných prostriedkov elektronickej identifikácie zodpovedá úrovni zabezpečenia „pokročilá“ alebo „vysoká“;
príslušný subjekt verejného sektora používa vo vzťahu k prístupu k danej službe online úroveň zabezpečenia „pokročilá“ alebo „vysoká“.
Takéto uznávanie sa začne najneskôr 12 mesiacov po tom, ako Komisia uverejní zoznam uvedený v písmene a) prvého pododseku.
Článok 7
Podmienky pre oznamovanie schém elektronickej identifikácie
Schéma elektronickej identifikácie sa oznamuje podľa článku 9 ods. 1 za predpokladu, že sú splnené všetky tieto podmienky:
prostriedky elektronickej identifikácie v rámci schémy elektronickej identifikácie:
vydáva oznamujúci členský štát;
sa vydávajú na základe poverenia oznamujúceho členského štátu alebo
sa vydávajú nezávisle od oznamujúceho členského štátu, ktorý ich uznáva;
prostriedky elektronickej identifikácie v rámci schémy elektronickej identifikácie sa môžu použiť na prístup aspoň k jednej službe, ktorú poskytuje subjekt verejného sektora a ktorá vyžaduje elektronickú identifikáciu v oznamujúcom členskom štáte;
schéma elektronickej identifikácie a prostriedky elektronickej identifikácie, ktoré sa v rámci nej vydávajú, spĺňajú požiadavky pre aspoň jednu z úrovní zabezpečenia stanovených vo vykonávacom akte uvedenom v článku 8 ods. 3;
oznamujúci členský štát zabezpečuje, že osobné identifikačné údaje, ktoré jedinečne identifikujú dotknutú osobu, sa priraďujú v súlade s technickými špecifikáciami, normami a postupmi pre príslušnú úroveň zabezpečenia stanovenými vo vykonávacom akte uvedenom v článku 8 ods. 3 fyzickej alebo právnickej osobe uvedenej v článku 3 bode 1 v čase, keď sú prostriedky elektronickej identifikácie v rámci danej schémy vydané;
strana vydávajúca prostriedky elektronickej identifikácie v rámci danej schémy zabezpečuje, že prostriedky elektronickej identifikácie sa priradia osobe uvedenej v písmene d) tohto článku v súlade s technickými špecifikáciami, normami a postupmi pre príslušnú úroveň zabezpečenia stanovenými vo vykonávacom akte uvedenom v článku 8 ods. 3;
oznamujúci členský štát zabezpečuje dostupnosť autentifikácie online, aby ktorákoľvek spoliehajúca sa strana usadená na území iného členského štátu mohla potvrdiť osobné identifikačné údaje doručené v elektronickej forme.
Pre spoliehajúce sa strany, ktoré nie sú subjektmi verejného sektora, môže oznamujúci členský štát stanoviť podmienky prístupu k takejto autentifikácii. Cezhraničná autentifikácia sa poskytuje bezplatne, ak sa vykonáva vo vzťahu k službe online, ktorú poskytuje subjekt verejného sektora.
Členské štáty nesmú spoliehajúcim sa stranám, ktoré chcú vykonať takúto autentifikáciu, ukladať žiadne konkrétne neprimerané technické požiadavky, ak takéto požiadavky bránia alebo podstatne sťažujú interoperabilitu oznámených schém elektronickej identifikácie;
najmenej šesť mesiacov pred oznámením podľa článku 9 ods. 1 poskytne oznamujúci členský štát ostatným členským štátom na účely článku 12 ods. 5 opis uvedenej schémy v súlade s dojednaniami o postupe stanovenými vo vykonávacích aktoch prijatých podľa článku 12 ods. 6;
schéma elektronickej identifikácie spĺňa požiadavky stanovené vo vykonávacom akte uvedenom v článku 12 ods. 8.
Článok 8
Úrovne zabezpečenia schém elektronickej identifikácie
Úrovne zabezpečenia „nízka“, „pokročilá“ a „vysoká“ spĺňajú tieto kritériá:
úroveň zabezpečenia „nízka“ sa vzťahuje na prostriedok elektronickej identifikácie v kontexte schémy elektronickej identifikácie, ktorý poskytuje obmedzený stupeň dôveryhodnosti, pokiaľ ide o údajnú alebo uvádzanú totožnosť osoby, a je charakterizovaný odkazom na technické špecifikácie, normy a postupy vrátane technických kontrol, ktoré s ním súvisia a ktorých účelom je znížiť riziko zneužitia alebo pozmenenia totožnosti;
úroveň zabezpečenia „pokročilá“ sa vzťahuje na prostriedok elektronickej identifikácie v kontexte schémy elektronickej identifikácie, ktorý poskytuje pokročilý stupeň dôveryhodnosti, pokiaľ ide o údajnú alebo uvádzanú totožnosť osoby, a je charakterizovaný odkazom na technické špecifikácie, normy a postupy vrátane technických kontrol, ktoré s ním súvisia a ktorých účelom je podstatne znížiť riziko zneužitia alebo pozmenenia totožnosti;
úroveň zabezpečenia „vysoká“ sa vzťahuje na prostriedok elektronickej identifikácie v kontexte schémy elektronickej identifikácie, ktorý poskytuje vyšší stupeň dôveryhodnosti ako prostriedok elektronickej identifikácie s úrovňou zabezpečenia „pokročilá“, pokiaľ ide o údajnú alebo uvádzanú totožnosť osoby, a je charakterizovaný odkazom na technické špecifikácie, normy a postupy vrátane technických kontrol, ktoré s ním súvisia a ktorých účelom je zabrániť zneužitiu alebo pozmeneniu totožnosti.
Uvedené minimálne technické špecifikácie, normy a postupy sa stanovia odkazom na spoľahlivosť a kvalitu týchto prvkov:
postup na preukázanie a overenie totožnosti fyzických alebo právnických osôb, ktoré žiadajú o vydanie prostriedku elektronickej identifikácie;
postup na vydanie požadovaného prostriedku elektronickej identifikácie;
mechanizmus autentifikácie, prostredníctvom ktorého fyzická alebo právnická osoba za použitia prostriedku elektronickej identifikácie potvrdzuje svoju totožnosť spoliehajúcej sa strane;
subjekt vydávajúci prostriedky elektronickej identifikácie;
akýkoľvek iný subjekt podieľajúci sa na žiadosti o vydanie prostriedku elektronickej identifikácie a
technické a bezpečnostné špecifikácie vydávaného prostriedku elektronickej identifikácie.
Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 48 ods. 2.
Článok 9
Oznámenie
Oznamujúci členský štát oznámi Komisii nasledovné informácie a bez zbytočného odkladu všetky ich následné zmeny:
opis schémy elektronickej identifikácie vrátane jej úrovní zabezpečenia a vydavateľa alebo vydavateľov prostriedkov elektronickej identifikácie v schéme;
uplatniteľný režim dohľadu a informácie o režime zodpovednosti v súvislosti:
so stranou vydávajúcou prostriedky elektronickej identifikácie a
so stranou realizujúcou postup autentifikácie;
orgán alebo orgány zodpovedné za schému elektronickej identifikácie;
informácie o subjekte alebo subjektoch, ktoré spravujú registráciu jedinečných osobných identifikačných údajov;
opis spôsobu plnenia požiadaviek stanovených vo vykonávacích aktoch uvedených v článku 12 ods. 8;
opis autentifikácie uvedenej v článku 7 písm. f);
dojednania týkajúce sa pozastavenia alebo zrušenia buď oznámenej schémy elektronickej identifikácie, alebo autentifikácie, alebo príslušných skompromitovaných častí.
Článok 10
Narušenie bezpečnosti schém elektronickej identifikácie
Komisia bez zbytočného odkladu uverejní zodpovedajúce zmeny v zozname uvedenom v článku 9 ods. 2 v Úradnom vestníku Európskej únie.
Článok 11
Zodpovednosť
Článok 11a
Cezhraničné párovanie totožnosti
Článok 12
Interoperabilita
Rámec interoperability musí spĺňať tieto kritériá:
jeho cieľom je technologická neutralita a neznevýhodňuje žiadne konkrétne vnútroštátne technické riešenie elektronickej identifikácie v rámci členského štátu;
podľa možností je v súlade s európskymi a medzinárodnými normami;
uľahčuje uplatňovanie ochrany súkromia a bezpečnosti už v štádiu návrhu;
▼M1 —————
Súčasťou rámca interoperability je:
odkaz na minimálne technické požiadavky týkajúce sa úrovní zabezpečenia podľa článku 8;
mapovanie vnútroštátnych úrovní zabezpečenia oznámených schém elektronickej identifikácie na úrovne zabezpečenia podľa článku 8;
odkaz na minimálne technické požiadavky týkajúce sa interoperability;
odkaz na minimálny súbor osobných identifikačných údajov potrebných na jedinečnú reprezentáciu fyzickej alebo právnickej osoby alebo fyzickej osoby zastupujúcej inú fyzickú alebo právnickú osobu, ktorý je k dispozícii zo schém elektronickej identifikácie;
procedurálne predpisy;
mechanizmus urovnávania sporov a
spoločné normy prevádzkovej bezpečnosti.
▼M1 —————
Článok 12a
Certifikácia schém elektronickej identifikácie
Článok 12b
Prístup k hardvérovým a softvérovým funkciám
Ak sú poskytovatelia európskych peňaženiek digitálnej identity a vydavatelia oznámených prostriedkov elektronickej identifikácie, ktorí konajú v rámci obchodnej alebo profesionálnej činnosti a využívajú základné platformové služby vymedzené v článku 2 bode 2 nariadenia Európskeho parlamentu a Rady (EÚ) 2022/1925 ( 7 ) na účely alebo v priebehu poskytovania služieb európskej peňaženky digitálnej identity a prostriedkov elektronickej identifikácie koncovým používateľom, komerčnými používateľmi v zmysle vymedzenia v článku 2 bodu 21 uvedeného nariadenia, strážcovia prístupu im najmä umožnia skutočnú interoperabilitu s rovnakým operačným systémom a hardvérovými alebo softvérovými funkciami a prístup k nim na účely interoperability. Takáto skutočná interoperabilita a prístup sa umožní bezplatne a bez ohľadu na to, či sú hardvérové alebo softvérové funkcie súčasťou operačného systému, ktoré má daný strážca prístupu k dispozícii alebo ktoré tento strážca prístupu používa pri poskytovaní takýchto služieb v zmysle článku 6 ods. 7 nariadenia (EÚ) 2022/1925. Týmto článkom nie je dotknutý článok 5a ods. 14 tohto nariadenia.
KAPITOLA III
DÔVERYHODNÉ SLUŽBY
ODDIEL 1
Všeobecné ustanovenia
Článok 13
Zodpovednosť a dôkazné bremeno
Dôkazné bremeno týkajúce sa preukázania úmyslu alebo nedbanlivosti nekvalifikovaného poskytovateľa dôveryhodných služieb spočíva na fyzickej alebo právnickej osobe, ktorá žiada o náhradu škody uvedenej v prvom pododseku.
V prípade kvalifikovaného poskytovateľa dôveryhodných služieb sa škoda uvedená v prvom pododseku považuje za spôsobenú úmyselne alebo z nedbanlivosti, pokiaľ tento kvalifikovaný poskytovateľ dôveryhodných služieb nepreukáže opak.
Článok 14
Medzinárodné aspekty
Vykonávacie akty uvedené v prvom pododseku sa prijmú v súlade s postupom preskúmania uvedeným v článku 48 ods. 2.
Článok 15
Prístupnosť pre osoby so zdravotným postihnutím a s osobitnými potrebami
Poskytovanie prostriedkov elektronickej identifikácie, dôveryhodných služieb a produktov pre koncových používateľov, ktoré sa používajú pri poskytovaní týchto služieb, sa uskutočňuje v jasnom a zrozumiteľnom jazyku v súlade s Dohovorom Organizácie Spojených národov o právach osôb so zdravotným postihnutím a s požiadavkami na prístupnosť v smernici (EÚ) 2019/882, z čoho budú mať prospech aj osoby s funkčnými obmedzeniami, ako sú starší ľudia, a osoby s obmedzeným prístupom k digitálnym technológiám.
Článok 16
Sankcie
Členské štáty zabezpečia, aby sa za porušenie tohto nariadenia kvalifikovanými a nekvalifikovanými poskytovateľmi dôveryhodných služieb ukladali správne pokuty v maximálnej výške aspoň:
5 000 000 EUR, ak je poskytovateľom dôveryhodných služieb fyzická osoba; alebo
ak je poskytovateľom dôveryhodných služieb právnická osoba, 5 000 000 EUR alebo 1 % celkového celosvetového ročného obratu podniku, ku ktorému poskytovateľ dôveryhodných služieb patril vo finančnom roku predchádzajúcom roku, v ktorom došlo k porušeniu, podľa toho, ktorá suma je vyššia.
ODDIEL 2
Nekvalifikované dôveryhodné služby
▼M1 —————
Článok 19
Bezpečnostné požiadavky uplatniteľné na poskytovateľov dôveryhodných služieb
Ak môže narušenie bezpečnosti alebo integrity negatívne ovplyvniť fyzickú alebo právnickú osobu, ktorej sa dôveryhodná služba poskytovala, poskytovateľ dôveryhodných služieb bez zbytočného odkladu oznámi narušenie bezpečnosti alebo integrity aj tejto fyzickej či právnickej osobe.
Ak je to vhodné, a najmä keď sa narušenie bezpečnosti alebo integrity týka dvoch alebo viacerých členských štátov, informovaný orgán dohľadu o veci informuje orgány dohľadu v ostatných dotknutých členských štátoch a agentúru ENISA.
Ak informovaný orgán dohľadu usúdi, že zverejnenie narušenia bezpečnosti alebo integrity je vo verejnom záujme, informuje o ňom verejnosť, alebo o to požiada poskytovateľa dôveryhodných služieb.
Komisia môže prostredníctvom vykonávacích aktov:
ďalej špecifikovať opatrenia uvedené v odseku 1 a
vymedziť formáty a postupy vrátane lehôt uplatniteľné na účely odseku 2.
Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 48 ods. 2.
Článok 19a
Požiadavky na nekvalifikovaných poskytovateľov dôveryhodných služieb
Nekvalifikovaný poskytovateľ dôveryhodných služieb, ktorý poskytuje nekvalifikované dôveryhodné služby musí:
mať vhodné politiky a prijímať zodpovedajúce opatrenia na riadenie právnych, obchodných, prevádzkových a iných priamych alebo nepriamych rizík poskytovania nekvalifikovanej dôveryhodnej služby, ktoré bez ohľadu na článok 21 smernice (EÚ) 2022/2555 zahŕňajú aspoň opatrenia týkajúce sa:
postupov registrácie a pridávania používateľov dôveryhodnej služby;
procesných alebo administratívnych kontrol potrebných na poskytovanie dôveryhodných služieb;
riadenia a implementácie dôveryhodných služieb;
oznámiť orgánu dohľadu, identifikovateľným dotknutým jednotlivcom, verejnosti, ak je to vo verejnom záujme, a v príslušnom prípade iným relevantným príslušným orgánom všetky narušenia bezpečnosti alebo narušenia poskytovania služby alebo vykonávania opatrení uvedených v písmene a) bode i), ii) alebo iii), ktoré majú významný vplyv na poskytovanú dôveryhodnú službu alebo na osobné údaje v nej uchovávané, a to bez zbytočného odkladu a v každom prípade najneskôr do 24 hodín po tom, ako sa o akýchkoľvek narušeniach bezpečnosti alebo ďalších narušeniach dozvedel.
ODDIEL 3
Kvalifikované dôveryhodné služby
Článok 20
Dohľad nad kvalifikovanými poskytovateľmi dôveryhodných služieb
Ak tento poskytovateľ nápravu nezabezpečí, v relevantných prípadoch v lehote stanovenej orgánom dohľadu, orgán dohľadu, ak je to odôvodnené najmä rozsahom, trvaním a dôsledkami neplnenia požiadavky, odníme kvalifikovaný štatút tohto poskytovateľa alebo dotknutej služby, ktorú poskytuje .
Komisia do 21. mája 2025 prostredníctvom vykonávacích aktov vypracuje zoznam referenčných noriem a v prípade potreby stanoví špecifikácie a postupy pre:
akreditáciu orgánov posudzovania zhody a pre správu o posúdení zhody uvedenú v odseku 1;
požiadavky na audit pre orgány posudzovania zhody na vykonávanie posudzovania zhody vrátane zloženého posudzovania kvalifikovaných poskytovateľov dôveryhodných služieb podľa odseku 1;
schémy posudzovania zhody na vykonávanie posudzovania zhody kvalifikovaných poskytovateľov dôveryhodných služieb orgánmi posudzovania zhody a na poskytnutie správy uvedenej v odseku 1.
Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 48 ods. 2.
Článok 21
Začatie poskytovania kvalifikovanej dôveryhodnej služby
S cieľom overiť, či poskytovateľ dôveryhodných služieb spĺňa požiadavky stanovené v článku 21 smernice (EÚ) 2022/2555, orgán dohľadu požiada príslušné orgány určené alebo zriadené podľa článku 8 ods. 1 uvedenej smernice, aby v tejto súvislosti vykonali opatrenia dohľadu a poskytli informácie o výsledku bez zbytočného odkladu a v každom prípade do dvoch mesiacov od doručenia uvedenej žiadosti. Ak sa overenie neukončí do dvoch mesiacov od oznámenia, tieto príslušné orgány o tom informujú orgán dohľadu, pričom uvedú dôvody omeškania a lehotu, v ktorej sa má overenie ukončiť.
Ak orgán dohľadu usúdi, že poskytovateľ dôveryhodných služieb a dôveryhodné služby, ktoré poskytuje, spĺňajú požiadavky stanovené v tomto nariadení, udelí tomuto poskytovateľovi dôveryhodných služieb a dôveryhodným službám, ktoré poskytuje, kvalifikovaný štatút a informuje orgán uvedený v článku 22 ods. 3 na účely aktualizácie dôveryhodných zoznamov uvedených v článku 22 ods. 1, a to najneskôr do troch mesiacov od oznámenia v súlade s odsekom 1 tohto článku.
Ak sa overenie neukončí do troch mesiacov od oznámenia, orgán dohľadu o tom informuje poskytovateľa dôveryhodných služieb, pričom uvedie dôvody omeškania a lehotu, v ktorej sa má overenie ukončiť.
Článok 22
Dôveryhodné zoznamy
Článok 23
Značka dôvery EÚ pre kvalifikované dôveryhodné služby
Článok 24
Požiadavky na kvalifikovaných poskytovateľov dôveryhodných služieb
Overenie totožnosti uvedené v odseku 1 vykoná vhodnými prostriedkami kvalifikovaný poskytovateľ dôveryhodných služieb, a to buď priamo alebo prostredníctvom tretej strany, a to na základe jednej z týchto metód alebo v prípade potreby ich kombinácie v súlade s vykonávacími aktmi uvedenými v odseku 1c:
prostredníctvom európskej peňaženky digitálnej identity alebo oznámených prostriedkov elektronickej identifikácie, ktoré spĺňajú požiadavky stanovené v článku 8, pokiaľ ide o úroveň záruky „vysoká“;
prostredníctvom certifikátu kvalifikovaného elektronického podpisu alebo kvalifikovanej elektronickej pečate vydaného v súlade s písmenom a), c) alebo d);
použitím iných metód identifikácie , ktorými sa zabezpečuje identifikácia osoby s vysokou úrovňou spoľahlivosti, ktorých zhodu potvrdí orgán posudzovania zhody;
fyzickou prítomnosťou fyzickej osoby alebo splnomocneného zástupcu právnickej osoby prostredníctvom vhodných dôkazov a postupov v súlade s vnútroštátnym právom.
Overenie atribútov uvedené v odseku 1 vykoná vhodnými prostriedkami kvalifikovaný poskytovateľ dôveryhodných služieb, a to buď priamo alebo prostredníctvom tretej strany, a to na základe jednej z týchto metód alebo v prípade potreby ich kombinácie v súlade s vykonávacími aktmi uvedenými v odseku 1c:
prostredníctvom európskej peňaženky digitálnej identity alebo oznámených prostriedkov elektronickej identifikácie, ktoré spĺňajú požiadavky stanovené v článku 8, pokiaľ ide o úroveň záruky „vysoká“;
prostredníctvom certifikátu kvalifikovaného elektronického podpisu alebo kvalifikovanej elektronickej pečate vydaného v súlade s odsekom 1a písm. a), c) alebo d);
prostredníctvom kvalifikovaného elektronického osvedčenia atribútov;
použitím iných metód, ktorými sa zabezpečuje overenie atribútov s vysokou úrovňou spoľahlivosti, ktorých zhodu potvrdí orgán posudzovania zhody;
prostredníctvom fyzickej prítomnosti fyzickej osoby alebo splnomocneného zástupcu právnickej osoby, prostredníctvom vhodných dôkazov a postupov v súlade s vnútroštátnym právom.
Kvalifikovaný poskytovateľ dôveryhodných služieb, ktorý poskytuje kvalifikované dôveryhodné služby:
informuje orgán dohľadu aspoň jeden mesiac pred vykonaním akejkoľvek zmeny v poskytovaní svojich kvalifikovaných dôveryhodných služieb alebo aspoň tri mesiace v prípade zámeru ukončiť tieto činnosti;
zamestnáva personál a prípadne subdodávateľov s potrebnou odbornosťou, spoľahlivosťou, skúsenosťami, kvalifikáciou a vhodnou odbornou prípravou týkajúcou sa predpisov v oblasti bezpečnosti a ochrany osobných údajov a uplatňuje administratívne a riadiace postupy, ktoré zodpovedajú európskym alebo medzinárodným normám;
v súvislosti s rizikom zodpovednosti za škodu v súlade s článkom 13 udržiava postačujúce finančné prostriedky a/alebo uzatvára vhodné poistenie zodpovednosti za škodu v súlade s vnútroštátnym právom;
pred uzavretím zmluvného vzťahu jasne, v plnom rozsahu a ľahko dostupným spôsobom vo verejne prístupnom priestore a individuálne informuje každú osobu, ktorá chce využívať kvalifikovanú dôveryhodnú službu, o presných podmienkach jej používania vrátane všetkých obmedzení jej používania;
používa dôveryhodné systémy a produkty, ktoré sú chránené proti pozmeneniu, a zaisťuje technickú bezpečnosť a spoľahlivosť procesov, ktoré sa nimi podporujú, a to aj použitím vhodných kryptografických techník;
používa dôveryhodné systémy na uchovávanie jemu poskytnutých údajov v overiteľnej forme tak, aby:
údaje boli verejne prístupné na vyhľadanie iba po získaní súhlasu osoby, ktorej sa týkajú;
údaje mohli zadávať a uchovávané údaje meniť iba oprávnené osoby;
údaje bolo možné skontrolovať z hľadiska ich pravosti;
má bez ohľadu na článok 21 smernice (EÚ) 2022/2555 vhodné politiky a prijíma zodpovedajúce opatrenia na riadenie právnych, obchodných, prevádzkových a iných priamych alebo nepriamych rizík poskytovania kvalifikovanej dôveryhodnej služby vrátane aspoň opatrení týkajúcich sa:
postupov registrácie a pridávania používateľov služby;
procesných alebo administratívnych kontrol;
riadenia a implementácie služieb;
bez zbytočného odkladu a v každom prípade do 24 hodín od incidentu oznámi orgánu dohľadu, identifikovateľným dotknutým jednotlivcom, v príslušnom prípade iným relevantným príslušným orgánom a na žiadosť orgánu dohľadu aj verejnosti, ak je to vo verejnom záujme, všetky narušenia bezpečnosti alebo narušenia poskytovania služby alebo vykonávania opatrení uvedených v písmene fa) bodoch i), ii) alebo iii), ktoré majú významný vplyv na poskytovanú dôveryhodnú službu alebo na osobné údaje, ktoré sa v rámci nej uchovávajú;
prijíma vhodné opatrenia proti falšovaniu, krádeži alebo zneužitiu údajov alebo proti neoprávnenému vymazaniu, zmene alebo zneprístupneniu údajov;
zaznamenáva a tak dlho, ako je to po ukončení činností kvalifikovaného poskytovateľa dôveryhodných služieb potrebné, uchováva prístupné všetky relevantné informácie týkajúce sa údajov, ktoré kvalifikovaný poskytovateľ dôveryhodných služieb vydal a prijal, na účely predloženia dôkazov v súdnom konaní a na účely zabezpečenia kontinuity služby; takéto zaznamenávanie sa môže vykonávať elektronicky;
má aktualizovaný plán ukončenia činnosti s cieľom zabezpečiť kontinuitu služby v súlade s ustanoveniami, ktoré overuje orgán dohľadu podľa článku 46b ods. 4 písm. i);
▼M1 —————
v prípade kvalifikovaných poskytovateľov dôveryhodných služieb, ktorí vydávajú kvalifikované certifikáty, zriaďuje a aktualizuje databázu certifikátov.
Orgán dohľadu môže okrem informácií oznámených podľa prvého pododseku písm. a) požadovať informácie alebo výsledok posudzovania zhody a môže udelenie povolenia na vykonanie zamýšľaných zmien kvalifikovaných dôveryhodných služieb môže podmieniť. Ak sa overenie neukončí do troch mesiacov od oznámenia, orgán dohľadu o tom informuje poskytovateľa dôveryhodných služieb, pričom uvedie dôvody omeškania a lehotu, v ktorej sa má overenie ukončiť.
Článok 24a
Uznávanie kvalifikovaných dôveryhodných služieb
ODDIEL 4
Elektronické podpisy
Článok 25
Právne účinky elektronických podpisov
▼M1 —————
Článok 26
Požiadavky na zdokonalené elektronické podpisy
Zdokonalený elektronický podpis musí spĺňať tieto požiadavky:
je jedinečne spojený s podpisovateľom;
umožňuje určenie totožnosti podpisovateľa;
je vyhotovený pomocou údajov na vyhotovenie elektronického podpisu, ktoré môže podpisovateľ s vysokou mierou dôveryhodnosti používať pod svojou výlučnou kontrolou, a
je prepojený s údajmi, ktoré sa ním podpisujú, takým spôsobom, že každú dodatočnú zmenu údajov možno zistiť.
Článok 27
Elektronické podpisy vo verejných službách
▼M1 —————
Článok 28
Kvalifikované certifikáty pre elektronické podpisy
Členské štáty môžu ustanoviť vnútroštátne predpisy o dočasnom pozastavení kvalifikovaného certifikátu pre elektronický podpis, a to za týchto podmienok:
ak sa kvalifikovaný certifikát pre elektronický podpis dočasne pozastaví, certifikát stráca platnosť na obdobie pozastavenia;
obdobie pozastavenia sa jasne uvedie v databáze certifikátov a štatút pozastavenia musí byť počas obdobia pozastavenia viditeľný zo služby, ktorou sa poskytujú informácie o štatúte certifikátu.
Článok 29
Požiadavky na ►C1 zariadenia na vyhotovenie kvalifikovaného elektronického podpisu ◄
Článok 29a
Požiadavky na kvalifikovanú službu správy zariadení na vyhotovenie kvalifikovaného elektronického podpisu na diaľku
Správu zariadení na vyhotovenie kvalifikovaného elektronického podpisu na diaľku ako kvalifikovanú službu vykonáva len kvalifikovaný poskytovateľ dôveryhodných služieb, ktorý:
generuje alebo spravuje údaje na vyhotovenie elektronického podpisu v mene podpisovateľa;
bez ohľadu na bod 1 písm. d) prílohy II duplikuje údaje na vyhotovenie elektronického podpisu len na účely zálohovania za predpokladu, že sú splnené tieto požiadavky:
bezpečnosť duplikovaných súborov údajov musí byť na rovnakej úrovni ako v prípade pôvodných súborov údajov;
počet duplikovaných súborov údajov nesmie prekročiť minimálne množstvo potrebné na zabezpečenie kontinuity služby;
spĺňa všetky požiadavky uvedené v certifikačnej správe konkrétneho zariadenia na vyhotovenie kvalifikovaného elektronického podpisu na diaľku vydanej podľa článku 30.
Článok 30
Certifikácia ►C1 zariadení na vyhotovenie kvalifikovaného elektronického podpisu ◄
Certifikácia uvedená v odseku 1 je založená na:
procese hodnotenia bezpečnosti, ktorý sa vykoná v súlade s niektorou z noriem posudzovania bezpečnosti produktov informačných technológií zaradených do zoznamu vypracovaného v súlade s druhým pododsekom, alebo
inom procese ako procese uvedenom v písmene a), ak sa v rámci neho používajú porovnateľné úrovne bezpečnosti a ak verejný alebo súkromný subjekt uvedený v odseku 1 tento proces oznámi Komisii. Tento proces možno použiť, len ak neexistujú normy uvedené v písmene a) alebo ak prebieha proces hodnotenia bezpečnosti uvedený v písmene a).
Komisia prostredníctvom vykonávacích aktov vypracuje zoznam noriem posudzovania bezpečnosti produktov informačných technológií uvedený v písmene a). Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 48 ods. 2.
Článok 31
Zverejňovanie zoznamu certifikovaných ►C1 zariadení na vyhotovenie kvalifikovaného elektronického podpisu ◄
Článok 32
Požiadavky na validáciu kvalifikovaných elektronických podpisov
Procesom validácie kvalifikovaného elektronického podpisu sa potvrdí platnosť kvalifikovaného elektronického podpisu, ak:
certifikát, ktorý potvrdzuje podpis, bol v čase podpísania kvalifikovaným certifikátom pre elektronický podpis v súlade s prílohou I;
kvalifikovaný certifikát vydal kvalifikovaný poskytovateľ dôveryhodných služieb a v čase podpísania bol platný;
údaje na validáciu podpisu zodpovedajú údajom poskytnutým spoliehajúcej sa strane;
sa jedinečný súbor údajov reprezentujúcich podpisovateľa v certifikáte správne poskytol spoliehajúcej sa strane;
sa použitie pseudonymu jasne oznámilo spoliehajúcej sa strane v prípade, že sa v čase podpísania použil pseudonym;
bol elektronický podpis vyhotovený ►C1 zariadením na vyhotovenie kvalifikovaného elektronického podpisu ◄ ;
nebola narušená integrita podpísaných údajov;
v čase podpísania boli dodržané požiadavky stanovené v článku 26.
Ak validácia kvalifikovaných elektronických podpisov spĺňa normy, špecifikácie a postupy uvedené v odseku 3, predpokladá sa, že je v súlade s požiadavkami stanovenými v prvom pododseku tohto odseku.
Článok 32a
Požiadavky na validáciu zdokonalených elektronických podpisov založených na kvalifikovaných certifikátoch
Procesom validácie zdokonaleného elektronického podpisu založeného na kvalifikovanom certifikáte sa potvrdí platnosť zdokonaleného elektronického podpisu založeného na kvalifikovanom certifikáte, ak:
certifikát, ktorý potvrdzuje podpis, bol v čase podpísania kvalifikovaným certifikátom pre elektronický podpis v súlade s prílohou I;
kvalifikovaný certifikát vydal kvalifikovaný poskytovateľ dôveryhodných služieb a v čase podpísania bol platný;
validačné údaje podpisu zodpovedajú údajom poskytnutým spoliehajúcej sa strane;
sa jedinečný súbor údajov reprezentujúcich podpisovateľa v certifikáte správne poskytol spoliehajúcej sa strane;
sa v prípade, že sa v čase podpísania použil pseudonym, jeho použitie jasne oznámilo spoliehajúcej sa strane;
nebola skompromitovaná integrita podpísaných údajov;
v čase podpísania boli dodržané požiadavky stanovené v článku 26.
Článok 33
Kvalifikovaná služba validácie kvalifikovaných elektronických podpisov
Kvalifikovanú službu validácie kvalifikovaných elektronických podpisov môže poskytovať iba kvalifikovaný poskytovateľ dôveryhodných služieb, ktorý:
poskytuje validáciu v súlade s článkom 32 ods. 1 a
spoliehajúcim sa stranám umožňuje získať výsledok procesu validácie automatizovaným spôsobom, ktorý je spoľahlivý, efektívny a ktorý obsahuje zdokonalený elektronický podpis alebo zdokonalenú elektronickú pečať poskytovateľa kvalifikovanej služby validácie.
Článok 34
Kvalifikovaná služba uchovávania kvalifikovaných elektronických podpisov
ODDIEL 5
Elektronické pečate
Článok 35
Právne účinky elektronických pečatí
▼M1 —————
Článok 36
Požiadavky na zdokonalené elektronické pečate
Zdokonalená elektronická pečať musí spĺňať tieto požiadavky:
je jedinečne spojená s pôvodcom pečate;
umožňuje určenie totožnosti pôvodcu pečate;
je vyhotovená pomocou údajov na vyhotovenie elektronickej pečate, ktoré môže pôvodca pečate s vysokou mierou dôveryhodnosti pod jeho kontrolou používať na vyhotovenie elektronickej pečate, a
je prepojená s údajmi, na ktoré sa vzťahuje, takým spôsobom, že každú dodatočnú zmenu údajov možno zistiť.
Článok 37
Elektronické pečate vo verejných službách
▼M1 —————
Článok 38
Kvalifikované certifikáty pre elektronické pečate
Členské štáty môžu ustanoviť vnútroštátne predpisy o dočasnom pozastavení kvalifikovaných certifikátov pre elektronické pečate, a to za týchto podmienok:
ak sa kvalifikovaný certifikát pre elektronickú pečať dočasne pozastaví, tento certifikát stráca platnosť na obdobie pozastavenia;
obdobie pozastavenia sa jasne uvedie v databáze certifikátov a štatút pozastavenia musí byť počas obdobia pozastavenia viditeľný zo služby, ktorou sa poskytujú informácie o štatúte certifikátu.
Článok 39
►C1 Zariadenia na vyhotovenie kvalifikovanej elektronickej pečate ◄
Článok 39a
Požiadavky na kvalifikovanú službu správy zariadení na vyhotovenie kvalifikovanej elektronickej pečate na diaľku
Článok 29a sa uplatňuje mutatis mutandis na kvalifikovanú službu správy zariadení na vyhotovenie kvalifikovanej elektronickej pečate na diaľku.
Článok 40
Validácia a uchovávanie kvalifikovaných elektronických pečatí
Články 32, 33 a 34 sa uplatňujú primerane na validáciu a uchovávanie kvalifikovaných elektronických pečatí.
Článok 40a
Požiadavky na validáciu zdokonalených elektronických pečatí založených na kvalifikovaných certifikátoch
Článok 32a sa uplatňuje mutatis mutandis na validáciu zdokonalených elektronických pečatí založených na kvalifikovaných certifikátoch.
ODDIEL 6
Elektronické časové pečiatky
Článok 41
Právny účinok elektronických časových pečiatok
▼M1 —————
Článok 42
Požiadavky na kvalifikované elektronické časové pečiatky
Kvalifikovaná elektronická časová pečiatka spĺňa tieto požiadavky:
spája dátum a čas s údajmi spôsobom, ktorý v rozumnej miere zamedzuje možnosť nezistiteľnej zmeny údajov;
je založená na presnom zdroji času prepojenom s koordinovaným svetovým časom a
je podpísaná zdokonaleným elektronickým podpisom alebo zapečatená zdokonalenou elektronickou pečaťou kvalifikovaného poskytovateľa dôveryhodných služieb alebo rovnocennou metódou.
ODDIEL 7
Elektronické doručovacie služby pre registrované zásielky
Článok 43
Právny účinok elektronickej doručovacej služby pre registrované zásielky
Článok 44
Požiadavky na kvalifikované elektronické doručovacie služby pre registrované zásielky
Kvalifikované elektronické doručovacie služby pre registrované zásielky musia spĺňať tieto požiadavky:
poskytuje ich jeden alebo viacerí kvalifikovaní poskytovatelia dôveryhodných služieb;
zabezpečujú identifikáciu odosielateľa s vysokou úrovňou spoľahlivosti;
zabezpečujú identifikáciu adresáta pred doručením údajov;
odosielanie a doručovanie údajov je zabezpečené zdokonaleným elektronickým podpisom alebo zdokonalenou elektronickou pečaťou kvalifikovaného poskytovateľa dôveryhodných služieb spôsobom, ktorým sa zamedzí možnosti nezistiteľnej zmeny údajov;
akákoľvek zmena údajov potrebná na účel odoslania alebo doručenia údajov sa jasne oznámi odosielateľovi a adresátovi údajov;
dátum a čas odoslania, doručenia a akejkoľvek zmeny údajov je označený kvalifikovanou elektronickou časovou pečiatkou.
V prípade prenosu údajov medzi dvomi alebo viacerými kvalifikovanými poskytovateľmi dôveryhodných služieb sa požiadavky uvedené v písmenách a) až f) vzťahujú na všetkých kvalifikovaných poskytovateľov dôveryhodných služieb.
ODDIEL 8
Autentifikácia webových sídiel
Článok 45
Požiadavky na kvalifikované certifikáty pre autentifikáciu webových sídiel
Článok 45a
Preventívne opatrenia v oblasti kybernetickej bezpečnosti
ODDIEL 9
elektronické osvedčenie atribútov
Článok 45b
Právne účinky elektronického osvedčenia atribútov
Článok 45c
Elektronické osvedčenie atribútov vo verejných službách
Ak sa podľa vnútroštátneho práva na prístup k online službe, ktorú poskytuje subjekt verejného sektora, vyžaduje elektronická identifikácia s použitím prostriedkov elektronickej identifikácie a autentifikácie, osobné identifikačné údaje v elektronickom osvedčení atribútov nenahrádzajú elektronickú identifikáciu prostredníctvom prostriedkov elektronickej identifikácie a autentifikácie na účely elektronickej identifikácie, pokiaľ to výslovne nepovolí členský štát . V takom prípade sa akceptuje aj kvalifikované elektronické osvedčenie atribútov z iných členských štátov.
Článok 45d
Požiadavky na kvalifikované elektronické osvedčenie atribútov
Článok 45e
Overovanie atribútov na základe autentických zdrojov
Článok 45f
Požiadavky na elektronické osvedčenie atribútov vydané subjektom verejného sektora zodpovedným za autentický zdroj alebo v jeho mene
Elektronické osvedčenie atribútov vydané subjektom verejného sektora zodpovedným za autentický zdroj alebo v jeho mene musí spĺňať tieto požiadavky:
požiadavky uvedené v prílohe VII;
kvalifikovaný certifikát podporujúci kvalifikovaný elektronický podpis alebo kvalifikovanú elektronickú pečať subjektu verejného sektora uvedeného v článku 3 bode 46 a identifikovaného ako vydavateľ uvedený v prílohe VII bode b) a obsahujúci osobitný súbor certifikovaných atribútov vo forme vhodnej na automatizované spracovanie:
ktorým sa preukazuje, že vydávajúci orgán je zriadený v súlade s právom Únie alebo vnútroštátnym právom ako orgán zodpovedný za autentický zdroj, na základe ktorého sa vydáva elektronické osvedčenie atribútov, alebo ako orgán určený konať v jeho mene;
ktorý obsahuje súbor údajov jednoznačne reprezentujúcich autentický zdroj uvedený v bode i), a
ktorý odkazuje na právo Únie alebo vnútroštátne právo uvedené v bode i).
Článok 45g
Vydávanie elektronického osvedčenia atribútov pre európske peňaženky digitálnej identity
Článok 45h
Dodatočné pravidlá poskytovania služieb elektronického osvedčovania atribútov
ODDIEL 10
elektronické archivačné služby
Článok 45i
Právny účinok elektronických archivačných služieb
Článok 45j
Požiadavky na kvalifikované elektronické archivačné služby
Kvalifikované elektronické archivačné služby musia spĺňať tieto požiadavky:
poskytujú ich kvalifikovaní poskytovatelia dôveryhodných služieb;
využívajú postupy a technológie schopné zabezpečiť trvácnosť a čitateľnosť elektronických údajov a elektronických dokumentov nad rámec obdobia technologickej platnosti a aspoň počas celého zákonného alebo zmluvného obdobia uchovávania pri zachovaní ich integrity a presnosti ich pôvodu;
zabezpečujú, aby sa tieto elektronické údaje a tieto elektronické dokumenty uchovávali tak, aby boli chránené pred stratou a zmenou, s výnimkou zmien týkajúcich sa ich nosiča alebo elektronického formátu;
umožňujú oprávneným spoliehajúcim sa stranám prijať automatizovaným spôsobom správu, ktorou sa potvrdí, že na elektronické údaje a elektronické dokumenty získané z kvalifikovaného elektronického archívu sa vzťahuje domnienka integrity údajov od začiatku obdobia uchovávania až do okamihu získania.
Správa uvedená v prvom pododseku písm. d) sa poskytuje spoľahlivým a účinným spôsobom a obsahuje kvalifikovaný elektronický podpis alebo kvalifikovanú elektronickú pečať poskytovateľa kvalifikovanej elektronickej archivačnej služby.
ODDIEL 11
elektronické registre
Článok 45k
Právne účinky elektronických registrov
Článok 45l
Požiadavky na kvalifikované elektronické registre
Kvalifikované elektronické registre musia spĺňať tieto požiadavky:
sú vytvorené a spravované jedným alebo viacerými kvalifikovanými poskytovateľmi dôveryhodných služieb;
stanovujú pôvod záznamov údajov v registri;
zabezpečujú jedinečné sekvenčné chronologické poradie záznamov údajov v registri;
zaznamenávajú údaje takým spôsobom, aby bolo možné okamžite zistiť akúkoľvek následnú zmenu údajov, čím sa zabezpečí ich integrita v priebehu času.
KAPITOLA IV
ELEKTRONICKÉ DOKUMENTY
Článok 46
Právne účinky elektronických dokumentov
Právny účinok elektronického dokumentu a jeho prípustnosť ako dôkazu v súdnom konaní sa nesmie odmietnuť výlučne z dôvodu, že má elektronickú formu.
KAPITOLA IVa
RÁMEC RIADENIA
Článok 46a
Dohľad nad rámcom európskej peňaženky digitálnej identity
Orgánom dohľadu určeným podľa prvého pododseku sa udelia právomoci a primerané zdroje potrebné na to, aby si mohli účinne, efektívne a nezávisle plniť svoje úlohy.
Poslaním orgánov dohľadu určených podľa odseku 1 je:
vykonávať dohľad nad poskytovateľmi európskych peňaženiek digitálnej identity usadenými v určujúcom členskom štáte a prostredníctvom činností dohľadu ex ante a ex post zabezpečiť, aby títo poskytovatelia a európske peňaženky digitálnej identity, ktoré poskytujú, spĺňali požiadavky stanovené v tomto nariadení;
v prípade potreby prijať opatrenia v súvislosti s poskytovateľmi európskych peňaženiek digitálnej identity usadenými na území určujúceho členského štátu prostredníctvom činností dohľadu ex post, ak sú informovaní o tom, že poskytovatelia alebo európske peňaženky digitálnej identity, ktoré poskytujú, porušujú toto nariadenie.
Medzi úlohy orgánov dohľadu určených podľa odseku 1 patria najmä tieto:
spolupracovať s inými orgánmi dohľadu a poskytovať im pomoc v súlade s článkami 46c a 46e;
žiadať o informácie potrebné na monitorovanie súladu s týmto nariadením;
informovať relevantné príslušné orgány dotknutých členských štátov určené alebo zriadené podľa článku 8 ods. 1 smernice (EÚ) 2022/2555 o každom významnom narušení bezpečnosti alebo strate integrity, o ktorých sa dozvedia pri plnení svojich úloh, a v prípade závažného narušenia bezpečnosti alebo straty integrity, ktoré sa týkajú iných členských štátov, informovať jednotné kontaktné miesto dotknutého členského štátu určené alebo zriadené podľa článku 8 ods. 3 smernice (EÚ) 2022/2555 a jednotné kontaktné miesta v ostatných dotknutých členských štátoch určené podľa článku 46c ods. 1 tohto nariadenia, ako aj informovať verejnosť alebo požiadať poskytovateľov európskej peňaženky digitálnej identity, aby tak urobili, ak orgán dohľadu rozhodne, že zverejnenie narušenia bezpečnosti alebo straty integrity by bolo vo verejnom záujme;
vykonávať kontroly na mieste a dohľad na diaľku;
požadovať, aby poskytovatelia európskych peňaženiek digitálnej identity napravili akékoľvek nesplnenie požiadaviek stanovených v tomto nariadení;
pozastaviť alebo zrušiť registráciu a začlenenie spoliehajúcich sa strán do mechanizmu uvedeného v článku 5b ods. 7 v prípade nezákonného alebo podvodného používania európskej peňaženky digitálnej identity;
spolupracovať s príslušnými dozornými orgánmi zriadenými podľa článku 51 nariadenia (EÚ) 2016/679, najmä ich bez zbytočného odkladu informovať, ak sa zdá, že boli porušené pravidlá ochrany osobných údajov, a o narušeniach bezpečnosti, u ktorých sa zdá, že predstavujú porušenie ochrany osobných údajov.
Článok 46b
Dohľad nad dôveryhodnými službami
Orgánom dohľadu určeným podľa prvého pododseku sa udelia potrebné právomoci a primerané zdroje na to, aby si mohli plniť svoje úlohy.
Poslaním orgánov dohľadu určených podľa odseku 1 je:
dohliadať na kvalifikovaných poskytovateľov dôveryhodných služieb usadených na území určujúceho členského štátu a zabezpečiť prostredníctvom činností dohľadu ex ante a ex post, aby títo kvalifikovaní poskytovatelia dôveryhodných služieb a kvalifikované dôveryhodné služby, ktoré poskytujú, spĺňali požiadavky stanovené v tomto nariadení;
v prípade potreby prijať opatrenia v súvislosti s nekvalifikovanými poskytovateľmi dôveryhodných služieb usadenými na území určujúceho členského štátu prostredníctvom činností dohľadu ex post, ak sú informovaní o tom, že títo nekvalifikovaní poskytovatelia dôveryhodných služieb alebo dôveryhodné služby, ktoré poskytujú, údajne nespĺňajú požiadavky stanovené v tomto nariadení.
Medzi úlohy orgánu dohľadu určeného podľa odseku 1 patria najmä tieto:
informovať relevantné príslušné orgány dotknutých členských štátov určené alebo zriadené podľa článku 8 ods. 1 smernice (EÚ) 2022/2555 o každom významnom narušení bezpečnosti alebo strate integrity, o ktorých sa dozvedel pri plnení svojich úloh, a v prípade závažného narušenia bezpečnosti alebo straty integrity, ktoré sa týka iných členských štátov, informovať jednotné kontaktné miesto dotknutého členského štátu určené alebo zriadené podľa článku 8 ods. 3 smernice (EÚ) 2022/2555 a jednotné kontaktné miesta v ostatných dotknutých členských štátoch určené podľa článku 46c ods. 1 tohto nariadenia, ako aj informovať verejnosť alebo požiadať poskytovateľa dôveryhodných služieb, aby tak urobil, ak orgán dohľadu rozhodne, že zverejnenie narušenia bezpečnosti alebo straty integrity by bolo vo verejnom záujme;
spolupracovať s inými orgánmi dohľadu a poskytovať im pomoc v súlade s článkami 46c a 46e;
analyzovať správy o posúdení zhody uvedené v článku 20 ods. 1 a článku 21 ods. 1;
podávať Komisii správy o svojich hlavných činnostiach v súlade s odsekom 6 tohto článku;
vykonávať audity alebo požiadať orgán posudzovania zhody, aby vykonal posúdenie zhody kvalifikovaných poskytovateľov dôveryhodných služieb v súlade s článkom 20 ods. 2;
spolupracovať s príslušnými dozornými orgánmi zriadenými podľa článku 51 nariadenia (EÚ) 2016/679, najmä ich bez zbytočného odkladu informovať, ak sa zdá, že boli porušené pravidlá ochrany osobných údajov, a o narušeniach bezpečnosti, u ktorých sa zdá, že predstavujú porušenie ochrany osobných údajov;
udeľovať poskytovateľom dôveryhodných služieb a službám, ktoré poskytujú, kvalifikovaný štatút a tento štatút odňať v súlade s článkami 20 a 21;
informovať orgán zodpovedný za národný dôveryhodný zoznam uvedený v článku 22 ods. 3 o svojich rozhodnutiach o udelení alebo odňatí kvalifikovaného štatútu, pokiaľ tento orgán nie je súčasne aj orgánom dohľadu určeným podľa odseku 1 tohto článku;
overovať existenciu a správne uplatňovanie ustanovení o plánoch ukončenia činnosti, ak kvalifikovaný poskytovateľ dôveryhodných služieb ukončí svoju činnosť, vrátane spôsobu, akým sa informácie udržiavajú prístupné v súlade s článkom 24 ods. 2 písm. h);
požadovať, aby poskytovatelia dôveryhodných služieb napravili akékoľvek nesplnenie požiadaviek stanovených v tomto nariadení;
vyšetrovať tvrdenia poskytovateľov webových prehliadačov podľa článku 45a a v prípade potreby prijať opatrenia.
Článok 46c
Jednotné kontaktné miesta
Článok 46d
Vzájomná pomoc
Vzájomná pomoc zahŕňa aspoň to, že:
orgán dohľadu, ktorý uplatňuje opatrenia dohľadu a presadzovania v jednom členskom štáte, informuje orgán dohľadu z iného dotknutého členského štátu a konzultuje s ním;
orgán dohľadu môže požiadať orgán dohľadu iného dotknutého členského štátu, aby prijal opatrenia dohľadu alebo presadzovania, čo zahŕňa napríklad žiadosti o vykonanie kontrol súvisiacich so správami o posúdení zhody, ako sa uvádza v článkoch 20 a 21, pokiaľ ide o poskytovanie dôveryhodných služieb;
orgány dohľadu môžu vo vhodných prípadoch vykonávať spoločné vyšetrovania s orgánmi dohľadu iných členských štátov.
Dojednania a postupy pre spoločné činnosti podľa prvého pododseku dohodnú a stanovia dotknuté členské štáty v súlade so svojím vnútroštátnym právom.
Orgán dohľadu, ktorému je adresovaná žiadosť o pomoc, môže túto žiadosť zamietnuť z ktoréhokoľvek z týchto dôvodov:
požadovaná pomoc nie je primeraná činnostiam dohľadu orgánu dohľadu vykonávaným v súlade s článkami 46a a 46b;
orgán dohľadu nie je príslušný poskytnúť požadovanú pomoc;
poskytnutie požadovanej pomoci by bolo v rozpore s týmto nariadením.
Článok 46e
Skupina pre európsku spoluprácu v oblasti digitálnej identity
Skupina pre spoluprácu plní tieto úlohy:
vymieňať si rady a spolupracovať s Komisiou na nových politických iniciatívach v oblasti peňaženiek digitálnej identity, prostriedkov elektronickej identifikácie a dôveryhodných služieb;
podľa potreby radiť Komisii pri včasnej príprave návrhov vykonávacích a delegovaných aktov, ktoré sa majú prijať podľa tohto nariadenia;
v záujme podpory orgánov dohľadu pri vykonávaní ustanovení tohto nariadenia:
vymieňať si najlepšie postupy a informácie v súvislosti s vykonávaním ustanovení tohto nariadenia;
posudzovať relevantný vývoj v odvetviach súvisiacich s peňaženkou digitálnej identity, elektronickou identifikáciou a dôveryhodnými službami;
organizovať spoločné stretnutia s príslušnými zainteresovanými stranami z celej Únie s cieľom prediskutovať činnosti skupiny pre spoluprácu a zhromažďovať informácie o nových výzvach v tejto oblasti politiky;
s podporou agentúry ENISA si vymieňať názory, najlepšie postupy a informácie o relevantných kybernetickobezpečnostných aspektoch európskych peňaženiek digitálnej identity, schém elektronickej identifikácie a dôveryhodných služieb;
vymieňať si najlepšie postupy v súvislosti s tvorbou a vykonávaním politík týkajúcich sa oznamovania narušení bezpečnosti a spoločných opatrení uvedených v článkoch 5e a 10;
organizovať spoločné stretnutia so skupinou pre spoluprácu v oblasti sieťovej a informačnej bezpečnosti zriadenou podľa článku 14 ods. 1 smernice (EÚ) 2022/2555 s cieľom vymieňať si v súvislosti s dôveryhodnými službami a elektronickou identifikáciou relevantné informácie o kybernetických hrozbách, incidentoch, zraniteľnosti, iniciatívach na zvyšovanie informovanosti, odbornej príprave, cvičeniach a zručnostiach, budovaní kapacít, kapacite v oblasti noriem a technických špecifikácií, ako aj o normách a technických špecifikáciách;
na žiadosť orgánu dohľadu rokovať o konkrétnych žiadostiach o vzájomnú pomoc, ako sa uvádza v článku 46d;
uľahčovať výmenu informácií medzi orgánmi dohľadu poskytovaním usmernení o organizačných aspektoch a postupoch vzájomnej pomoci uvedenej v článku 46d;
organizovať vzájomné preskúmania schém elektronickej identifikácie oznamovaných podľa tohto nariadenia.
KAPITOLA V
DELEGOVANIE PRÁVOMOCI A VYKONÁVACIE USTANOVENIA
Článok 47
Vykonávanie delegovania právomoci
Článok 48
Postup výboru
KAPITOLA VI
ZÁVEREČNÉ USTANOVENIA
Článok 48a
Požiadavky na podávanie správ
Štatistické údaje získané v súlade s odsekom 1 zahŕňajú:
počet fyzických a právnických osôb s platnou európskou peňaženkou digitálnej identity;
typ a počet služieb, ktoré akceptujú používanie európskej peňaženky digitálnej identity;
počet sťažností používateľov a incidentov v oblasti ochrany spotrebiteľa alebo ochrany údajov v súvislosti so spoliehajúcimi sa stranami a kvalifikovanými dôveryhodnými službami;
súhrnnú správu vrátane údajov o incidentoch, ktoré bránia používaniu európskej peňaženky digitálnej identity;
zhrnutie významných bezpečnostných incidentov, porušení ochrany údajov a dotknutých používateľov európskych peňaženiek digitálnej identity alebo kvalifikovaných dôveryhodných služieb.
Článok 49
Preskúmanie
Článok 50
Zrušenie
Článok 51
Prechodné opatrenia
Článok 52
Nadobudnutie účinnosti
Toto nariadenie sa uplatňuje od 1. júla 2016 okrem týchto ustanovení:
článok 8 ods. 3, článok 9 ods. 5, článok 12 ods. 2 až 9, článok 17 ods. 8, článok 19 ods. 4, článok 20 ods. 4, článok 21 ods. 4, článok 22 ods. 5, článok 23 ods. 3, článok 24 ods. 5, článok 27 ods. 4 a 5, článok 28 ods. 6, článok 29 ods. 2, článok 30 ods. 3 a 4, článok 31 ods. 3, článok 32 ods. 3, článok 33 ods. 2, článok 34 ods. 2, článok 37 ods. 4 a 5, článok 38 ods. 6, článok 42 ods. 2, článok 44 ods. 2, článok 45 ods. 2 a články 47 a 48 sa uplatňujú od 17. septembra 2014;
článok 7, článok 8 ods. 1 a 2, články 9, 10 a 11 a článok 12 ods. 1 sa uplatňujú odo dňa začiatku uplatňovania vykonávacích aktov uvedených v článku 8 ods. 3 a článku 12 ods. 8;
článok 6 sa uplatňuje po uplynutí troch rokov od dátumu začiatku uplatňovania vykonávacích aktov uvedených v článku 8 ods. 3 a článku 12 ods. 8.
Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.
PRÍLOHA I
POŽIADAVKY NA KVALIFIKOVANÉ CERTIFIKÁTY PRE ELEKTRONICKÉ PODPISY
Kvalifikované certifikáty pre elektronické podpisy obsahujú:
označenie, prinajmenšom vo forme vhodnej na automatizované spracovanie, že certifikát sa vydáva ako kvalifikovaný certifikát pre elektronický podpis;
súbor údajov jednoznačne reprezentujúcich kvalifikovaného poskytovateľa dôveryhodných služieb, ktorý vydáva kvalifikované certifikáty, zahŕňajúci aspoň členský štát, v ktorom je tento poskytovateľ usadený, a
aspoň meno podpisovateľa alebo pseudonym; ak sa použije pseudonym, musí to byť jasne uvedené;
údaje na validáciu elektronického podpisu, ktoré zodpovedajú údajom na vyhotovenie elektronického podpisu;
údaje o začiatku a konci obdobia platnosti certifikátu;
identifikačný kód certifikátu, ktorý musí byť jedinečný pre kvalifikovaného poskytovateľa dôveryhodných služieb;
zdokonalený elektronický podpis alebo zdokonalenú elektronickú pečať vydávajúceho kvalifikovaného poskytovateľa dôveryhodných služieb;
lokalitu, na ktorej je certifikát pre zdokonalený elektronický podpis alebo zdokonalenú elektronickú pečať podľa písmena g) dostupný bezplatne;
informácie o službách alebo lokalitu služieb, ktoré možno využiť na zistenie štatútu platnosti kvalifikovaného certifikátu;
ak sa údaje na vyhotovenie elektronického podpisu súvisiace s údajmi na validáciu elektronického podpisu nachádzajú v ►C1 zariadení na vyhotovenie kvalifikovaného elektronického podpisu ◄ , primerané uvedenie tejto skutočnosti, prinajmenšom vo forme vhodnej na automatizované spracovanie.
PRÍLOHA II
POŽIADAVKY NA ►C1 ZARIADENIA NA VYHOTOVENIE KVALIFIKOVANÉHO ELEKTRONICKÉHO PODPISU ◄
1. ►C1 Zariadenia na vyhotovenie kvalifikovaného elektronického podpisu ◄ musia vhodnými technickými a procedurálnymi prostriedkami zabezpečovať prinajmenšom, aby:
v primeranej miere bola zaručená dôvernosť údajov na vyhotovenie elektronického podpisu použitých na vyhotovenie elektronického podpisu;
sa údaje na vyhotovenie elektronického podpisu použité na vyhotovenie elektronického podpisu mohli v praxi objaviť iba raz;
údaje na vyhotovenie elektronického podpisu použité na vyhotovenie elektronického podpisu nebolo možné s primeranou úrovňou zabezpečenia odvodiť a elektronický podpis bol spoľahlivo chránený proti falšovaniu pomocou aktuálne dostupných technológií;
oprávnený podpisovateľ mohol údaje na vyhotovenie elektronického podpisu použité na vyhotovenie elektronického podpisu spoľahlivo chrániť pred použitím inými osobami.
2. ►C1 Zariadenia na vyhotovenie kvalifikovaného elektronického podpisu ◄ nesmú meniť údaje, ktoré sa majú podpísať, ani brániť, aby sa takéto údaje podpisovateľovi pred podpísaním zobrazili.
▼M1 —————
PRÍLOHA III
POŽIADAVKY NA KVALIFIKOVANÉ CERTIFIKÁTY PRE ELEKTRONICKÉ PEČATE
Kvalifikované certifikáty pre elektronické pečate obsahujú:
označenie, prinajmenšom vo forme vhodnej na automatizované spracovanie, že certifikát sa vydal ako kvalifikovaný certifikát pre elektronickú pečať;
súbor údajov jednoznačne reprezentujúcich kvalifikovaného poskytovateľa dôveryhodných služieb, ktorý vydáva kvalifikované certifikáty, zahŕňajúci aspoň členský štát, v ktorom je tento poskytovateľ usadený, a
aspoň meno vyhotoviteľa pečate a prípadné registračné číslo, ako sa uvádza v úradných záznamoch;
údaje na validáciu elektronickej pečate, ktoré zodpovedajú údajom na vyhotovenie elektronickej pečate;
údaje o začiatku a konci obdobia platnosti certifikátu;
identifikačný kód certifikátu, ktorý musí byť jedinečný pre kvalifikovaného poskytovateľa dôveryhodných služieb;
zdokonalený elektronický podpis alebo zdokonalenú elektronickú pečať vydávajúceho kvalifikovaného poskytovateľa dôveryhodných služieb;
lokalitu, na ktorej je certifikát pre zdokonalený elektronický podpis alebo zdokonalenú elektronickú pečať podľa písmena g) dostupný bezplatne;
informácie o službách alebo lokalitu služieb, ktoré možno využiť na zistenie štatútu platnosti kvalifikovaného certifikátu;
ak sa údaje na vyhotovenie elektronickej pečate súvisiace s údajmi na validáciu elektronickej pečate nachádzajú v ►C1 zariadení na vyhotovenie kvalifikovanej elektronickej pečate ◄ , primerané uvedenie tejto skutočnosti, prinajmenšom vo forme vhodnej na automatizované spracovanie.
PRÍLOHA IV
POŽIADAVKY NA KVALIFIKOVANÉ CERTIFIKÁTY PRE AUTENTIFIKÁCIU WEBOVÝCH SÍDIEL
Kvalifikované certifikáty pre autentifikáciu webových sídiel obsahujú:
označenie, prinajmenšom vo forme vhodnej na automatizované spracovanie, že certifikát sa vydáva ako kvalifikovaný certifikát pre autentifikáciu webových sídiel;
súbor údajov jednoznačne reprezentujúcich kvalifikovaného poskytovateľa dôveryhodných služieb, ktorý vydáva kvalifikované certifikáty, zahŕňajúci aspoň členský štát, v ktorom je poskytovateľ usadený, a:
v prípade fyzických osôb: aspoň meno osoby, ktorej sa certifikát vydal, alebo pseudonym; ak sa používa pseudonym, táto skutočnosť sa musí jednoznačne uviesť;
v prípade právnických osôb: jedinečný súbor údajov jednoznačne reprezentujúcich právnickú osobu, ktorej sa certifikát vydáva, aspoň s názvom právnickej osoby, ktorej sa certifikát vydáva, a v príslušných prípadoch s registračným číslom uvedeným v úradných záznamoch;
prvky adresy, prinajmenšom vrátane mesta a štátu, fyzickej alebo právnickej osoby, ktorej sa certifikát vydáva, a prípadne tak, ako sa uvádza v úradných záznamoch;
názvy domén prevádzkovaných fyzickou alebo právnickou osobou, ktorej sa certifikát vydáva;
údaje o začiatku a konci obdobia platnosti certifikátu;
identifikačný kód certifikátu, ktorý musí byť jedinečný pre kvalifikovaného poskytovateľa dôveryhodných služieb;
zdokonalený elektronický podpis alebo zdokonalenú elektronickú pečať vydávajúceho kvalifikovaného poskytovateľa dôveryhodných služieb;
lokalitu, na ktorej je certifikát pre zdokonalený elektronický podpis alebo zdokonalenú elektronickú pečať uvedené v písmene h) dostupný bezplatne;
informácie o službách alebo lokalitu služieb súvisiacich so štatútom platnosti certifikátov, ktoré sa môžu využiť na zistenie štatútu platnosti kvalifikovaného certifikátu.
PRÍLOHA V
POŽIADAVKY NA KVALIFIKOVANÉ ELEKTRONICKÉ OSVEDČENIE ATRIBÚTOV
Kvalifikované elektronické osvedčenie atribútov obsahuje:
údaj, aspoň vo forme vhodnej na automatizované spracovanie, že osvedčenie bolo vydané ako kvalifikované elektronické osvedčenie atribútov;
súbor údajov jednoznačne reprezentujúcich kvalifikovaného poskytovateľa dôveryhodných služieb, ktorý vydáva kvalifikované elektronické osvedčenie atribútov, zahŕňajúci aspoň členský štát, v ktorom je poskytovateľ usadený a:
v prípade právnickej osoby: meno a v príslušnom prípade registračné číslo tak, ako sa uvádza v úradných záznamoch,
v prípade fyzickej osoby: meno osoby;
súbor údajov jednoznačne reprezentujúcich subjekt, na ktorý sa osvedčené atribúty vzťahujú; ak sa používa pseudonym, táto skutočnosť sa musí jednoznačne uviesť;
osvedčený atribút alebo atribúty, prípadne vrátane informácií potrebných na identifikáciu rozsahu týchto atribútov;
údaje o začiatku a konci obdobia platnosti osvedčenia;
identifikačný kód osvedčenia, ktorý musí byť jedinečný pre kvalifikovaného poskytovateľa dôveryhodných služieb, a v príslušných prípadoch uvedenie systému osvedčení, ktorého je osvedčenie atribútov súčasťou;
kvalifikovaný elektronický podpis alebo kvalifikovanú elektronickú pečať vydávajúceho kvalifikovaného poskytovateľa dôveryhodných služieb;
lokalitu, na ktorej je certifikát pre kvalifikovaný elektronický podpis alebo kvalifikovanú elektronickú pečať podľa písmena g) dostupný bezplatne;
informácie o službách alebo lokalitu služieb, ktoré možno využiť na zistenie štatútu platnosti kvalifikovaného osvedčenia.
PRÍLOHA VI
MINIMÁLNY ZOZNAM ATRIBÚTOV
Podľa článku 45e členské štáty zabezpečia, aby sa prijali opatrenia, ktoré kvalifikovaným poskytovateľom dôveryhodných služieb elektronických osvedčení atribútov umožnia na žiadosť používateľa elektronickými prostriedkami overiť pravosť týchto atribútov na základe príslušného autentického zdroja na vnútroštátnej úrovni alebo prostredníctvom určených sprostredkovateľov uznaných na vnútroštátnej úrovni v súlade s právom Únie alebo vnútroštátnym právom a v prípadoch, keď sa tieto atribúty opierajú o autentické zdroje vo verejnom sektore:
adresa;
vek;
pohlavie;
osobný stav;
zloženie rodiny;
štátna príslušnosť alebo občianstvo;
vzdelanie, tituly a licencie;
odborná kvalifikácia, tituly a licencie;
splnomocnenia a mandáty zastupovať fyzické alebo právnické osoby;
verejné povolenia a licencie;
v prípade právnických osôb finančné a podnikové údaje.
PRÍLOHA VII
POŽIADAVKY NA ELEKTRONICKÉ OSVEDČENIE ATRIBÚTOV VYDANÉ VEREJNÝM SUBJEKTOM ZODPOVEDNÝM ZA AUTENTICKÝ ZDROJ ALEBO V JEHO MENE
Elektronické osvedčenie atribútov vydané verejným subjektom zodpovedným za autentický zdroj alebo v jeho mene obsahuje:
údaj, aspoň vo forme vhodnej na automatizované spracovanie, že osvedčenie bolo vydané ako elektronické osvedčenie atribútov vydané verejným orgánom zodpovedným za autentický zdroj alebo v jeho mene;
súbor údajov jednoznačne reprezentujúcich verejný subjekt, ktorý elektronické osvedčenie atribútov vydáva, zahŕňajúci aspoň členský štát, v ktorom je tento verejný subjekt usadený, jeho názov a v príslušnom prípade jeho registračné číslo, ako sa uvádza v úradných záznamoch;
súbor údajov jednoznačne reprezentujúcich subjekt, na ktorý sa osvedčené atribúty vzťahujú; ak sa používa pseudonym, táto skutočnosť sa musí jednoznačne uviesť;
osvedčený atribút alebo atribúty, v príslušnom prípade vrátane informácií potrebných na identifikáciu rozsahu týchto atribútov;
údaje o začiatku a konci obdobia platnosti osvedčenia;
identifikačný kód osvedčenia, ktorý musí byť jedinečný pre vydávajúci verejný subjekt, a v príslušnom prípade uvedenie systému osvedčení, ktorého je osvedčenie atribútov súčasťou;
kvalifikovaný elektronický podpis alebo kvalifikovanú elektronickú pečať vydávajúceho subjektu;
lokalitu, na ktorej je certifikát pre kvalifikovaný elektronický podpis alebo kvalifikovanú elektronickú pečať podľa písmena g) dostupný bezplatne;
informácie o službách alebo lokalitu služieb, ktoré možno využiť na zistenie štatútu platnosti osvedčenia.
( 1 ) Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4.5.2016, s. 1).
( 2 ) Smernica Európskeho parlamentu a Rady 2014/24/EÚ z 26. februára 2014 o verejnom obstarávaní a o zrušení smernice 2004/18/ES (Ú. v. EÚ L 94, 28.3.2014, s. 65).
( 3 ) Smernica Európskeho parlamentu a Rady (EÚ) 2019/882 zo 17. apríla 2019 o požiadavkách na prístupnosť výrobkov a služieb (Ú. v. EÚ L 151, 7.6.2019, s. 70).
( 4 ) Nariadenie Európskeho parlamentu a Rady (EÚ) 2019/881 zo 17. apríla 2019 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) (Ú. v. EÚ L 151, 7.6.2019, s. 15).
( 5 ) Odporúčanie Komisie 2003/361/ES zo 6. mája 2003 o vymedzení mikropodnikov, malých a stredných podnikov (Ú. v. EÚ L 124, 20.5.2003, s. 36).
( 6 ) Nariadenie Európskeho parlamentu a Rady (EÚ) 2022/2065 z 19. októbra 2022 o jednotnom trhu s digitálnymi službami a o zmene smernice 2000/31/ES (akt o digitálnych službách) (Ú. v. EÚ L 277, 27.10.2022, s. 1).
( 7 ) Nariadenie Európskeho parlamentu a Rady (EÚ) 2022/1925 zo 14. septembra 2022 o súťažeschopných a spravodlivých trhoch digitálneho sektora a o zmene smerníc (EÚ) 2019/1937 a (EÚ) 2020/1828 (akt o digitálnych trhoch) (Ú. v. EÚ L 265, 12.10.2022, s. 1).
( 8 ) Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (smernica NIS 2) (Ú. v. EÚ L 333, 27.12.2022, s. 80).