Bezpečnejšie transakcie na internete

ZHRNUTIE K DOKUMENTU:

Nariadenie (EÚ) č. 910/2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu

SÚHRN

AKÝ JE CIEĽ TOHTO NARIADENIA?

• V nariadení o elektronickej identifikácii a dôveryhodných službách (eIDAS) sa vytvára nový systém pre bezpečné elektronické transakcie v celej EÚ medzi podnikmi, občanmi a verejnými orgánmi.
• Usiluje sa o zlepšenie dôveryhodnosti elektronických transakcií v celej EÚ s cieľom zlepšiť účinnosť verejných a súkromných online služieb a elektronického obchodu. Vzťahuje sa na:
  • schémy elektronickej identifikácie (eID)*, ktoré krajiny EÚ nahlásili Európskej komisii;
  • poskytovateľov dôveryhodných služieb so sídlom v EÚ.
• Odstraňujú sa jestvujúce prekážky používania eID v EÚ. Napríklad portugalská firma by sa teraz mohla priamo zapojiť do verejnej súťaže o verejnú zákazku vo Švédsku, pričom granty finančných prostriedkov EÚ by sa mohli úplne riadiť cez internet.

HLAVNÉ BODY

Elektronická identifikácia

• eID vydaná v jednej krajine EÚ musí byť uznaná vo všetkých ostatných krajinách. Platí to len vtedy, ak eID spĺňa požiadavky nariadenia a ak bola nahlásená Komisii a zverejnená na zozname. Vzájomné uznávanie eID bude povinné od 28. septembra 2018 a uľahčí bezpečné elektronické transakcie v celej EÚ.
• V schéme eID sa musí stanoviť jedna z troch úrovní zabezpečenia (nízka, pokročilá, vysoká) pre podobu elektronickej identifikácie vydanej v rámci danej schémy. Vzájomné uznávanie je povinné len vtedy, ak príslušný verejný orgán používa „pokročilú“ alebo „vysokú“ úroveň pri prístupe k danej službe online.

Oznamovanie

• Pri oznamovaní schém eID Komisii musia krajiny EÚ poskytnúť informácie o hľadiskách, ako sú:
  • úroveň zabezpečenia a vydavateľ eID v rámci príslušnej schémy;
  • uplatniteľný režim dohľadu a režim zodpovednosti;
  • orgán zodpovedný za registráciu jedinečných osobných identifikačných údajov.
• V prípade porušenia bezpečnosti schémy eID alebo autentifikácie musí oznamujúca krajina EÚ:
  • bezodkladne pozastaviť alebo zrušiť autentifikáciu alebo skompromitované časti schémy v celej EÚ a
  • informovať ostatné krajiny EÚ a Komisiu.

Zodpovednosť

• Pokiaľ sa pri akejkoľvek transakcii medzi krajinami EÚ vyskytne nedodržanie povinností podľa tohto nariadenia, nasledujúce strany môžu byť brané na zodpovednosť za akékoľvek škody spôsobené úmyselne alebo z nedbanlivosti akejkoľvek osobe alebo orgánu:
  • oznamujúca krajina EÚ;
  • strana vydávajúca eID;
  • strana riadiaca postup autentifikácie.

Spolupráca a interoperabilita medzi krajinami EÚ

• Oznámené schémy eID musia byť interoperabilné. Rámec interoperability musí byť technologicky neutrálny a neuprednostňovať žiadne konkrétne národné technické riešenia eID.

Dôveryhodné služby

• V nariadení sa dôveryhodné služby definujú ako hradené služby, ktoré zahŕňajú:
  • vyhotovenie, overenie a validáciu elektronických podpisov, elektronických pečatí alebo elektronických časových pečiatok, elektronických doručovacích služieb pre registrované zásielky a certifikátov, ktoré s týmito službami súvisia;
  • vyhotovenie, overenie a validáciu certifikátov pre autentifikáciu webových sídiel;
  • uchovávanie elektronických podpisov, pečatí alebo certifikátov, ktoré s týmito službami súvisia.
• Poskytovatelia dôveryhodných služieb v EÚ sa považujú za kvalifikovaných, ak spĺňajú platné požiadavky nariadenia. Sú zákonne oprávnení poskytovať kvalifikovanédôveryhodné služby (napr. kvalifikované elektronické podpisy, pečiatky alebo certifikáty) vo všetkých krajinách EÚ. Dôveryhodné služby, ktoré ponúkajú poskytovatelia služieb z krajín mimo EÚ, sa takisto môžu považovať za právne rovnocenné s kvalifikovanými službami, musí to však byť podložené dohodou medzi EÚ a krajinou mimo EÚ alebo medzinárodnou organizáciou.

Dohľad

• Krajiny EÚ musia určiť jeden alebo viacero orgánov, ktoré budú vykonávať činnosti dohľadu podľa tohto nariadenia. Tieto orgány musia v prípade potreby spolupracovať s orgánmi pre ochranu osobných údajov.
• Všetci poskytovatelia dôveryhodných služieb podliehajú dohľadu a povinnostiam v oblasti riadenia rizika a oznamovania porušenia bezpečnosti.
• Nekvalifikovaní poskytovatelia služieb podliehajú miernemu dohľadu, a teda orgán dohľadu reaguje len v prípade, že je poskytovateľ podozrivý z nedodržania pravidiel.
• Kvalifikovaní poskytovatelia dôveryhodných služieb so sídlom v EÚ podliehajú prísnemu dohľadu. Jeho súčasťou je predchádzajúce povolenie orgánov dohľadu a audit, ktorý najmenej každé dva roky vykonáva organizácia, ktorá posudzuje, či vyhovujú požiadavkám nariadenia.
• Novou dobrovoľnou značkou dôvery EÚ sa budú identifikovať kvalifikované dôveryhodné služby poskytované príslušnými poskytovateľmi.

V rade aktov prijatých Európskou komisiou v priebehu roka 2015 sa stanovujú:

• procedurálne opatrenia spolupráce medzi krajinami EÚ pri elektronickej identifikácii,
• špecifikácie týkajúce sa formy značky dôvery EÚ pre kvalifikované dôveryhodné služby;
• technické a prevádzkové požiadavky na rámec interoperability;
• minimálne technické špecifikácie a postupy pre úrovne zabezpečenia prostriedkov eID;
• technické špecifikácie a formáty týkajúce sa dôveryhodných zoznamov;
• špecifikácie týkajúce sa formátov zdokonalených elektronických podpisov a zdokonalených elektronických pečatí, ktoré môžu subjekty verejného sektora uznávať; a
• okolnosti, formáty a postupy oznamovania schém eID.

ODKEDY SA NARIADENIE UPLATŇUJE?

Od 17. septembra 2014.

HLAVNÝ POJEM

* elektronická identifikácia (eID) – hmotná alebo nehmotná podoba identifikácie, ktorá obsahuje osobné identifikačné údaje a používa sa pri autentifikácii online služby.

AKT

Nariadenie Európskeho parlamentu a Rady (EÚ) č. 910/2014 z 23. júla 2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93/ES (Ú. v. EÚ L 257, 28.8.2014, s. 73 – 114)

Následné zmeny nariadenia (EÚ) č. 910/2014 boli zahrnuté do pôvodného dokumentu. Toto konsolidované znenie slúži len na dokumentáciu.

Posledná aktualizácia 17.03.2016