Регламент Європейського Парламенту і Ради (ЄС) № 910/2014 від 23 липня 2014 року про електронну ідентифікацію та довірчі послуги для електронних транзакцій на внутрішньому ринку та про скасування Директиви 1999/93/ЄС

ЄВРОПЕЙСЬКИЙ ПАРЛАМЕНТ І РАДА ЄВРОПЕЙСЬКОГО СОЮЗУ,

Беручи до уваги Договір про функціонування Європейського Союзу, зокрема його статтю 114,

Беручи до уваги пропозицію Європейської Комісії,

Після передачі проекту законодавчого акта національним парламентам,

Беручи до уваги висновок Європейського економічно-соціального комітету (- 1),

Діючи згідно зі звичайною законодавчою процедурою (- 2),

Оскільки:

(1) Побудова довіри в онлайн-середовищі є ключовою для економічного та соціального розвитку. Через брак довіри, зокрема внаслідок відчутного браку правової визначеності, споживачі, суб’єкти підприємницької діяльності, а також органи публічної влади вагаються здійснювати транзакції в електронній формі та впроваджувати нові послуги.

(2) Цей Регламент має на мені підвищити рівень довіри до електронних транзакцій на внутрішньому ринку шляхом створення спільного підґрунтя для безпечної електронної взаємодії між громадянами, суб’єктами підприємницької діяльності та органами публічної влади, покращуючи у такий спосіб дієвість публічних і приватних онлайн-послуг, електронного бізнесу та електронної комерції в Союзі.

(3) Директива Європейського Парламенту і Ради 1999/93/ЄС (- 3) регулювала питання електронних підписів без встановлення всебічних транскордонних та міжсекторальних рамок для безпечних, надійних і простих у використанні електронних транзакцій. Цей Регламент удосконалює та розширює acquis зазначеної Директиви.

(4) У повідомленні Комісії під назвою "Цифровий порядок денний Європи" від 26 серпня 2010 року визначено фрагментацію цифрового ринку, брак інтероперабельності та зростання кіберзлочинності основними перешкодами для успішного циклу розвитку цифрової економіки. У своєму Звіті про громадянство ЄС 2010 року під назвою "Ліквідація перешкод для реалізації прав громадян ЄС" Комісія додатково наголосила на необхідності вирішення основних проблем, які перешкоджають громадянам Союзу користуватися перевагами єдиного цифрового ринку і транскордонних цифрових послуг.

(5) У своїх висновках від 4 лютого 2011 року та 23 жовтня 2011 року Європейська Рада запропонувала Комісії створити до 2015 року єдиний цифровий ринок, досягнути швидкого прогресу в ключових сферах цифрової економіки та сприяти повністю інтегрованому єдиному цифровому ринку шляхом спрощення транскордонного використання онлайн послуг, приділяючи особливу увагу спрощенню безпечної електронної ідентифікації та автентифікації.

(6) У своїх висновках від 27 травня 2011 року Рада запропонувала Комісії зробити внесок у розвиток єдиного цифрового ринку шляхом створення належних умов для взаємного транскордонного визнання таких ключових супутніх чинників, як електронна ідентифікація, електронні документи, електронні підписи та реєстрованої електронної доставки, та для надання інтероперабельних послуг електронного врядування на всій території Європейського Союзу.

(7) У своїй резолюції від 21 вересня 2010 року про завершення формування внутрішнього ринку для електронної комерції (- 4) Європейський Парламент підкреслив важливість безпеки електронних послуг, зокрема електронних підписів, та необхідність створення інфраструктури відкритих ключів на пан’європейському рівні, і закликав Комісію створити портал європейських органів валідації для забезпечення транскордонної інтероперабельності електронних підписів та підвищення рівня безпеки транзакцій, що їх проводять з використанням інтернету.

(8) Директива Європейського Парламенту і Ради 2006/123/ЄС (- 5) вимагає від держав-членів встановлення єдиних пунктів зв’язку, щоб забезпечити можливість виконання всіх процедур і формальностей, пов’язаних із доступом до діяльності з надання послуг та їх провадженням, у легкий спосіб, на відстані та за допомогою електронних засобів через відповідний єдиний пункт зв’язку з відповідними органами. Багато онлайн-послуг, доступних через єдиний пункт зв’язку, вимагають електронної ідентифікації, електронної автентифікації та проставлення електронного підпису.

(9) У більшості випадків громадяни не можуть використати свою електронну ідентифікацію для автентифікації своєї особи в іншій державі-члені, оскільки інші держави-члени не визнають національні схеми електронної ідентифікації в країні таких громадян. Така цифрова перешкода не дозволяє надавачам послуг користуватися всіма перевагами внутрішнього ринку. Взаємне визнання засобів електронної ідентифікації полегшить транскордонне надання численних послуг на внутрішньому ринку і надасть змогу суб’єктам підприємницької діяльності функціонувати на транскордонній основі, не наражаючись на численні перешкоди під час взаємодії з органами публічної влади.

(10) У Директиві Європейського Парламенту і Ради 2011/24/ЄС (- 6) встановлено мережу національних органів влади, відповідальних за електронну систему охорони здоров’я. Для покращення безпеки і безперервності транскордонного медичного обслуговування від цієї мережі вимагають розробити настанови щодо транскордонного доступу до електронних даних про стан здоров’я і послуг, у тому числі шляхом підтримання "спільних заходів з ідентифікації та автентифікації для полегшення передання даних у межах транскордонного медичного обслуговування". Взаємне визнання електронної ідентифікації та автентифікації є ключовим елементом для втілення у життя транскордонного медичного обслуговування для громадян Європи. Коли люди подорожують із метою лікування, їхні медичні дані повинні бути доступними в країні лікування. Це вимагає ґрунтовних, безпечних та надійних рамок для електронної ідентифікації.

(11) Цей Регламент необхідно застосовувати у повній відповідності з принципами, пов’язаними із захистом персональних даних і передбаченими у Директиві Європейського Парламенту і Ради 95/46/ЄС (- 7). У цьому зв’язку, враховуючи встановлений у цьому Регламенті принцип взаємного визнання, автентифікація для онлайн-послуги повинна стосуватися опрацювання лише тих ідентифікаційних даних, які є достатніми, належними та незайвими для надання доступу до такої онлайн-послуги. Крім того, надавачам довірчих послуг та наглядовим органам необхідно дотримуватися передбачених у Директиві 95/46/ЄС вимог до збереження конфіденційності та безпеки опрацювання.

(12) Однією з цілей цього Регламенту є усунення наявних перешкод для транскордонного використання засобів електронної ідентифікації, що їх використовують у державах-членах для автентифікації, щонайменше для публічних послуг. У межах цього Регламенту не мають на меті втручатися у питання щодо систем управління електронними ідентифікаційними даними і пов’язаних інфраструктур, створених на території держав-членів. Мета цього Регламенту полягає у забезпеченні можливості безпечної електронної ідентифікації та автентифікації для доступу до транскордонних онлайн-послуг, що їх пропонують держави-члени.

(13) Держави-члени повинні мати вільну можливість використовувати або впроваджувати засоби електронної ідентифікації для доступу до онлайн-послуг. Вони також повинні мати змогу вирішувати, чи залучати приватний сектор до надання таких засобів. Держави-члени не повинні бути зобов’язані нотифікувати Комісії свої схеми електронної ідентифікації. Держави-члени вирішують, чи нотифікувати Комісії усі схеми електронної ідентифікації, використовувані на національному рівні для доступу щонайменше до публічних онлайн-послуг або конкретних послуг, про деякі з них чи не повідомляти про жодні з них.

(14) У Регламенті повинні бути встановлені певні умови щодо засобів електронної ідентифікації, які необхідно визнати, та способів нотифікації схем електронної ідентифікації. Такі умови повинні допомогти державам-членам побудувати між собою необхідну довіру до схем електронної ідентифікації та взаємно визнати засоби електронної ідентифікації, що перебувають у межах їхніх нотифікованих схем. Необхідно застосовувати принцип взаємного визнання, якщо схема електронної ідентифікації держави-члена, що здійснює нотифікацію, відповідає умовам нотифікації та нотифікацію опубліковано в Офіційному віснику Європейського Союзу. Проте принцип взаємного визнання повинен стосуватися лише автентифікації для онлайн-послуги. Доступ до таких онлайн-послуг та їх кінцеве надання замовникові повинні бути тісно пов’язані з правом на отримання таких послуг на умовах, установлених у національному законодавстві.

(15) Обов’язок визнавати засоби електронної ідентифікації повинен стосуватися тільки тих засобів, рівень надійності ідентифікаційних даних для яких рівнозначний рівню, необхідному для відповідної онлайн-послуги, або вищий за нього. Крім того, такий обов’язок необхідно застосовувати тільки тоді, коли відповідний орган публічного сектора використовує рівень надійності "істотний" або "високий" у зв’язку з доступом до такої онлайн-послуги. Відповідно до права Європейського Союзу держави-члени повинні мати вільну можливість визнавати засоби електронної ідентифікації, що мають нижчий рівень надійності ідентифікаційних даних.

(16) Рівні надійності повинні характеризувати ступінь довіри до засобу електронної ідентифікації під час встановлення тотожності особи, запевняючи у такий спосіб, що особа, яка заявляє про певну тотожність, насправді є особою, якій було присвоєно таку тотожність. Рівень надійності залежить від ступеня довіри, який забезпечує засіб електронної ідентифікації для заявленої або ствердженої тотожності особи з урахуванням процесів (наприклад, підтвердження і верифікація тотожності особи та автентифікація), діяльності з управління (наприклад, суб’єкт, що видає засоби електронної ідентифікації, та процедура випуску таких засобів) та впроваджених механізмів технічного контролю. Різні технічні визначення та описи рівнів надійності виникли внаслідок великомасштабних дослідних проектів, які фінансує ЄС, стандартизації та міжнародної діяльності. Зокрема, великомасштабний дослідний проект STORK та стандарт ISO 29115 покликаються, між іншим, на рівні 2, 3 і 4, які необхідно найбільше врахувати під час установлення мінімальних технічних вимог, стандартів та процедур для рівнів надійності "низький", "істотний" та "високий" у розумінні цього Регламенту, забезпечуючи разом з цим узгоджене застосування цього Регламенту, зокрема щодо рівня надійності "високий", пов’язаного з підтвердженням тотожності особи для видання кваліфікованих сертифікатів. Установлені вимоги повинні бути технологічно нейтральними. Слід забезпечити можливість досягнення необхідних вимог до безпеки шляхом використання різних технологій.

(17) Держави-члени повинні заохочувати приватний сектор добровільно використовувати засоби електронної ідентифікації за нотифікованою схемою з метою ідентифікації, коли це є необхідним для онлайн-послуг або електронних транзакцій. Можливість використання таких засобів електронної ідентифікації надасть змогу приватному сектору покладатися на електронну ідентифікацію та автентифікацію, що вже широко використовуються в багатьох державах-членах, щонайменше для публічних послуг та полегшити суб’єктам підприємницької діяльності та громадянам доступ до їхніх транскордонних онлайн-послуг. Для того, щоб сприяти транскордонному використанню приватним сектором таких засобів електронної ідентифікації, надана будь-якою державою-членом можливість автентифікації повинна бути доступною для сторін-користувачів приватного сектора, заснованих за межами держави-члена, на таких самих умовах, як ті, що застосовують до сторін-користувачів приватного сектора, заснованих у межах держави-члена. Відповідно, щодо сторін-користувачів приватного сектора держава-член, що здійснює нотифікацію, може визначити умови доступу до засобів автентифікації. У межах таких умов доступу можуть повідомляти, чи доступні на разі для сторін-користувачів приватного сектора засоби автентифікації, пов’язані з нотифікованою схемою.

(18) У цьому Регламенті необхідно передбачати відповідальність держави-члена, що здійснює нотифікацію, сторони, що випускає засоби електронної ідентифікації, та сторони, що виконує процедуру автентифікації, за невиконання відповідних обов’язків за цим Регламентом. Проте цей Регламент необхідно застосовувати відповідно до національних правил щодо відповідальності. Тому він не впливає на такі національні правила щодо, зокрема, визначення шкоди, або на застосовні процедурні правила, в тому числі щодо тягаря доказування.

(19) Безпека схем електронної ідентифікації є ключовою для благонадійного транскордонного взаємного визнання засобів електронної ідентифікації. У цьому контексті держави-члени повинні співпрацювати в питаннях безпеки та інтероперабельності схем електронної ідентифікації на рівні Європейського Союзу. Щоразу, коли схеми електронної ідентифікації вимагають специфічного апаратного або програмного забезпечення, яке використовуватимуть сторони-користувачі на національному рівні, транскордонна інтероперабельність передбачає, щоб такі держави-члени не покладали виконання таких вимог і пов’язані з ними витрати на сторін-користувачів, заснованим за межами їхніх територій. У цьому випадку відповідні рішення необхідно обговорювати і розробляти в рамках інтероперабельності. Тим не менш, неминучим є встановлення технічних вимог, які випливають із характерних специфікацій національних засобів електронної ідентифікації та можуть мати вплив на держателів таких електронних засобів (наприклад, смарт-карт).

(20) Співпраця держав-членів повинна сприяти технічній інтероперабельності нотифікованих схем електронної ідентифікації з метою створення високого рівня довіри і безпеки, що відповідає ступеню ризику. Обмін інформацією та найкращими практиками між державами-членами з метою їх взаємного визнання повинен сприяти такій співпраці.

(21) У цьому Регламенті необхідно також встановити загальні правові рамки для використання довірчих послуг. Проте такі рамки не повинні створювати загального обов’язку використовувати їх або встановлювати пункт доступу до всіх наявних довірчих послуг. Зокрема, вони не повинні охоплювати послуги, використовувані винятково визначеною групою учасників у межах закритих систем, які не мають впливу на третіх осіб. Наприклад, системи, створені у суб’єктах підприємницької діяльності або публічних адміністраціях для управління внутрішніми процедурами з використанням довірчих послуг, не повинні підпадати під дію вимог цього Регламенту. Лише довірчі послуги, що їх надають широкому загалу і вплив яких поширюється на третіх осіб, повинні відповідати вимогам, установленим у Регламенті. Цей Регламент також не повинен охоплювати аспекти, пов’язані з укладенням та чинністю договорів або інших юридичних обов’язків, де є вимоги щодо форми, встановленої національним правом або правом Союзу. Крім того, він не повинен впливати на національні вимоги щодо форм, пов’язаних із публічними реєстрами, зокрема комерційними і земельними реєстрами.

(22) Для того, щоб сприяти загальному транскордонному використанню довірчих послуг, повинна існувати можливість використовувати їх як докази в провадженнях в усіх державах-членах. Саме національне право визначає юридичну силу довірчих послуг, якщо інше не передбачено у цьому Регламенті.

(23) Тією мірою, в якій цей Регламент створює обов’язок визнавати довірчу послугу, таку довірчу послугу може бути відхилено лише в тому випадку, коли адресат обов’язку не може прочитати або верифікувати її з технічних причин, що перебувають поза безпосереднім контролем адресата. Проте такий обов’язок не повинен сам по собі вимагати від публічного органу отримання апаратного та програмного забезпечення, необхідного для технічного зчитування всіх наявних довірчих послуг.

(24) Держави-члени можуть підтримувати або впроваджувати національні положення, які відповідають праву Європейського Союзу та пов’язані з довірчими послугами, якщо такі послуги не повною мірою згармонізовано з цим Регламентом. Проте довірчі послуги, які відповідають цьому Регламенту, повинні вільно ширитися у межах внутрішнього ринку.

(25) Окрім тих довірчих послуг, що входять у закритий список довірчих послуг, передбачений у цьому Регламенті, держави-члени повинні мати вільну можливість визначати довірчі послуги інших типів з метою їх визнання на національному рівні як кваліфікованих довірчих послуг.

(26) Враховуючи темп технологічних змін, у межах цього Регламенту необхідно ухвалити підхід, відкритий для інновацій.

(27) Цей Регламент повинен бути технологічно нейтральним. Його правових наслідків необхідно досягти за допомогою будь-яких технічних засобів, що відповідають вимогам цього Регламенту.

(28) Для того, щоб, зокрема, підвищити рівень довіри саме до малих та середніх підприємств і споживачів на внутрішньому ринку та сприяти використанню довірчих послуг і продуктів, необхідно ввести поняття кваліфікованих довірчих послуг та кваліфікованого надавача довірчих послуг з метою зазначення вимог та обов’язків, що забезпечують високий рівень безпеки будь-яких використовуваних або надаваних кваліфікованих довірчих послуг і продуктів.

(29) Відповідно до зобов’язань за Конвенцією Організації Об’єднаних Націй про права осіб з інвалідністю, схваленою Рішенням Ради 2010/48/ЄС (- 8), зокрема за її статтею 9, особи з інвалідністю повинні мати можливість використовувати довірчі послуги та продукти для кінцевих користувачів, використовувані у межах надання таких послуг, на тій самій основі, що й інші споживачі. Тому, за можливості, надавані довірчі послуги та продукти для кінцевих користувачів, використовувані для надання таких послуг, повинні бути доступними для осіб з інвалідністю. Оцінювання можливості повинно також охоплювати, між іншим, технічні та економічні міркування.

(30) Держави-члени повинні призначити наглядовий орган або наглядові органи для здійснення наглядової діяльності за цим Регламентом. Держави-члени повинні також мати змогу ухвалити рішення, за взаємною домовленістю з іншою державою-членом, про призначення наглядового органу на території такої іншої держави-члена.

(31) Наглядові органи повинні співпрацювати з органами захисту даних, наприклад, інформуючи останніх про результати аудитів кваліфікованих надавачів довірчих послуг, якщо виявлено, що правила захисту персональних даних порушено. Надання інформації повинно, зокрема, охоплювати повідомлення про інциденти порушення безпеки та порушення режиму захисту персональних даних.

(32) На всіх надавачів довірчих послуг необхідно покласти обов’язок застосовувати належну практику безпеки, яка відповідає ризикам, пов’язаним з їхньою діяльністю, щоб підвищити рівень довіри користувачів до єдиного ринку.

(33) Положення про використання псевдонімів у сертифікатах не повинні перешкоджати державам-членам вимагати ідентифікації осіб відповідно до права Союзу або національного права.

(34) Усім державам-членам необхідно дотримуватися спільних суттєвих вимог до нагляду, щоб забезпечити зіставний рівень безпеки кваліфікованих довірчих послуг. Для полегшення узгодженого застосування таких вимог на території Союзу держави-члени повинні ухвалити зіставні процедури та здійснювати обмін інформацією про свою наглядову діяльність та найкращі практики у цій сфері.

(35) Усі надавачі довірчих послуг повинні підпадати під дію вимог цього Регламенту, зокрема вимог до безпеки та відповідальності, щоб забезпечити належну сумлінність, прозорість та підзвітність їхніх операцій та послуг. Однак враховуючи тип послуг, які надають надавачі довірчих послуг, доцільно, коли йдеться про такі вимоги, розрізняти кваліфікованих та некваліфікованих надавачів довірчих послуг.

(36) Установлення наглядового режиму для всіх надавачів довірчих послуг повинно забезпечити рівні умови для безпеки та підзвітності їхніх операцій та послуг, тим самим сприяючи захистові користувачів та функціонуванню внутрішнього ринку. Надавачі кваліфікованих довірчих послуг повинні підпадати під необтяжувальну та реагівну наглядову діяльність ex post, що ґрунтується на характері їхніх послуг та операцій. Тому наглядовий орган не повинен мати загального обов’язку здійснювати нагляд за некваліфікованими надавачами послуг. Наглядовий орган повинен вживати заходів у разі повідомлення йому (наприклад, безпосередньо некваліфікованим надавачем довірчих послуг, іншим наглядовим органом, користувачем чи діловим партнером або на підставі свого власного розслідування) про те, що некваліфікований надавач довірчих послуг не виконує вимог цього Регламенту.

(37) У цьому Регламенті необхідно передбачити відповідальність усіх надавачів довірчих послуг. Зокрема, у ньому встановлюють режим відповідальності, відповідно до якого всі надавачі довірчих послуг повинні нести відповідальність за шкоду, спричинену будь-якій фізичній або юридичній особі через невиконання обов’язків за цим Регламентом. Для того, щоб полегшити проведення оцінювання фінансового ризику, який надавачі довірчих послуг можуть нести або повинні покривати страховими полісами, цей Регламент дає останнім змогу встановлювати, за певних умов, обмеження у використанні надаваних ними послуг та не нести відповідальність за шкоду, спричинену перевищенням таких обмежень у використанні зазначених послуг. Клієнтів необхідно належно поінформувати про обмеження заздалегідь. Ці обмеження повинні стати впізнаваними для третьої особи, наприклад, шляхом включення інформації про обмеження в умови надання послуги або шляхом використання інших впізнаваних засобів. Для цілей введення в дію таких принципів цей Регламент необхідно застосовувати відповідно до національних правил щодо відповідальності. Тому цей Регламент не впливає на такі національні правила щодо, зокрема, визначення шкоди, умислу, необережності, або відповідні застосовні процедурні правила.

(38) Повідомлення про порушення безпеки та оцінювання ризиків порушення безпеки є суттєвими для надання належної інформації відповідним особам у разі порушення безпеки або втрати цілісності.

(39) Для надання можливості Комісії та державам-членам оцінити дієвість механізму повідомлення про порушення, який впроваджують у цьому Регламенті, до наглядових органів необхідно звернутися з проханням про надання підсумкової інформації Комісії та Європейському агентству мережевої та інформаційної безпеки (ENISA).

(40) Для надання можливості Комісії та державам-членам оцінити дієвість удосконаленого механізму нагляду, який впроваджують у цьому Регламенті, до наглядових органів необхідно звернутися з проханням про надання звітів про його діяльність. Це послугувало б спрощенню обміну належною практикою між наглядовими органами та забезпечило б перевірку узгодженої та ефективної реалізації суттєвих вимог до нагляду в усіх державах-членах.

(41) Для того, щоб забезпечити стабільність та довготривалість кваліфікованих довірчих послуг і підвищити рівень довіри користувачів до безперервності надання кваліфікованих довірчих послуг, наглядові органи повинні перевірити наявність і правильне застосування положень щодо планів припинення дії в разі припинення діяльності кваліфікованими надавачами довірчих послуг.

(42) Для того, щоб полегшити нагляд за кваліфікованими надавачами довірчих послуг, наприклад, якщо надавач надає свої послуги на території іншої держави-члена і не підлягає там нагляду або якщо комп’ютери надавача розташовані на території держави-члена, відмінної від тієї, у якій його засновано, необхідно створити систему взаємної допомоги між наглядовими органами в державах-членах.

(43) Для забезпечення відповідності кваліфікованих надавачів довірчих послуг та послуг, які вони надають, викладеним у цьому Регламенті вимогам, органу з оцінювання відповідності необхідно здійснювати оцінювання відповідності, а кваліфікованим надавачам довірчих послуг необхідно надати підсумкові звіти про оцінювання відповідності наглядовому органу. Щоразу, коли наглядовий орган вимагає від кваліфікованого надавача довірчих послуг надати звіт про оцінювання відповідності ad hoc, наглядовий орган повинен дотримуватися, зокрема, принципів належного управління, у тому числі обов’язку обґрунтовувати свої рішення, а також принципу пропорційності. Тому наглядовий орган повинен належно обґрунтувати своє рішення про вимогу проведення оцінювання відповідності ad hoc.

(44) Метою цього Регламенту є забезпечення узгоджених рамок для забезпечення високого рівня безпеки та правової визначеності довірчих послуг. У зв’язку з цим, займаючись оцінюванням відповідності продукції та послуг, Комісія, за доцільності, повинна прагнути досягти ефекту від взаємодії з відповідними чинними європейськими та міжнародними схемами, такими як Регламент Європейського Парламенту і Ради (ЄС) № 765/2008 (- 9), у якому встановлено вимоги до акредитації органів з оцінювання відповідності та ринкового нагляду за продуктами.

(45) З метою забезпечення ефективного процесу ініціювання, який повинен привести до включення кваліфікованих надавачів довірчих послуг і надаваних ними кваліфікованих довірчих послуг до довірчих списків, слід заохочувати до попередньої співпраці потенційних кваліфікованих надавачів довірчих послуг і компетентних наглядових органів з метою сприяння забезпеченню належної сумлінності, що веде до надання кваліфікованих довірчих послуг.

(46) Довірчі списки є суттєвими елементами у побудові довіри між учасниками ринку, оскільки вони вказують на кваліфікований статус надавача довірчих послуг під час здійснення нагляду.

(47) Довіра до онлайн-послуг і їхня зручність є суттєвими для того, щоб користувачі могли повною мірою скористатися електронними послугами і свідомо розраховувати на них. З цією метою необхідно створити знак довіри ЄС для ідентифікації кваліфікованих довірчих послуг, що їх надають кваліфіковані надавачі довірчих послуг. Такий знак довіри ЄС до кваліфікованих довірчих послуг чітко вирізнятиме кваліфіковані довірчі послуги з-поміж інших довірчих послуг, сприяючи прозорості ринку. Використання знаку довіри ЄС кваліфікованими надавачами довірчих послуг повинно бути добровільним і не повинно призводити до виконання інших вимог, відмінних від передбачених у цьому Регламенті.

(48) Хоча для забезпечення взаємного визнання електронних підписів необхідний високий рівень безпеки, у конкретних випадках, наприклад, у контексті Рішення Комісії 2009/767/ЄС (- 10), електронні підписи з нижчим рівнем безпеки також необхідно приймати.

(49) У цьому Регламенті необхідно встановити принцип, згідно з яким електронний підпис не можна позбавити юридичної сили на підставі його електронної форми або його невідповідності вимогам кваліфікованого електронного підпису. Проте саме у національному праві визначають юридичну силу електронних підписів, за винятком випадків, коли за вимогами, передбаченими у цьому Регламенті кваліфікований електронний підпис повинен мати юридичну силу, рівнозначну власноручному підпису.

(50) Оскільки компетентні органи в державах-членах на даний час використовують різні формати вдосконалених електронних підписів для підписання своїх документів в електронній формі, необхідно забезпечити технічне підтримування принаймні декількох форматів удосконалених електронних підписів у державах-членах, коли вони отримують документи, підписані в електронній формі. Подібним чином, коли компетентні органи в державах-членах використовують удосконалені електронні печатки, було б необхідно забезпечити підтримування ними принаймні декількох форматів удосконалених електронних печаток.

(51) Підписувач повинен мати можливість доручити засоби для створення кваліфікованого електронного підпису третім особам за умови, що буде впроваджено належні механізми та процедури для забезпечення одноосібного контролю підписувача за використанням його даних про створення електронного підпису, та за умови, що використання зазначених засобів відповідає вимогам до кваліфікованого електронного підпису.

(52) Створення віддалених електронних підписів за умови управління середовищем створення електронних підписів надавачем довірчих послуг від імені підписувача потребує розширення у світлі їхніх численних економічних вигод. Проте для того, щоб забезпечити юридичне визнання таких електронних підписів, рівнозначне визнанню електронних підписів, створених у середовищі, яким повністю управляє користувач, надавачі послуг щодо віддаленого електронного підпису повинні застосовувати конкретні управлінські й адміністративні процедури безпеки та використовувати надійні системи і продукти, в тому числі безпечні канали електронного зв’язку, щоб гарантувати надійність середовища створення електронних підписів та використання його під одноосібним контролем підписувача. Якщо кваліфікований електронний підпис створено за допомогою засобу для створення віддаленого електронного підпису, то необхідно застосовувати вимоги до кваліфікованих надавачів довірчих послуг, установлені в цьому Регламенті.

(53) Призупинення чинності кваліфікованих сертифікатів є усталеною діючою практикою надавачів довірчих послуг у низці держав-членів, яка відрізняється від скасування і призводить до тимчасової втрати чинності сертифіката. Правова визначеність вимагає, щоб статус призупинення чинності сертифіката було завжди чітко зазначено. З такою метою на надавачів довірчих послуг необхідно покласти обов’язок чітко зазначати статус сертифіката та, якщо чинність останнього призупинено, вказувати точний період, протягом якого чинність сертифіката буде призупинено. Цей Регламент не повинен покладати на надавачів довірчих послуг або держав-членів обов’язок застосовувати призупинення чинності, але повинен передбачати правила щодо прозорості у разі наявності такої практики.

(54) Транскордонна інтероперабельність і визнання кваліфікованих сертифікатів є передумовою для транскордонного визнання кваліфікованих електронних підписів. Тому кваліфіковані сертифікати не повинні підпадати під жодні обов’язкові вимоги, що перевищують вимоги, встановлені в цьому Регламенті. Проте на національному рівні необхідно дозволити включення до кваліфікованих сертифікатів конкретних характерних ознак, таких як унікальні ідентифікатори, за умови, що такі конкретні характерні ознаки не перешкоджають транскордонній інтероперабельності та визнанню кваліфікованих сертифікатів та електронних підписів.

(55) Сертифікація інформаційної безпеки на основі міжнародних стандартів, таких як ISO 15408, пов’язаних методів оцінювання та домовленостей щодо взаємного визнання є важливим інструментом для перевірки безпеки засобів для створення кваліфікованого електронного підпису, та необхідно сприяти її здійсненню. Проте такі інноваційні рішення і послуги, як підписання в мобільних пристроях та підписання в хмарі, залежать від технічних та організаційних рішень для тих засобів для створення кваліфікованого електронного підпису, для яких поки немає стандартів безпеки або для яких на разі проводять першу сертифікацію інформаційної безпеки. Рівень безпеки таких засобів для створення кваліфікованого електронного підпису може бути оцінено шляхом використання альтернативних процесів, лише якщо немає зазначених стандартів безпеки або на разі проводять першу сертифікацію інформаційної безпеки. Такі процеси повинні бути зіставними зі стандартами сертифікації інформаційної безпеки такою мірою, якою їхні рівні безпеки рівнозначні. Експертна оцінка може полегшити такі процеси.

(56) У цьому Регламенті необхідно встановити вимоги до засобів для створення кваліфікованого електронного підпису з метою забезпечення функціональності вдосконалених електронних підписів. Цей Регламент не повинен охоплювати все системне середовище, в якому функціонують такі пристрої. Тому сферу сертифікації засобів для створення кваліфікованого електронного підпису необхідно обмежити апаратним та програмним забезпеченням, використовуваним для управління даними для створення підписів, які створюють, зберігають або опрацьовують за допомогою засобу для створення підпису, та їх захисту. Як докладно зазначено у відповідних стандартах, сфера сертифікації не повинна поширюватися на застосунки для створення підписів.

(57) Для того, щоб забезпечити правову визначеність щодо чинності підпису, суттєвими є компоненти кваліфікованого електронного підпису, які повинна оцінити сторона-користувач, що здійснює валідацію. Крім того, визначення вимог до надавачів кваліфікованих довірчих послуг, які можуть надавати кваліфіковану послугу валідації сторонам-користувачам, які не бажають або не можуть самостійно здійснювати валідацію кваліфікованого електронного підпису, повинно стимулювати приватний та публічний сектор до інвестування в такі послуги. Обидві складові повинні полегшити та зробити зручнішою валідацію кваліфікованого електронного підпису для всіх осіб на рівні Союзу.

(58) Якщо транзакція передбачає використання юридичною особою кваліфікованої електронної печатки, кваліфікований електронний підпис уповноваженого представника юридичної особи необхідно прийняти рівнозначно.

(59) Електронні печатки повинні слугувати доказом того, що юридична особа видала електронний документ, забезпечуючи певність у походженні документа та цілісності.

(60) Надавачі довірчих послуг, які видають кваліфіковані сертифікати електронних печаток, повинні вжити необхідних заходів для того, щоб мати можливість встановити тотожність фізичної особи, яка представляє юридичну особу, якій надають кваліфікований сертифікат електронної печатки, якщо таке встановлення необхідне на національному рівні у контексті судових чи адміністративних проваджень.

(61) Цей Регламент повинен забезпечити довгострокове збереження інформації для забезпечення юридичної сили електронних підписів та електронних печаток протягом тривалого часу та гарантування можливості їх валідації незалежно від технологічних змін в майбутньому.

(62) Для того, щоб забезпечити безпеку кваліфікованих позначок часу, цей Регламент повинен вимагати використання вдосконаленої електронної печатки, удосконаленого електронного підпису або інших рівнозначних методів. Можна передбачати, що інновації зможуть привести до появи нових технологій, які можуть забезпечити рівнозначний рівень безпеки для позначок часу. У разі використання методу, відмінного від удосконаленої електронної печатки або удосконаленого електронного підпису, надавачу кваліфікованих довірчих послуг необхідно довести у звіті про оцінювання відповідності, що такий метод забезпечує рівнозначний рівень безпеки та відповідає всім обов’язкам, установленим у цьому Регламенті.

(63) Електронні документи мають важливе значення для подальшого розвитку транскордонних електронних транзакцій на внутрішньому ринку. У цьому Регламенті необхідно встановити принцип, згідно з яким електронний документ не можна позбавити юридичної сили на підставі його електронної форми, щоб забезпечити неможливість відхилення електронної транзакції лише на підставі надання документа в електронній формі.

(64) Під час розгляду питання щодо форматів удосконалених електронних підписів і печаток Комісія повинна опиратися на чинні практики, стандарти та законодавство, зокрема на Рішення Комісії 2011/130/ЄС (- 11).

(65) Окрім автентифікації документа, що його видала юридична особа, електронні печатки можуть використовувати для автентифікації будь-яких цифрових активів юридичної особи, таких як код програмного забезпечення або сервери.

(66) Суттєвим є передбачення правових рамок для полегшення транскордонного визнання між наявними національними правовими системами, пов’язаними з послугами реєстрованої електронної доставки. Такі рамки могли б відкрити також нові ринкові можливості для надавачів довірчих послуг ЄС пропонувати нові пан’європейські послуги реєстрованої електронної доставки.

(67) Послуги автентифікації веб-сайту надають засоби, за допомогою яких відвідувач веб-сайту може переконатися, що за веб-сайтом стоїть реальний і легітимний суб’єкт. Такі послуги сприяють побудові довіри і впевненості у межах провадження підприємницької діяльності онлайн, оскільки користувачі матимуть упевненість у справжності автентифікованого вебсайту. Надання і використання послуг автентифікації веб-сайту є повністю добровільними. Проте для того, щоб автентифікація веб-сайту стала засобом підвищення довіри, давала користувачеві найкращий досвід та сприяла росту внутрішнього ринку, у цьому Регламенті необхідно встановити для надавачів та їхніх послуг мінімальні обов’язки щодо безпеки та відповідальності. Для такого було враховано результати наявних галузевих ініціатив (наприклад, Certification Authorities/Browsers Forum (CA/B Forum) (Форум органів сертифікації/розробників браузерів)). Крім того, цей Регламент не повинен заважати використанню інших засобів або методів для автентифікації веб-сайту, на які не розповсюджується дія цього Регламенту, та не повинен перешкоджати надавачам послуг автентифікації веб-сайту з третіх країн надавати свої послуги клієнтам у Союзі. Проте послуги автентифікації веб-сайту, що їх надає надавач з третьої країни, необхідно визнати кваліфікованими відповідно до цього Регламенту, лише якщо між Європейським Союзом та країною заснування надавача укладено міжнародну угоду.

(68) Поняття "юридична особа", відповідно до положень Договору про функціонування Європейського Союзу щодо заснування, надає учасникам ринку можливість вільно вибрати організаційно-правову форму, яку вони вважають доцільною для провадження своєї діяльності. Відповідно, у розумінні Договору про функціонування ЄС "юридична особа" означає будь-який суб’єкт, що його створено згідно з правом держави-члена або діяльність якого регулює право держави-члена, незалежно від його організаційно-правової форми.

(69) Установи, органи, офіси та агентства Європейського Союзу заохочують визнавати електронну ідентифікацію та довірчі послуги, охоплені цим Регламентом, для цілей адміністративної співпраці, користуючись, зокрема, вигодами наявних належних практик та результатів поточних проектів у сферах, охоплених цим Регламентом.

(70) Для того, щоб доповнити певні детальні технічні аспекти цього Регламенту у гнучкий та швидкий спосіб, Комісію необхідно наділити повноваженням ухвалювати акти відповідно до статті 290 Договору про функціонування ЄС щодо критеріїв, яким повинні відповідати органи, відповідальні за сертифікацію засобів для створення кваліфікованого електронного підпису. Особливо важливим є проведення Комісією належних консультацій під час підготовчої роботи, у тому числі на рівні експертів. Під час підготування та розроблення проектів делегованих актів, Комісія повинна забезпечити одночасне, своєчасне та належне передання відповідних документів до Європейського Парламенту і Ради.

(71) Для того, щоб забезпечити уніфіковані умови для імплементації цього Регламенту, Комісію необхідно наділити виконавчими повноваженнями, зокрема для визначення вихідних номерів стандартів, використання яких створить презумпцію відповідності певним вимогам, установленим у цьому Регламенті. Такі повноваження необхідно здійснювати згідно з Регламентом Європейського Парламенту і Ради (ЄС) № 182/2011 (- 12).

(72) Під час ухвалення делегованих або імплементаційних актів, Комісії необхідно належним чином враховувати стандарти та технічні специфікації, що їх розробили європейські та міжнародні організації та органи стандартизації, зокрема Європейський комітет зі стандартизації, Європейський інститут телекомунікаційних стандартів, Міжнародна організація зі стандартизації та Міжнародний союз електрозв’язку з метою забезпечення високого рівня безпеки та інтероперабельності електронної ідентифікації та довірчих послуг.

(73) З міркувань правової визначеності та чіткості Директиву 1999/93/ЄС необхідно скасувати.

(74) Для того, щоб забезпечити правову визначеність для учасників ринку, які вже використовують кваліфіковані сертифікати, видані фізичним особам відповідно до Директиви 1999/93/ЄС , необхідно передбачити достатній строк для перехідних цілей. У схожий спосіб необхідно встановити заходи перехідного характеру для безпечних засобів для створення підписів, відповідність яких визначено відповідно до Директиви 1999/93/ЄС, а також для надавачів послуг сертифікації, що видадуть кваліфіковані сертифікати, до 1 липня 2016 року. Нарешті, також необхідно забезпечити Комісію засобами для ухвалення імплементаційних та делегованих актів до зазначеної дати.

(75) Дати застосування, викладені в цьому Регламенті, не впливають на наявні обов’язки, покладені на держави-члени за правом Союзу, зокрема за Директивою 2006/123/ЄС .

(76) Оскільки цілі цього Регламенту не може бути достатньою мірою досягнуто державами-членами, але може бути, з огляду на масштаб діяльності, краще досягнуто на рівні Союзу, Союз може ухвалювати інструменти згідно з принципом субсидіарності, як зазначено у статті 5 Договору про Європейський Союз. Відповідно до принципу пропорційності, визначеного у згаданій статті, цей Регламент не виходить за межі того, що необхідно для досягнення таких цілей.

(77) Згідно зі статтею 28(2) Регламенту Європейського Парламенту і Ради (ЄС) № 45/2001 (- 13) проведено консультації з Уповноваженим Європейської Комісії із захисту даних, який надав висновок 27 вересня 2012 року (- 14),

УХВАЛИЛИ ЦЕЙ РЕГЛАМЕНТ:

Для цілей забезпечення належного функціонування внутрішнього ринку, маючи разом з цим на меті досягнення належного рівня безпеки засобів електронної ідентифікації та довірчих послуг, у цьому Регламенті:

(a) встановлено умови, на яких держави-члени визнають засоби електронної ідентифікації фізичних та юридичних осіб, що їх охоплює нотифікована схема електронної ідентифікації іншої держави-члена;

(b) встановлено правила щодо довірчих послуг, зокрема щодо електронних транзакцій; та

(c) встановлено правові рамки для електронних підписів, електронних печаток, електронних позначок часу, електронних документів, послуг реєстрованої електронної доставки та послуг з надання сертифікатів для автентифікації веб-сайтів.

1. Цей Регламент застосовують до схем електронної ідентифікації, що їх нотифікувала держава-член, та до надавачів довірчих послуг, заснованих у Союзі.

2. Цей Регламент не застосовують до надання довірчих послуг, що їх використовують винятково в закритих системах, що з’являються на підставі національного права або угод між визначеною групою учасників.

3. Цей Регламент не впливає на національне право або право Союзу, пов’язане з укладанням та чинністю договорів або інших юридичних чи процесуальних обов’язків, пов’язаних із формою.

Для цілей цього Регламенту застосовують такі терміни та означення:

(1) "електронна ідентифікація" означає процес використання ідентифікаційних даних особи в електронній формі, які однозначно визначають фізичну особу, або юридичну особу, або фізичну особу, що представляє юридичну особу;

(2) "засіб електронної ідентифікації" означає матеріальну та/або нематеріальну одиницю, яка містить ідентифікаційні дані особи і яку використовують для автентифікації в онлайн-послугах;

(3) "ідентифікаційні дані особи" означають сукупність даних, що дає змогу встановити тотожність фізичної особи, або юридичної особи, або фізичної особи, що представляє юридичну особу;

(4) "схема електронної ідентифікації" означає систему електронної ідентифікації, у межах якої засоби електронної ідентифікації випускають для фізичних осіб, або юридичних осіб, або фізичних осіб, що представляють юридичних осіб;

(5) "автентифікація" означає електронний процес, що дає змогу підтвердити електронну ідентифікацію фізичної або юридичної особи або походження та цілісність даних в електронній формі;

(6) "сторона-користувач" означає фізичну або юридичну особу, яка покладається на електронну ідентифікацію або довірчу послугу;

(7) "орган публічного сектора" означає державний, регіональний або місцевий орган влади, орган публічного права або асоціацію, утворену одним або декількома органами влади, одним або декількома органами публічного права, або приватну особу, уповноважену принаймні одним з таких органів влади, органів або асоціацій надавати публічні послуги, якщо останні діють у межах такого повноваження;

(8) "орган публічного права" означає орган, визначений у пункті 4 статті 2(1) Директиви Європейського Парламенту і Ради 2014/24/ЄС (- 15);

(9) "підписувач" означає фізичну особу, яка створює електронний підпис;

(10) "електронний підпис" означає дані в електронній формі, які додають до інших даних в електронній формі або логічно пов’язують з ними і які використовує підписувач для підписання;

(11) "удосконалений електронний підпис" означає електронний підпис, який відповідає вимогам, викладеним у статті 26;

(12) "кваліфікований електронний підпис" означає удосконалений електронний підпис, який створюють за допомогою засобу для створення кваліфікованого електронного підпису і який ґрунтується на кваліфікованому сертифікаті електронних підписів;

(13) "дані для створення електронного підпису" означають унікальні дані, які використовує підписувач для створення електронного підпису;

(14) "сертифікат електронного підпису" означає електронне свідоцтво, що зв’язує дані для валідації електронного підпису з фізичною особою та підтверджує щонайменше прізвище й ім’я або псевдонім такої особи;

(15) "кваліфікований сертифікат електронного підпису" означає сертифікат електронного підпису, що його видає кваліфікований надавач довірчих послуг і який відповідає вимогам, установленим у додатку I;

(16) "довірча послуга" означає електронну послугу, яку зазвичай надають за винагороду і яка охоплює:

(a) створення, верифікацію та валідацію електронних підписів, електронних печаток або електронних позначок часу, послуг реєстрованої електронної доставки та сертифікатів, пов’язаних з такими послугами; або

(b) створення, верифікацію та валідацію сертифікатів автентифікації веб-сайту; або

(c) зберігання електронних підписів, електронних печаток або сертифікатів, пов’язаних з такими послугами;

(17) "кваліфікована довірча послуга" означає довірчу послугу, яка відповідає застосовним вимогам, установленим у цьому Регламенті;

(18) "орган з оцінювання відповідності" означає орган, визначений у пункті 13 статті 2 Регламенту (ЄС) № 765/2008 та акредитований відповідно до зазначеного Регламенту як орган, компетентний в оцінюванні відповідності кваліфікованого надавача довірчих послуг та надаваних ним кваліфікованих довірчих послуг;

(19) "надавач довірчих послуг" означає фізичну або юридичну особу, яка надає одну або декілька довірчих послуг як кваліфікований або некваліфікований надавач довірчих послуг;

(20) "кваліфікований надавач довірчих послуг" означає надавача довірчих послуг, який надає одну або декілька кваліфікованих довірчих послуг та має статус кваліфікованого, що його надав наглядовий орган;

(21) "продукт" означає апаратне або програмне забезпечення чи його відповідні компоненти, призначені для використання у межах надання довірчих послуг;

(22) "засіб для створення електронного підпису" означає налаштоване програмне або апаратне забезпечення, яке використовують для створення електронного підпису;

(23) "засіб для створення кваліфікованого електронного підпису" означає засіб для створення електронного підпису, що відповідає вимогам, установленим у додатку II;

(24) "створювач печатки" означає юридичну особу, яка створює електронну печатку;

(25) "електронна печатка" означає дані в електронній формі, які додаються до інших даних в електронній формі або логічно пов’язують з ними для забезпечення походження та цілісності останніх;

(26) "удосконалена електронна печатка" означає електронну печатку, яка відповідає вимогам, викладеним у статті 36;

(27) "кваліфікована електронна печатка" означає удосконалену електронну печатку, яку створюють за допомогою засобу для створення кваліфікованої електронної печатки і яка ґрунтується на кваліфікованому сертифікаті електронної печатки;

(28) "дані для створення електронної печатки" означають унікальні дані, які використовує створювач електронної печатки для створення електронної печатки;

(29) "сертифікат електронної печатки" означає електронне свідоцтво, що пов’язує дані для валідації електронної печатки з юридичною особою та підтверджує найменування цієї особи;

(30) "кваліфікований сертифікат електронної печатки" означає сертифікат електронної печатки, що його видає кваліфікований надавач довірчих послуг і який відповідає вимогам, установленим у додатку III;

(31) "засіб для створення електронної печатки" означає налаштоване програмне або апаратне забезпечення, яке використовують для створення електронних печаток;

(32) "засіб для створення кваліфікованої електронної печатки" означає засіб для створення електронної печатки, який відповідає mutatis mutandis вимогам, установленим у додатку II;

(33) "електронна позначка часу" означає дані в електронній формі, які пов’язують інші електронні дані з певним моментом часу, надаючи доказ того, що останні існували в той час;

(34) "кваліфікована електронна позначка часу" означає електронну позначку часу, яка відповідає вимогам, установленим у статті 42;

(35) "електронний документ" означає будь-який контент, який зберігають в електронній формі, зокрема текст або звук, візуальний або аудіовізуальний запис;

(36) "послуга реєстрованої електронної доставки" означає послугу, яка дає змогу передавати дані між третіми особами за допомогою електронних засобів, надає докази, пов’язані з опрацюванням переданих даних, у тому числі підтвердження відправлення та отримання даних, і захищає передані дані від ризику втрати, викрадення, пошкодження або несанкціонованих змін;

(37) "кваліфікована послуга реєстрованої електронної доставки" означає послугу реєстрованої електронної доставки, яка відповідає вимогам, установленим у статті 44;

(38) "сертифікат автентифікації веб-сайту" означає свідоцтво, яке дає змогу автентифікувати веб-сайт та пов’язує веб-сайт з фізичною або юридичною особою, якій видали сертифікат;

(39) "кваліфікований сертифікат автентифікації веб-сайту" означає сертифікат автентифікації веб-сайту, що його видає кваліфікований надавач довірчих послуг і який відповідає вимогам, установленим у додатку IV;

(40) "дані для валідації" означають дані, які використовують для валідації електронного підпису або електронної печатки;

(41) "валідація" означає процес верифікації та підтвердження дійсності електронного підпису або електронної печатки.

1. Не повинно існувати жодних обмежень для надання довірчих послуг на території однієї держави-члена надавачем довірчих послуг, заснованим у іншій державі-члені, з причин, що належать до сфер, на які розповсюджується дія цього Регламенту.

2. Продукти та довірчі послуги, що відповідають вимогам цього Регламенту, допускають довільного обігу на внутрішньому ринку.

1. Опрацювання персональних даних здійснюють відповідно до Директиви 95/46/ЄС .

2. Без обмеження юридичної сили, надаваної псевдонімам за національним правом, використання псевдонімів в електронних транзакціях не забороняють.

1. Якщо для доступу до онлайн-послуги, яку надає орган публічного сектора онлайн у будь-якій державі-члені, національне право або адміністративна практика вимагають електронної ідентифікації за допомогою засобів електронної ідентифікації та автентифікації, засоби електронної ідентифікації, випущені в іншій державі-члені, визнає перша держава-член для цілей транскордонної автентифікації тієї онлайн послуги за умови дотримання таких умов:

(a) засоби електронної ідентифікації випускають за схемою електронної ідентифікації, внесеною у список, що його опублікувала Комісія відповідно до статті 9;

(b) рівень надійності засобів електронної ідентифікації відповідає рівню надійності, який вимагає відповідний орган публічного сектора для доступу до такої послуги онлайн в першій державі-члені, або вищий, ніж такий рівень, за умови відповідності рівня надійності засобів електронної ідентифікації рівню надійності "істотний" або "високий";