Регламент Європейського Парламенту і Ради (ЄС) № 910/2014 від 23 липня 2014 року про електронну ідентифікацію та довірчі послуги для електронних транзакцій на внутрішньому ринку та про скасування Директиви 1999/93/ЄС

1. Електронну печатку не можуть позбавити юридичної сили і можливості бути прийнятою як доказ у провадженнях лише на підставі її електронної форми або її невідповідності вимогам до кваліфікованої електронної печатки.

2. Кваліфікована електронна печатка користується презумпцією цілісності даних і правильності походження таких даних, з якими кваліфікована електронна печатка пов’язана.

3. Кваліфіковану електронну печатку на основі кваліфікованого сертифіката, виданого в одній державі-члені, визнають кваліфікованою електронною печаткою у всіх інших держав-членів.

Удосконалена електронна печатка повинна відповідати таким вимогам:

(a) вона повинна бути однозначно пов’язаною зі створювачем печатки;

(b) вона повинна надавати можливість ідентифікувати створювача печатки;

(c) її необхідно створювати з використанням даних для створення електронної печатки, які створювач печатки може з високим ступенем упевненості та під своїм контролем використовувати для створення електронної печатки, і

(d) вона повинна бути зв’язаною з даними, з якими вона пов’язана, у такий спосіб, щоб можна було виявити будь-яку подальшу зміну даних.

1. Якщо державі-члену потрібна вдосконалена електронна печатка для використання онлайн-послуг, які пропонує орган публічного сектора або які пропонують від його імені, така держава-член визнає вдосконалені електронні печатки, вдосконалені електронні печатки на основі кваліфікованого сертифіката електронних печаток та кваліфіковані електронні печатки щонайменше в форматах або з використанням методів, про які йдеться в параграфі 5.

2. Якщо державі-члену потрібна вдосконалена електронна печатка на основі кваліфікованого сертифіката для використання онлайн-послуг, які пропонує орган публічного сектора або які пропонують від його імені, така держава-член визнає вдосконалені електронні печатки на основі кваліфікованого сертифіката та кваліфіковані електронні печатки принаймні в форматах або з використанням методів, про які йдеться в параграфі 5.

3. Держави-члени не повинні подавати запит для транскордонного використання в онлайн-послугах, які пропонує орган публічного сектора, на електронні печатки з вищим рівнем безпеки, ніж кваліфіковані електронні печатки.

4. Комісія може шляхом ухвалення імплементаційних актів установити вихідні номери стандартів для вдосконалених електронних печаток. Припускають, що відповідності вимог до вдосконалених електронних печаток, зазначених в параграфах 1 і 2 цієї статті та в статті 36, досягнуто, якщо вдосконалена електронна печатка відповідає таким стандартам. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, зазначеної в статті 48(2).

5. До 18 вересня 2015 року з урахуванням чинних практик, стандартів та правових актів Союзу Комісія повинна ухвалити імплементаційні акти, у яких визначено референтні формати вдосконалених електронних печаток або референтні методи, якщо використовують альтернативні формати. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, зазначеної в статті 48(2).

1. Кваліфіковані сертифікати електронних печаток повинні відповідати вимогам, установленим у додатку III.

2. На кваліфіковані сертифікати електронних печаток не поширюються будь-які обов’язкові вимоги, що виходять за межі вимог, установлених у додатку III.

3. Кваліфіковані сертифікати електронних печаток можуть мати необов’язкові додаткові конкретні характерні ознаки. Такі характерні ознаки не повинні впливати на інтероперабельність і визнання кваліфікованих електронних печаток.

4. Якщо кваліфікований сертифікат електронних печаток скасовано після початкової активації,він втрачає свою чинність з моменту його скасування і його статус за жодних обставин не повинен бути поновленим.

5. Держави-члени можуть установити національні правила щодо призупинення чинності кваліфікованих сертифікатів електронної печатки відповідно до таких умов:

(a) якщо чинність кваліфікованого сертифіката електронної печатки призупинено, такий сертифікат втрачає свою чинність на період такого призупинення;

(b) строк призупинення чітко зазначають у базі даних сертифікатів, а статус "призупинений" повинен бути видимим протягом періоду призупинення в службі, яка надає інформацію про статус сертифіката.

6. Комісія може шляхом ухвалення імплементаційних актів установити вихідні номери стандартів для кваліфікованих сертифікатів електронних печаток. Припускають, що відповідності вимог, установлених у додатку IIІ, досягнуто, якщо кваліфікований сертифікат електронної печатки відповідає таким стандартам. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, зазначеної в статті 48(2).

1. Статтю 29 застосовують mutatis mutandis до вимог до засобів для створення кваліфікованої електронної печатки.

2. Статтю 30 застосовують mutatis mutandis до сертифікації засобів для створення кваліфікованої електронної печатки.

3. Статтю 31 застосовують mutatis mutandis до публікації списку сертифікованих засобів для створення кваліфікованої електронної печатки.

Статті 32, 33 і 34 застосовують mutatis mutandis до валідації та зберігання кваліфікованих електронних печаток.

1. Електронну позначку часу не можуть позбавити юридичної сили і можливості бути прийнятою як доказ у провадженнях лише на підставі її електронної форми або її невідповідності вимогам до кваліфікованої позначки часу.

2. Кваліфікована електронна позначка часу має презумпцію точності дати і часу, на які вона вказує, та цілісності даних, з якими такі дата та час пов’язані.

3. Кваліфіковану електронну позначку часу, випущену в одній з держав-членів, визнають кваліфікованою електронною позначкою часу у всіх інших державах-членах.

1. Кваліфікована позначка часу повинна відповідати таким вимогам:

(a) вона повинна встановити зв’язок дати і часу з даними в такий спосіб, щоб розумно виключити можливість невиявної зміни даних;

(b) вона повинна ґрунтуватися на точному джерелі часу, синхронізованому з Всесвітнім координованим часом (UTC);

(c) вона повинна бути скріплена вдосконаленим електронним підписом або вдосконаленою електронною печаткою кваліфікованого надавача довірчих послуг або з використанням іншого рівнозначного методу.

2. Комісія може шляхом ухвалення імплементаційних актів установити вихідні номери стандартів для встановлення зв’язку дати та часу з даними та для точного джерела часу. Припускають, що відповідності вимогам, установленим у параграфі 1, досягнуто, якщо прив’язання дати та часу до даних та точне джерело часу відповідають таким стандартам. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, зазначеної в статті 48(2).

1. Дані, які відправляють та отримують шляхом використання послуги реєстрованої електронної доставки, не можуть позбавити юридичної сили і можливості бути прийнятими як доказ у провадженнях лише на підставі їх електронної форми або їх невідповідності вимогам до кваліфікованої послуги реєстрованої електронної доставки.

2. Дані, які відправляють та отримують шляхом використання кваліфікованої послуги реєстрованої електронної доставки, користуються презумпцією цілісності даних, доставка таких даних ідентифікованим відправником, отримання ідентифікованим отримувачем та точності дати і часу відправлення та отримання, які зазначають під час надання кваліфікованої послуги реєстрованої електронної доставки.

1. Кваліфіковані послуги реєстрованої електронної доставки повинні відповідати таким вимогам:

(a) їх повинні надавати один чи декілька кваліфікованих надавачів довірчих послуг;

(b) вони повинні забезпечувати ідентифікацію відправника з високим рівнем довіри;

(c) вони повинні забезпечувати ідентифікацію отримувача перед доставленням даних;

(d) відправлення та отримання даних повинні бути захищеними вдосконаленим електронним підписом або вдосконаленою електронною печаткою кваліфікованого надавача довірчих послуг у спосіб, який виключає можливість невиявної зміни даних;

(e) відправника й отримувача даних необхідно чітко повідомити про будь-яку зміну даних, необхідну для відправлення або отримання даних;

(f) дату і час відправлення, отримання та будь-якої зміни даних необхідно позначити за допомогою кваліфікованої електронної позначки часу;

У разі передання даних між двома або більше кваліфікованими надавачами довірчих послуг вимоги пунктів (a)-(f) застосовують до всіх кваліфікованих надавачів довірчих послуг.

2. Комісія може шляхом ухвалення імплементаційних актів установити вихідні номери стандартів для процесів відправлення та отримання даних. Припускають, що відповідності вимогам, установленим у параграфі 1, досягнуто, якщо процеси відправлення та отримання даних відповідають таким стандартам. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, зазначеної в статті 48(2).

1. Кваліфіковані сертифікати автентифікації веб-сайту повинні відповідати вимогам, установленим у додатку IV.

2. Комісія може шляхом ухвалення імплементаційних актів установити вихідні номери стандартів для кваліфікованих сертифікатів автентифікації веб-сайту. Припускають, що відповідності вимогам, установленим у додатку IV, досягнуто, якщо кваліфікований сертифікат автентифікації веб-сайту відповідає таким стандартам. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, зазначеної в статті 48(2).

Електронний документ не можуть позбавити юридичної сили і можливості бути прийнятим як доказ у провадженнях лише на підставі його електронної форми.

1. Повноваження ухвалювати делеговані акти покладають на Комісію відповідно до умов, визначених у цій статті.

2. Повноваження ухвалювати делеговані акти, зазначені в статті 30(4), покладають на Комісію на невизначений строк, починаючи з 17 вересня 2014 року.

3. Делеговані повноваження, зазначені в статті 30(4), може бути скасовано в будь-який час Європейським Парламентом або Радою. У разі ухвалення рішення про відкликання, делеговане повноваження, зазначене у такому рішенні, анулюється. Воно набуває чинності наступного дня після публікації рішення в Офіційному віснику Європейського Союзу або із вказаної в ньому дати. Воно не впливає на чинність будь-яких делегованих актів, що вже набули чинності.

4. Відразу після ухвалення делегованого акту, Комісія повідомляє про це одночасно Європейський Парламент і Раду.

5. Делегований акт, ухвалений відповідно до статті 30(4), набуває чинності, лише якщо з боку Європейського Парламенту чи Ради впродовж двох місяців з дати повідомлення Європейського Парламенту й Ради про цей акт, не було висловлено жодних заперечень, або якщо ще до закінчення цього періоду і Європейський Парламент, і Рада повідомили Комісії, що вони не заперечуватимуть. Такий період подовжують на два місяці за ініціативи Європейського Парламенту або Ради.

1. Комісії допомагає комітет. Такий комітет є комітетом у розумінні Регламенту (ЄС) № 182/2011.

2. У разі покликання на цей параграф застосовують статтю 5 Регламенту (ЄС) № 182/2011 .

Комісія повинна здійснити перегляд застосування цього Регламенту та надати звіт Європейському Парламенту та Раді до 1 липня 2020 року. Комісія оцінює, зокрема, чи доцільно змінювати сферу застосування цього Регламенту або його конкретних положень, у тому числі статтю 6, пункт (f) статті 7 та статті 34, 43, 44 і 45, враховуючи досвід, здобутий під час застосування цього Регламенту, а також технологічні, ринкові і правові досягнення.

До звіту, зазначеного в першому параграфі, додають, за доцільності, законодавчі пропозиції.

Крім того, Комісія кожні 4 роки після надання звіту, зазначеного в першому параграфі, надає Європейському Парламенту і Раді звіт про прогрес у досягненні цілей цього Регламенту.

1. Директиву 1999/93/ЄС скасувати з 1 липня 2016 року.

2. Поклилання на скасовану Директиву необхідно тлумачити як покликання на цей Регламент.

1. Безпечні засоби для створення підпису, відповідність яких встановлено відповідно до статті 3(4) Директиви 1999/93/ЄС , вважають засобами для створення кваліфікованого підпису за цим Регламентом.

2. Кваліфіковані сертифікати, видані фізичним особам за Директивою 1999/93/ЄС , вважають кваліфікованими сертифікатами електронних підписів за цим Регламентом до закінчення строку їх чинності.

3. Надавач послуг сертифікації, який видає кваліфіковані сертифікати за Директивою 1999/93/ЄС , надає звіт про оцінювання відповідності наглядовому органу якнайшвидше, але не пізніше ніж 1 липня 2017 року. До надання такого звіту з оцінювання відповідності та завершення оцінювання наглядовим органом такого надавача послуг сертифікації, останнього вважають кваліфікованим надавачем довірчих послуг за цим Регламентом.

4. Якщо надавач послуг сертифікації, який видає кваліфіковані сертифікати за Директивою 1999/93/ЄС , не надасть звіт про оцінювання відповідності наглядовому органу протягом строку, зазначеного в параграфі 3, такого надавача послуг сертифікації не вважатимуть кваліфікованим надавачем довірчих послуг за цим Регламентом з 2 липня 2017 року.

1. Цей Регламент набуває чинності на двадцятий день після його публікації в Офіційному віснику Європейського Союзу.

2. Цей Регламент застосовують з 1 липня 2016 року, за винятком такого:

(a) статті 8(3), 9(5), 12(2)-(9), 17(8), 19(4), 20(4), 21(4), 22(5), 23(3), 24(5), 27(4) і (5), 28(6), 29(2), 30(3) і (4), 31(3), 32(3), 33(2), 34(2), 37(4) і (5), 38(6), 42(2), 44(2), 45(2), статті 47 і 48 застосовують з 17 вересня 2014 року;

(b) статтю 7, статтю 8(1) і (2), статті 9, 10, 11 та статтю 12(1) застосовують з дати застосування імплементаційних актів, зазначених у статтях 8(3) і 12(8);

(c) статтю 6 застосовують через 3 роки з дати застосування імплементаційних актів, зазначених у статтях 8(3) і 12(8).

3. Якщо нотифіковану схему електронної ідентифікації внесено у список, що його опублікувала Комісія відповідно до статті 9, до дати, зазначеної в пункті (c) параграфа 2 цієї статті, визнання засобів електронної ідентифікації за цією схемою відповідно до статті 6 необхідно здійснити не пізніше ніж через 12 місяців після опублікування цієї схеми, але не раніше ніж у день, зазначений у пункті (с) параграфа 2 цієї статті.

4. Незважаючи на пункт (c) параграфа 2 цієї статті, держава-член може вирішити, що засоби електронної ідентифікації за схемою електронної ідентифікації, що її нотифікувала відповідно до статті 9(1) інша держава-член, визнає перша держава-член з дати застосування імплементаційних актів, зазначених у статтях 8(3) і 12(8). Відповідні держави-члени повідомляють про це Комісію. Комісія оприлюднює таку інформацію.

Цей Регламент обов’язковий у повному обсязі та підлягає прямому застосуванню у всіх державах-членах.

Кваліфіковані сертифікати електронного підпису повинні містити:

(a) зазначення, щонайменше в формі, придатній для автоматизованої обробки, того, що сертифікат видано як кваліфікований сертифікат електронного підпису;

(b) набір даних, що однозначно представляють кваліфікованого надавача довірчих послуг, який видає кваліфіковані сертифікати, і містять щонайменше назву держави-члена, у якій засновано такого надавача, та:

- для юридичної особи: найменування та, за доцільності, реєстраційний номер, як зазначено в офіційних записах,

- для фізичної особи: прізвище та ім’я особи;

(c) щонайменше прізвище та ім’я підписувача або псевдонім; якщо використовують псевдонім, це необхідно чітко вказати;

(d) дані для валідації електронного підпису, які відповідають даним для створення електронного підпису;

(e) детальну інформацію про початок та завершення строку чинності сертифіката;

(f) ідентифікаційний код сертифіката, що повинен бути унікальним для кваліфікованого надавача довірчих послуг;

(g) удосконалений електронний підпис або удосконалену електронну печатку кваліфікованого надавача довірчих послуг, який видає сертифікат;

(h) місце, де безоплатно надають сертифікат, який підтримує удосконалений електронний підпис або удосконалену електронну печатку, зазначені в пункті (g);

(i) місце надання послуг, які можна використати для подання запиту на перевірку статусу чинності кваліфікованого сертифіката;

(j) якщо дані для створення електронного підпису, пов’язані з даними для валідації електронного підпису, знаходяться в засобах для створення кваліфікованого електронного підпису, належне зазначення цього щонайменше в формі, придатній для автоматизованої обробки.

1. Засоби для створення кваліфікованого електронного підпису повинні забезпечувати за допомогою належних технічних та процедурних засобів та процедур щонайменше:

(a) у розумних межах конфіденційність даних для створення електронного підпису, використовуваних для створення електронного підпису;

(b) лише одноразове внесення даних для створення електронного підпису, використовуваних для створення електронного підпису;

(c) унеможливлення, з надійністю розумного ступеня, отримання даних для створення електронного підпису, використовуваних для створення електронного підпису, та надійний захист електронного підпису від підроблення шляхом використання наявних технологій;

(d) надійний захист законним підписувачем даних для створення електронного підпису, використовуваних для створення електронного підпису, від використання іншими особами.

2. Засоби для створення кваліфікованого електронного підпису не повинні змінювати дані, які необхідно підписати, та не повинні запобігати представленню таких даних підписувачу до підписання.

3. Генерування даних для створення електронного підпису та управління ними від імені підписувача можуть здійснювати лише кваліфіковані надавачі довірчих послуг.

4. Без обмеження пункту (d) пункту 1, кваліфіковані надавачі довірчих послуг, які управляють даними для створення електронного підпису від імені підписувача, можуть дублювати дані для створення електронного підпису лише для цілей створення резервної копії за умови дотримання таких вимог:

(a) рівень безпеки продубльованих наборів даних повинен бути таким самим, як рівень безпеки оригінальних наборів даних;

(b) кількість продубльованих наборів даних не повинна перевищувати мінімальну кількість, необхідну для забезпечення безперервності надання послуги.

Кваліфіковані сертифікати електронних печаток повинні містити:

(a) зазначення, щонайменше в формі, придатній для автоматизованої обробки, того, що сертифікат видано як кваліфікований сертифікат електронної печатки;

(b) набір даних, що однозначно представляють кваліфікованого надавача довірчих послуг, який видає кваліфіковані сертифікати, і містять щонайменше назву держави-члена, у якій його засновано такого надавача, та:

- для юридичної особи: найменування та, за доцільності, реєстраційний номер, як зазначено в офіційних записах,

- для фізичної особи: прізвище та ім’я особи;

(c) щонайменше найменування створювача печатки та, за доцільності, реєстраційний номер, як зазначено в офіційних записах;

(d) дані для валідації електронної печатки, які відповідають даним для створення електронної печатки;

(e) детальну інформацію про початок та завершення строку чинності сертифіката;

(f) ідентифікаційний код сертифіката, що повинен бути унікальним для кваліфікованого надавача довірчих послуг;

(g) удосконалений електронний підпис або удосконалену електронну печатку кваліфікованого надавача довірчих послуг, який видає сертифікат;

(h) місце, де безоплатно надають сертифікат, який підтримує удосконалений електронний підпис або удосконалену електронну печатку, зазначені в пункті (g);

(i) місце надання послуг, які можна використати для подання запиту на перевірку статусу чинності кваліфікованого сертифіката;

(j) якщо дані для створення електронної печатки, пов’язані з даними для валідації електронної печатки, знаходяться в засобах для створення кваліфікованої електронної печатки, належне зазначення цього щонайменше в формі, придатній для автоматизованої обробки.

Кваліфіковані сертифікати автентифікації веб-сайту повинні містити:

(a) зазначення, щонайменше в формі, придатній для автоматизованої обробки, того, що сертифікат видано як кваліфікований сертифікат автентифікації веб-сайту;

(b) набір даних, що однозначно представляють кваліфікованого надавача довірчих послуг, який видає кваліфіковані сертифікати, і містять щонайменше назву держави-члена, у якій його засновано такого надавача, та:

- для юридичної особи: найменування та, за доцільності, реєстраційний номер, як зазначено в офіційних записах,

- для фізичної особи: прізвище та ім’я особи;

(c) для фізичних осіб: щонайменше прізвище та ім’я або псевдонім особи, якій видано сертифікат. Якщо використовують псевдонім, це необхідно чітко вказати;

для юридичних осіб: щонайменше найменування юридичної особи, якій видано сертифікат, та, за доцільності, реєстраційний номер, як зазначено в офіційних записах;

(d) складові адреси, у тому числі щонайменше місто та державу фізичної або юридичної особи, якій видано сертифікат, та, за доцільності, як зазначено в офіційних записах;

(e) назву домену, використовуваного фізичною або юридичною особою, якій видано сертифікат;

(f) детальну інформацію про початок та завершення строку чинності сертифіката;

(g) ідентифікаційний код сертифіката, що повинен бути унікальним для кваліфікованого надавача довірчих послуг;

(h) удосконалений електронний підпис або удосконалену електронну печатку кваліфікованого надавача довірчих послуг, який видає сертифікат;

(i) місце, де безоплатно надають сертифікат, який підтримує удосконалений електронний підпис або удосконалену електронну печатку, зазначені в пункті (h);

(j) місце надання послуг щодо статусу чинності сертифіката, які можна використати для подання запиту на перевірку статусу чинності кваліфікованого сертифіката.