UZASADNIENIE

1.           KONTEKST WNIOSKU

W niniejszym uzasadnieniu wyjaśniono proponowane ramy prawne, których celem jest zwiększenie zaufania do transakcji elektronicznych na rynku wewnętrznym.

Budowanie zaufania do internetu jest kluczowym elementem rozwoju gospodarczego. Brak zaufania sprawia, że konsumenci, przedsiębiorstwa i organy administracji odnoszą się z wahaniem do przeprowadzania transakcji elektronicznych i korzystania z nowych usług.

W Europejskiej agendzie cyfrowej[1] określono istniejące bariery dla rozwoju cyfrowego Europy i zaproponowano akty prawne dotyczące podpisów elektronicznych (główne działanie 3) oraz wzajemnego uznawania elektronicznej identyfikacji i elektronicznego uwierzytelniania (główne działanie 16), które mają ustanowić precyzyjne ramy prawne w celu wyeliminowania rozdrobnienia i braku interoperacyjności, wzmocnienia obywatelstwa cyfrowego i zapobiegania cyberprzestępczości. Wprowadzenie przepisów prawnych zapewniających wzajemne uznawanie elektronicznej identyfikacji i elektronicznego uwierzytelniania w całej UE oraz przegląd dyrektywy w sprawie podpisów elektronicznych stanowią również kluczowe działania przewidziane w Akcie o jednolitym rynku[2] w celu utworzenia jednolitego rynku cyfrowego. W Planie działania na rzecz stabilności i wzrostu[3] podkreślono kluczowe znaczenie dla rozwoju gospodarki cyfrowej, jakie będzie mieć przyszła podstawa prawna w zakresie wzajemnego uznawania i akceptowania elektronicznej identyfikacji i elektronicznego uwierzytelniania ponad granicami.

Proponowane ramy prawne, które obejmują rozporządzenie Parlamentu Europejskiego i Rady w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym, mają umożliwiać bezpieczne i płynne interakcje drogą elektroniczną między przedsiębiorstwami, obywatelami i organami administracji publicznej, zwiększając przez to skuteczność publicznych i prywatnych usług online, e-biznesu i handlu elektronicznego w UE.

Obowiązujący akt prawny UE – dyrektywa 1999/93/WE w sprawie wspólnotowych ram w zakresie podpisów elektronicznych[4] – obejmuje zasadniczo tylko podpisy elektroniczne. Brakuje szczegółowych transgranicznych i międzysektorowych ram UE, które odnosiłyby się do bezpiecznych, wiarygodnych i łatwych w użyciu transakcji elektronicznych oraz obejmowałyby identyfikację elektroniczną, uwierzytelnianie elektroniczne i podpisy elektroniczne.

Celem działania jest wzmocnienie i rozszerzenie istniejących przepisów w taki sposób, aby obejmowały wzajemne uznawanie i akceptowanie na szczeblu UE krajowych systemów identyfikacji elektronicznej i innych podstawowych elektronicznych usług zaufania, które są z nimi powiązane.

2.           WYNIKI KONSULTACJI Z ZAINTERESOWANYMI STRONAMI I OCENY SKUTKÓW

Niniejsza inicjatywa jest wynikiem szeroko zakrojonych konsultacji dotyczących przeglądu obecnych ram prawnych dotyczących podpisów elektronicznych; w ramach tych konsultacji Komisja uzyskała opinie państw członkowskich, Parlamentu Europejskiego oraz innych zainteresowanych stron[5]. Internetowe konsultacje społeczne uzupełnił „Panel testowy MŚP” mający na celu określenie konkretnych opinii i potrzeb MŚP, a także inne konsultacje przeprowadzone ze stosownymi zainteresowanymi stronami[6] [7]. Komisja zainicjowała również szereg analiz dotyczących identyfikacji elektronicznej, uwierzytelniania elektronicznego, podpisów elektronicznych oraz powiązanych z nimi usług zaufania (eIAS).

W czasie konsultacji okazało się, że zdecydowana większość zainteresowanych stron widzi potrzebę przeglądu obecnych ram w celu uzupełnienia luk w prawie pozostawionych przez dyrektywę w sprawie podpisów elektronicznych. W ich odczuciu pozwoliłoby to lepiej reagować na wyzwania wynikające z szybkiego rozwoju nowych technologii (zwłaszcza w dziedzinie stacjonarnego dostępu do sieci i dostępu mobilnego) oraz nasilonej globalizacji, przy jednoczesnym utrzymaniu technologicznej neutralności ram prawnych.

Zgodnie z polityką lepszego stanowienia prawa Komisja przeprowadziła ocenę skutków opcji politycznych. Oceniono trzy zestawy wariantów politycznych odnoszące się odpowiednio do 1) zakresu nowych ram, 2) instrumentu prawnego i 3) wymaganego poziomu nadzoru[8]. Okazało się, że preferowanym wariantem jest zwiększenie pewności prawa, usprawnienie koordynacji krajowego nadzoru, zapewnienie wzajemnego uznawania i akceptowania systemów identyfikacji elektronicznej oraz włączenie powiązanych podstawowych usług zaufania. Z oceny skutków wynikło, że w ten sposób można osiągnąć istotne zwiększenie pewności prawa, bezpieczeństwa i zaufania w obszarze transgranicznych transakcji elektronicznych, co z kolei przyczyni się do zmniejszenia rozdrobnienia rynku.

3.           ASPEKTY PRAWNE WNIOSKU

3.1 Podstawa prawna

Podstawą niniejszego wniosku jest art. 114 TFUE, który dotyczy przyjmowania środków w celu znoszenia istniejących barier w funkcjonowaniu rynku wewnętrznego. Obywatele, przedsiębiorstwa i organy administracji będą mogły korzystać ponad granicami ze wzajemnego uznawania i akceptowania identyfikacji elektronicznej, uwierzytelniania elektronicznego i podpisu elektronicznego, a także z innych usług zaufania, w sytuacjach kiedy będzie zachodzić potrzeba uzyskania dostępu do elektronicznych procedur lub zrealizowania elektronicznych transakcji.

Uważa się, że rozporządzenie jest najstosowniejszym instrumentem prawnym. Bezpośrednia możliwość stosowania rozporządzenia zgodnie z art. 288 TFUE doprowadzi do ograniczenia rozdrobnienia prawnego i zagwarantuje lepszą pewność prawa poprzez wprowadzenie zharmonizowanego zbioru przepisów podstawowych przyczyniających się do funkcjonowania rynku wewnętrznego.

3.2 Pomocniczość i proporcjonalność

Aby działanie UE uznać za uzasadnione, konieczne jest przestrzeganie zasady pomocniczości:

a) Transnarodowy charakter problemu (kryterium konieczności)

Transnarodowy charakter identyfikacji elektronicznej, uwierzytelniania elektronicznego i podpisu elektronicznego sprawia, że konieczne jest podjęcie działań na poziomie UE. Wewnętrzne (tj. krajowe) działania nie byłyby wystarczające dla osiągnięcia celów i zrealizowania zadań wyznaczonych w strategii Europa 2020[9]. Natomiast z doświadczenia wynika, że środki krajowe w rzeczywistości tworzą bariery dla ogólnounijnej interoperacyjności podpisów elektronicznych i że obecnie mają taki sam wpływ na identyfikację elektroniczną, uwierzytelnianie elektroniczne i powiązane usługi zaufania. UE powinna zatem stworzyć ramy umożliwiające interoperacyjność transgraniczną i usprawnić koordynację między krajowymi systemami nadzoru. Identyfikacji elektronicznej nie można jednak uwzględnić w rozporządzeniu, którego dotyczy wniosek, w taki sam ogólny sposób, jak w przypadku pozostałych elektronicznych usług zaufania, ponieważ wydawanie środków identyfikacji jest prerogatywą krajową. We wniosku skupiono się zatem wyłącznie na transgranicznych aspektach identyfikacji elektronicznej.

Rozporządzenie, którego dotyczy wniosek, stwarza równe szanse dla przedsiębiorstw świadczących usługi zaufania, gdyż w chwili obecnej istniejące różnice w krajowych uregulowaniach prawnych często oznaczają brak pewności prawa i dodatkowe obciążenia administracyjne. Uzyskanie większej pewności prawa możliwe jest dzięki wyraźnemu podjęciu zobowiązań do akceptowania kwalifikowanych usług zaufania przez państwa członkowskie, co dodatkowo zachęci przedsiębiorców do prowadzenia działalności za granicą. Przykładowo, przedsiębiorstwa będą mogły uczestniczyć drogą elektroniczną w przetargach publicznych ogłaszanych przez poszczególne państwa członkowskie bez obaw, że ich podpisy elektroniczne zostaną zablokowane ze względu na szczególne wymogi krajowe i problemy związane z brakiem interoperacyjności. Podobnie, przedsiębiorstwa będą mieć możliwość elektronicznego podpisywania umów ze swoimi odpowiednikami w innych państwach członkowskich bez obaw, że utrudnią im to inne wymogi prawne dotyczące takich usług zaufania jak pieczęcie elektroniczne, dokumenty elektroniczne i elektroniczne znaczniki czasu. Podczas wysyłania wezwań do wykonania umowy z jednego państwa członkowskiego do drugiego zapewniona będzie ich ważność prawna w obu państwach członkowskich. Bardziej wiarygodny będzie również handel w środowisku elektronicznym, ponieważ kupujący będą mieć możliwość sprawdzenia, czy korzystają ze strony internetowej, która rzeczywiście jest stroną sprzedawcy, czy też jest może stroną fałszywą.

Wzajemnie uznawane środki identyfikacji elektronicznej oraz powszechnie akceptowane podpisy elektroniczne ułatwią transgraniczne świadczenie licznych usług na rynku wewnętrznym i umożliwią przedsiębiorstwom prowadzenie działań za granicą bez konieczności zmagania się przeszkodami wynikającymi z kontaktów z organami administracji publicznej. W praktyce będzie to oznaczało znaczne zwiększenie efektywności działań administracyjnych – zarówno dla przedsiębiorstw, jak i dla obywateli. Przykładowo, student będzie mógł się zapisać na studia w innym kraju drogą elektroniczną, obywatel będzie mógł przez internet złożyć deklarację podatkową w innym kraju, a pacjent będzie mieć elektroniczny dostęp do swoich danych medycznych. Jeżeli nie wprowadzony zostanie wzajemnie uznawany środek identyfikacji elektronicznej, lekarz nie będzie mieć dostępu do danych niezbędnych do podjęcia leczenia pacjenta i konieczne będzie ponowne przeprowadzenie tych samych badań.

b) Wartość dodana (test efektywności)

Cele przedstawione powyżej nie zostały obecnie osiągnięte poprzez dobrowolną koordynację między państwami członkowskimi i nie wydaje się, aby miało to nastąpić w najbliższej przyszłości. Taki stan rzeczy prowadzi do powielania działań i wyznaczania odmiennych norm, wpływa na transnarodowe aspekty efektów zewnętrznych wynikających z ICT oraz powoduje utrudnienia administracyjne związane z ustanowieniem takiej koordynacji w drodze porozumień dwustronnych i wielostronnych.

Ponadto konieczność rozwiązania takich problemów jak: a) brak pewności prawa wynikający z niejednolitych przepisów krajowych będących efektem rozbieżnych wykładni dyrektywy w sprawie podpisu elektronicznego oraz b) brak interoperacyjności między systemami podpisu elektronicznego funkcjonującymi na szczeblu krajowym jako skutek niejednolitego stosowania norm technicznych, wymaga takiej koordynacji między państwami członkowskimi UE, jaką można skuteczniej prowadzić na szczeblu UE.

3.3 Szczegółowe omówienie wniosku

3.3.1      ROZDZIAŁ I – PRZEPISY OGÓLNE

W art. 1 określono przedmiot rozporządzenia.

W art. 2 określono zakres rozporządzenia.

Artykuł 3 zawiera definicje terminów użytych w rozporządzeniu. Niektóre definicje pochodzą z dyrektywy 1999/93/WE, inne zostały doprecyzowane i uzupełnione nowymi elementami, a oprócz tego dodano również nowe definicje.

W art. 4 określono zasady rynku wewnętrznego w kontekście terytorialnego stosowania rozporządzenia. Wyraźnie wspomniano o braku ograniczeń w zakresie swobody świadczenia usług i swobodnego przepływu produktów.

3.3.2      ROZDZIAŁ II – IDENTYFIKACJA ELEKTRONICZNA

W art. 5 przewidziano wzajemne uznawanie i akceptowanie środków identyfikacji elektronicznej stanowiących część systemu, który będzie zgłoszony Komisji zgodnie z warunkami określonymi w rozporządzeniu. Większość państw członkowskich UE posiada pewną formę systemu identyfikacji elektronicznej. Formy te różnią się jednak w wielu aspektach. Brak wspólnej podstawy prawnej nakładającej na każde państwo członkowskie obowiązek uznawania i akceptowania środków identyfikacji elektronicznej wydanych w innych państwach członkowskich w celu zapewnienia dostępu do usług online wraz z nieodpowiednią transgraniczną interoperacyjnością krajowych systemów identyfikacji elektronicznej tworzą bariery, które nie pozwalają obywatelom i przedsiębiorstwom korzystać w pełni z jednolitego rynku cyfrowego. Wzajemne uznawanie i akceptowanie każdego środka identyfikacji elektronicznej objętego systemem zgłoszonym na podstawie niniejszego rozporządzenia jest równoznaczne ze zniesieniem wspomnianych barier prawnych.

Rozporządzenie nie nakłada na państwa członkowskie obowiązku wprowadzania lub zgłaszania systemów identyfikacji elektronicznej, lecz nakazuje uznawać i akceptować zgłoszone środki identyfikacji elektronicznej dla tych usług, w przypadku których identyfikacja elektroniczna jest wymagana, aby można było uzyskać dostęp na szczeblu krajowym. Potencjalne korzyści skali wynikające z transgranicznego stosowania zgłoszonych środków identyfikacji elektronicznej oraz elektronicznych systemów uwierzytelniania mogą zachęcić państwa członkowskie do zgłaszania swoich systemów identyfikacji elektronicznej. W art. 6 wyznaczono pięć warunków dotyczących zgłaszania systemów identyfikacji elektronicznej.

Państwa członkowskie mogą zgłaszać systemy identyfikacji elektronicznej, które akceptują zgodnie z swoją jurysdykcją w przypadkach, w których identyfikacja elektroniczna jest wymagana na potrzeby usług publicznych. Zgodnie z dodatkowym wymaganiem odpowiednie środki identyfikacji elektronicznej muszą być wydawane przez państwo członkowskie zgłaszające system, w jego imieniu lub co najmniej na jego odpowiedzialność.

Państwa członkowskie muszą zapewnić jednoznaczne powiązanie między danymi związanymi z identyfikacją elektroniczną a osobą, której identyfikacja ta dotyczy. Ten obowiązek nie oznacza, że jedna osoba nie może korzystać z kliku środków identyfikacji elektronicznej, lecz wszystkie takie środki muszą być powiązane z tą samą osobą.

Wiarygodność identyfikacji elektronicznej zależy od dostępności środków uwierzytelniania (tzn. możliwości sprawdzenia ważności danych powiązanych z identyfikacją elektroniczną). Rozporządzenie nakłada na zgłaszające państwa członkowskie obowiązek nieodpłatnego zapewnienia stronom trzecim uwierzytelniania online. Mechanizm uwierzytelniania musi być dostępny bez przerwy. Stronom ufającym polegającym się na takim uwierzytelnieniu nie należy narzucać żadnych szczegółowych wymagań technicznych w zakresie sprzętu lub oprogramowania. Ten przepis nie ma zastosowania do wymagań mających zastosowanie do użytkowników (posiadaczy) środków identyfikacji elektronicznej, które są niezbędne z technicznego punktu widzenia do używania środków identyfikacji elektronicznej, takich jak czytniki kart.

Państwa członkowskie muszą przyjąć odpowiedzialność za jednoznaczność powiązania (tj. za to, aby dane identyfikacyjne przypisane jednej osobie nie zostały przypisane żadnej innej osobie) i za mechanizm uwierzytelniający (tj. za możliwość sprawdzenia ważności danych związanych z identyfikacją elektroniczną). Odpowiedzialność państw członkowskich nie obejmuje innych aspektów procesu identyfikacji ani żadnych transakcji wymagających identyfikacji.

W art. 7 przedstawiono zasady zgłaszania Komisji systemów identyfikacji elektronicznej.

Celem art. 8 jest zapewnienie interoperacyjności technicznej zgłoszonych systemów identyfikacji w ramach podejścia opartego na koordynacji, w tym za pomocą aktów delegowanych.

3.3.3      ROZDZIAŁ III – USŁUGI ZAUFANIA

3.3.3.1 Sekcja 1 – Przepisy ogólne

W art. 9 określono zasady dotyczące odpowiedzialności dostawców niekwalifikowanych usług zaufania i dostawców kwalifikowanych usług zaufania. Opiera się on na art. 6 dyrektywy 1999/93/WE i rozszerza uprawnienia do odszkodowania za szkodę spowodowaną przez działającego bez należytej staranności dostawcę usług zaufania, który nie postępuje zgodnie z dobrymi praktykami z zakresu bezpieczeństwa, co prowadzi do naruszenia bezpieczeństwa mającego poważny wpływ na usługę.

W art. 10 opisano mechanizm uznawania i akceptowania kwalifikowanych usług zaufania świadczonych przez dostawcę z siedzibą w państwie trzecim. Opiera się on na art. 7 dyrektywy 1999/93/WE, lecz zachowuje jedyny praktycznie wykonalny wariant, zgodnie z którym dopuszcza się takie uznawanie na podstawie umowy międzynarodowej między Unią Europejską a państwami trzecimi lub organizacjami międzynarodowymi.

W art. 11 określono zasady ochrony i minimalizacji danych. Opiera się on na art. 8 dyrektywy 1999/93/WE.

Na mocy art. 12 udostępnia się usługi zaufania osobom niepełnosprawnym.

3.3.3.2 Sekcja 2 – Nadzór

W art. 13 nałożono na państwa członkowskie obowiązek powołania organów nadzorczych, na podstawie art. 3 ust. 3 dyrektywy 1999/93/WE, a jednocześnie sprecyzowano i rozszerzono zakres ich kompetencji w odniesieniu do dostawców usług zaufania i dostawców kwalifikowanych usług zaufania.

W art. 14 wprowadzono bezpośredni mechanizm wzajemnej pomocy między organami nadzorczymi w państwach członkowskich w celu ułatwienia transgranicznego nadzoru nad dostawcami usług zaufania. Ustanowiono w nim przepisy dotyczące wspólnych działań i prawa organów nadzorczych do uczestnictwa w takich działaniach.

W art. 15 nałożono na dostawców niekwalifikowanych usług zaufania i dostawców kwalifikowanych usług zaufania obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych na potrzeby bezpieczeństwa ich działalności. Ponadto właściwe organy nadzorcze muszą być informowane o wszelkich przypadkach naruszenia bezpieczeństwa. W stosownych przypadkach organy te przekazują informacje organom nadzorczym innych państw członkowskich i podają je do publicznej wiadomości bezpośrednio lub za pośrednictwem zainteresowanego dostawcy usług zaufania.

W art. 16 określono warunki nadzorowania dostawców kwalifikowanych usług zaufania oraz usług świadczonych przez tych dostawców. Na dostawców kwalifikowanych usług zaufania nałożono obowiązek poddawania się corocznemu audytowi przeprowadzanemu przez uznany i niezależny organ, po to aby organ nadzorczy zyskał potwierdzenie, że dostawcy wypełniają zobowiązania ustanowione na mocy rozporządzenia. Ponadto w art. 16 ust. 2 przyznano organowi nadzorczemu prawo do przeprowadzania audytów na miejscu w dowolnym czasie w odniesieniu do dostawców kwalifikowanych usług zaufania. Organ nadzorczy jest również uprawniony do wydawania dostawcom kwalifikowanych usług zaufania wiążących instrukcji dotyczących usuwania, w proporcjonalny sposób, wszelkich przypadków niespełnienia wymagań stwierdzonych podczas audytu bezpieczeństwa.

Artykuł 17 dotyczy działania organu nadzorczego podejmowanego na wniosek dostawcy usług zaufania, który zamierza uruchomić kwalifikowaną usługę zaufania.

W art. 18 przewidziano sporządzanie zaufanych list[10] zawierających informacje o dostawcach kwalifikowanych usług zaufania objętych nadzorem oraz o oferowanych przez nich usługach. Informacje muszą być publicznie dostępne za pośrednictwem wspólnego szablonu w celu ułatwienia ich automatycznego użycia i zapewnienia odpowiedniego poziomu szczegółowości.

W art. 19 określono wymagania, które dostawcy kwalifikowanych usług zaufania muszą spełniać, aby mogli być za takich uznani. Artykuł opiera się na załączniku II dyrektywy 1999/93/WE.

3.3.3.3 Sekcja 3 – Podpis elektroniczny

W art. 20 określono zasady dotyczące prawnego skutku podpisów elektronicznych osób fizycznych. Doprecyzowano i rozszerzono art. 5 dyrektywy 1999/93/WE wprowadzający bezpośredni obowiązek nadawania kwalifikowanym podpisom elektronicznym takich samych skutków prawnych, jakie wywołują podpisy własnoręczne. Ponadto państwa członkowskie muszą zapewnić transgraniczne akceptowanie kwalifikowanych podpisów elektronicznych w kontekście świadczenia usług publicznych i nie mogą wprowadzać dodatkowych wymagań, które mogłyby tworzyć przeszkody w używaniu takich podpisów.

W art. 21 określono wymagania dotyczące kwalifikowanych certyfikatów podpisów. Doprecyzowano załącznik I do dyrektywy 1999/93/WE poprzez usunięcie przepisów, które nie działały w praktyce (np. granice wartości transakcji).

W art. 22 określono wymagania dotyczące urządzeń do składania kwalifikowanego podpisu elektronicznego. Doprecyzowano wymagania związane z bezpiecznymi urządzeniami do składania podpisu, ustanowione w art. 3 ust. 5 dyrektywy 1999/93/WE, które obecnie na mocy niniejszego rozporządzenia należy traktować jako urządzenia do składania kwalifikowanego podpisu. Sprecyzowano również, że zakres funkcji urządzenia do składania podpisu może być znacznie szerszy niż tylko funkcje urządzenia zawierającego dane dotyczące składania podpisu. Komisja może również ustalić numery referencyjne norm dotyczących wymagań bezpieczeństwa w odniesieniu do urządzeń.

Na podstawie art. 3 ust. 4 dyrektywy 1999/93/WE w art. 23 wprowadzono również koncepcję certyfikacji urządzeń do składania kwalifikowanego podpisu elektronicznego w celu ustalenia ich zgodności z wymaganiami bezpieczeństwa ustanowionymi w załączniku II. Wszystkie państwa członkowskie muszą uznać, że urządzenia spełniają wymagania, jeżeli procedurę certyfikacji przeprowadził organ certyfikujący wyznaczony przez jedno z państw członkowskich. Zgodnie z art. 24 Komisja opublikuje pozytywną listę takich certyfikowanych urządzeń. Komisja może również ustalić numery referencyjne norm oceny bezpieczeństwa produktów informatycznych, o których mowa w art. 23 ust. 1.

Art. 24 dotyczy publikacji przez Komisję listy urządzeń do składania kwalifikowanego podpisu elektronicznego, po zgłoszeniu przez państwa członkowskie, że urządzenia te spełniają odpowiednie wymogi.

Artykuł 25 stanowi rozszerzenie zaleceń sformułowanych w załączniku IV do dyrektywy 1999/93/WE dotyczących wiążących wymagań w zakresie weryfikacji kwalifikowanych podpisów elektronicznych i ma na celu zwiększenie pewności prawa w odniesieniu do takiej weryfikacji.

W art. 26 określono warunki dotyczące kwalifikowanych usług weryfikacji.

W art. 27 określono warunek długoterminowego przechowywania kwalifikowanego podpisu elektronicznego. Jest to możliwe dzięki zastosowaniu procedur i technologii umożliwiających przedłużenie wiarygodności danych służących do weryfikacji kwalifikowanego podpisu elektronicznego poza okres ich technologicznej ważności, kiedy cyberprzestępcy mogą łatwo dokonać fałszerstwa.

3.3.3.4 Sekcja 4 – Pieczęcie elektroniczne

Art. 28 dotyczy skutków prawnych pieczęci elektronicznych osób fizycznych. Dla kwalifikowanej pieczęci elektronicznej ustanowiono specjalne domniemanie prawne, które gwarantuje autentyczność i integralność dokumentów elektronicznych, z którymi jest ona powiązana.

W art. 29 określono wymagania dotyczące kwalifikowanych certyfikatów pieczęci elektronicznych.

W art. 30 określono wymogi dotyczące certyfikacji urządzeń do wystawiania kwalifikowanych pieczęci elektronicznych i publikacji list tych urządzeń.

W art. 31 wyznaczono warunek weryfikacji i przechowywania kwalifikowanych pieczęci elektronicznych.

3.3.3.5 Sekcja 5 – Elektroniczny znacznik czasu

Art. 32 dotyczy skutków prawnych elektronicznych znaczników czasu. Dla kwalifikowanych elektronicznych znaczników czasu ustanowiono specjalne domniemanie prawne w odniesieniu do pewności czasu.

W art. 33 określono wymagania dotyczące kwalifikowanych elektronicznych znaczników czasu.

3.3.3.6 Sekcja 6 – Dokumenty elektroniczne

W art. 34 określono skutki prawne i warunki akceptowania dokumentów elektronicznych. Istnieje specjalne domniemanie prawne dotyczące autentyczności i integralności każdego dokumentu elektronicznego podpisanego za pomocą kwalifikowanego podpisu elektronicznego lub opatrzonego kwalifikowaną pieczęcią elektroniczną. Jeśli chodzi o akceptowanie dokumentów elektronicznych, w sytuacji gdy do celu świadczenia usługi publicznej wymagany jest oryginalny dokument lub uwierzytelniony odpis, przynajmniej dokumenty elektroniczne wydane przez osoby uprawnione do wydawania stosownych dokumentów i uznawane za oryginały lub uwierzytelnione odpisy zgodnie z przepisami krajowymi państwa członkowskiego pochodzenia akceptuje się w pozostałych państwach członkowskich bez konieczności spełnienia dodatkowych wymogów.

3.3.3.7 Sekcja 7 – Usługi przekazu elektronicznego

Artykuł 35 dotyczy skutków prawnych danych wysyłanych lub otrzymywanych przy użyciu usług przekazu elektronicznego. W przypadku kwalifikowanych usług przekazu elektronicznego przyjmuje się specjalne domniemanie prawne dotyczące integralności danych, które są wysyłane lub otrzymywane, oraz dokładności czasu wysłania lub otrzymania danych. W artykule przewidziano również wzajemne uznawanie kwalifikowanych usług przekazu elektronicznego na szczeblu UE.

W art. 36 określono wymagania dotyczące kwalifikowanych usług przekazu elektronicznego.

3.3.3.8 Sekcja 8 – Uwierzytelnianie witryn internetowych

Celem tej sekcji jest zapewnienie gwarancji uwierzytelnienia witryny internetowej w odniesieniu do właściciela witryny.

W art. 37 określono wymagania dotyczące kwalifikowanych certyfikatów uwierzytelniania witryn internetowych, które można wykorzystywać do zagwarantowania uwierzytelnienia witryny internetowej. Kwalifikowany certyfikat uwierzytelniania witryn internetowych zapewnia minimum wiarygodnych informacji na temat witryny internetowej i prawnego istnienia jej właściciela.

3.3.4      ROZDZIAŁ IV – AKTY DELEGOWANE

Artykuł 38 zawiera standardowe przepisy dotyczące korzystania z uprawnień, o których mowa w art. 290 TFUE (akty delegowane). W ten sposób prawodawca może przekazać Komisji uprawnienia do przyjęcia aktów o charakterze nieustawodawczym o zasięgu ogólnym, które uzupełniają lub zmieniają inne niż istotne elementy aktu ustawodawczego.

3.3.5      ROZDZIAŁ V – AKTY WYKONAWCZE

Artykuł 39 zawiera przepisy dotyczące procedury komitetowej niezbędnej do powierzenia Komisji uprawnień wykonawczych w przypadkach, gdy zgodnie z art. 291 TFUE konieczne są jednolite warunki wykonywania prawnie wiążących aktów Unii. Zastosowanie ma procedura sprawdzająca.

3.3.6      ROZDZIAŁ VI – PRZEPISY KOŃCOWE

W art. 40 nałożono na Komisję obowiązek przeprowadzenia oceny rozporządzenia i sporządzenia stosownego sprawozdania.

W art. 41 uchylono dyrektywę 1999/93/WE i przewidziano sprawne przejście z istniejącej infrastruktury podpisu elektronicznego na nowe wymagania zawarte w rozporządzeniu.

W art. 42 określono datę wejścia życie rozporządzenia.

4.           WPŁYW NA BUDŻET

Konkretny wpływ wniosku na budżet dotyczy zadań powierzonych Komisji Europejskiej, zgodnie z oceną skutków finansowych regulacji towarzyszącą niniejszemu wnioskowi.

Niniejszy wniosek nie ma wpływu na wydatki operacyjne.

Ocena finansowych skutków regulacji towarzysząca wnioskowi dotyczącemu rozporządzenia obejmuje wpływ samego rozporządzenia na budżet.

2012/0146 (COD)

Wniosek

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY

w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym

(Tekst mający znaczenie dla EOG)

PARLAMENT EUROPEJSKI I RADA UNII EUROPEJSKIEJ,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 114,

uwzględniając wniosek Komisji Europejskiej,

po przekazaniu projektu aktu ustawodawczego parlamentom narodowym,

uwzględniając opinię Europejskiego Komitetu Ekonomiczno-Społecznego[11],

po zasięgnięciu opinii Europejskiego Inspektora Ochrony Danych[12],

stanowiąc zgodnie ze zwykłą procedurą ustawodawczą,

a także mając na uwadze, co następuje:

(1)       Budowanie zaufania do internetu jest kluczowym elementem rozwoju gospodarczego. Brak zaufania sprawia, że konsumenci, przedsiębiorstwa i organy administracji odnoszą się z wahaniem do przeprowadzania transakcji elektronicznych i korzystania z nowych usług.

(2)       Celem niniejszego rozporządzenia jest zwiększenie zaufania do transakcji elektronicznych na rynku wewnętrznym poprzez zapewnienie bezpiecznych i płynnych interakcji elektronicznych między przedsiębiorstwami, obywatelami i organami publicznymi, co pozwoli podnieść skuteczność publicznych i prywatnych usług online, e-biznesu i handlu elektronicznego w Unii.

(3)       Dyrektywa Parlamentu Europejskiego i Rady 1999/93/WE z dnia 13 grudnia 1999 r. w sprawie wspólnotowych ram w zakresie podpisów elektronicznych[13] obejmuje głównie podpisy elektroniczne, nie zapewnia natomiast szczegółowych ram transgranicznych i międzysektorowych, które odnosiłyby się do bezpiecznych, wiarygodnych i łatwych do realizacji transakcji elektronicznych. Niniejsze rozporządzenie umacnia i poszerza dorobek tej dyrektywy.

(4)       W przygotowanej przez Komisję Europejskiej agendzie cyfrowej[14] stwierdzono, że rozdrobnienie rynku cyfrowego, brak interoperacyjności i rosnąca liczba cyberprzestępstw stanowią główne przeszkody w pozytywnym cyklu rozwoju gospodarki cyfrowej. W sprawozdaniu na temat obywatelstwa za 2010 r. Komisja ponownie podkreśliła konieczność rozwiązania głównych problemów, które uniemożliwiają obywatelom Europy czerpanie korzyści z jednolitego rynku cyfrowego i transgranicznych usług cyfrowych[15].

(5)       Rada Europejska wezwała Komisję do utworzenia jednolitego rynku cyfrowego do 2015 r.[16] w celu osiągnięcia szybkiego postępu w kluczowych obszarach gospodarki cyfrowej oraz propagowania w pełni zintegrowanego jednolitego rynku cyfrowego[17] poprzez ułatwianie transgranicznego korzystania z usług online, ze szczególnym uwzględnieniem ułatwiania bezpiecznej identyfikacji i bezpiecznego uwierzytelniania.

(6)       Rada wezwała Komisję do wsparcia rozwoju jednolitego rynku cyfrowego poprzez tworzenie warunków sprzyjających wzajemnemu transgranicznemu uznawaniu głównych aktywatorów, takich jak elektroniczna identyfikacja, dokumenty elektroniczne, podpisy elektroniczne i elektroniczne usługi przesyłowe, oraz sprzyjających interoperacyjności usług administracji elektronicznej w całej UE[18].

(7)       Parlament Europejski podkreślił znaczenie bezpieczeństwa usług elektronicznych, zwłaszcza podpisów elektronicznych, i potrzebę stworzenia infrastruktury klucza publicznego (PKI) na poziomie ogólnoeuropejskim, a także wezwał Komisję do ustanowienia bramy europejskich organów weryfikacyjnych w celu zapewnienia transgranicznej interoperacyjności podpisów elektronicznych i podniesienia bezpieczeństwa transakcji przeprowadzanych przy użyciu Internetu[19].

(8)       Dyrektywa 2006/123/WE Parlamentu Europejskiego i Rady z dnia 12 grudnia 2006 r. dotycząca usług na rynku wewnętrznym[20] nakłada na państwa członkowskie obowiązek utworzenia pojedynczych punktów kontaktowych, aby zapewnić możliwość łatwego wypełnienia wszystkich procedur i formalności dotyczących podejmowania i prowadzenia działalności usługowej na odległość i drogą elektroniczną poprzez odpowiedni pojedynczy punkt kontaktowy i w odpowiednich organach. Wiele usług online dostępnych za pośrednictwem pojedynczych punktów kontaktowych wymaga identyfikacji elektronicznej, uwierzytelnienia i podpisu.

(9)       W większości przypadków dostawcy usług z innego państwa członkowskiego nie mogą korzystać ze swojej identyfikacji elektronicznej w celu zapewnienia sobie dostępu do tych usług, ponieważ krajowe systemy identyfikacji elektronicznej w ich kraju nie są uznawane i akceptowane w innych państwach członkowskich. Taka bariera elektroniczna nie pozwala dostawcom usług w pełni korzystać z rynku wewnętrznego. Wzajemnie uznawane i akceptowane środki elektronicznej identyfikacji ułatwią transgraniczne świadczenie licznych usług na rynku wewnętrznym i umożliwią przedsiębiorstwom prowadzenie działań za granicą bez konieczności zmagania się przeszkodami wynikającymi z kontaktów z organami administracji publicznej.

(10)     Dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE z dnia 9 marca 2011 r. w sprawie stosowania praw pacjentów w transgranicznej opiece zdrowotnej[21] ustanawia sieć organów krajowych odpowiedzialnych za e-zdrowie. Aby zwiększyć bezpieczeństwo i ciągłość transgranicznej opieki zdrowotnej sieć musi opracować wytyczne w sprawie transgranicznego dostępu do danych i usług związanych z e-zdrowiem, również poprzez wspieranie „wspólnych środków identyfikacji i uwierzytelniania, aby ułatwić przenoszalność danych w transgranicznej opiece zdrowotnej”. Zapewnienie wzajemnego uznawania i akceptowania identyfikacji elektronicznej i uwierzytelniania elektronicznego jest niezbędne, aby transgraniczna opieka zdrowotna dla obywateli Europy stała się rzeczywistością. Kiedy obywatele wyjeżdżają w celu podjęcia leczenia, ich dane medyczne muszą być dostępne w kraju, w którym prowadzone jest leczenie. Aby to umożliwić, konieczne jest stworzenie solidnych, bezpiecznych i wiarygodnych ram identyfikacji elektronicznej.

(11)     Jednym z celów niniejszego rozporządzenia jest zniesienie istniejących barier w transgranicznym stosowaniu środków identyfikacji elektronicznej stosowanych w państwach członkowskich w celu uzyskania dostępu przynajmniej do usług publicznych. Celem niniejszego rozporządzenia nie jest ingerowanie w systemy zarządzania tożsamością elektroniczną i w powiązane z nimi infrastruktury ustanowione w państwach członkowskich. Jego celem jest zagwarantowanie bezpiecznej identyfikacji elektronicznej i bezpiecznego elektronicznego uwierzytelniania do celów korzystania z transgranicznych usług online oferowanych przez państwa członkowskie.

(12)     Państwa członkowskie powinny zachować swobodę w stosowaniu lub wprowadzaniu środków dostępu do usług online do celów identyfikacji elektronicznej. Powinny również mieć możliwość podjęcia decyzji, czy w dostarczanie tych środków należy zaangażować sektor prywatny. Państwa członkowskie nie powinny być zobowiązane do zgłaszania swoich systemów identyfikacji elektronicznej. Państwa członkowskie mogą same zdecydować, czy zgłosić wszystkie systemy identyfikacji elektronicznej stosowane na szczeblu krajowym do celów uzyskiwania dostępu przynajmniej do publicznych usług online lub konkretnych usług, czy zgłosić niektóre z tych systemów, czy też nie zgłaszać ich w ogóle.

(13)     W rozporządzeniu należy ustanowić warunki dotyczące tego, które środki identyfikacji elektronicznej muszą być akceptowane i w jaki sposób należy zgłaszać systemy identyfikacji elektronicznej. Warunki te powinny pomóc państwom członkowskim w zbudowaniu niezbędnego wzajemnego zaufania do stosowanych przez nie systemów identyfikacji elektronicznej oraz we wzajemnym uznawaniu i akceptowaniu środków identyfikacji elektronicznej objętych zgłoszonymi systemami. Zasada wzajemnego uznawania i akceptacji powinna mieć zastosowanie, jeżeli zgłaszające państwo członkowskie spełniło warunki zgłaszania, a zgłoszenie zostało opublikowane w Dzienniku Urzędowym Unii Europejskiej. Jednak dostęp do takich usług online i ich ostateczne udostępnienie wnioskodawcy powinny być ściśle powiązane z prawem do korzystania z takich usług na warunkach określonych w przepisach krajowych.

(14)     Państwa członkowskie powinny mieć możliwość zdecydowania, czy w wydawanie środków identyfikacji elektronicznej należy zaangażować sektor prywatny oraz czy sektorowi prywatnemu należy umożliwić korzystanie ze środków identyfikacji elektronicznej objętych zgłoszonym systemem, w sytuacjach gdy identyfikacja jest konieczna, aby uzyskać dostęp do usług online i transakcji elektronicznych. Możliwość korzystania z takich środków identyfikacji elektronicznej sprawiłaby, iż sektor prywatny mógłby korzystać ze środków identyfikacji elektronicznej i elektronicznego uwierzytelniania stosowanych już powszechnie w wielu państwach członkowskich przynajmniej w celu uzyskiwania dostępu do usług publicznych, a przedsiębiorstwom i obywatelom ułatwiłaby transgraniczny dostęp do usług online. Aby ułatwić transgraniczne korzystanie ze środków identyfikacji elektronicznej przez sektor prywatny, możliwość uwierzytelniania zapewniona przez państwa członkowskie powinna być dostępna dla stron ufających bez rozróżniania między sektorem publicznym i sektorem prywatnym.

(15)     Transgraniczne stosowanie środków identyfikacji elektronicznej objętych zgłoszonym systemem nakłada na państwa członkowskie obowiązek współpracy w zakresie zapewnienia interoperacyjności technicznej. Wyklucza to wszelkie krajowe szczegółowe przepisy techniczne nakładające na strony z innych krajów np. obowiązek instalowania specjalnego sprzętu lub oprogramowania w celu sprawdzenia i zatwierdzenia zgłoszonej identyfikacji elektronicznej. Z drugiej strony nieuniknione są techniczne wymagania wobec użytkowników, wynikające ze specyfikacji nieodłącznie powiązanych ze stosowaniem tokena (np. kart elektronicznych).

(16)     Współpraca między państwami członkowskimi powinna mieć na celu zapewnienie interoperacyjności technicznej zgłoszonych systemów identyfikacji elektronicznej w celu uzyskania wysokiego poziomu zaufania i bezpieczeństwa, stosownie do poziomu ryzyka. We współpracy tej pomóc powinna wymiana informacji i najlepszych praktyk, której celem powinno być wzajemne uznawanie systemów przez państwa członkowskie.

(17)     W niniejszym rozporządzeniu należy również ustanowić ogólne ramy prawne dotyczące korzystania z elektronicznych usług zaufania. Nie należy jednak wprowadzać ogólnego obowiązku ich używania. W szczególności rozporządzenie nie powinno obejmować świadczenia usług opierających się na dobrowolnych porozumieniach zawartych na mocy prawa prywatnego. Nie powinno ono również obejmować aspektów związanych z zawieraniem i ważnością umów lub innych zobowiązań prawnych w przypadkach, w których istnieją wymagania dotyczące formy wprowadzone na mocy prawa krajowego lub unijnego.

(18)     Aby wspierać ogólne transgraniczne korzystanie z elektronicznych usług zaufania, należy zapewnić możliwość używania ich jako dowodu w postępowaniach sądowych we wszystkich państwach członkowskich.

(19)     Państwa członkowskie powinny zachować swobodę określania innych rodzajów usług zaufania oprócz tych, które figurują w zamkniętym wykazie usług zaufania przewidzianym w niniejszym rozporządzeniu, do celów zatwierdzenia ich na szczeblu krajowym jako kwalifikowane usługi zaufania.

(20)     Ze względu na tempo zmian technologicznych w niniejszym rozporządzeniu należy przyjąć podejście otwarte na innowacje.

(21)     Niniejsze rozporządzenie powinno być neutralne pod względem technologicznym. Określone w nim skutki prawne powinny być osiągalne za pomocą dowolnego środka technicznego, o ile spełnione zostaną wymagania niniejszego rozporządzenia.

(22)     Aby zwiększyć zaufanie obywateli do rynku wewnętrznego i promować korzystanie z usług i produktów zaufania, należy wprowadzić pojęcia kwalifikowanych usług zaufania i dostawcy kwalifikowanych usług zaufania w celu wskazania wymagań i obowiązków mających zapewnić wysoki poziom bezpieczeństwa wszystkich świadczonych lub wykorzystywanych kwalifikowanych usług i produktów zaufania.

(23)     Zgodnie z zobowiązaniami podjętymi na mocy obowiązującej w UE Konwencji ONZ o prawach osób niepełnosprawnych osoby niepełnosprawne powinny mieć możliwość korzystania z usług zaufania i produktów przeznaczonych dla użytkownika końcowego stosowanych w ramach świadczenia tych usług na takich samych zasadach, co inni konsumenci.

(24)     Dostawca usług zaufania jest administratorem danych osobowych, a zatem musi spełniać wymagania określone w dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych[22]. W szczególności gromadzenie danych należy ograniczyć do minimum, uwzględniając przy tym cel świadczonej usługi.

(25)     Organy nadzorcze powinny współpracować z organami ochrony danych i wymieniać się z nimi informacjami, aby zagwarantować, że dostawcy usług należycie przestrzegają przepisów dotyczących ochrony danych. Wymiana informacji powinna obejmować zwłaszcza incydenty związane z bezpieczeństwem oraz przypadki naruszenia bezpieczeństwa danych osobowych.

(26)     Na wszystkich dostawcach usług zaufania powinien spoczywać obowiązek stosowania dobrych praktyk w zakresie bezpieczeństwa dostosowanych do zagrożeń związanych z ich działalnością, tak aby zwiększyć zaufanie użytkowników do jednolitego rynku.

(27)     Przepisy dotyczące używania pseudonimów w certyfikatach nie powinny uniemożliwiać państwom członkowskim wymagania identyfikacji osób zgodnie z prawem krajowym lub prawem unijnym.

(28)     W celu zapewnienia porównywalnego poziomu bezpieczeństwa kwalifikowanych usług zaufania wszystkie państwa członkowskie powinny wprowadzić wspólne podstawowe wymagania dotyczące nadzoru. Aby ułatwić spełnianie tych wymagań w jednolity sposób w całej Unii, państwa członkowskie powinny przyjąć porównywalne procedury i powinny wymieniać się informacjami na temat swoich działań dotyczących nadzoru oraz najlepszymi praktykami stosowanymi w tej dziedzinie.

(29)     Zgłaszanie przypadków naruszenia bezpieczeństwa i przeprowadzanie ocen ryzyka w zakresie bezpieczeństwa ma zasadnicze znaczenie pod względem zapewnienia odpowiednich informacji zainteresowanym stronom w razie naruszenia bezpieczeństwa lub utraty integralności.

(30)     Aby Komisja i państwa członkowskie mogły ocenić skuteczność mechanizmu zgłaszania naruszeń wprowadzonego niniejszym rozporządzeniem, organy nadzorcze są zobowiązane dostarczyć Komisji i Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) zbiorcze informacje.

(31)     Aby Komisja i państwa członkowskie mogły ocenić skutki niniejszego rozporządzenia, organy nadzorcze powinny być zobowiązane do dostarczania danych statystycznych dotyczących korzystania z kwalifikowanych usług zaufania.

(32)     Aby Komisja i państwa członkowskie mogły ocenić skuteczność usprawnionego mechanizmu nadzoru wprowadzonego niniejszym rozporządzeniem, organy nadzorcze powinny być zobowiązane do składania sprawozdań ze swojej działalności. Sprawozdania te w znaczący sposób ułatwią wymianę dobrych praktyk między organami nadzorczymi i umożliwią sprawdzenie, czy podstawowe wymogi dotyczące nadzoru są jednolicie i skutecznie wdrażane we wszystkich państwach członkowskich.

(33)     Aby zapewnić stabilność i trwałość kwalifikowanych usług zaufania oraz zwiększać zaufanie użytkowników do ciągłości kwalifikowanych usług zaufania, organy nadzorcze powinny zagwarantować przechowywanie i dostępność danych dostawców kwalifikowanych usług zaufania przez odpowiedni okres, nawet wtedy, gdy dostawca usług kwalifikowanych zaufania przestanie istnieć.

(34)     Aby ułatwić nadzór nad dostawcami kwalifikowanych usług zaufania, np. w sytuacji, gdy dostawca świadczy swoje usługi na terytorium innego państwa członkowskiego i nie podlega tam nadzorowi lub gdy komputery dostawcy znajdują się na terytorium innego państwa członkowskiego niż państwo, w którym ma siedzibę, należy utworzyć system wzajemnej pomocy między organami nadzorczymi w państwach członkowskich.

(35)     Dostawcy usług zaufania są odpowiedzialni za spełnianie wymogów określonych w niniejszym rozporządzeniu i dotyczących świadczenia usług zaufania, zwłaszcza kwalifikowanych usług zaufania. Organy nadzorcze są odpowiedzialne za nadzorowanie tego, w jaki sposób dostawcy usług zaufania spełniają te wymagania.

(36)     Aby umożliwić efektywne zainicjowanie procedury, która powinna doprowadzić do umieszczenia dostawców kwalifikowanych usług zaufania i świadczonych przez nich kwalifikowanych usług zaufania na zaufanych listach, należy dążyć do nawiązania wstępnych interakcji między potencjalnymi dostawcami kwalifikowanych usług zaufania a właściwym organem nadzorczym w celu zapewnienia należytej staranności niezbędnej do świadczenia kwalifikowanych usług zaufania.

(37)     Zaufane listy są istotnym elementem procesu budowania zaufania wśród podmiotów rynkowych, ponieważ wskazują kwalifikowany status dostawcy usługi podczas nadzoru; z drugiej strony nie są one niezbędne w celu osiągnięcia kwalifikowanego statusu i świadczenia kwalifikowanych usług zaufania, które wynikają ze spełnienia wymogów niniejszego rozporządzenia.

(38)     Po tym, jak kwalifikowana usługa zaufania zostanie zgłoszona, nie może zostać odrzucona przez stosowny organ sektora publicznego podczas realizacji procedury lub formalności administracyjnej ze względu na fakt, iż nie jest uwzględniona w zaufanych listach sporządzonych przez państwa członkowskie. Do celów niniejszego aktu organ sektora publicznego oznacza każdy organ publiczny lub inny podmiot, któremu powierzono świadczenie usług administracji elektronicznej, takich jak np. deklaracje podatkowe online, wnioski o wydanie odpisu aktu urodzenia, udział w elektronicznych przetargach publicznych itd.

(39)     Mimo iż w celu zapewnienia wzajemnego uznawania podpisów elektronicznych konieczny jest wysoki poziom bezpieczeństwa, w niektórych przypadkach, np. w kontekście decyzji Komisji 2009/767/WE z dnia 16 października 2009 r. ustanawiającej środki ułatwiające korzystanie z procedur realizowanych drogą elektroniczną poprzez pojedyncze punkty kontaktowe zgodnie z dyrektywą 2006/123/WE Parlamentu Europejskiego i Rady dotyczącą usług na rynku wewnętrznym[23], powinno się również akceptować podpisy elektroniczne o niższym zabezpieczeniu.

(40)     Podpisującemu należy umożliwić powierzanie urządzeń do składania kwalifikowanego podpisu elektronicznego stronie trzeciej, pod warunkiem wdrożenia odpowiednich mechanizmów i procedur gwarantujących, że podpisujący posiada wyłączną kontrolę nad używaniem swoich danych służących do składania podpisu elektronicznego, i że użycie urządzenia spełnia wymagania dotyczące kwalifikowanego podpisu.

(41)     Aby zapewnić pewność prawa w odniesieniu do ważności podpisu, niezbędne jest wyszczególnienie, które elementy kwalifikowanego podpisu elektronicznego muszą być ocenione przez stronę ufającą dokonującą weryfikacji. Ponadto określenie wymogów dla dostawców kwalifikowanych usług zaufania mogących świadczyć kwalifikowane usługi weryfikacji na rzecz stron ufających, które same nie chcą lub nie są w stanie dokonać weryfikacji kwalifikowanych podpisów elektronicznych, powinno zachęcić sektory prywatny i publiczny do inwestowania w takie usługi. Dzięki tym obu elementom weryfikacja kwalifikowanych podpisów elektronicznych powinna być łatwa i wygodna dla wszystkich stron na poziomie Unii.

(42)     Kiedy transakcja wymaga od osoby prawnej użycia kwalifikowanej pieczęci elektronicznej, akceptowalny powinien być również kwalifikowany podpis elektroniczny uprawnionego przedstawiciela osoby prawnej.

(43)     Pieczęcie elektroniczne powinny służyć jako dowód wydania dokumentu elektronicznego przez osobę prawną, gwarantując pochodzenie i integralność dokumentu.

(44)     Niniejsze rozporządzenie powinno zapewnić długoterminowe przechowywanie informacji, tj. prawną ważność podpisu elektronicznego i pieczęci elektronicznych przez wydłużone okresy, dając gwarancję możliwości ich weryfikacji bez względu na przyszłe zmiany technologiczne.

(45)     Aby usprawnić transgraniczne korzystanie z dokumentów elektronicznych, w niniejszym rozporządzeniu należy określić skutki prawne dokumentów elektronicznych, które należy uznawać za równoważne z dokumentami papierowymi, w zależności od oceny dotyczącej ryzyka i pod warunkiem, że zapewniono autentyczność i integralność dokumentów. Z punku widzenia dalszego rozwoju transgranicznych transakcji elektronicznych na rynku wewnętrznym ważne jest również, by oryginalne dokumenty elektroniczne lub uwierzytelnione odpisy wydawane przez odpowiednie właściwe organy w państwie członkowskim zgodnie z przepisami krajowymi były akceptowane jako takie również w innych państwach członkowskich. Niniejsze rozporządzenie nie powinno mieć wpływu na prawo państw członkowskich do stanowienia o tym, co stanowi oryginał lub odpis na poziomie krajowym, lecz powinno zapewnić możliwość stosowania ich jako takich również w kontekście transgranicznym.

(46)     Ponieważ właściwe organy w państwach członkowskich używają obecnie różnych formatów zaawansowanych podpisów elektronicznych do elektronicznego podpisywania dokumentów, należy zadbać o to, by państwa członkowskie mogły obsługiwać pod względem technicznym co najmniej kilka formatów zaawansowanego podpisu elektronicznego przy odbiorze dokumentów podpisanych elektronicznie. Podobnie, kiedy właściwe organy w państwach członkowskich używają zaawansowanych pieczęci elektronicznych, należy zapewnić im możliwość obsługi co najmniej kilku formatów zaawansowanej pieczęci elektronicznej.

(47)     Pieczęcie elektroniczne mogą być używane nie tylko do uwierzytelnienia dokumentu wydanego przez osobę prawną, lecz również do uwierzytelnienia wszelkich zasobów cyfrowych osoby prawnej, np. kodu oprogramowania lub serwerów.

(48)     Umożliwienie uwierzytelniania witryn internetowych oraz ich właścicieli utrudni fałszowanie witryn internetowych, a tym samym ograniczy oszustwa.

(49)     W celu uzupełnienia niektórych szczegółowych i technicznych aspektów rozporządzenia w elastyczny i szybki sposób należy przekazać Komisji uprawnienia do przyjęcia aktów zgodnie z art. 290 Traktatu o funkcjonowaniu Unii Europejskiej w odniesieniu do interoperacyjności identyfikacji elektronicznej, środków bezpieczeństwa wymaganych w przypadku dostawców usług zaufania, uznanych i niezależnych organów odpowiedzialnych za przeprowadzanie audytów dostawców usług, zaufanych list, wymogów dotyczących poziomu bezpieczeństwa podpisów elektronicznych, wymogów dotyczących kwalifikowanych certyfikatów podpisów elektronicznych oraz ich weryfikacji i przechowywania, organów odpowiedzialnych za certyfikację urządzeń do składania kwalifikowanego podpisu elektronicznego, wymogów dotyczących poziomu bezpieczeństwa pieczęci elektronicznych i kwalifikowanych certyfikatów pieczęci elektronicznych, a także w odniesieniu do interoperacyjności usług przekazu. Szczególnie ważne jest, aby w czasie prac przygotowawczych Komisja prowadziła stosowne konsultacje, w tym na poziomie ekspertów.

(50)     Przygotowując i opracowując akty delegowane, Komisja powinna zapewnić jednoczesne, terminowe i odpowiednie przekazywanie stosownych dokumentów Parlamentowi Europejskiemu i Radzie.

(51)     W celu zapewnienia jednolitych warunków wykonywania niniejszego rozporządzenia należy powierzyć Komisji uprawnienia wykonawcze, zwłaszcza w odniesieniu do określenia numerów referencyjnych norm, które umożliwią domniemanie spełnienia niektórych wymogów przewidzianych w niniejszym rozporządzeniu lub określonych w aktach delegowanych. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011 z dnia 16 lutego 2011 r. ustanawiającego przepisy i zasady ogólne dotyczące trybu kontroli przez państwa członkowskie wykonywania uprawnień wykonawczych przez Komisję[24].

(52)     Ze względu na pewność i przejrzystość prawa należy uchylić dyrektywę 1999/93/WE.

(53)     Aby zapewnić pewność prawa podmiotom rynkowym stosującym już kwalifikowane certyfikaty wydane zgodnie z dyrektywą 1999/93/WE, należy przewidzieć odpowiedni okres przejściowy. Należy również zapewnić Komisji środki do przyjmowania aktów wykonawczych i delegowanych przed upływem tego terminu.

(54)     Ponieważ cele niniejszego rozporządzenia nie mogą być osiągnięte w wystarczającym stopniu przez państwa członkowskie, natomiast z uwagi na skalę niezbędnych działań można je w większym stopniu osiągnąć na poziomie unijnym, Unia może przyjąć środki zgodnie z zasadą pomocniczości określoną w art. 5 Traktatu o Unii Europejskiej. Zgodnie z zasadą proporcjonalności, określoną w tym artykule, niniejsze rozporządzenie nie wykracza poza to, co jest konieczne do osiągnięcia tego celu, w szczególności w odniesieniu do roli Komisji jako koordynatora działań krajowych,

PRZYJMUJĄ NINIEJSZE ROZPORZĄDZENIE:

ROZDZIAŁ I

PRZEPISY OGÓLNE

Artykuł 1

Przedmiot

1. Niniejsze rozporządzenie ustanawia zasady dotyczące identyfikacji elektronicznej i elektronicznych usług zaufania w odniesieniu do transakcji elektronicznych w celu zapewnienia odpowiedniego funkcjonowania rynku wewnętrznego.

2. Rozporządzenie określa warunki uznawania i akceptowania przez państwa członkowskie środków identyfikacji elektronicznej osób fizycznych i prawnych, objętych zgłoszonym systemem identyfikacji elektronicznej innego państwa członkowskiego.

3. Rozporządzenie ustanawia ramy prawne dla podpisów elektronicznych, pieczęci elektronicznych, elektronicznych znaczników czasu, dokumentów elektronicznych, usług przekazu elektronicznego i uwierzytelniania witryn internetowych.

4. Niniejsze rozporządzenie gwarantuje, że do swobodnego obrotu na rynku wewnętrznym dopuszczane są usługi i produkty zaufania spełniające wymogi niniejszego rozporządzenia.

Artykuł 2

Zakres

1. Niniejsze rozporządzenie stosuje się w odniesieniu do usług identyfikacji elektronicznej świadczonych przez państwa członkowskie, w ich imieniu lub na ich odpowiedzialność oraz w odniesieniu do dostawców usług zaufania posiadających siedzibę w Unii.

2. Niniejsze rozporządzenie nie stosuje się do świadczenia elektronicznych usług zaufania opierających się na dobrowolnych porozumieniach zawartych na mocy prawa prywatnego.

3. Niniejsze rozporządzenie nie obejmuje aspektów związanych z zawieraniem i ważnością umów lub innych zobowiązań prawnych, w przypadku których istnieją wymagania dotyczące formy wprowadzone na mocy prawa krajowego lub unijnego.

Artykuł 3

Definicje

Do celów niniejszego rozporządzenia stosuje się następujące definicje:

1) „identyfikacja elektroniczna” oznacza proces używania danych identyfikujących osobę w formie elektronicznej, w sposób jednoznaczny reprezentujący osobę fizyczną lub prawną;

2) „środek identyfikacji elektronicznej” oznacza materialną lub niematerialną jednostkę zawierającą dane, o których mowa w pkt 1) niniejszego artykułu, używaną w celu uzyskania dostępu do usług online, o których mowa w art. 5;

3) „system identyfikacji elektronicznej” oznacza system identyfikacji elektronicznej, w ramach którego wydaje się środki identyfikacji elektronicznej osobom, o których mowa w pkt 1) niniejszego artykułu;

4) „uwierzytelnianie” oznacza proces elektroniczny, który umożliwia weryfikację identyfikacji elektronicznej osoby fizycznej lub prawnej lub pochodzenia i integralności danych elektronicznych;

5) „podpisujący” oznacza osobę fizyczną, która składa podpis elektroniczny;

6) „podpis elektroniczny” oznacza dane w formie elektronicznej dodane do innych danych elektronicznych lub logicznie z nimi powiązane i służące podpisującemu do składania podpisu;

7) „zaawansowany podpis elektroniczny” oznacza podpis elektroniczny, który spełnia następujące wymagania:

a)      jest przyporządkowany wyłącznie podpisującemu;

b)      umożliwia ustalenie tożsamości podpisującego;

c)      jest składany przy użyciu danych służących do składania podpisu elektronicznego, które podpisujący może wykorzystać z dużą dozą zaufania i nad którymi ma wyłączną kontrolę; oraz

d)      jest w taki sposób powiązany z danymi, do których się odnosi, że każda późniejsza zmiana danych jest wykrywalna;

8) „kwalifikowany podpis elektroniczny” oznacza bezpieczny podpis elektroniczny, który jest składany za pomocą urządzenia do składania kwalifikowanego podpisu elektronicznego i który opiera się na kwalifikowanym certyfikacie podpisu elektronicznego;

9) „dane służące do składania podpisu elektronicznego” oznaczają niepowtarzalne dane, które podpisujący wykorzystuje do złożenia podpisu elektronicznego;

10) „certyfikat” oznacza poświadczenie elektroniczne, które łączy – odpowiednio – podpis elektroniczny lub dane z weryfikacji pieczęci osoby fizycznej lub osoby prawnej z certyfikatem i które potwierdza te dane jako dane tej osoby;

11) „kwalifikowany certyfikat podpisu elektronicznego” oznacza poświadczenie stosowane do potwierdzania podpisów elektronicznych, które jest wydawane przez dostawcę kwalifikowanych usług zaufania i które spełnia wymagania określone w załączniku I;

12) „usługa zaufania” oznacza każdą elektroniczną usługę polegającą na tworzeniu, kontroli, weryfikacji i przechowywaniu podpisów elektronicznych, pieczęci elektronicznych, elektronicznych znaczników czasu, dokumentów elektronicznych, usług przekazu elektronicznego, usług uwierzytelniania witryn internetowych i certyfikatów elektronicznych, w tym certyfikatów podpisów elektronicznych i pieczęci elektronicznych;

13) „kwalifikowana usługa zaufania” oznacza usługę zaufania, która spełnia stosowne wymagania ustanowione w niniejszym rozporządzeniu;

14) „dostawca usług zaufania” oznacza osobę fizyczną lub prawną, która świadczy jedną usługę zaufania lub więcej takich usług;

15) „dostawca kwalifikowanych usług zaufania” oznacza dostawcę usług zaufania, który spełnia wymagania ustanowione w niniejszym rozporządzeniu;

16) „produkt” oznacza sprzęt komputerowy lub oprogramowanie, lub ich odpowiednie komponenty, które są przeznaczone do wykorzystania w ramach świadczenia usług zaufania;

17) „urządzenie do składania podpisu elektronicznego” oznacza skonfigurowane oprogramowanie lub skonfigurowany sprzęt komputerowy, które wykorzystuje się do składania podpisu elektronicznego;

18) „urządzenie do składania kwalifikowanego podpisu elektronicznego” oznacza urządzenie do składania podpisu elektronicznego, które spełnia wymagania określone w załączniku II;

19) „podmiot wystawiający pieczęć” oznacza osobę prawną, która wystawia pieczęć elektroniczną;

20) „pieczęć elektroniczna” oznacza dane w formie elektronicznej dodane do innych danych elektronicznych lub logicznie z nimi powiązane, aby zagwarantować pochodzenie i integralność powiązanych danych;

21) „zaawansowana pieczęć elektroniczna” oznacza pieczęć elektroniczną, która spełnia następujące wymagania:

a)      jest przyporządkowania wyłącznie podmiotowi wystawiającemu pieczęć;

b)      umożliwia ustalenie tożsamości podmiotu wystawiającego pieczęć;

c)      jest tworzona przy użyciu danych służących do wystawiania pieczęci elektronicznej, które podmiot wystawiający pieczęć posiadający duży poziom zaufania może wykorzystać do wystawienia pieczęci elektronicznej; oraz

d)      jest w taki sposób powiązana z danymi, do których się odnosi, że każda późniejsza zmiana danych jest wykrywalna;

22) „kwalifikowana pieczęć elektroniczna” oznacza zaawansowaną pieczęć elektroniczną, która została wystawiona za pomocą urządzenia do wystawiania kwalifikowanych pieczęci elektronicznych i która opiera się na kwalifikowanym certyfikacie pieczęci elektronicznej;

23) „dane służące do wystawiania pieczęci elektronicznej” oznaczają niepowtarzalne dane, które podmiot wystawiający pieczęć wykorzystuje do wystawienia pieczęci elektronicznej;

24) „kwalifikowany certyfikat pieczęci elektronicznej” oznacza poświadczenie stosowane do potwierdzenia pieczęci elektronicznej, które jest wydawane przez dostawcę kwalifikowanych usług zaufania i które spełnia wymagania określone w załączniku III;

25) „elektroniczny znacznik czasu” oznacza dane w formie elektronicznej, które wiążą inne dane elektroniczne z określonym czasem, stanowiąc dowód na to, że te dane istniały w tym czasie;

26) „kwalifikowany elektroniczny znacznik czasu” oznacza elektroniczny znacznik czasu, który spełnia wymagania określone w art. 33;

27) „dokument elektroniczny” oznacza dokument w dowolnym formacie elektronicznym;

28) „usługa przekazu elektronicznego” oznacza usługę umożliwiającą przesłanie danych drogą elektroniczną i zapewniającą dowody związane z posługiwaniem się przesyłanymi danymi, w tym dowód wysłania lub odbioru danych, oraz chroniącą przesyłane dane przed ryzykiem utraty, kradzieży, uszkodzenia lub wszelkiego nieupoważnionego naruszenia;

29) „kwalifikowana usługa przekazu elektronicznego” oznacza usługę przekazu elektronicznego, która spełnia wymagania określone w art. 36;

30) „kwalifikowany certyfikat uwierzytelniania witryn internetowych” oznacza poświadczenie, które jest stosowane do uwierzytelniania witryn internetowych i przyporządkowuje witrynę internetową osobie, której wydano certyfikat wystawiony przez dostawcę kwalifikowanych usług zaufania i spełniający wymagania określone w załączniku IV;

31) „dane służące do weryfikacji” oznaczają dane używane do weryfikacji podpisu elektronicznego lub pieczęci elektronicznej.

Artykuł 4

Zasada rynku wewnętrznego

1. Nie ogranicza się świadczenia usług zaufania na terytorium państwa członkowskiego przez dostawcę usług zaufania posiadającego siedzibę w innym państwie członkowskim z powodów objętych zakresem niniejszego rozporządzenia.

2. Produkty spełniające wymagania niniejszego rozporządzenia dopuszcza się do swobodnego obrotu na rynku wewnętrznym.

ROZDZIAŁ II

IDENTYFIKACJA ELEKTRONICZNA

Artykuł 5

Wzajemne uznawanie i akceptowanie

Jeżeli zgodnie z prawem krajowym lub praktyką administracyjną dostęp do usługi online wymaga identyfikacji elektronicznej przy użyciu środka identyfikacji elektronicznej oraz uwierzytelnienia, na potrzeby dostępu do tej usługi uznaje się i akceptuje wszystkie środki identyfikacji elektronicznej wydane w innym państwie członkowskim i objęte systemem uwzględnionym na liście publikowanej przez Komisję zgodnie z procedurą, o której mowa w art. 7.

Artykuł 6

Warunki zgłaszania systemów identyfikacji elektronicznej

1. Systemy identyfikacji elektronicznej kwalifikują się do zgłoszenia zgodnie z art. 7, jeżeli spełnione są następujące warunki:

a)           środki identyfikacji elektronicznej zostały wydane przez zgłaszające państwo członkowskie, w jego imieniu lub na jego odpowiedzialność;

b)           środki identyfikacji elektronicznej mogą być używane w celu zapewnienia dostępu przynajmniej do usług publicznych wymagających identyfikacji elektronicznej w zgłaszającym państwie członkowskim;

c)           zgłaszające państwo członkowskie gwarantuje, że dane osobowe związane z identyfikacją są jednoznacznie przypisywane do osoby fizycznej lub prawnej, o której mowa w art. 3 pkt 1);

d)           zgłaszające państwo członkowskie gwarantuje dostępność mechanizmów uwierzytelniania online w dowolnym czasie i nieodpłatnie, tak aby wszystkie strony ufające mogły dokonać weryfikacji danych identyfikujących osobę otrzymanych w formie elektronicznej. Państwa członkowskie nie nakładają żadnych specjalnych wymagań technicznych na strony ufające posiadające siedzibę poza ich terytorium, które zamierzają dokonać takiego uwierzytelnienia. Jeżeli nastąpi naruszenie lub częściowe uszkodzenie zgłoszonego systemu identyfikacji lub mechanizmu uwierzytelniania, państwo członkowskie bezzwłocznie zawiesza lub wycofuje zgłoszony system identyfikacji lub mechanizm uwierzytelniania, lub jego uszkodzone części, i powiadamia o tym pozostałe państwa członkowskie i Komisję zgodnie z art. 7;

e)           zgłaszające państwo członkowskie bierze odpowiedzialność za:

– (i) jednoznaczne przypisanie danych identyfikujących osobę, o których mowa w lit. c), oraz za

– (ii) mechanizm uwierzytelniania wymieniony w lit. d).

2. Przepisy ust. 1 lit. e) pozostają bez uszczerbku dla odpowiedzialności stron transakcji, na potrzeby której zastosowano środki identyfikacji elektronicznej objęte zgłoszonym systemem.

Artykuł 7

Zgłoszenie

1. Państwa członkowskie, które zgłaszają systemy identyfikacji elektronicznej, bezzwłocznie przekazują Komisji następujące informacje i ewentualne późniejsze zmiany:

a)           opis zgłaszanego systemu identyfikacji elektronicznej;

b)           organy odpowiedzialne za zgłaszany system identyfikacji elektronicznej;

c)           informację o tym, kto zarządza rejestracją jednoznacznych identyfikatorów osób;

d)           opis mechanizmu uwierzytelniającego;

e)           ustalenia dotyczące zawieszania lub wycofywania zgłoszonego systemu identyfikacji lub mechanizmu uwierzytelniającego, lub ich uszkodzonych części.

2. Sześć miesięcy po wejściu w życie niniejszego rozporządzenia Komisja publikuje w Dzienniku Urzędowym Unii Europejskiej listę systemów identyfikacji elektronicznej, które zostały zgłoszone zgodnie z ust. 1, oraz podstawowe informacje na ich temat.

3. W przypadku gdy Komisja otrzymuje zgłoszenie po upływie okresu, o którym mowa w ust. 2, wprowadza ona zmiany na liście w ciągu trzech miesięcy.

4. Komisja może – w drodze aktów wykonawczych – określać okoliczności, formaty i procedury dotyczące zgłoszenia, o którym mowa w ust. 1 i 3. Te akty wykonawcze przyjmowane są zgodnie z procedurą sprawdzającą, o której mowa w art. 39 ust. 2.

Artykuł 8

Koordynacja

1. Państwa członkowskie współpracują w celu zapewnienia interoperacyjności i zwiększenia bezpieczeństwa środków identyfikacji elektronicznej objętych zgłoszonym systemem.

2. Komisja ustanawia w drodze aktów wykonawczych niezbędne zasady ułatwiania współpracy między państwami członkowskimi, o której mowa w ust. 1, w celu zapewnienia wysokiego poziomu zaufania i bezpieczeństwa, stosownie do poziomu ryzyka. Akty wykonawcze dotyczą zwłaszcza wymiany informacji, doświadczeń i dobrych praktyk dotyczących systemów identyfikacji elektronicznej, wzajemnej oceny zgłoszonych systemów identyfikacji elektronicznej oraz analizy stosownych zmian zachodzących w sektorze identyfikacji elektronicznej dokonywanej przez właściwe organy państw członkowskich. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 39 ust. 2.

3. Komisja jest uprawniona do przyjęcia aktów delegowanych, zgodnie z art. 38, dotyczących ułatwiania transgranicznej interoperacyjności środków identyfikacji elektronicznej poprzez określanie minimalnych wymagań technicznych.

ROZDZIAŁ III

USŁUGI ZAUFANIA

Sekcja 1

Przepisy ogólne

Artykuł 9

Odpowiedzialność

1. Dostawca usług zaufania odpowiada za wszystkie bezpośrednie szkody poniesione przez osobę fizyczną lub prawną w wyniku niedopełnienia zobowiązań określonych w art. 15 ust. 1, chyba że dostawca usług zaufania może udowodnić, iż działał z zachowaniem należytej staranności.

2. Dostawca kwalifikowanych usług zaufania odpowiada za wszystkie bezpośrednie szkody poniesione przez osobę fizyczną lub prawną w wyniku niedopełnienia zobowiązań określonych niniejszym rozporządzeniu, zwłaszcza w art. 19, chyba że dostawca kwalifikowanych usług zaufania może udowodnić, iż działał z zachowaniem należytej staranności.

Artykuł 10

Dostawcy usług zaufania z państw trzecich

1. Kwalifikowane usługi zaufania i kwalifikowane certyfikaty dostarczone przez dostawców kwalifikowanych usług zaufania z siedzibą w państwie trzecim akceptuje się jako kwalifikowane usługi zaufania i kwalifikowane certyfikaty dostarczone przez dostawców kwalifikowanych usług zaufania z siedzibą na terytorium Unii Europejskiej, jeżeli kwalifikowane usługi zaufania lub kwalifikowane certyfikaty pochodzące z państwa trzeciego są uznawane na mocy porozumienia między Unią Europejską a państwem trzecim lub organizacjami międzynarodowymi zgodnie z art. 218 TFUE.

2. W odniesieniu do ust. 1 takie porozumienia zapewniają spełnienie przez dostawców usług zaufania w państwach trzecich lub organizacjach międzynawowych wymagań mających zastosowanie do kwalifikowanych usług zaufania i kwalifikowanych certyfikatów dostarczanych przez dostawców kwalifikowanych usług zaufania z siedzibą na terytorium Unii, zwłaszcza w odniesieniu do ochrony danych osobowych, bezpieczeństwa i nadzoru.

Artykuł 11

Przetwarzanie i ochrona danych

1. Dostawcy usług zaufania i organy nadzorcze zapewniają rzetelne i zgodne z prawem przetwarzanie danych osobowych, zgodnie z dyrektywą 95/46/WE.

2. Dostawcy usług zaufania przetwarzają dane osobowe zgodnie z dyrektywą 95/46/WE. Takie przetwarzanie danych jest ściśle ograniczone do minimalnej ilości danych potrzebnych do wydania i zachowania certyfikatu lub do świadczenia powiązanej usługi zaufania.

3. Dostawcy usług zaufania gwarantują poufność i integralność danych odnoszących się do osoby, na rzecz której świadczona jest usługa zaufania.

4. Bez uszczerbku dla skutków prawnych używania pseudonimów w prawie krajowym państwa członkowskie nie zabraniają dostawcom usług zaufania podawania pseudonimu w certyfikatach podpisów elektronicznych w miejsce nazwiska podpisującego.

Artykuł 12

Dostępność dla osób niepełnosprawnych

Świadczone usługi zaufania i produkty przeznaczone dla użytkownika końcowego są dostępne dla osób niepełnosprawnych w każdym przypadku, kiedy jest to możliwe.

Sekcja 2

Nadzór

Artykuł 13

Organ nadzorczy

1. Państwa członkowskie wyznaczają właściwy organ z siedzibą na swoim terytorium lub, za obopólną zgodą, z siedzibą w innym państwie członkowskim na odpowiedzialność wyznaczającego państwa członkowskiego. Organom nadzorczym przyznaje się wszelkie uprawnienia nadzorcze i dochodzeniowe, które są niezbędne do wykonywania powierzonych im zadań.

2. Organ nadzorczy odpowiada za wypełnianie następujących zadań:

a)           monitorowanie dostawców usług zaufania mających siedzibę na terytorium wyznaczającego państwa członkowskiego, aby zapewnić spełnienie przez nich wszystkich wymagań ustanowionych w art. 15;

b)           sprawowanie nadzoru nad dostawcami kwalifikowanych usług zaufania mającymi siedzibę na terytorium wyznaczającego państwa członkowskiego i nad świadczonymi przez nich kwalifikowanymi usługami zaufania, aby zagwarantować, że dostawcy ci i świadczone przez nich kwalifikowane usługi zaufania spełniają stosowane wymagania ustanowione w niniejszym rozporządzeniu;

c)           zapewnienie zachowywania i dostępności przez odpowiedni okres odpowiednich informacji i danych, o których mowa w art. 19 ust. 2 lit. g), zapisywanych przez dostawców kwalifikowanych usług zaufania po zakończeniu działań podjętych przez dostawcę kwalifikowanych usług zaufania, w celu zagwarantowania ciągłości usługi.

3. Do końca pierwszego kwartału następnego roku kalendarzowego każdy organ nadzorczy składa Komisji i państwom członkowskim coroczne sprawozdanie z działalności nadzorczej w poprzednim roku kalendarzowym. Sprawozdanie zawiera co najmniej:

a)           informacje o działalności nadzorczej;

b)           zestawienie zgłoszeń dotyczących naruszeń otrzymanych od dostawców usług zaufania zgodnie z art. 15 ust. 2;

c)           dane statystyczne dotyczące sprzedaży i korzystania z kwalifikowanych usług zaufania, w tym informacje na temat samych dostawców kwalifikowanych usług zaufania, świadczonych przez nich kwalifikowanych usług zaufania oraz wykorzystywanych przez nich produktów, a także ogólny opis ich klientów.

4. Państwa członkowskie zgłaszają Komisji i pozostałym państwom członkowskim nazwy i adresy swoich wyznaczonych organów nadzorczych.

5. Komisja jest uprawniona do przyjęcia aktów delegowanych, zgodnie z art. 38, dotyczących określania procedur mających zastosowanie do zadań, o których mowa w ust. 2.

6. Komisja może – w drodze aktów wykonawczych – określać okoliczności, formaty i procedury dotyczące sprawozdania, o którym mowa w ust. 3. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 39 ust. 2.

Artykuł 14

Wzajemna pomoc

1. Organy nadzorcze prowadzą współpracę, w ramach której wymieniają się dobrymi praktykami i w możliwie najkrótszym czasie przekazują sobie odpowiednie informacje i udzielają sobie wzajemnej pomocy, tak aby ich działalność mogła być prowadzona w spójny sposób. Wzajemna pomoc obejmuje zwłaszcza wnioski o informacje i środki nadzorcze, takie jak wnioski o przeprowadzenie inspekcji związanych z audytami bezpieczeństwa, o których mowa w art. 15, 16 i 17.

2. Organ nadzorczy, do którego kierowany jest wniosek o pomoc, nie może odmówić zastosowania się do niego, chyba że:

a)           nie jest kompetentny do rozpatrzenia tego wniosku; lub

b)           zastosowanie się do wniosku byłoby niezgodne z niniejszym rozporządzeniem.

3. W stosownych przypadkach organy nadzorcze mogą prowadzić wspólne dochodzenia, w których biorą udział pracownicy z organów nadzorczych innych państw członkowskich.

Organ nadzorczy państwa członkowskiego, w którym prowadzone ma być dochodzenie, może przekazać zadania związane z dochodzeniem pracownikom wspomaganego organu nadzorczego, zgodnie z własnymi przepisami krajowymi. Z takich uprawnień można korzystać wyłącznie pod nadzorem i w obecności pracowników z przyjmującego organu nadzorczego. Pracownicy wspomaganego organu nadzorczego podlegają prawu krajowemu przyjmującego organu nadzorczego. Przyjmujący organ nadzorczy ponosi odpowiedzialność za działania podejmowane przez pracowników wspomaganego organu nadzorczego.

4. Komisja może – w drodze aktów wykonawczych – określać formaty i procedury dotyczące wzajemnej pomocy przewidzianej w niniejszym artykule. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 39 ust. 2.

Artykuł 15

Wymagania w zakresie bezpieczeństwa mające zastosowanie do dostawców usług zaufania

1. Dostawcy usług zaufania z siedzibą na terytorium Unii przyjmują odpowiednie środki techniczne i organizacyjne w celu zarządzania ryzykiem, na jakie narażone jest bezpieczeństwo świadczonych przez nich usług zaufania. Zgodnie ze stanem wiedzy naukowej i technicznej środki te zapewniają poziom bezpieczeństwa dostosowany do stopnia ryzyka. W szczególności należy podjąć środki zapobiegające incydentom związanym z bezpieczeństwem lub minimalizujące ich wpływ oraz należy informować zainteresowane strony o negatywnych skutkach takich incydentów.

Bez uszczerbku dla art. 16 ust. 1 każdy dostawca usług zaufania może przedłożyć organowi nadzorczemu sprawozdanie z audytu bezpieczeństwa przeprowadzonego przez uznany i niezależny organ, aby potwierdzić wdrożenie odpowiednich środków bezpieczeństwa.

2. Dostawcy usług zaufania zgłaszają wszelkie przypadki naruszenia bezpieczeństwa lub utraty integralności – które mają znaczący wpływ na świadczoną usługę zaufania i zawarte w niej dane osobowe – właściwemu organowi nadzorczemu, właściwemu organowi krajowemu ds. bezpieczeństwa informacji i innym odpowiednim stronom trzecim, takim jak organy ds. ochrony danych, bez nieuzasadnionej zwłoki i – jeśli jest to możliwe – nie później niż w ciągu 24 godzin od momentu otrzymania informacji o tym naruszeniu lub o tej utracie integralności.

W stosownych przypadkach, zwłaszcza gdy naruszenie bezpieczeństwa lub utrata integralności dotyczy dwóch lub większej liczby państw członkowskich, zainteresowany organ nadzorczy powiadamia organy nadzorcze w pozostałych państwach członkowskich oraz Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji (ENISA).

Zainteresowany organ nadzorczy może również podać zaistniałe fakty do wiadomości publicznej lub nałożyć taki obowiązek na dostawcę usług zaufania, jeżeli uzna, że ujawnienie naruszenia leży w interesie publicznym.

3. Co roku organ nadzorczy przekazuje ENISA i Komisji zestawienie zgłoszeń dotyczących naruszeń otrzymanych od dostawców usług zaufania.

4. W celu wdrożenia postanowień ust. 1 i 2 właściwy organ nadzorczy jest uprawniony do wydawania wiążących instrukcji dostawcom usług zaufania.

5. Komisja jest uprawniona do przyjęcia aktów delegowanych, zgodnie z art. 38, dotyczących dalszego doprecyzowania środków, o których mowa w ust. 1.

6. Komisja może – w drodze aktów wykonawczych – określać okoliczności, formaty i procedury, w tym również terminy, mające zastosowanie do celów, o których mowa w ust. 1–3. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 39 ust. 2.

Artykuł 16

Nadzór nad dostawcami kwalifikowanych usług zaufania

1. Raz do roku dostawcy kwalifikowanych usług zaufania podlegają audytowi przeprowadzanemu przez uznany i niezależny organ, aby potwierdzić, że dostawcy ci oraz świadczone przez nich kwalifikowane usługi zaufania spełniają wymagania określone w niniejszym rozporządzeniu, oraz przedkładają powiązane sprawozdanie z audytu bezpieczeństwa organowi nadzorczemu.

2. Bez uszczerbku dla przepisów ust. 1 organ nadzorczy, z własnej inicjatywy albo w odpowiedzi na wniosek Komisji, może w dowolnym momencie przeprowadzić audyt dostawców kwalifikowanych usług zaufania, aby potwierdzić, że dostawcy ci oraz świadczone prze nich usługi zaufania wciąż spełniają warunki określone w niniejszym rozporządzeniu. W przypadkach gdy zachodzi podejrzenie, iż naruszono przepisy dotyczące ochrony danych osobowych, organ nadzorczy informuje organy ds. ochrony danych o wynikach audytów.

3. Organ nadzorczy jest uprawniony do wydawania wiążących instrukcji dostawcom kwalifikowanych usług zaufania, aby wyeliminować wszelkie przypadki niedopełniania wymagań wskazane w sprawozdaniu z audytu bezpieczeństwa.

4. W odniesieniu do ust. 3, jeżeli dostawca kwalifikowanych usług zaufania nie wyeliminuje takiego uchybienia w czasie wyznaczonym przez organ nadzorczy, traci status kwalifikowanego dostawcy usług i zostaje poinformowany przez organ nadzorczy, że jego status zostanie odpowiednio zmieniony w zaufanych listach, o których mowa w art. 18.

5. Komisja jest uprawniona do przyjęcia aktów delegowanych, zgodnie z art. 38, dotyczących określania warunków uznawania niezależnych organów przeprowadzających audyty, o których mowa w ust. 1 niniejszego artykułu oraz w art. 15 ust. 1 i w art. 17 ust. 1.

6. Komisja może – w drodze aktów wykonawczych – określać okoliczności, procedury i formaty mające zastosowanie do celów, o których mowa w ust. 1, 2 i 4. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 39 ust. 2.

Artykuł 17

Inicjowanie kwalifikowanej usługi zaufania

1. Dostawcy kwalifikowanych usług zaufania zgłaszają organowi nadzorczemu zamiar świadczenia kwalifikowanej usługi zaufania oraz przedkładają organowi nadzorczemu sprawozdanie z audytu bezpieczeństwa przeprowadzonego przez uznany i niezależny organ, zgodnie z art. 16 ust. 1. Dostawcy kwalifikowanych usług zaufania mogą rozpocząć świadczenie kwalifikowanej usługi zaufania po przedłożeniu organowi nadzorczemu zgłoszenia i sprawozdania z audytu bezpieczeństwa.

2. Po przedłożeniu organowi nadzorczemu stosownych dokumentów zgodnie z ust. 1 dostawcy kwalifikowanych usług zaufania są umieszczani na zaufanych listach, o których mowa w art. 18, co oznacza, że zgłoszenie zostało przedłożone.

3. Organ nadzorczy sprawdza, czy dostawca kwalifikowanych usług zaufania i świadczone przez niego usługi zaufania spełniają wymagania niniejszego rozporządzenia.

Po pozytywnym zakończeniu weryfikacji, jednak nie później niż jeden miesiąc od daty dokonania zgłoszenia zgodnie z ust. 1, organ nadzorczy wskazuje w zaufanych listach kwalifikowany status dostawców kwalifikowanych usług i świadczonych przez nich kwalifikowanych usług zaufania.

Jeżeli weryfikacja nie jest zakończona w ciągu jednego miesiąca, organ nadzorczy informuje dostawcę kwalifikowanych usług zaufania o przyczynach opóźnienia oraz podaje termin, w jakim weryfikacja zostanie zakończona.

4. Kwalifikowana usługa zaufania będąca przedmiotem zgłoszenia, o którym mowa w ust. 1, nie może zostać odrzucona przez stosowny organ sektora publicznego podczas realizacji procedury lub formalności administracyjnej ze względu na fakt, iż nie jest uwzględniona w zaufanych listach, o których mowa w ust. 3.

5. Komisja może – w drodze aktów wykonawczych – określać okoliczności, formaty i procedury mające zastosowanie do celów, o których mowa w ust. 1, 2 i 3. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 39 ust. 2.

Artykuł 18

Zaufane listy

1. Każde państwo członkowskie sporządza, prowadzi i publikuje zaufane listy zawierające informacje dotyczące dostawców kwalifikowanych usług zaufania, w odniesieniu do których posiada kompetencje, wraz z informacjami dotyczącymi świadczonych przez nich kwalifikowanych usług zaufania.

2. Każde państwo członkowskie sporządza, prowadzi i publikuje w bezpieczny sposób elektronicznie podpisane lub zaopatrzone w pieczęć elektroniczną zaufane listy przewidziane w ust. 1, w formie dostosowanej do automatycznego przetwarzania.

3. Bez zbędnej zwłoki państwa członkowskie przekazują Komisji informacje o organie odpowiedzialnym za sporządzenie, prowadzenie i publikowanie krajowych list zaufania wraz ze szczegółowymi informacjami dotyczącymi miejsca publikacji tych list, certyfikatu użytego do podpisania lub opatrzenia pieczęcią zaufanych list i wszelkich zmian, jakie są do nich wprowadzane.

4. Komisja udostępnia publicznie informacje, o których mowa w ust. 3, w elektronicznie podpisanej lub opatrzonej pieczęcią elektroniczną formie dostosowanej do automatycznego przetwarzania, używając w tym celu zabezpieczonego kanału.

5. Komisja jest uprawniona do przyjęcia aktów delegowanych, zgodnie z art. 38, dotyczących określenia informacji, o których mowa w ust. 1.

6. Komisja może – w drodze aktów wykonawczych – określać specyfikacje techniczne i formaty dotyczące zaufanych list, mające zastosowanie do celów ust. 1–4. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 39 ust. 2.

Artykuł 19

Wymagania dotyczące dostawców kwalifikowanych usług zaufania

1. Wydając kwalifikowany certyfikat, dostawca kwalifikowanych usług zaufania sprawdza, za pomocą odpowiednich środków i zgodnie z prawem krajowym, tożsamość i, w stosownym przypadku, wszelkie specjalne atrybuty osoby fizycznej lub prawnej, której wydaje kwalifikowany certyfikat.

Tego rodzaju informacje sprawdza dostawca kwalifikowanych usług zaufania lub upoważniona strona trzecia działająca na odpowiedzialność dostawcy kwalifikowanych usług:

a)           w drodze fizycznego stawienia się osoby fizycznej lub upoważnionego przedstawiciela osoby prawnej, lub

b)           zdalnie, przy użyciu środka identyfikacji elektronicznej objętego zgłoszonym systemem, wydanego zgodnie z lit. a).

2. Dostawcy kwalifikowanych usług zaufania świadczący kwalifikowane usługi zaufania:

a)           zatrudniają pracowników, którzy posiadają niezbędną wiedzę fachową, doświadczenie i kwalifikacje i którzy stosują procedury administracyjne i zarządcze odpowiadające europejskim lub międzynarodowym standardom oraz którzy przeszli odpowiednie szkolenia dotyczące bezpieczeństwa i ochrony danych osobowych;

b)           są przygotowani na ryzyko związane z odpowiedzialnością za szkody poprzez utrzymywanie dostatecznej ilości zasobów finansowych lub wykupienie stosownego ubezpieczenia od odpowiedzialności;

c)           przed wejściem w stosunek umowny informują wszystkie osoby pragnące skorzystać z kwalifikowanej usługi zaufania o dokładnych warunkach korzystania z tej usługi;

d)           używają pewnych systemów i produktów, które są chronione przed zmianami i gwarantują techniczne bezpieczeństwo i wiarygodność procesów przez nie wspieranych;

e)           używają pewnych systemów do przechowywania przekazanych im danych w sprawdzalnej formie, tak aby:

– dane były publicznie dostępne dopiero po uzyskaniu zgody osoby, której dane zostały wydane,

– tylko upoważnione osoby mogły wprowadzać dane i zmiany,

– można było sprawdzać prawdziwość informacji;

f)            podejmują środki zapobiegające fałszowaniu i kradzieży danych;

g)           rejestrują przez odpowiedni okres wszelkie informacje dotyczące danych wydanych i otrzymanych przez dostawcę kwalifikowanych usług zaufania, w szczególności w celu przedstawienia dowodów w postępowaniach sądowych. Rejestracja może odbywać się drogą elektroniczną;

h)           posiadają aktualny plan zakończenia, aby zapewnić ciągłość usług zgodnie z ustaleniami wydanymi przez organ nadzorczy na podstawie art. 13 ust. 2 lit. c);

i)            zapewniają zgodne z prawem przetwarzanie danych osobowych, zgodnie z art. 11.

3. Dostawcy kwalifikowanych usług zaufania wydający kwalifikowane certyfikaty rejestrują w bazie danych certyfikatów przypadki cofnięcia certyfikatu w ciągu 10 minut od wejścia w życie decyzji o cofnięciu.

4. W odniesieniu do ust. 3 dostawcy kwalifikowanych usług zaufania wydający kwalifikowane certyfikaty dostarczają każdej stronie ufającej informacje o statusie ważności lub cofnięcia wydanych przez siebie kwalifikowanych certyfikatów. Informacje są udostępniane w dowolnym czasie co najmniej na podstawie certyfikatu w zautomatyzowany sposób który jest wiarygodny, nieodpłatny i skuteczny.

5. Komisja może ustanowić w drodze aktów wykonawczych numery referencyjne norm dotyczących wiarygodnych systemów i produktów. Jeżeli wiarygodne systemy i produkty spełniają te normy, zakłada się, że wymagania ustanowione w art. 19 są spełnione. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 39 ust. 2. Komisja publikuje takie akty w Dzienniku Urzędowym Unii Europejskiej.

Sekcja 3

Podpis elektroniczny

Artykuł 20

Skutki prawne i akceptowanie podpisów elektronicznych

1. Nie jest kwestionowany prawny skutek podpisu elektronicznego ani jego dopuszczalność jako dowód w postępowaniu sądowym wyłącznie z tego powodu, że ma formę elektroniczną.

2. Kwalifikowany podpis elektroniczny ma skutek prawny równoważny ze skutkiem prawnym podpisu własnoręcznego.

3. Kwalifikowane podpisy elektroniczne są uznawane i akceptowane we wszystkich państwach członkowskich.

4. Gdy wymagany jest – w szczególności przez państwo członkowskie na potrzeby uzyskania dostępu do usługi publicznej oferowanej przez organ publiczny online, na podstawie odpowiedniej oceny ryzyka związanego z taką usługą – podpis elektroniczny o poziomie bezpieczeństwa niższym niż kwalifikowany podpis elektroniczny, akceptowane są wszystkie podpisy elektroniczne o co najmniej takim samym poziomie bezpieczeństwa.

5. W przypadku transgranicznego dostępu do usługi oferowanej przez organ publiczny online państwa członkowskie nie wymagają podpisu elektronicznego o wyższym poziomie bezpieczeństwa niż kwalifikowany podpis elektroniczny.

6. Komisja jest uprawniona do przyjęcia aktów delegowanych, zgodnie z art. 38, dotyczących określenia różnych poziomów bezpieczeństwa podpisu elektronicznego, o których mowa w ust. 4.

7. Komisja może ustanowić w drodze aktów wykonawczych numery referencyjne norm dotyczących poziomów bezpieczeństwa podpisu elektronicznego. Jeżeli podpis spełnia te normy, zakłada się zgodność z poziomem bezpieczeństwa, określonym w akcie delegowanym przyjętym zgodnie z ust. 6. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 39 ust. 2. Komisja publikuje takie akty w Dzienniku Urzędowym Unii Europejskiej.

Artykuł 21

Kwalifikowane certyfikaty podpisów elektronicznych

1. Kwalifikowane certyfikaty podpisów elektronicznych spełniają wymagania określone w załączniku I.

2. Kwalifikowane certyfikaty podpisów elektronicznych nie podlegają obowiązkowym wymaganiom przekraczającym wymagania określone w załączniku I.

3. Jeżeli kwalifikowany certyfikat podpisu elektronicznego został cofnięty po aktywacji, traci ważność i w żadnym przypadku nie można przywrócić jego statusu poprzez odnowienie ważności.

4. Komisja jest uprawniona do przyjęcia aktów delegowanych, zgodnie z art. 38, dotyczących dalszego doprecyzowania wymagań określonych w załączniku I.

5. Komisja może ustanowić w drodze aktów wykonawczych numery referencyjne norm dotyczących kwalifikowanych certyfikatów podpisu elektronicznego. Jeżeli kwalifikowany certyfikat podpisu elektronicznego spełnia te normy, zakłada się zgodność z wymaganiami określonymi w załączniku I. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 39 ust. 2. Komisja publikuje takie akty w Dzienniku Urzędowym Unii Europejskiej.

Artykuł 22

Wymagania dotyczące urządzeń do składania kwalifikowanego podpisu elektronicznego

1. Urządzenia do składania kwalifikowanego podpisu elektronicznego spełniają wymagania określone w załączniku II.

2. Komisja może ustanowić w drodze aktów wykonawczych numery referencyjne norm dotyczących urządzeń do składania kwalifikowanego podpisu elektronicznego. Jeżeli urządzenie do składania kwalifikowanego podpisu elektronicznego spełnia te normy, zakłada się zgodność z wymaganiami określonymi w załączniku II. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 39 ust. 2. Komisja publikuje takie akty w Dzienniku Urzędowym Unii Europejskiej.

Artykuł 23

Certyfikacja urządzeń do składania kwalifikowanego podpisu elektronicznego

1. Urządzenia do składania kwalifikowanego podpisu elektronicznego mogą być certyfikowane przez odpowiednie organy publiczne lub prywatne wyznaczone przez państwa członkowskie, pod warunkiem że zostały one poddane procedurze oceny pod względem bezpieczeństwa, przeprowadzanej zgodnie z jedną z norm dotyczących oceny bezpieczeństwa produktów informatycznych uwzględnioną na liście, która jest ustanawiana przez Komisję w drodze aktów wykonawczych. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 39 ust. 2. Komisja publikuje takie akty w Dzienniku Urzędowym Unii Europejskiej.

2. Państwa członkowskie zgłaszają Komisji i pozostałym państwom członkowskim nazwy i adresy organów publicznych lub prywatnych wyznaczonych przez nie zgodnie z ust. 1.

3. Komisja jest uprawniona do przyjęcia aktów delegowanych, zgodnie z art. 38, dotyczących ustanowienia specjalnych kryteriów, jakie muszą spełniać wyznaczone organy, o których mowa w ust. 1.

Artykuł 24

Publikacja listy certyfikowanych urządzeń do składania kwalifikowanego podpisu elektronicznego

1. Bez zbędnej zwłoki państwa członkowskie przekazują Komisji informacje o urządzeniach do składania kwalifikowanego podpisu elektronicznego, które uzyskały certyfikację organów, o których mowa w art. 23. Państwa członkowskie informują również Komisję bez zbędnej zwłoki o urządzeniach do składania podpisu elektronicznego, które nie są już certyfikowane.

2. Na podstawie otrzymanych informacji Komisja sporządza, publikuje i utrzymuje listę certyfikowanych urządzeń do składania kwalifikowanego podpisu elektronicznego.

3. Komisja może – w drodze aktów wykonawczych – określać okoliczności, formaty i procedury mające zastosowanie do celu, o którym mowa w ust. 1. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 39 ust. 2.

Artykuł 25

Wymagania dotyczące weryfikacji kwalifikowanych podpisów elektronicznych

1. Kwalifikowany podpis elektroniczny uznaje się za ważny, jeżeli można ustalić z dużą pewnością, że w trakcie podpisywania:

a)           certyfikat, który towarzyszy podpisowi, jest certyfikatem kwalifikowanego podpisu elektronicznego spełniającym wymagania określone w załączniku I;

b)           wymagany kwalifikowany certyfikat jest autentyczny i ważny;

c)           dane służące do weryfikacji podpisu odpowiadają danym dostarczonym stronie ufającej;

d)           zestaw danych jednoznacznie reprezentujących podpisującego jest prawidłowo dostarczony stronie ufającej;

e)           jeżeli skorzystano z pseudonimu, zostaje to wyraźnie wskazane stronie ufającej;

f)            podpis elektroniczny został złożony za pomocą urządzenia do składania kwalifikowanego podpisu elektronicznego;

g)           integralność podpisanych danych nie została naruszona;

h)           spełniono wymagania przewidziane w art. 3 pkt 7;

i)            system wykorzystany do weryfikacji podpisu zapewnia stronie ufającej prawidłowy wynik procesu weryfikacji i umożliwia stronie ufającej wykrycie wszelkich kwestii związanych z bezpieczeństwem.

2. Komisja jest uprawniona do przyjęcia aktów delegowanych, zgodnie z art. 38, dotyczących dalszego doprecyzowania wymagań określonych w ust. 1.

3. Komisja może ustanowić w drodze aktów wykonawczych numery referencyjne norm dotyczących weryfikacji kwalifikowanych podpisów elektronicznych. Jeżeli weryfikacja kwalifikowanych podpisów elektronicznych spełnia te normy, zakłada się zgodność z wymaganiami określonymi w ust. 1. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 39 ust. 2. Komisja publikuje takie akty w Dzienniku Urzędowym Unii Europejskiej.

Artykuł 26

Kwalifikowana usługa weryfikacji kwalifikowanych podpisów elektronicznych

1. Kwalifikowaną usługę weryfikacji kwalifikowanych podpisów elektronicznych świadczy dostawca kwalifikowanych usług zaufania, który:

a)           zapewnia weryfikację zgodnie z art. 25 ust. 1, oraz

b)           umożliwia stronom ufającym otrzymanie wyniku procesu weryfikacji w automatyczny, wiarygodny i skuteczny sposób oraz przy użyciu zaawansowanego podpisu elektronicznego lub zaawansowanej pieczęci elektronicznej dostawcy kwalifikowanej usługi weryfikacji.

2. Komisja może ustanowić w drodze aktów wykonawczych numery referencyjne norm dotyczących kwalifikowanej usługi weryfikacji, której mowa w ust. 1. Jeżeli usługa weryfikacji kwalifikowanego podpisu elektronicznego spełnia te normy, zakłada się zgodność z wymaganiami określonymi w ust. 1 lit. b). Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 39 ust. 2. Komisja publikuje takie akty w Dzienniku Urzędowym Unii Europejskiej.

Artykuł 27

Przechowywanie kwalifikowanych podpisów elektronicznych

1. Usługę przechowywania kwalifikowanego podpisu elektronicznego świadczy dostawca kwalifikowanych usług zaufania, który stosuje procedury i technologie mogące przedłużyć wiarygodność danych służących do weryfikacji podpisu elektronicznego poza okres ich technologicznej ważności.

2. Komisja jest uprawniona do przyjęcia aktów delegowanych, zgodnie z art. 38, dotyczących dalszego doprecyzowania wymagań określonych w ust. 1.

3. Komisja może ustanowić w drodze aktów wykonawczych numery referencyjne norm dotyczących przechowywania kwalifikowanych podpisów elektronicznych. Jeżeli ustalenia w zakresie przechowywania kwalifikowanych podpisów elektronicznych spełniają te normy, zakłada się zgodność z wymaganiami określonymi w ust. 1. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 39 ust. 2. Komisja publikuje takie akty w Dzienniku Urzędowym Unii Europejskiej.

Sekcja 4

Pieczęcie elektroniczne

Artykuł 28

Skutki prawne pieczęci elektronicznej

1. Nie jest kwestionowany prawny skutek pieczęci elektronicznej ani jej dopuszczalność jako dowód w postępowaniu sądowym wyłącznie z tego powodu, że ma formę elektroniczną.

2. Kwalifikowana pieczęć elektroniczna umożliwia prawne domniemanie pochodzenia i integralności danych, do których jest dołączona.

3. Kwalifikowana pieczęć elektroniczna jest uznawana i akceptowana we wszystkich państwach członkowskich.

4. Gdy wymagana jest – w szczególności przez państwo członkowskie na potrzeby uzyskania dostępu do usługi publicznej oferowanej przez organ publiczny online, na podstawie odpowiedniej oceny ryzyka związanego z taką usługą – pieczęć elektroniczna o poziomie bezpieczeństwa niższym niż kwalifikowana pieczęć elektroniczna, akceptowane są wszystkie pieczęci elektroniczne o co najmniej takim samym poziomie bezpieczeństwa.

5. W przypadku transgranicznego dostępu do usługi oferowanej przez organ publiczny online państwa członkowskie nie wymagają pieczęci elektronicznej o wyższym poziomie bezpieczeństwa niż kwalifikowana pieczęć elektroniczna.

6. Komisja jest uprawniona do przyjęcia aktów delegowanych, zgodnie z art. 38, dotyczących określania różnych poziomów bezpieczeństwa pieczęci elektronicznych, o których mowa w ust. 4.

7. Komisja może ustanowić w drodze aktów wykonawczych numery referencyjne norm dotyczących poziomów bezpieczeństwa pieczęci elektronicznych. Jeżeli pieczęć spełnia te normy, zakłada się zgodność z poziomem bezpieczeństwa, określonym w akcie delegowanym przyjętym zgodnie z ust. 6. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 39 ust. 2. Komisja publikuje takie akty w Dzienniku Urzędowym Unii Europejskiej.

Artykuł 29

Wymagania dotyczące kwalifikowanych certyfikatów pieczęci elektronicznych

1. Kwalifikowane certyfikaty pieczęci elektronicznych spełniają wymagania określone w załączniku III.

2. Kwalifikowane certyfikaty pieczęci elektronicznych nie podlegają obowiązkowym wymaganiom przekraczającym wymagania określone w załączniku III.

3. Jeżeli kwalifikowany certyfikat pieczęci elektronicznej został cofnięty po aktywacji, traci ważność i w żadnym przypadku nie można przywrócić jego statusu poprzez odnowienie ważności.

4. Komisja jest uprawniona do przyjmowania aktów delegowanych, zgodnie z art. 38, dotyczących dalszego doprecyzowania wymagań określonych w załączniku III.

5. Komisja może ustanowić w drodze aktów wykonawczych numery referencyjne norm dotyczących kwalifikowanych certyfikatów pieczęci elektronicznej. Jeżeli kwalifikowany certyfikat pieczęci elektronicznej spełnia te normy, zakłada się zgodność z wymaganiami określonymi w załączniku III. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 39 ust. 2. Komisja publikuje takie akty w Dzienniku Urzędowym Unii Europejskiej.

Artykuł 30

Urządzenia do wystawiania kwalifikowanych pieczęci elektronicznych

1. Artykuł 22 stosuje się odpowiednio do wymagań dotyczących urządzeń do wystawiania kwalifikowanych pieczęci elektronicznych.

2. Artykuł 23 stosuje się odpowiednio do certyfikacji urządzeń do wystawiania kwalifikowanych pieczęci elektronicznych.

3. Artykuł 24 stosuje się odpowiednio do publikacji listy urządzeń do wystawiania kwalifikowanych pieczęci elektronicznych.

Artykuł 31

Weryfikacja i przechowywanie kwalifikowanych pieczęci elektronicznych

Artykuły 25, 26 i 27 stosuje się odpowiednio do weryfikacji i przechowywania kwalifikowanych pieczęci elektronicznych.

Sekcja 5

Elektroniczny znacznik czasu

Artykuł 32

Skutki prawne elektronicznych znaczników czasu

1. Nie jest kwestionowany prawny skutek elektronicznego znacznika czasu ani jego dopuszczalność jako dowód w postępowaniu sądowym wyłącznie z tego powodu, że ma formę elektroniczną.

2. Kwalifikowany elektroniczny znacznik czasu umożliwia prawne domniemanie czasu, jaki wskazuje, i integralności danych, z którymi połączony jest wskazywany czas.

3. Kwalifikowany elektroniczny znacznik czasu jest uznawany i akceptowany we wszystkich państwach członkowskich.

Artykuł 33

Wymagania dotyczące kwalifikowanych elektronicznych znaczników czasu

1. Kwalifikowany elektroniczny znacznik czasu spełnia następujące wymagania:

a)           jest precyzyjnie powiązany z uniwersalnym czasem koordynowanym (UTC), po to aby wykluczyć możliwość zmiany danych w niewykrywalny sposób;

b)           jest oparty na precyzyjnym źródle czasu;

(c)          jest wydany przez dostawcę kwalifikowanych usług zaufania;

d)           jest podpisany zaawansowanym podpisem elektronicznym lub opatrzony zaawansowaną pieczęcią elektroniczną dostawcy kwalifikowanych usług zaufania, lub w inny równoważny sposób.

2. Komisja może ustanowić w drodze aktów wykonawczych numery referencyjne norm dotyczących precyzyjnego powiązania czasu z danymi oraz precyzyjnego źródła czasu. Jeżeli precyzyjne powiązanie czasu z danymi i precyzyjne źródło czasu spełniają te normy, zakłada się zgodność z wymaganiami, o których mowa w ust. 1. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 39 ust. 2. Komisja publikuje takie akty w Dzienniku Urzędowym Unii Europejskiej.

Sekcja 6

Dokumenty elektroniczne

Artykuł 34

Skutki prawne i akceptowanie dokumentów elektronicznych

1. Dokument elektroniczny uznaje się za równoważny dokumentowi papierowemu oraz dopuszczalny jako dowód w postępowaniu sądowym, z uwzględnieniem jego poziomu zabezpieczenia autentyczności i integralności.

2. Dokument zawierający kwalifikowany podpis elektroniczny lub kwalifikowaną pieczęć elektroniczną osoby, która jest uprawniona do wydawania stosownych dokumentów, umożliwia prawne domniemanie autentyczności i integralności, pod warunkiem że dokument nie zawiera dynamicznych elementów, które mogą go automatycznie zmienić.

3. W sytuacji gdy do celu świadczenia usługi publicznej online oferowanej przez organ sektora publicznego wymagany jest oryginalny dokument lub uwierzytelniony odpis, przynajmniej dokumenty elektroniczne wydane przez osoby uprawnione do wydawania stosownych dokumentów i uznawane za oryginały lub uwierzytelnione odpisy zgodnie z przepisami krajowymi państwa członkowskiego pochodzenia akceptuje się w pozostałych państwach członkowskich bez konieczności spełnienia dodatkowych wymogów.

4. Komisja może – w drodze aktów wykonawczych – określać formaty podpisów i pieczęci elektronicznych, które są zawsze akceptowane, gdy podpisany lub opatrzony pieczęcią dokument, o którym mowa w ust. 2, wymagany jest przez państwo członkowskie przy świadczeniu usługi online przez organ sektora publicznego. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 39 ust. 2.

Sekcja 7

Kwalifikowana usługa przekazu elektronicznego

Artykuł 35

Skutek prawny usługi przekazu elektronicznego

1. Dane wysyłane lub otrzymywane za pośrednictwem usługi przekazu elektronicznego są dopuszczalne jako dowód w postępowaniu sądowym w odniesieniu do integralności danych i pewności dnia i godziny wysłania lub otrzymania danych przez określonego adresata.

2. Dane wysyłane lub otrzymywane za pośrednictwem kwalifikowanej usługi przekazu elektronicznego umożliwiają prawne domniemanie integralności danych i dokładności dnia i godziny wysłania lub otrzymania danych wskazanych przez kwalifikowany system przekazu elektronicznego.

3. Komisja jest uprawniona do przyjęcia aktów delegowanych, zgodnie z art. 38, dotyczących określenia mechanizmów przesyłania i otrzymywania danych za pośrednictwem usług przekazu elektronicznego, które stosuje się w celu zwiększenia interoperacyjności między usługami przekazu elektronicznego.

Artykuł 36

Wymagania dotyczące kwalifikowanych usług przekazu elektronicznego

1. Kwalifikowane usługi przekazu elektronicznego spełniają następujące wymagania:

a)           są świadczone przez co najmniej jednego dostawcę kwalifikowanych usług zaufania;

b)           umożliwiają jednoznaczną identyfikację nadawcy i, w razie potrzeby, adresata;

c)           proces wysyłania lub otrzymywania danych musi być zabezpieczony bezpiecznym podpisem elektronicznym lub bezpieczną pieczęcią elektroniczną dostawcy kwalifikowanych usług zaufania w taki sposób, by wykluczyć możliwość zmiany danych w niewykrywalny sposób;

d)           każda zmiana danych niezbędna do wysłania lub otrzymania danych musi zostać wyraźnie wskazana nadawcy i adresatowi danych;

e)           data wysłania, otrzymania i zmiany danych musi być wskazana za pomocą kwalifikowanego elektronicznego znacznika czasu;

f)            w przypadku przesyłania danych między co najmniej dwoma dostawcami kwalifikowanych usług zaufania wymagania określone w lit. a) – e) stosują się do wszystkich dostawców kwalifikowanych usług zaufania.

2. Komisja może ustanowić w drodze aktów wykonawczych numery referencyjne norm dotyczących procesów wysyłania i otrzymywania danych. Jeżeli proces wysyłania i otrzymywania danych spełnia te normy, zakłada się zgodność z wymaganiami, o których mowa w ust. 1. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 39 ust. 2. Komisja publikuje takie akty w Dzienniku Urzędowym Unii Europejskiej.

Sekcja 8

Uwierzytelniane witryn internetowych

Artykuł 37

Wymagania dotyczące kwalifikowanych certyfikatów uwierzytelniania witryn internetowych

1. Kwalifikowane certyfikaty uwierzytelniania witryn internetowych spełniają wymagania określone w załączniku IV.

2. Kwalifikowane certyfikaty uwierzytelniania witryn internetowych uznaje się i akceptuje we wszystkich państwach członkowskich.

3. Komisja jest uprawniona do przyjęcia aktów delegowanych, zgodnie z art. 38, dotyczących dalszego doprecyzowania wymagań określonych w załączniku IV.

4. Komisja może ustanowić w drodze aktów wykonawczych numery referencyjne norm dotyczących kwalifikowanych certyfikatów uwierzytelniania witryn internetowych. Jeżeli kwalifikowany certyfikat uwierzytelnienia witryn internetowych spełnia te normy, zakłada się zgodność z wymaganiami określonymi w załączniku IV. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 39 ust. 2. Komisja publikuje takie akty w Dzienniku Urzędowym Unii Europejskiej.

ROZDZIAŁ IV

AKTY DELEGOWANE

Artykuł 38

Wykonywanie przekazanych uprawnień

1. Powierzenie Komisji uprawnień do przyjęcia aktów delegowanych podlega warunkom określonym w niniejszym artykule.

2. Uprawnienia do przyjęcia aktów delegowanych, o których mowa w art. 8 ust. 3, art. 13 ust. 5, art. 15 ust. 5, art. 16 ust. 5, art. 18 ust. 5, art. 20 ust. 6, art. 21 ust. 4, art. 23 ust. 3, art. 25 ust. 2, art. 27 ust. 2, art. 28 ust. 6, art. 29 ust. 4, art. 30 ust. 2, art. 31, art. 35 ust. 3 oraz art. 37 ust. 3 powierza się Komisji na czas nieokreślony od dnia wejścia w życie niniejszego rozporządzenia.

3. Przekazanie uprawnień, o których mowa w art. 8 ust. 3, art. 13 ust. 5, art. 15 ust. 5, art. 16 ust. 5, art. 18 ust. 5, art. 20 ust. 6, art. 21 ust. 4, art. 23 ust. 3, art. 25 ust. 2, art. 27 ust. 2, art. 28 ust. 6, art. 29 ust. 4, art. 30 ust. 2, art. 31, art. 35 ust. 3 oraz art. 37 ust. 3 może zostać w dowolnym momencie odwołane przez Parlament Europejski lub przez Radę. Decyzja o odwołaniu kończy przekazanie określonych w niej uprawnień. Decyzja o odwołaniu staje się skuteczna od następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej lub w określonym w tej decyzji późniejszym terminie. Nie wpływa ona na ważność jakichkolwiek już obowiązujących aktów delegowanych.

4. Niezwłocznie po przyjęciu aktu delegowanego Komisja przekazuje go równocześnie Parlamentowi Europejskiemu i Radzie.

5. Akt delegowany przyjęty na podstawie art. 8 ust. 3, art. 13 ust. 5, art. 15 ust. 5, art. 16 ust. 5, art. 18 ust. 5, art. 20 ust. 6, art. 21 ust. 4, art. 23 ust. 3, art. 25 ust. 2, art. 27 ust. 2, art. 28 ust. 6, art. 29 ust. 4, art. 30 ust. 2, art. 31, art. 35 ust. 3 oraz art. 37 ust. 3 wchodzi w życie tylko jeśli Parlament Europejski albo Rada nie wyraziły sprzeciwu w terminie dwóch miesięcy od przekazania tego aktu Parlamentowi Europejskiemu i Radzie, lub jeśli, przed upływem tego terminu, zarówno Parlament Europejski, jak i Rada poinformowały Komisję, że nie wniosą sprzeciwu. Termin ten przedłuża się o dwa miesiące z inicjatywy Parlamentu Europejskiego lub Rady.

ROZDZIAŁ V

AKTY WYKONAWCZE

Artykuł 39

Procedura komitetowa

1. Komisję wspomaga komitet. Komitet ten jest komitetem w rozumieniu rozporządzenia (UE) nr 182/2011.

2. W przypadku odesłania do niniejszego ustępu stosuje się art. 5 rozporządzenia 182/2011.

ROZDZIAŁ VI

PRZEPISY KOŃCOWE

Artykuł 40

Sprawozdanie

Komisja składa Parlamentowi Europejskiemu i Radzie sprawozdanie w sprawie stosowania niniejszego rozporządzenia. Pierwsze sprawozdanie zostanie przedłożone nie później niż cztery lata po wejściu w życie niniejszego rozporządzenia. Następnie kolejne sprawozdania są przedkładane co cztery lata.

Artykuł 41

Uchylenie

1. Dyrektywa 1999/93/WE traci moc.

2. Odesłania do uchylonej dyrektywy odczytuje się jako odesłania do niniejszego rozporządzenia.

3. Bezpieczne urządzenia do składania podpisów, których zgodność określono zgodnie z art. 3 ust. 4 dyrektywy 1999/93/WE, uznaje się za kwalifikowane urządzenia do składania podpisów w rozumieniu niniejszego rozporządzenia.

4. Certyfikaty kwalifikowane wydane na mocy dyrektywy 1999/93/WE uznaje się za kwalifikowane certyfikaty podpisów elektronicznych w rozumieniu niniejszego rozporządzenia do czasu ich wygaśnięcia, ale nie dłużej niż przez pięć lat od wejścia w życie niniejszego rozporządzenia.

Artykuł 42

Wejście w życie

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

Sporządzono w Brukseli dnia […] r.

W imieniu Parlamentu Europejskiego           W imieniu Rady

Przewodniczący                                             Przewodniczący

ZAŁĄCZNIK I

Wymagania dotyczące kwalifikowanych certyfikatów podpisów elektronicznych

Kwalifikowane certyfikaty podpisów elektronicznych zawierają następujące informacje:

a)           wskazanie – co najmniej w formie pozwalającej na automatyczne przetwarzanie – że dany certyfikat został wystawiony jako kwalifikowany certyfikat podpisu elektronicznego;

b)           zestaw danych jednoznacznie reprezentujących dostawcę kwalifikowanych usług zaufania wydającego kwalifikowane certyfikaty, obejmujący co najmniej państwo, w którym dostawca ma siedzibę, oraz

– w przypadku osoby prawnej: nazwę i numer rejestracyjny zgodne z oficjalnym rejestrem,

– w przypadku osoby fizycznej: imię i nazwisko;

c)           zestaw danych jednoznacznie reprezentujących podpisującego, któremu został wydany certyfikat, w tym co najmniej imię i nazwisko podpisującego lub jego pseudonim – który jest identyfikowany jako taki;

d)           dane służące do weryfikacji podpisu elektronicznego, które odpowiadają danym służącym do składania podpisu elektronicznego;

e)           dane dotyczące początku i końca okresu ważności certyfikatu;

f)            kod identyfikacyjny certyfikatu, który musi być niepowtarzalny dla dostawcy kwalifikowanych usług zaufania;

g)           zaawansowany podpis elektroniczny lub zaawansowaną pieczęć elektroniczną wydającego dostawcy kwalifikowanych usług zaufania;

h)           miejsce, w którym nieodpłatnie dostępny jest certyfikat potwierdzający zaawansowany podpis elektroniczny lub zaawansowaną pieczęć elektroniczną, o których mowa w lit. g);

i)            miejsce usług weryfikacji statusu ważności certyfikatu, z których można skorzystać w celu złożenia zapytania o status ważności kwalifikowanego certyfikatu;

j)            jeżeli dane służące do składania podpisu elektronicznego powiązane z danymi służącymi do weryfikacji podpisu elektronicznego znajdują się w urządzeniu do składania kwalifikowanego podpisu elektronicznego, odpowiednie wskazanie tego faktu co najmniej w formie pozwalającej na automatyczne przetwarzanie.

ZAŁĄCZNIK II

Wymagania dotyczące urządzeń do składania kwalifikowanych podpisu

1. Urządzenia do składania kwalifikowanego podpisu elektronicznego zapewniają dzięki właściwym środkom technicznym i proceduralnym co najmniej:

a)           poufność danych służących do składania podpisu użytych do wygenerowania podpisu elektronicznego;

b)           tylko jednorazowe wystąpienie danych służących do składania podpisu użytych do wygenerowania podpisu;

c)           uniemożliwienie, na ile jest to wykonalne, pozyskania danych służących do składania podpisu użytych do wygenerowania podpisu oraz ochronę podpisu przed sfałszowaniem za pomocą aktualnie dostępnych technologii;

d)           wiarygodną ochronę danych służących do składania podpisu użytych do wygenerowania podpisu przez uprawnionego podpisującego przed użyciem przez innych.

2. Urządzenia do składania kwalifikowanego podpisu elektronicznego nie zmieniają danych, które mają być podpisane, ani nie uniemożliwiają przedstawienia tych danych podpisującemu przed złożeniem podpisu.

3. Dane służące do składania podpisu są generowane lub zarządzane w imieniu podpisującego przez dostawcę kwalifikowanych usług zaufania.

4. Dostawca kwalifikowanych usług zaufania zarządzający danymi służącymi do składania podpisu w imieniu podpisującego może kopiować dane służące do składania podpisu w celu utworzenia kopii zapasowej, o ile spełnione są następujące warunki:

a)           bezpieczeństwo skopiowanych zbiorów danych musi być na tym samym poziomie jak w przypadku oryginalnych zbiorów danych;

b)           liczba skopiowanych zbiorów danych nie przekracza minimum niezbędnego do zapewnienia ciągłości usługi.

ZAŁĄCZNIK III

Wymagania dotyczące kwalifikowanych certyfikatów pieczęci elektronicznych

Kwalifikowane certyfikaty pieczęci elektronicznych zawierają:

a)           wskazanie – co najmniej w formie pozwalającej na automatyczne przetwarzanie – że dany certyfikat został wystawiony jako kwalifikowany certyfikat pieczęci elektronicznej;

b)           zestaw danych jednoznacznie reprezentujących dostawcę kwalifikowanych usług zaufania wydającego kwalifikowane certyfikaty, obejmujący co najmniej państwo, w którym dostawca ma siedzibę, oraz

– w przypadku osoby prawnej: nazwę i numer rejestracyjny zgodne z oficjalnym rejestrem,

– w przypadku osoby fizycznej: imię i nazwisko;

c)           zbiór danych jednoznacznie reprezentujących osobę prawną, której został wydany certyfikat, w tym co najmniej nazwę oraz numer rejestracyjny zgodne z oficjalnym rejestrem;

d)           dane służące do weryfikacji pieczęci elektronicznej odpowiadają danym służącym do wystawiania pieczęci elektronicznej;

e)           dane dotyczące początku i końca okresu ważności certyfikatu;

f)            kod identyfikacyjny certyfikatu, który musi być niepowtarzalny dla dostawcy kwalifikowanych usług zaufania;

g)           zaawansowany podpis elektroniczny lub zaawansowaną pieczęć elektroniczną wydającego dostawcy kwalifikowanych usług zaufania;

h)           miejsce, w którym nieodpłatnie dostępny jest certyfikat potwierdzający zaawansowany podpis elektroniczny lub zaawansowaną pieczęć elektroniczną, o których mowa w lit. g);

i)            miejsce usług weryfikacji statusu ważności certyfikatu, z których można skorzystać w celu złożenia zapytania o status ważności kwalifikowanego certyfikatu;

j)            jeżeli dane służące do wystawiania pieczęci elektronicznej powiązane z danymi służącymi do weryfikacji pieczęci elektronicznej znajdują się w urządzeniu do wystawiania kwalifikowanej pieczęci elektronicznej, odpowiednie wskazanie tego faktu co najmniej w formie pozwalającej na automatyczne przetwarzanie.

ZAŁĄCZNIK IV

Wymagania dotyczące kwalifikowanych certyfikatów uwierzytelniania witryn internetowych

Kwalifikowane certyfikaty uwierzytelniania witryn internetowych zawierają:

a)           wskazanie – co najmniej w formie pozwalającej na automatyczne przetwarzanie – że dany certyfikat został wystawiony jako kwalifikowany certyfikat uwierzytelniania witryn internetowych;

b)           zbiór danych jednoznacznie reprezentujących dostawcę kwalifikowanych usług zaufania wydającego kwalifikowane certyfikaty, obejmujący co najmniej państwo, w którym dostawca ma siedzibę, oraz

– w przypadku osoby prawnej: nazwę i numer rejestracyjny zgodne z oficjalnym rejestrem,

– w przypadku osoby fizycznej: imię i nazwisko;

c)           zbiór danych jednoznacznie reprezentujących osobę prawną, której został wydany certyfikat, w tym co najmniej nazwę oraz numer rejestracyjny zgodne z oficjalnym rejestrem;

d)           elementy adresu, w tym co najmniej miasto i państwo członkowskie, osoby prawnej, które wystawiono certyfikat, zgodne z oficjalnym rejestrem;

e)           nazwę (nazwy) domen, z których korzysta osoba prawna, której wystawiono certyfikat;

f)            dane dotyczące początku i końca okresu ważności certyfikatu;

g)           kod identyfikacyjny certyfikatu, który musi być niepowtarzalny dla dostawcy kwalifikowanych usług zaufania;

h)           zaawansowany podpis elektroniczny lub zaawansowaną pieczęć elektroniczną wydającego dostawcy kwalifikowanych usług zaufania;

i)            miejsce, w którym nieodpłatnie dostępny jest certyfikat potwierdzający zaawansowany podpis elektroniczny lub zaawansowaną pieczęć elektroniczną, o których mowa w lit. h);

j)            miejsce usług weryfikacji statusu ważności certyfikatu, z których można skorzystać w celu złożenia zapytania o status ważności kwalifikowanego certyfikatu.

OCENA SKUTKÓW FINANSOWYCH REGULACJI

1.           STRUKTURA WNIOSKU/INICJATYWY

W niniejszej ocenie skutków finansowych szczegółowo przedstawiono wymagania pod względem wydatków administracyjnych w celu wdrożenia rozporządzenia w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym, którego dotyczy wniosek.

Po przeprowadzeniu procedury ustawodawczej i odbyciu dyskusji w celu przyjęcia rozporządzenia, którego dotyczy wniosek, przez Parlament Europejski i Radę, Komisja będzie potrzebowała dwunastu EPC w celu opracowania związanych z wnioskiem aktów delegowanych i wykonawczych, zapewnienia dostępności norm organizacyjnych i technicznych, zarządzania informacjami zgłaszanymi przez państwa członkowskie – w szczególności utrzymywania informacji związanych z zaufanymi listami – a także w celu dopilnowania, aby zainteresowane strony – w szczególności obywatele oraz małe i średnie przedsiębiorstwa – były świadome korzyści płynących ze stosowania identyfikacji elektronicznej, uwierzytelniania elektronicznego i podpisu elektronicznego oraz związanych z nimi usług zaufania (eIAS), oraz w celu prowadzenia rozmów z państwami trzecimi w celu osiągnięcia interoperacyjności eIAS na skalę światową.

1.1.        Tytuł wniosku/inicjatywy

Wniosek Komisji w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym

1.2.        Dziedzina(-y) polityki w strukturze ABM/ABB, których dotyczy wniosek/inicjatywa[25]

09 SPOŁECZEŃSTWO INFORMACYJNE

1.3.        Charakter wniosku/inicjatywy

¨ Wniosek/inicjatywa dotyczy nowego działania

¨ Wniosek/inicjatywa dotyczy nowego działania będącego następstwem projektu pilotażowego/działania przygotowawczego[26]

¨ Wniosek/inicjatywa wiąże się z przedłużeniem bieżącego działania

þ Wniosek/inicjatywa dotyczy działania, które zostało przekształcone pod kątem nowego działania

1.4.        Cele

1.4.1.     Wieloletni(e) cel(e) strategiczny(-e) Komisji wskazany(-e) we wniosku/inicjatywie

Ogólnymi celami wniosku są cele ogólnych strategii UE, w których osadzony jest wniosek, takich jak strategia „UE 2020”. Celem wniosku jest zagwarantowanie, że gospodarka Europy „stanie się inteligentna i zrównoważona, będzie sprzyjać włączeniu społecznemu, będzie się mogła pochwalić wysokimi wskaźnikami zatrudnienia i wydajności oraz większą spójnością społeczną”.

1.4.2.     Cel(e) szczegółowy(-e) i działanie(-a) ABM/ABB, których dotyczy wniosek/inicjatywa

Zwiększenie zaufania do ogólnoeuropejskich transakcji elektronicznych oraz zapewnienie transgranicznego prawnego uznawania identyfikacji elektronicznej, uwierzytelnienia elektronicznego i podpisu elektronicznego oraz związanych z nimi usług zaufania, a także wysokiego poziomu ochrony danych i wzmocnienia pozycji użytkownika na jednolitym rynku (zob. Europejska agenda cyfrowa, główne działania 3 i 16).

Działanie(-a) ABM/ABB, którego(-ych) dotyczy wniosek/inicjatywa

09 02 – Ramy regulacyjne na potrzeby Europejskiej agendy cyfrowej

1.4.3.     Oczekiwany(-e) wynik(i) i wpływ

Należy wskazać, jakie efekty przyniesie wniosek/inicjatywa beneficjentom/grupie docelowej.

Ustanowienie wyraźnego otoczenia regulacyjnego w zakresie usług eIAS, dzięki któremu użytkownik będzie się wygodniej poruszał w świecie cyfrowym i będzie go darzył większym zaufaniem.

1.4.4.     Wskaźniki wyników i wpływu

Należy określić wskaźniki, które umożliwią monitorowanie realizacji wniosku/inicjatywy.

1. Istnienie dostawców usług eIAS prowadzących działalność w wielu państwach członkowskich UE;

2. Stopień interoperacyjności urządzeń (np. czytników kart elektronicznych) między sektorami i państwami;

3. Wykorzystanie usług eIAS przez wszystkie grupy społeczne;

4. Stopień, w jakim z usług eIAS korzystają użytkownicy końcowi w zakresie transakcji krajowych i międzynarodowych (transgranicznych);

5. Stopień harmonizacji usług eIAS między państwami członkowskimi;

6. Systemy identyfikacji elektronicznej zgłoszone Komisji;

7. Usługi dostępne przy zastosowaniu zgłoszonych środków identyfikacji elektronicznej w sektorze publicznym (administracja elektroniczna, e-zdrowie, e-sprawiedliwość, e-zamówienia);

8. Usługi dostępne przy zastosowaniu zgłoszonych środków identyfikacji elektronicznej w sektorze prywatnym (bankowość internetowa, handel elektroniczny, hazard internetowy, logowanie się do stron internetowych, usługi w ramach programu „Bezpieczniejszy Internet”).

1.5.        Uzasadnienie wniosku/inicjatywy

1.5.1.     Potrzeba(-y), która(-e) ma(-ją) zostać zaspokojona(-e) w perspektywie krótko- lub długoterminowej

Zróżnicowane wdrażanie dyrektywy w sprawie podpisów elektronicznych w poszczególnych państwach wynikające z jej różnych interpretacji w poszczególnych państwach członkowskich spowodowało problemy w zakresie transgranicznej interoperacyjności, a przez to doprowadziło do rozdrobnienia w UE i do zakłóceń na rynku wewnętrznym. Towarzyszy temu brak zaufania do systemów elektronicznych utrudniający obywatelom europejskim korzystanie w świecie cyfrowym z tego samego rodzaju usług, co w świecie fizycznym.

1.5.2.     Wartość dodana z tytułu zaangażowania Unii Europejskiej

Działania podejmowane na szczeblu UE przyniosłyby wyraźne korzyści w porównaniu z działaniami podejmowanymi na szczeblu państw członkowskich. Jak wynika z dotychczasowych doświadczeń, środki krajowe są nie tylko niewystarczające, aby umożliwić realizowanie transakcji elektronicznych ponad granicami, ale w rzeczywistości tworzą bariery dla ogólnounijnej interoperacyjności podpisów elektronicznych i obecnie mają taki sam wpływ na identyfikację elektroniczną, uwierzytelnianie elektroniczne i powiązane usługi zaufania.

1.5.3.     Główne wnioski wyciągnięte z podobnych działań

Wniosek opiera się na doświadczeniach uzyskanych w związku z implementacją dyrektywy w sprawie podpisu elektronicznego oraz na problemach wynikających z rozdrobnienia przepisów transponujących i wykonujących tę dyrektywę, które uniemożliwiły osiągnięcie jej celów.

1.5.4.     Spójność z innymi właściwymi instrumentami oraz możliwa synergia

Do dyrektywy w sprawie podpisu elektronicznego nawiązuje szereg innych inicjatyw UE – przygotowanych w celu wyeliminowania problemów związanych z interoperacyjnością oraz problemów w zakresie transgranicznego uznawania i akceptowania dokumentów związanych z określonymi rodzajami kontaktów drogą elektroniczną – takich jak na przykład dyrektywa usługowa, dyrektywy w sprawie zamówień publicznych, zmieniona dyrektywa VAT (fakturowanie elektroniczne) i rozporządzenie w sprawie inicjatywy obywatelskiej.

Ponadto rozporządzenie, którego dotyczy wniosek, będzie stanowić ramy prawne, które pozytywnie wpłyną na szerokie rozpowszechnianie projektów pilotażowych na dużą skalę wdrażanych na szczeblu UE w celu wsparcia opracowania interoperacyjnych i wiarygodnych środków komunikacji elektronicznej (w tym SPOCS, w ramach którego wspiera się realizację dyrektywy usługowej; STORK, w ramach którego wspiera się rozwój i wykorzystanie interoperacyjnych środków identyfikacji elektronicznej; PEPPOL, w ramach którego wspiera się rozwój i wykorzystanie interoperacyjnych rozwiązań w zakresie e-zamówień; epSOS, w ramach którego wspiera się rozwój i wykorzystanie interoperacyjnych rozwiązań w zakresie e-zdrowia; eCodex, w ramach którego wspiera się rozwój i wykorzystanie interoperacyjnych rozwiązań w zakresie e-sprawiedliwości).

1.6.        Czas trwania działania i jego wpływ finansowy

¨ Wniosek/inicjatywa o określonym czasie trwania

– ¨  Czas trwania wniosku/inicjatywy: od [DD/MM]RRRR r. do [DD/MM]RRRR r.

– ¨  Czas trwania wpływu finansowego: od RRRR r. do RRRR r.

þ Wniosek/inicjatywa o nieokreślonym czasie trwania

1.7.        Przewidywany(-e) tryb(y) zarządzania[27]

þ Bezpośrednie zarządzanie scentralizowane przez Komisję

¨ Pośrednie zarządzanie scentralizowane poprzez przekazanie zadań wykonawczych:

– ¨  agencjom wykonawczym

– ¨  organom utworzonym przez Wspólnoty[28]

– ¨  krajowym organom publicznym/organom mającym obowiązek świadczenia usługi publicznej

– ¨  osobom odpowiedzialnym za wykonanie określonych działań na mocy tytułu V Traktatu o Unii Europejskiej, określonym we właściwym prawnym akcie podstawowym w rozumieniu art. 49 rozporządzenia finansowego

¨ Zarządzanie dzielone z państwami członkowskimi

¨ Zarządzanie zdecentralizowane z państwami trzecimi

¨ Zarządzanie wspólne z organizacjami międzynarodowymi (należy wyszczególnić)

W przypadku wskazania więcej niż jednego trybu, należy podać dodatkowe informacje w części „Uwagi”.

Uwagi

[//]

2.           ŚRODKI ZARZĄDZANIA

2.1.        Zasady nadzoru i sprawozdawczości

Należy określić częstotliwość i warunki.

Pierwsza ocena zostanie dokonana po upływie czterech lat od wejścia w życie rozporządzenia. W rozporządzeniu przewidziano wyraźną klauzulę dotyczącą sprawozdania, w którym Komisja będzie przekazywać Parlamentowi Europejskiemu i Radzie informacje dotyczące jego stosowania. Następnie kolejne sprawozdania będą przedstawiane co 4 lata. Komisja będzie wykorzystywać wypracowaną przez siebie metodykę oceny. Powyższe oceny będą przeprowadzane za pomocą ukierunkowanych analiz wdrażania instrumentów prawnych, kwestionariuszy skierowanych do organów krajowych, dyskusji ekspertów, warsztatów, ankiet Eurobarometru itp.

2.2.        System zarządzania i kontroli

2.2.1.     Zidentyfikowane ryzyko

Niniejszemu wnioskowi dotyczącemu rozporządzenia towarzyszy przeprowadzona ocena skutków. Nowy instrument prawny umożliwi wzajemne uznawanie i akceptowanie identyfikacji elektronicznej ponad granicami, usprawni obecne ramy podpisów elektronicznych, zwiększy nadzór krajowy nad dostawcami usług zaufania oraz zapewni skutki prawne i uznawanie powiązanych usług zaufania. W rozporządzeniu wprowadza się również stosowanie aktów delegowanych i wykonawczych jako mechanizmu zapewniającego elastyczność względem zmian technologicznych.

2.2.2.     Przewidywane metody kontroli

Istniejące metody kontroli stosowane przez Komisję obejmą środki dodatkowe.

2.3.        Środki zapobiegania nadużyciom finansowym i nieprawidłowościom

Określić istniejące lub przewidywane środki zapobiegania i ochrony

Istniejące środki zapobiegania nadużyciom finansowym stosowane przez Komisję obejmą środki dodatkowe.

3.           SZACUNKOWY WPŁYW FINANSOWY WNIOSKU/INICJATYWY

3.1.        Dział(y) wieloletnich ram finansowych i pozycja(pozycje) wydatków w budżecie, na które wniosek/inicjatywa ma wpływ

· Istniejące pozycje w budżecie

Według działów wieloletnich ram finansowych i pozycji w budżecie

Dział wieloletnich ram finansowych || Pozycja w budżecie || Rodzaj środków || Wkład

Numer [Treść………………………...……….] || Zróżnico-wane /niezróżni-cowane ([29]) || państw EFTA[30] || krajów kandydujących[31] || państw trzecich || w rozumieniu art. 18 ust. 1 lit. aa) rozporządzenia finansowego

5 || 09. 01 01 01 Wydatki związane z personelem aktywnie zatrudnionym w DG ds. Społeczeństwa Informacyjnego i Mediów || Zróżnicowane /niezróżni-cowane || NIE || NIE || NIE || NIE

5 || 09. 01 02 01 Personel zewnętrzny || Zróżnicowane /niezróżni-cowane || NIE || NIE || NIE || NIE

3.2.        Szacunkowy wpływ na wydatki

3.2.1.     Synteza szacunkowego wpływu na wydatki

Dział wieloletnich ram finansowych: || Numer || [Dział 1. Inteligentny rozwój sprzyjający włączeniu społecznemu ……………...……………………………………………………………….]

DG: INFSO || || || Rok 2014 || Rok  2015 || Rok 2016 || Rok 2017 || Rok 2018 || Rok 2019 || Rok 2020 || OGÓŁEM

Ÿ Środki operacyjne || || || || || || || ||

Numer pozycji w budżecie – nie dotyczy || Środki na zobowiązania || (1) || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000

Środki na płatności || (2) || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000

Numer pozycji w budżecie – nie dotyczy || Środki na zobowiązania || (1a) || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000

Środki na płatności || (2a) || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000

Środki administracyjne finansowane ze środków przydzielonych na określone programy operacyjne[32] || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000

Numer pozycji w budżecie || || (3) || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000

OGÓŁEM środki dla DG INFSO || Środki na zobowiązania || =1+1a +3 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000

Środki na płatności || =2+2a +3 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000 || 0.000

Dział wieloletnich ram finansowych: || 5 || „Wydatki administracyjne”

w mln EUR (do 3 miejsc po przecinku)

|| || || Rok 2014 || Rok 2015 || Rok 2016 || Rok 2017 || Rok 2018 || Rok 2019 || Rok 2020 || OGÓŁEM

DG: INFSO

Ÿ Zasoby ludzkie || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 9,408

Ÿ Pozostałe wydatki administracyjne || || || || || || || ||

OGÓŁEM DG INFSO || Środki || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 9,408

OGÓŁEM środki na DZIAŁ 5 wieloletnich ram finansowych || (Środki na zobowiązania ogółem = środki na płatności ogółem) || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 9,408

w mln EUR (do 3 miejsc po przecinku)

|| || || Rok 2014 || Rok 2015 || Rok 2016 || Rok 2017 || Rok 2018 || Rok 2019 || Rok 2020 || OGÓŁEM

OGÓŁEM środki na DZIAŁY 1 do 5 wieloletnich ram finansowych || Środki na zobowiązania || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 9,408

Środki na płatności || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 9,408

3.2.2.     Szacunkowy wpływ na środki operacyjne

– þ  Wniosek/inicjatywa nie wiąże się z koniecznością wykorzystania środków operacyjnych

– ¨  Wniosek/inicjatywa wiąże się z koniecznością wykorzystania środków operacyjnych, jak określono poniżej:

3.2.3.     Szacunkowy wpływ na środki administracyjne

3.2.3.1.  Streszczenie

– ¨  Wniosek/inicjatywa nie wiąże się z koniecznością wykorzystania środków administracyjnych

– þ  Wniosek/inicjatywa wiąże się z koniecznością wykorzystania środków administracyjnych, jak określono poniżej:

w mln EUR (do 3 miejsc po przecinku)

|| Rok N 2014 || Rok 2015 || Rok 2016 || Rok 2017 || Rok 2018 || Rok 2019 || Rok 2020 || OGÓŁEM

DZIAŁ 5 wieloletnich ram finansowych || || || || || || || ||

Zasoby ludzkie || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 9,408

Pozostałe wydatki administracyjne || || || || || || || ||

DZIAŁ 5 wieloletnich ram finansowych – suma cząstkowa || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 9,408

Poza DZIAŁEM 5[33] wieloletnich ram finansowych || || || || || || || ||

Zasoby ludzkie || || || || || || || ||

Pozostałe wydatki administracyjne || || || || || || || ||

Poza DZIAŁEM 5 wieloletnich ram finansowych – suma cząstkowa || || || || || || || ||

OGÓŁEM || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 1,344 || 9,408

3.2.3.2.  Szacowane zapotrzebowanie na zasoby ludzkie

– ¨  Wniosek/inicjatywa nie wiąże się z koniecznością wykorzystania zasobów ludzkich

– þ  Wniosek/inicjatywa wiąże się z koniecznością wykorzystania zasobów ludzkich, jak określono poniżej:

Wartości szacunkowe należy wyrazić w pełnych kwotach (lub najwyżej z dokładnością do jednego miejsca po przecinku)

|| Rok 2014 || Rok 2015 || Rok 2016 || Rok 2017 || Rok 2018 || Rok 2019 || Rok 2020

Ÿ Stanowiska przewidziane w planie zatrudnienia (stanowiska urzędników i pracowników zatrudnionych na czas określony)

09 01 01 01 (w centrali i w biurach przedstawicielstw Komisji) || 9 || 9 || 9 || 9 || 9 || 9 || 9

XX 01 01 02 (w delegaturach) || || || || || || ||

XX 01 05 01 (pośrednie badania naukowe) || || || || || || ||

10 01 05 01 (bezpośrednie badania naukowe) || || || || || || ||

Ÿ Personel zewnętrzny (w ekwiwalentach pełnego czasu pracy)[34]

09 01 02 01 (AC, END, INT z globalnej koperty finansowej) || 3 || 3 || 3 || 3 || 3 || 3 || 3

XX 01 02 02 (AC, AL, END, INT i JED w delegaturach) || || || || || || ||

XX 01 04 yy[35] || - w centrali[36] || || || || || || ||

- w delegaturach || || || || || || ||

XX 01 05 02 (AC, END, INT - pośrednie badania naukowe) || || || || || || ||

10 01 05 02 (AC, END, INT - bezpośrednie badania naukowe) || || || || || || ||

Inna pozycja w budżecie (określić) || || || || || || ||

OGÓŁEM || 12 || 12 || 12 || 12 || 12 || 12 || 12

Potrzeby w zakresie zasobów ludzkich zostaną pokryte z zasobów DG już przydzielonych na zarządzanie tym działaniem lub przesuniętych w ramach dyrekcji generalnej, uzupełnionych w razie potrzeby wszelkimi dodatkowymi zasobami, które mogą zostać przydzielone zarządzającej dyrekcji generalnej w ramach procedury rocznego przydziału środków oraz w świetle istniejących ograniczeń budżetowych.

Opis zadań do wykonania:

Urzędnicy i pracownicy zatrudnieni na czas określony || Zarządzenie procedurami ustawodawczymi w celu przyjęcia przez Parlament Europejski i Radę planowanego rozporządzenia oraz związanych z nim aktów delegowanych/wykonawczych. Obszary priorytetowe: 1.    Ustanowienie nowych ram prawnych dotyczących elektronicznych usług zaufania 2.    Promowanie wykorzystania elektronicznych usług zaufania przez podnoszenie świadomości MŚP i obywateli w zakresie potencjału tych usług 3.    Działania następcze względem dyrektywy 1999/93/WE, z uwzględnieniem aspektów międzynarodowych 4.    Wykorzystanie potencjału projektów pilotażowych na dużą skalę w celu przyspieszenia konkretnej realizacji celu polegającego na utworzeniu nowych ram prawnych.

Personel zewnętrzny || jw.

3.2.4.     Zgodność z obowiązującymi wieloletnimi ramami finansowymi

– þ  Wniosek/inicjatywa jest zgodny(-a) z obowiązującymi wieloletnimi ramami finansowymi.

– ¨  Wniosek/inicjatywa wymaga przeprogramowania odpowiedniego działu w wieloletnich ramach finansowych.

Należy wyjaśnić, na czym ma polegać przeprogramowanie, określając pozycje w budżecie, których ma ono dotyczyć, oraz podając odpowiednie kwoty.

– ¨  Wniosek/inicjatywa wymaga zastosowania instrumentu elastyczności lub zmiany wieloletnich ram finansowych[37].

Należy wyjaśnić, który wariant jest konieczny, określając pozycje w budżecie, których ma on dotyczyć, oraz podając odpowiednie kwoty.

3.2.5.     Udział osób trzecich w finansowaniu

– þ Wniosek/inicjatywa nie przewiduje współfinansowania ze strony osób trzecich.

– ¨ Wniosek/inicjatywa przewiduje współfinansowanie szacowane zgodnie z poniższym:

3.3.        Szacunkowy wpływ na dochody

– þ  Wniosek/inicjatywa nie ma wpływu finansowego na dochody.

– ¨  Wniosek/inicjatywa ma wpływ finansowy określony poniżej:

· ¨            wpływ na zasoby własne

· ¨            wpływ na dochody różne

[1]               COM(2010) 245 z 19.5.2010.

[2]               COM(2011) 206 wersja ostateczna z 13.4.2011.

[3]               COM(2011) 669 z 12.10.2011.

[4]               Dz.U.L 13 z 19.1.2000, s. 12.

[5]               Szczegółowe informacje na temat konsultacji znajdują się na stronie internetowej: http://ec.europa.eu/information_society/policy/esignature/eu_legislation/revision.

[6]               W dniu 10 marca 2011 r. zorganizowano warsztaty z udziałem zainteresowanych przedstawicieli sektorów publicznego i prywatnego oraz środowiska akademickiego w celu omówienia środków legislacyjnych, które należy wprowadzić, aby sprostać istniejącym wyzwaniom. Inicjatywa miała formę interaktywnego forum służącego do wymiany poglądów i do przedstawienia różnych stanowisk w kwestiach podniesionych podczas konsultacji społecznych. Wiele organizacji spontanicznie nadesłało swoje stanowiska.

[7]               Należy zaznaczyć, że polska prezydencja UE zorganizowała następujące spotkania z państwami członkowskimi: w Warszawie w dniu 9 listopada 2011 r. w sprawie podpisu elektronicznego i w Poznaniu w dniu 17 listopada 2011 r. w sprawie identyfikacji elektronicznej. W dniu 25 stycznia 2012 r. Komisja zorganizowała warsztaty dla państw członkowskich w celu omówienia pozostałych kwestii dotyczących identyfikacji elektronicznej, uwierzytelniania elektronicznego i podpisów elektronicznych.

[8]               W ramach pierwszego zestawu przeanalizowano cztery warianty: uchylenie dyrektywy w sprawie podpisów elektronicznych; brak zmian w prowadzonej polityce; zwiększenie pewności prawa, usprawnienie koordynacji krajowego nadzoru wraz z zapewnieniem wzajemnego uznawania i akceptowania identyfikacji elektronicznej w całej UE; a jako czwarty wariant – rozszerzenie i włączenie niektórych powiązanych usług zaufania. Drugi zestaw obejmował ocenę względnych zalet możliwości wprowadzenia uregulowań za pośrednictwem jednego lub dwóch instrumentów oraz za pośrednictwem dyrektywy zamiast rozporządzenia. W ramach trzeciego zestawu przeanalizowano możliwości związane z wdrożeniem krajowych systemów nadzoru opartych na wspólnych podstawowych wymaganiach dotyczących nadzoru zamiast unijnego systemu nadzoru. Każdy wariant został oceniony przy udziale grupy, w skład której wchodziły wszystkie zainteresowane dyrekcje generalne Komisji, pod kątem skuteczności w osiąganiu celów polityki, gospodarczego wpływu na zainteresowane strony (w tym na budżet instytucji UE), skutków społecznych i środowiskowych oraz skutków w postaci obciążeń administracyjnych.

[9]               Komunikat Komisji: Europa 2020. Strategia na rzecz inteligentnego i zrównoważonego rozwoju sprzyjającego włączeniu społecznemu, COM(2010) 2020, 3.3.2010.

[10]             Zaufane listy ustanowione na mocy decyzji Komisji 2009/767/WE zmienionej decyzją Komisji 2010/425/UE stanowią podstawę dla nowej decyzji Komisji w sprawie zaufanych list na mocy niniejszego rozporządzenia.

[11]             Dz.U. C , , s. .

[12]             Dz.U. C , , s. .

[13]             Dz.U.L 13 z 19.1.2000, s. 12.

[14]             COM(2010) 245 wersja ostateczna/2.

[15]             Sprawozdanie na temat obywatelstwa UE – 2010 r.: Usuwanie przeszkód w zakresie praw obywatelskich UE, COM(2010) 603 wersja ostateczna, pkt 2.2.2, s. 13.

[16]             4/2/2011: EUCO 2/1/11.

[17]             23/10/2011: EUCO 52/1/11.

[18]             Konkluzje Rady w sprawie europejskiego planu działań na rzecz administracji elektronicznej na lata 2011–2015, 3093. posiedzenie Rady ds. Transportu, Telekomunikacji i Energii, Bruksela 27 maja 2011 r.

[19]             Rezolucja Parlamentu Europejskiego z 21.9.2010 w sprawie pełnego ukształtowania rynku wewnętrznego w handlu elektronicznym, 21.9.10, P7_TA(2010)0320, i rezolucja Parlamentu Europejskiego z 15.6.2010 w sprawie zarządzania internetem: kolejne działania, P7_TA(2010)0208.

[20]             Dz.U.L 376 z 27.12.2006, s. 36.

[21]             Dz.U.L 88 z 4.4.2011, s. 45.

[22]             Dz.U.L 281 z 23.11.1995, s. 31.

[23]             Dz.U.L 274 z 20.10.2009, s. 36.

[24]             Dz.U.L 55 z 28.2.2011, s. 13.

[25]             ABM: Activity Based Management: zarządzanie kosztami działań - ABB: Activity Based Budgeting: budżet zadaniowy.

[26]             O którym mowa w art. 49 ust. 6 lit. a) lub b) rozporządzenia finansowego.

[27]             Wyjaśnienia dotyczące trybów zarządzania oraz odniesienia do rozporządzenia finansowego znajdują się na następującej stronie: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html

[28]             O którym mowa w art. 185 rozporządzenia finansowego.

[29]             Środki zróżnicowane/ środki niezróżnicowane.

[30]             EFTA: Europejskie Stowarzyszenie Wolnego Handlu.

[31]             Kraje kandydujące oraz w stosownych przypadkach potencjalne kraje kandydujące Bałkanów Zachodnich.

[32]             Wsparcie techniczne lub administracyjne oraz wydatki na wsparcie w zakresie wprowadzania w życie programów lub działań UE (dawne pozycje „BA”), pośrednie badania naukowe, bezpośrednie badania naukowe.

[33]             Wsparcie techniczne lub administracyjne oraz wydatki na wsparcie w zakresie wprowadzania w życie programów lub działań UE (dawne pozycje „BA”), pośrednie badania naukowe, bezpośrednie badania naukowe.

[34]             AC= pracownik kontraktowy; INT= pracownik tymczasowy; JED= młodszy oddelegowany ekspert; AL= członek personelu miejscowego; END= oddelegowany ekspert krajowy.

[35]             Poniżej pułapu na personel zewnętrzny ze środków operacyjnych (dawne pozycje „BA”).

[36]             Przede wszystkim fundusze strukturalne, Europejski Fundusz Rolny na rzecz Rozwoju Obszarów Wiejskich (EFRROW) oraz Europejski Fundusz Rybacki.

[37]             Zob. pkt 19 i 24 porozumienia międzyinstytucjonalnego.