AZ EURÓPAI PARLAMENT ÉS AZ EURÓPAI UNIÓ TANÁCSA,
tekintettel az Európai Unió működéséről szóló szerződésre és különösen annak 114. cikkére,
tekintettel az Európai Bizottság javaslatára,
a jogalkotási aktus tervezete nemzeti parlamenteknek való megküldését követően,
tekintettel az Európai Gazdasági és Szociális Bizottság véleményére * ,
rendes jogalkotási eljárás keretében * ,
mivel:
(1) A gazdasági és társadalmi fejlődés szempontjából kiemelten fontos az online környezet iránti bizalom megteremtése. A fogyasztók, a vállalkozások és a hatóságok vonakodnak tranzakcióik elektronikus úton történő végrehajtásától és új szolgáltatások igénybevételétől, mivel nem bíznak ezekben, és az ezekkel kapcsolatos jogbiztonságot nem érzik kielégítőnek.
(2) E rendelet célja a belső piacon végrehajtott elektronikus tranzakciókba vetett bizalom megerősítése a polgárok, a vállalkozások és a hatóságok közötti biztonságos elektronikus interakciók közös alapjainak kialakítása révén, aminek köszönhetően az Unión belül hatékonyabbá válnak az online magán- és közszolgáltatások, az elektronikus üzletvitel és az elektronikus kereskedelem.
(3) Az 1999/93/EK európai parlamenti és tanácsi irányelv * az elektronikus aláírásra vonatkozott, és nem hozott létre átfogó határokon átnyúló és ágazatközi uniós keretet az elektronikus tranzakciók biztonságának, megbízhatóságának és könnyű használhatóságának érdekében. Ez a rendelet megerősíti és kibővíti az említett irányelv vívmányait.
(4) A Bizottság 2010. augusztus 26-i, „Az európai digitális menetrend” című közleménye megállapította, hogy a digitális piac szétaprózódottsága, az interoperabilitás hiánya és a számítógépes bűnözés terjedése jelenti a digitális gazdaság önmagát működtető folyamatának legfőbb akadályát. Az uniós polgárságról szóló 2010. évi, „Az uniós polgárok jogainak érvényesítése előtt álló akadályok lebontása” című jelentésében a Bizottság ismét kihangsúlyozta, hogy szükség van azon főbb problémák megoldására, amelyek meggátolják az uniós polgárokat abban, hogy kihasználják az egységes digitális piac és a határokon átnyúló digitális szolgáltatások nyújtotta előnyöket.
(5) Az Európai Tanács 2011. február 4-i és 2011. október 23-i következtetéseiben felkérte a Bizottságot arra, hogy 2015-re hozzon létre digitalizált egységes piacot, tegyen gyors előrelépéseket a digitális gazdaság kulcsterületein, és segítse elő a teljes körűen integrált digitalizált egységes piac létrejöttét az online szolgáltatások határokon átnyúló alkalmazásának előmozdításával, különös tekintettel a biztonságos elektronikus azonosítás és hitelesítés elősegítésére.
(6) A Tanács 2011. május 27-i következtetéseiben felkérte a Bizottságot, hogy egyes kulcsfontosságú elemek, például az elektronikus azonosítás, az elektronikus dokumentumok, az elektronikus aláírás és az elektronikus kézbesítési szolgáltatások tagállamok közötti kölcsönös elismeréséhez és az Európai Unió egészében interoperábilis e-kormányzati szolgáltatásokhoz szükséges megfelelő feltételek megteremtésével járuljon hozzá az egységes digitális piac létrehozásához.
(7) Az Európai Parlament 2010. szeptember 21-i, az elektronikus kereskedelemben a belső piac megvalósításáról szóló állásfoglalásában * hangsúlyozta, hogy fontos az elektronikus szolgáltatások biztonsága, különösen az elektronikus aláírások és a nyilvános kulcsú infrastruktúra összeurópai szintű biztonságának megteremtése, és felkérte a Bizottságot, hogy hozza létre az európai érvényesítésszolgáltatók portálját az elektronikus aláírások határokon átnyúló kölcsönös alkalmazhatóságának és az interneten keresztül létrejövő tranzakciók biztonságának a fokozása érdekében.
(8) A 2006/123/EK európai parlamenti és tanácsi irányelv * előírja, hogy a tagállamok hozzanak létre egyablakos ügyintézési pontokat annak biztosítása érdekében, hogy a szolgáltatási tevékenység végzésére való jogosultsággal, valamint a szolgáltatási tevékenység gyakorlásával kapcsolatos minden eljárás és alaki követelmény egyszerűen teljesíthető legyen távolról és elektronikus úton, a megfelelő egyablakos ügyintézési pontoknál és az illetékes hatóságoknál. Az egyablakos ügyintézési pontokon keresztül elérhető számos online szolgáltatáshoz elektronikus azonosítás, hitelesítés és aláírás szükséges.
(9) A legtöbb esetben a polgárok nem tudják más tagállamban elektronikus azonosítójuk segítségével hiteles módon azonosítani magukat, mivel más tagállamokban nem ismerik el országuk elektronikus azonosítási rendszerét. Az ilyen elektronikus akadály meggátolja a szolgáltatókat abban, hogy a belső piac minden előnyét élvezhessék. Az elektronikus azonosító eszközök kölcsönös elismerése megkönnyíti számos szolgáltatás határokon átnyúló nyújtását a belső piacon, emellett a vállalkozások határokon átnyúló jelleggel is működhetnének anélkül, hogy a hatóságokkal való interakció során sok akadályba ütköznének.
(10) A 2011/24/EU európai parlamenti és tanácsi irányelv * létrehozott egy, az e-egészségügyért felelős nemzeti hatóságokból álló hálózatot. A határon átnyúló egészségügyi ellátás biztonságának és folytonosságának javítása érdekében a hálózatnak iránymutatásokat kell kidolgoznia az elektronikus egészségügyi adatokhoz és szolgáltatásokhoz történő határokon átnyúló hozzáférésre vonatkozóan, többek között támogatva a tagállamokat abban, „hogy közös azonosítási és hitelesítési intézkedéseket dolgozzanak ki annak elősegítése érdekében, hogy az adatok a határon átnyúló egészségügyi ellátás keretében átadhatók legyenek”. Az elektronikus azonosítás és a hitelesítés kölcsönös elismerése kulcsfontosságú ahhoz, hogy a határon átnyúló egészségügyi szolgáltatások valóban elérhetővé váljanak az uniós polgárok számára. A külföldi kezelések során a betegek egészségügyi adatainak hozzáférhetőeknek kell lenniük a kezelés helye szerinti országban. Ehhez az elektronikus azonosítást szolgáló szilárd, biztonságos és megbízható keretre van szükség.
(11) E rendeletet a 95/46/EK európai parlamenti és tanácsi irányelvben * a személyes adatok védelme tekintetében megállapított elvekkel teljes összhangban kell alkalmazni. E tekintetben a kölcsönös elismerés e rendelet által megállapított elvét illetően az online szolgáltatás igénybevételéhez szükséges hitelesítéskor a személyes adatok feldolgozásának csak azokra az azonosító adatokra szabad kiterjednie, amelyek az adott online szolgáltatás igénybevétele tekintetében megfelelőnek és relevánsnak tekinthetők, és nem lépik túl az igénybevételi jogosultság megadásához szükséges mértéket. Ezen felül a bizalmi szolgáltatóknak és a felügyeleti hatóságoknak tiszteletben kell tartaniuk a 95/46/EK irányelvben az adatfeldolgozás bizalmas jellegére és biztonságára vonatkozóan megállapított előírásokat.
(12) E rendelet egyik célkitűzése, hogy elhárítsa azokat a meglévő akadályokat, amelyek a tagállamokban az elektronikus azonosító eszközök határokon átnyúló használatának útjában állnak, legalábbis a közszolgáltatások igénybevétele céljából való hitelesítés tekintetében. E rendeletnek nem célja, hogy beavatkozzon a tagállamokban kialakított elektronikus személyazonosság-kezelő rendszerekbe és az ezekhez kapcsolódó infrastruktúrákba. E rendelet célja, hogy a tagállamok által kínált, határokon átnyúló online szolgáltatások igénybevételéhez biztosítsa a biztonságos azonosítás és hitelesítés lehetőségét.
(13) Lehetővé kell tenni, hogy a tagállamok továbbra is szabadon használhassanak vagy vezethessenek be olyan eszközöket, amelyekkel az online szolgáltatások igénybevételéhez szükséges elektronikus azonosítás elvégezhető. Ugyancsak lehetővé kell tenni számukra, hogy dönthessenek arról, hogy ezeknek az eszközöknek az elérhetővé tételébe a magánszektort is bevonják-e. Nem kell a tagállamokat arra kötelezni, hogy elektronikus azonosítási rendszereiket a Bizottságnak bejelentsék. A tagállamok dönthetnek arról, hogy a nemzeti szinten legalább az online közszolgáltatások, esetleg bizonyos konkrét szolgáltatások igénybevételéhez használt elektronikus azonosítási rendszerek mindegyikét némelyikét, vagy egyikét sem jelentik be a Bizottságnak.
(14) E rendeletben meg kell határozni bizonyos feltételeket arra vonatkozóan, hogy mely elektronikus azonosító eszközöket kell elismerni, és hogyan kell bejelenteni az elektronikus azonosítási rendszereket. E feltételek célja, hogy segítsék a tagállamokat abban, hogy felépítsék az egymás elektronikus azonosítási rendszerei iránti szükséges bizalmat, valamint kölcsönösen elismerjék a bejelentett rendszereik keretében alkalmazott elektronikus azonosító eszközöket. A kölcsönös elismerés elvét kell alkalmazni, amennyiben a bejelentő tagállam elektronikus azonosítási rendszere teljesíti a bejelentésre vonatkozó feltételeket, és a bejelentést közzétették az Európai Unió Hivatalos Lapjában. A kölcsönös elismerés elvét ugyanakkor kizárólag az online szolgáltatások igénybevételéhez szükséges hitelesítésre kell alkalmazni. Az ilyen online szolgáltatások igénybevételének és a kérelmező számára történő végleges szolgáltatásnyújtásnak szorosan kapcsolódnia kell ahhoz a joghoz, hogy az érintett e szolgáltatásokat igénybe veheti a nemzeti jogszabályokban meghatározott feltételek szerint.
(15) Az elektronikus azonosító eszközök elismerésének kötelezettségének csak azokra az eszközökre kell vonatkoznia, amelyek olyan biztonsági szintű azonosítást tesznek lehetővé, amely eléri vagy meghaladja a szóban forgó online szolgáltatás igénybevételéhez szükséges biztonsági szintet. Ezenkívül ennek a kötelezettségnek csak abban az esetben indokolt fennállnia, ha az érintett közigazgatási szerv az adott online szolgáltatás igénybevételéhez „jelentős” vagy „magas” biztonsági szintű azonosítást használ. Az uniós joggal összhangban lehetővé kell tenni a tagállamok számára, hogy olyan elektronikus azonosító eszközöket is elismerjenek, amelyek alacsonyabb biztonsági szintű azonosítást tesznek lehetővé.
(16) A biztonsági szinteknek azt kell megmutatniuk, hogy egy elektronikus azonosító eszköz milyen szintű megbízhatósággal állapítja meg egy személy személyazonosságát, ezáltal biztosítékot nyújtva arra, hogy egy bizonyos személyazonosságot sajátjának mondó személy ténylegesen az, akihez az adott személyazonosságot hozzárendelték. A biztonsági szint attól függ, hogy az elektronikus azonosító eszköz milyen szintű megbízhatósággal ellenőrzi egy személynek az általa megadott vagy állítólagos személyazonosságát, figyelembe véve az alkalmazott folyamatokat (például személyazonosítás és személyazonosság-ellenőrzés, valamint hitelesítés), az igazgatási tevékenységeket (például az elektronikus azonosító eszközöket kibocsátó szervezet valamint az ilyen eszközök kibocsátására alkalmazandó eljárás) és a végrehajtott technikai ellenőrzéseket. Az uniós finanszírozású, nagy volumenű kísérleti projektek, a szabványosítási és a nemzetközi tevékenységek eredményeképpen a biztonsági szinteknek többféle technikai meghatározása és leírása létezik. Így különösen a nagy volumenű STORK kísérleti projekt és az ISO 29115 keretében többek között a 2., 3. és 4. szint használatos, amelyeket a legmesszebbmenőkig figyelembe kell venni a minimális technikai követelmények és az e rendelet szerinti „alacsony”, „jelentős” és „magas” biztonsági szintre vonatkozó szabványok és eljárások kidolgozásakor, biztosítva ugyanakkor e rendelet következetes alkalmazását, különösen a minősített tanúsítványok kibocsátásához szükséges személyazonosság-ellenőrzéshez kapcsolódó „magas” biztonsági szint tekintetében. A megállapított követelményeknek technológiai szempontból semlegesnek kell lenniük. A szükséges biztonsági követelményeket úgy kell megállapítani, hogy azokat eltérő technológiák alkalmazásával is teljesíteni lehessen.
(17) A tagállamoknak ösztönözniük kell a magánszektort arra, hogy - önkéntes alapon - használják a bejelentett rendszer keretébe tartozó elektronikus azonosító eszközöket olyan esetekben, amelyekben az online szolgáltatásokhoz vagy elektronikus tranzakciókhoz azonosítás szükséges. Az ilyen elektronikus azonosító eszközök alkalmazásának lehetősége hozzásegítheti a magánszektort, hogy a számos tagállamban legalábbis a közszolgáltatásokhoz már széleskörűen használt elektronikus azonosításra és hitelesítésre támaszkodjon, és megkönnyíti a vállalkozások és a polgárok számára az online szolgáltatásaik más tagállamokban való igénybevételét. Annak elősegítése érdekében, hogy a magánszektor számára is biztosított legyen az ilyen elektronikus azonosító eszközök több tagállamra kiterjedő használata, a szolgáltatást igénybe venni kívánó, az adott tagállam területén kívül letelepedett magánszektorbeli felek számára egyaránt igénybe vehetővé kell tenni a bármely tagállam által biztosított hitelesítési lehetőségeket, mégpedig ugyanazon feltételek mellett, mint amelyek az adott tagállamban letelepedett, a szolgáltatást igénybe vevő magánszektorbeli felekre érvényesek. Következésképp a szolgáltatást igénybe venni kívánó, magánszektorbeli felek tekintetében a bejelentő tagállam határozhatja meg azokat a feltételeket, amelyek mellett azok igénybe vehetik a hitelesítési eszközöket. Az igénybevétel feltételei között tájékoztatás nyújtható arról is, hogy a bejelentett rendszerhez kapcsolódó hitelesítési eszközök az adott időpontban elérhetők-e a szolgáltatást igénybe venni kívánó magánszektorbeli felek számára.
(18) Ennek a rendeletnek elő kell írnia a bejelentő tagállam, az elektronikus azonosító eszközöket kibocsátó fél és a hitelesítési eljárást működtető fél felelősségét arra az esetre, ha nem teljesítik az e rendelet értelmében fennálló kötelezettségeiket. Ezt a rendeletet azonban a felelősségre vonatkozó nemzeti szabályokkal összhangban kell alkalmazni. Ennek megfelelően ez a rendelet nem érinti az említett nemzeti szabályokat, például a kár meghatározására vagy az alkalmazandó eljárási szabályokra - ideértve a bizonyítási terhet is - vonatkozó szabályokat.
(19) Az elektronikus azonosítási rendszerek biztonsága kulcsfontosságú az elektronikus azonosító eszközök tagállamok közötti kölcsönös elismeréséhez. Ezzel összefüggésben a tagállamoknak együtt kell működniük az elektronikus azonosítási rendszerek biztonságának és uniós szintű interoperabilitásának biztosítása érdekében. Amennyiben az elektronikus azonosítási rendszerek igénybevétele speciális hardver vagy szoftver használatát kívánja meg az azokat nemzeti szinten igénybe vevő felektől, határokon átnyúló interoperabilitás biztosítása érdekében a tagállamok nem követelhetik meg az ilyen eszközök használatát és nem róhatnak ehhez kapcsolódó költségeket a területükön kívül letelepedett és a szolgáltatást igénybe venni kívánó felekre. Ilyen esetben az interoperabilitási keretrendszeren belül kell tárgyalni a megfelelő megoldásokról, és kell kidolgozni azokat. Ugyanakkor elkerülhetetlen, hogy a nemzeti elektronikus azonosító eszközökre vonatkozó sajátos előírások olyan technikai követelményeket eredményezzenek, amelyek valószínűleg érintik az ilyen elektronikus eszközök (pl. intelligens kártyák) birtokosait.
(20) A tagállamok együttműködése a bejelentett elektronikus azonosítási rendszerek műszaki interoperabilitását hivatott elősegíteni a kockázat mértékének megfelelő, magas szintű bizalom és biztonság megerősítése érdekében. A tagállamok közötti információcserének és a bevált módszerek kölcsönös elismerés céljából történő megosztásának elő kell segítenie az ilyen együttműködést.
(21) E rendeletnek létre kell hoznia a bizalmi szolgáltatások általános jogi keretét is. Nem írhatja azonban elő általános kötelezettségként azok használatát, illetve azt sem, hogy minden, már meglévő bizalmi szolgáltatáshoz elérési pontot kell kialakítani. Különösen nem vonatkozhat olyan szolgáltatások nyújtására, amelyeket kizárólag meghatározott résztvevői körök használnak zárt rendszerekben, és amelyek nem érintenek harmadik feleket. A vállalkozásoknál vagy a közigazgatásban a belső eljárások lebonyolítására szolgáló és ehhez bizalmi szolgáltatásokat igénybe vevő rendszerekrepéldául e rendelet előírásainak nem kell vonatkozniuk. Csak azoknak a nyilvánosság részére nyújtott bizalmi szolgáltatásoknak kell megfelelniük az e rendeletben megállapított előírásoknak, amelyek harmadik feleket is érintenek. Ez a rendelet nem foglalkozhat továbbá a szerződések megkötésének és érvényességének szempontjaival, sem más olyan jogi kötelezettségekkel, amelyekre nemzeti vagy uniós jogszabályokban meghatározott alaki követelmények vonatkoznak. Ezen felül nem érintheti az állami - különösen a kereskedelmi és földhivatali - nyilvántartásokra vonatkozó, nemzeti jogszabályban előírt alaki követelményeket.
(22) A bizalmi szolgáltatások határokon átnyúló általános alkalmazásának elősegítése érdekében lehetővé kell tenni, hogy azokat minden tagállamban bizonyítékként lehessen felhasználni a bírósági eljárásokban. Amennyiben e rendelet másképp nem rendelkezik, a bizalmi szolgáltatásoknak az adott tagállamban érvényes joghatását a nemzeti jognak kell meghatároznia.
(23) Amennyiben e rendelet valamely bizalmi szolgáltatás elismerését kötelezővé teszi, azt a bizalmi szolgáltatást csak abban az esetben lehet elutasítani, ha e kötelezettség címzettje által közvetlenül nem befolyásolható technikai okok miatt nem tudja azt elolvasni vagy ellenőrizni. Ez a kötelezettség önmagában ugyanakkor nem jelentheti azt, hogy a közigazgatási szerveknek kötelező jelleggel be kell szerezniük az összes létező bizalmi szolgáltatás esetében az értelmezés technikai feltételeinek biztosításához szükséges hardver és szoftver eszközöket.
(24) A tagállamok az uniós joggal összhangban fenntarthatnak, illetve bevezethetnek a bizalmi szolgáltatásokra vonatkozó nemzeti rendelkezéseket, amennyiben e rendelet nem rendelkezik az érintett szolgáltatások teljes körű harmonizációjáról. Ugyanakkor biztosítani kell az e rendeletnek megfelelő bizalmi szolgáltatások belső piaci szabad forgalmát.
(25) A tagállamok eldönthetik, hogy a bizalmi szolgáltatások e rendelet szerinti kimerítő listáján szereplő szolgáltatásokon kívül meghatároznak-e olyan, más típusú bizalmi szolgáltatásokat, amelyeket nemzeti szinten minősített bizalmi szolgáltatásként ismernek el.
(26) Tekintettel a technológia gyors változására, e rendelet az innovációra nyitott megközelítést alkalmaz.
(27) E rendeletnek technológiai szempontból semlegesnek kell lennie. Az általa biztosított joghatásoknak bármely technikai eszközzel elérhetőnek kell lenniük, feltéve, hogy teljesülnek e rendelet előírásai.
(28) Különösen a kis- és középvállalkozások (kkv-k) és a fogyasztók belső piacba vetett bizalmának megerősítése, valamint a bizalmi szolgáltatások és termékek igénybevételének ösztönzése érdekében be kell vezetni a minősített bizalmi szolgáltatás és a minősített bizalmi szolgáltató fogalmát, és ennek keretében meg kell határozni azokat a követelményeket és kötelezettségeket, amelyek az igénybe vett vagy nyújtott minősített bizalmi szolgáltatások és termékek magas szintű biztonságát szavatolják.
(29) A 2010/48/EK tanácsi határozattal * jóváhagyott, a fogyatékossággal élő személyek jogairól szóló ENSZ-egyezményben és különösen az egyezmény 9. cikkében meghatározott kötelezettségekkel összhangban a fogyatékossággal élő személyek számára biztosítani kell a lehetőséget, hogy a többi fogyasztóval azonos alapon vegyék igénybe a bizalmi szolgáltatásokat és az ilyen szolgáltatásnyújtás során alkalmazott végfelhasználói termékeket. Ezért a nyújtott bizalmi szolgáltatások és az ilyen szolgáltatásnyújtás során biztosított végfelhasználói termékek esetében, amennyiben lehetséges, biztosítani kell az akadálymentességet a fogyatékossággal élő személyek számára. A megvalósíthatósági vizsgálatban ki kell térni többek között a technikai és a gazdasági szempontokra.
(30) A tagállamok az e rendelet szerinti felügyeleti tevékenységek végrehajtására egy vagy több felügyeleti szervet jelölnek ki. A tagállamok számára egy másik tagállammal elért kölcsönös megállapodás alapján lehetségesnek kell lennie, hogy felügyeleti hatóságot jelöljenek ki a másik tagállam területén.
(31) A felügyeleti szerveknek együtt kell működniük az adatvédelmi hatóságokkal, és az együttműködés keretében például tájékoztatniuk kell a hatóságokat a minősített bizalmi szolgáltatóknál végzett ellenőrzések eredményéről, amennyiben vélhetőleg sérültek a személyes adatok védelmére vonatkozó szabályok. A hatóságok rendelkezésére kell bocsátani különösen a biztonságot érintő váratlan eseményekre és a személyes adatok biztonságának megsértésére vonatkozó információkat.
(32) Valamennyi bizalmi szolgáltató köteles a tevékenységével kapcsolatos kockázatoknak megfelelő, bevált biztonsági gyakorlatot követni az egységes piacba vetett felhasználói bizalom növelése érdekében.
(33) Az álnevek tanúsítványokon való használatára vonatkozó rendelkezések nem gátolhatják meg a tagállamokat abban, hogy előírják a személyek uniós vagy nemzeti jog alapján történő azonosítását.
(34) Valamennyi tagállam esetében közös alapvető felügyeleti követelményeket kell alkalmazni a minősített bizalmi szolgáltatások hasonló biztonsági szintjének szavatolása érdekében. E követelmények Unió-szerte következetes alkalmazásának megkönnyítése céljából a tagállamoknak összehasonlítható eljárásokat kell elfogadniuk és meg kell osztaniuk egymással a felügyeleti tevékenységükkel és az e téren alkalmazott, bevált módszereikkel kapcsolatos információkat.
(35) E rendelet követelményeinek minden bizalmi szolgáltatóra vonatkozniuk kell, különös tekintettel a biztonságra, valamint működésük és szolgáltatásaik során a kellő gondosság, az átláthatóság és az elszámoltathatóság biztosításáért való felelősségükkel kapcsolatos rendelkezésekre. Figyelembe véve mindazonáltal a bizalmi szolgáltatók által nyújtott szolgáltatástípusokat, e követelmények tekintetében célszerű különbséget tenni a minősített és a nem minősített bizalmi szolgáltatók között.
(36) Egy olyan felügyeleti rendszer kialakításával, amely minden bizalmi szolgáltatóra kiterjed, biztosítható a szolgáltatók által végzett műveleteknek és az általuk nyújtott szolgáltatásoknak a biztonsága és az ezekkel kapcsolatos elszámoltathatóság, ami hozzájárul a felhasználók védelméhez és a belső piac működéséhez. A nem minősített bizalmi szolgáltatókra kevésbé szigorú, reaktív, utólagos felügyeletnek kell vonatkoznia, az általuk végzett műveletek és általuk nyújtott szolgáltatások jellege szerint. Ezért a nem minősített szolgáltatók felügyeletét nem célszerű a felügyeleti szerv számára általános kötelezettségként előírni. A felügyeleti szervnek csak akkor kell eljárnia, ha arról értesült (például az adott nem minősített bizalmi szolgáltatótól, más felügyeleti szervtől, felhasználótól, üzleti partnertől vagy saját vizsgálata alapján), hogy valamely nem minősített bizalmi szolgáltató nem tartja be a rendelet követelményeit.
(37) E rendeletben rendelkezni kell valamennyi bizalmi szolgáltatóra vonatkozóan a felelősségről. Ennek keretében felelősségi rendszert vezet be, amelynek értelmében minden bizalmi szolgáltató felelős a természetes, illetve jogi személyeknek okozott, az e rendelet szerinti kötelezettségek be nem tartásából eredő károkért. Annak érdekében, hogy könnyebben felmérhetők legyenek azok a pénzügyi kockázatok, amelyeket a bizalmi szolgáltatónak kell adott esetben viselnie, illetve amelyeket biztosítással fedeznie kell, ez a rendelet lehetővé teszi a bizalmi szolgáltatóknak, hogy bizonyos feltételek mellett korlátozásokat vezessenek be az általuk nyújtott szolgáltatások használatára vonatkozóan, és hogy a korlátozást meghaladó használatból eredő károkért ne legyenek felelősek. E korlátozásokról a fogyasztókat megfelelő módon, előre tájékoztatni kell. A korlátozásoknak harmadik felek számára felismerhetőnek kell lenniük, például a korlátozásokra vonatkozó, a szolgáltatás feltételei között szereplő információk, vagy más egyértelmű módon megadott információk alapján. Ezen elvek érvényesítése tekintetében ezt a rendeletet a felelősségre vonatkozó nemzeti szabályokkal összhangban kell alkalmazni. Ezért ez a rendelet nem befolyásolja e nemzeti szabályokat, például a kár, a szándékosság, a gondatlanság meghatározása tekintetében, illetve a vonatkozó, alkalmazandó eljárási szabályokat.
(38) A biztonság megsértésének bejelentése és a biztonsági kockázatértékelések létfontosságúak ahhoz, hogy az érintett felek számára megfelelő tájékoztatást lehessen nyújtani a biztonság megsértése vagy az adatok sértetlenségének megszűnése esetén.
(39) Annak érdekében, hogy a Bizottság és a tagállamok értékelhessék az e rendelet által bevezetett, a biztonság megsértésének bejelentésére szolgáló mechanizmus eredményességét, elő kell írni a felügyeleti szervek számára, hogy összegezzék az összegyűjtött tapasztalatokat a Bizottság és az Európai Uniós Hálózat- és Információbiztonsági Ügynökség (ENISA) részére.
(40) Annak érdekében, hogy a Bizottság és a tagállamok értékelhessék az e rendelet által bevezetett megerősített felügyeleti rendszerek eredményességét, a felügyeleti szervek számára elő kell írni, hogy beszámoljanak a tevékenységükről. Ez hozzájárulna a bevált gyakorlatok felügyeleti szervek közötti megosztásának előmozdításához, és segítségével ellenőrizhető lenne, hogy a felügyeletre vonatkozó alapvető követelményeket valamennyi tagállamban következetesen és eredményesen hajtják-e végre.
(41) A minősített bizalmi szolgáltatások fenntarthatóságának és tartósságának biztosítása céljából, valamint a minősített bizalmi szolgáltatások kontinuitása iránti felhasználói bizalom növelésének érdekében a felügyeleti szerveknek ellenőrizniük kell, hogy - arra az esetre, ha a minősített bizalmi szolgáltató megszünteti tevékenységét - rendelkezésre állnak-e a szolgáltatás-megszüntetési tervre vonatkozó rendelkezések, továbbá hogy azokat megfelelően alkalmazzák-e.
(42) A minősített bizalmi szolgáltatók felügyeletének elősegítése érdekében, például olyan esetekre, amelyekben a szolgáltató másik tagállam területén nyújt szolgáltatásokat és ott nem áll felügyelet alatt, vagy ha a szolgáltató számítógépei nem a letelepedése szerinti tagállamban találhatók, létre kell hozni a tagállamok felügyeleti szervei közötti kölcsönös segítségnyújtási rendszert.
(43) Annak biztosítása érdekében, hogy a minősített bizalmi szolgáltatók és az általuk nyújtott szolgáltatások megfeleljenek az e rendeletben meghatározott követelményeknek, egy megfelelőségértékelő szervezetnek megfelelőségértékelést kell végeznie, és az ennek eredményét tartalmazó megfelelőségértékelési jelentést a minősített bizalmi szolgáltatónak be kell nyújtania a felügyeleti szerv részére. Ha a felügyeleti szerv a minősített bizalmi szolgáltató számára eseti megfelelőségértékelési jelentés benyújtását írja elő, a felügyeleti szervnek tiszteletben kell tartania különösen a helyes igazgatás elvét - beleértve a határozatainak megindokolására vonatkozó kötelezettséget -, valamint az arányosság elvét. Ezért ha a felügyeleti szerv úgy dönt, hogy eseti jelleggel előírja a megfelelőségértékelési jelentés készítését, e döntését megfelelően meg kell indokolnia.
(44) E rendelet koherens keretet törekszik teremteni a bizalmi szolgáltatások magas szintű biztonsága és jogbiztonsága érdekében. E tekintetben a Bizottságnak, amikor a termékek és szolgáltatások megfelelőségértékelése tekintetében eljár, adott esetben törekednie kell a szinergiára a már meglévő, releváns európai és nemzetközi keretekkel, például a megfelelőségértékelő szervezetek akkreditálására és a termékek piacfelügyeletére vonatkozó követelményeket megállapító 765/2008/EK európai parlamenti és tanácsi rendelettel * .
(45) Annak érdekében, hogy hatékony legyen a minősített bizalmi szolgáltatás elindításának folyamata, amely a minősített bizalmi szolgáltatóknak és az általuk nyújtott minősített bizalmi szolgáltatásoknak a bizalmi listákba való felvételét eredményezi, ösztönözni kell a leendő minősített bizalmi szolgáltatók és az illetékes felügyeleti szervek közötti előzetes kommunikációt az átvilágítás elősegítése érdekében, amelynek lezárultával a szolgáltató minősített bizalmi szolgáltatásokat nyújthat.
(46) A bizalmi listák elengedhetetlenek a piaci szereplők bizalmának megteremtéséhez, mivel e listák jelzik a szolgáltató minősített voltát a felügyelet időpontjában.
(47) Az online szolgáltatások iránti bizalom és e szolgáltatások könnyű kezelhetősége elengedhetetlen ahhoz, hogy a felhasználók teljes körűen kiaknázhassák az elektronikus szolgáltatásokban rejlő előnyöket, és tudatosan hagyatkozzanak e szolgáltatásokra. E célból uniós bizalmi jegyet kell létrehozni a minősített bizalmi szolgáltatók által nyújtott minősített bizalmi szolgáltatások megjelölésére. A minősített bizalmi szolgáltatások uniós bizalmi jegyével egyértelműen meg lehetne különböztetni a minősített bizalmi szolgáltatásokat más bizalmi szolgáltatásoktól, ami hozzájárulna a piac átláthatóságához. Célszerű, hogy a minősített bizalmi szolgáltatók önkéntes alapon alkalmazzák a bizalmi szolgáltatások uniós bizalmi jegyét, és az ne eredményezzen az e rendeletben foglaltakon kívül további követelményeket.
(48) Míg az elektronikus aláírás kölcsönös elismerésének biztosításához magas szintű biztonságra van szükség, bizonyos esetekben, például a 2009/767/EK bizottsági határozattal * összefüggésben alacsonyabb biztonsági szintű elektronikus aláírások is elfogadhatók.
(49) E rendeletnek be kell vezetnie az elvet, miszerint egy elektronikus aláírás joghatása nem tagadható meg kizárólag amiatt, hogy az elektronikus formátumú, illetve nem felel meg a minősített elektronikus aláírásra vonatkozó összes követelménynek. Az elektronikus aláírások joghatását mindazonáltal a nemzeti jognak kell meghatároznia, kivéve az e rendeletben előírt azon követelményt, miszerint a minősített elektronikus aláírásnak a saját kezű aláírással egyenértékű joghatással kell bírnia.
(50) Mivel a tagállamok illetékes hatóságai jelenleg eltérő formátumú fokozott biztonságú elektronikus aláírást alkalmaznak dokumentumaik elektronikus aláírásához, gondoskodni kell arról, hogy arra az esetre, ha elektronikusan aláírt dokumentumokat kapnak, rendelkezzenek a fokozott biztonságú elektronikus aláírások különböző formátumai közül legalább néhánynak a kezeléséhez szükséges technikai képességgel. Arra az esetre pedig, ha a tagállamok illetékes hatóságai fokozott biztonságú elektronikus bélyegzőt használnak, gondoskodni kell arról, hogy a fokozott biztonságú elektronikus bélyegzők különböző formátumai közül legalább néhány támogatott legyen.
(51) Lehetővé kell tenni, hogy az aláíró valamely harmadik fél gondjaira bízza a minősített elektronikus aláírást létrehozó eszközöket, feltéve, hogy végrehajtják azokat a megfelelő mechanizmusokat és eljárásokat, amelyek biztosítják, hogy az aláíró elektronikus aláírás létrehozásához használt adatait kizárólag az aláíró használhassa, és az eszköz használata során teljesülnek a minősített elektronikus aláírásra vonatkozó követelmények.
(52) Számos gazdasági előnye miatt valószínűleg terjedni fog az elektronikus aláírások távolból történő létrehozása, amelynek esetében az elektronikus aláírást létrehozó környezetet az aláíró nevében egy bizalmi szolgáltató kezeli. Annak biztosítása érdekében azonban, hogy ezek az elektronikus aláírások jogilag ugyanúgy elismerhetők legyenek, mint a teljes egészében a felhasználó által kezelt környezetben létrehozott elektronikus aláírások, a távoli elektronikus aláírási szolgáltatásokat nyújtó szolgáltatóknak specifikus kezelési és adminisztratív biztonsági eljárásokat kell alkalmazniuk, és megbízható rendszereket és termékeket, többek között biztonságos elektronikus kommunikációs csatornákat kell használniuk annak érdekében, hogy garantálják az elektronikus aláírást létrehozó környezet megbízhatóságát, valamint azt, hogy a környezet használatát az aláírón kívül más ne befolyásolhassa. Az elektronikus aláírást távolból létrehozó eszköz segítségével létrehozott minősített elektronikus aláírás esetén az e rendeletben szereplő, a minősített bizalmi szolgáltatókra vonatkozó követelményeket kell alkalmazni.
(53) Több tagállamban is bevett operatív gyakorlat a bizalmi szolgáltatók körében a minősített tanúsítványok felfüggesztése, amely különbözik a visszavonástól, és a tanúsítvány érvényességének ideiglenes elvesztésével jár. A jogbiztonság érdekében a tanúsítvány felfüggesztett státusát minden esetben egyértelműen fel kell tüntetni. E célból a bizalmi szolgáltatók számára elő kell írni, hogy egyértelműen tüntessék fel a tanúsítvány státusát, és amennyiben azt felfüggesztették, a tanúsítvány felfüggesztésének pontos időtartamát. Nem célszerű, hogy ez a rendelet előírja a bizalmi szolgáltatók vagy a tagállamok számára a felfüggesztés gyakorlatának alkalmazását, hanem átláthatósági szabályokról kell rendelkeznie arra az esetre, amennyiben alkalmazzák ezt a gyakorlatot.
(54) A minősített tanúsítványok határokon átnyúló interoperabilitása és elismerése előfeltétele a minősített elektronikus aláírások tagállamközi elismerésének. Ezért nem célszerű, hogy a minősített tanúsítványokra az e rendeletben foglalt előírásokon túl kötelező követelmények vonatkozzanak. Nemzeti szinten azonban lehetővé kell tenni, hogy a minősített tanúsítványokhoz specifikus attribútumok - például egyedi azonosító - társuljon, feltéve, hogy e specifikus attribútumok nem gátolják a minősített tanúsítványok és az elektronikus aláírások határokon átnyúló interoperabilitását és elismerését.
(55) A nemzetközi szabványokon (mint az ISO 15408 szabványon és a kapcsolódó értékelési módszereken és kölcsönös elismerési megállapodásokon) alapuló informatikai biztonsági tanúsítás fontos eszköze a minősített elektronikus aláírást létrehozó eszközök biztonsága ellenőrzésének, ezért alkalmazását ösztönözni kell. Egyes innovatív megoldások és szolgáltatások (mint például a mobil aláírás, a felhőalapú aláírás stb.) ugyanakkor a minősített elektronikus aláírást létrehozó eszközöket illetően olyan technikai és szervezési megoldásokon alapulnak, amelyekre vonatkozóan még esetleg nem állnak rendelkezésre biztonsági szabványok, illetve amelyek esetében az első informatikai biztonsági tanúsítás folyamatban van. Alternatív eljárásokkal csak akkor lehetne értékelni a minősített elektronikus aláírást létrehozó eszközök biztonsági szintjét, ha nem állnak rendelkezésre biztonsági szabványok, illetve ha az első informatikai biztonsági tanúsítás folyamatban van. Ezeknek az eljárásoknak a biztonsági szintek egyenértékűségét tekintve az informatikai biztonsági tanúsítás szabványaihoz hasonlónak kell lenniük. Az eljárások lebonyolítását kölcsönös felülvizsgálattal lehetne elősegíteni.
(56) E rendeletnek a fokozott biztonságú elektronikus aláírások funkcionalitásának biztosítása érdekében követelményeket kell megállapítania a minősített elektronikus aláírást létrehozó eszközökre. Nem célszerű, hogy e rendelet kiterjedjen annak a rendszerkörnyezetnek az egészére, amelyben az ilyen eszközök üzemelnek. Ezért a minősített aláírást létrehozó eszközök tanúsítását azon hardver-eszközökre és rendszerszoftverekre kell korlátozni, amelyek az aláírást létrehozó eszközzel létrehozott, tárolt, illetve feldolgozott, aláírás létrehozásához használatos adatok kezelésére és védelmére szolgálnak. A vonatkozó szabványokban részletesen meghatározottak szerint a tanúsítási kötelezettség köréből ki kell zárni az aláírást létrehozó alkalmazásokat.
(57) Az aláírás érvényességével kapcsolatos jogbiztonság biztosítása érdekében elengedhetetlen annak meghatározása, hogy az érvényesítést végző igénybe vevő félnek a minősített elektronikus aláírás mely összetevőit kell megvizsgálnia. Ezenfelül azáltal, hogy a rendelet követelményeket határoz meg azon minősített bizalmi szolgáltatókra vonatkozóan, amelyek a minősített elektronikus aláírás érvényesítését önállóan elvégezni nem hajlandó vagy nem képes igénybe vevő felek számára minősített érvényesítési szolgáltatást tudnak nyújtani, ösztönzi a magánszektort és a közszférát az ilyen szolgáltatásokba történő beruházásra. Mindkét rendelkezés azt a célt szolgálja, hogy uniós szinten valamennyi fél számára egyszerűvé és kényelmessé tegye a minősített elektronikus aláírás érvényesítését.
(58) Amikor egy tranzakcióhoz jogi személy minősített elektronikus bélyegzője szükséges, a jogi személy képviseletre jogosult képviselőjének minősített elektronikus aláírását ugyanúgy el kell fogadni.
(59) Az elektronikus bélyegző igazolja, hogy az elektronikus dokumentumot jogi személy bocsátotta ki, biztosítva a dokumentum eredetének és sértetlenségének bizonyosságát.
(60) Az elektronikus bélyegzők minősített tanúsítványait kibocsátó bizalmi szolgáltatóknak megfelelő intézkedéseket kell bevezetniük annak érdekében, hogy képesek legyenek megállapítani az azon jogi személyt képviselő természetes személy kilétét, akinek az elektronikus bélyegzők minősített tanúsítványait nyújtották, amennyiben nemzeti szinten valamely igazságügyi, illetve közigazgatási eljárás keretében ilyen azonosítás szükséges.
(61) E rendeletnek biztosítania kell az információk hosszú távú megőrzését annak érdekében, hogy hosszú távon biztosított legyen az elektronikus aláírás és az elektronikus bélyegzők jogi érvényessége, illetve hogy azok a jövőbeli technológiai változásoktól függetlenül érvényesíthetőek legyenek.
(62) A minősített elektronikus időbélyegzők biztonságának szavatolása érdekében e rendeletnek fokozott biztonságú elektronikus bélyegző, fokozott biztonságú elektronikus aláírás vagy más, ezekkel egyenértékű módszer használatát kell előírnia. Előreláthatólag az innováció más olyan új technológiákat is eredményezhet, amelyekkel biztosítható, hogy az időbélyegzők biztonsági szintje egyenértékű legyen az említett két technológia által lehetővé tett biztonsági szinttel. A fokozott biztonságú elektronikus bélyegzőtől és a fokozott biztonságú elektronikus aláírástól eltérő módszer igénybevétele esetén a minősített bizalmi szolgáltatónak kell a megfelelőségértékelési jelentés keretében igazolnia, hogy a módszer egyenértéjű biztonsági szintet biztosít, és megfelel az e rendeletben foglalt követelményeknek.
(63) Az elektronikus dokumentumok fontosak a belső piacon létrejövő, határon átnyúló elektronikus tranzakciók további javítása szempontjából. Annak biztosítása érdekében, hogy egy elektronikus tranzakciót ne lehessen kizárólag azzal az indokkal elutasítani, hogy az elektronikus formátumú, e rendeletnek be kell vezetnie az elvet, miszerint egy elektronikus dokumentum joghatása nem tagadható meg kizárólag annak elektronikus formátuma okán.
(64) A fokozott biztonságú elektronikus aláírások és bélyegzők formátuma tekintetében a Bizottságnak a meglévő gyakorlatokból, szabványokból és jogszabályokból, különösen a 2011/130/EU bizottsági határozatból * kell ihletet merítenie.
(65) A jogi személy által kibocsátott dokumentum hitelesítésén felül az elektronikus bélyegző a jogi személy digitális eszközei, például a szoftverkód vagy a szerverek hitelesítésére is használható.
(66) Alapvetően fontos, hogy az ajánlott elektronikus kézbesítési szolgáltatások tekintetében jogi keret segítse elő a meglévő nemzeti jogrendszerek közötti elismerést. A kerettel új piaci lehetőségek is nyílnak arra, hogy az Unióban működő bizalmi szolgáltatók új páneurópai ajánlott elektronikus kézbesítési szolgáltatásokat nyújtsanak.
(67) A weboldal-hitelesítési szolgáltatások révén a webhely látogatója biztos lehet abban, hogy a webhely mögött valódi és legitim szervezet áll. Ezek a szolgáltatások hozzájárulnak az online üzleti tevékenység iránti bizalom megteremtéséhez, mivel a felhasználók meg fognak bízni az olyan weboldalakban, amelyek hitelesítve vannak. A weboldal-hitelesítési szolgáltatások nyújtása és igénybevétele teljeséggel önkéntes. Ahhoz azonban, hogy a weboldal-hitelesítés a bizalom megerősítésének, a felhasználói élmény javításának és a belső piacon a növekedés fokozásának eszközévé válhasson, e rendeletben biztonsági és felelősségi minimumkövetelményeket kell megállapítani a szolgáltatókra és az általuk nyújtott szolgáltatásokra vonatkozóan. Ennek érdekében a jogalkotó figyelembe vette a már működő ágazati kezdeményezések (például a CA/B Forum, a hitelesítés-szolgáltatók és böngészőgyártók fóruma) eredményeit. A rendelet továbbá nem gátolhatja a más, a rendelet hatályán kívül eső weboldal-hitelesítési eszközök és módszerek használatát, és nem akadályozhatja meg, hogy harmadik országbeli weboldal-hitelesítési szolgáltatók szolgáltatást nyújtsanak ügyfeleiknek az Unióban. A harmadik országbeli szolgáltató weboldal-hitelesítési szolgáltatása azonban csak akkor ismerhető el e rendelet szerint minősítettként, ha az Unió és a szolgáltató letelepedése szerinti ország között érvényben van erről szóló nemzetközi megállapodás.
(68) A „jogi személy” fogalma - az Európai Unió működéséről szóló szerződésnek (EUMSZ) a letelepedésről szóló rendelkezései szerint- meghagyja a gazdasági szereplőknek a lehetőséget, hogy szabadon megválaszthassák a tevékenységük végzésére alkalmasnak ítélt jogi formát. Ennek megfelelően, az EUMSZ szerinti „jogi személynek” minősül jogi formájától függetlenül minden olyan szervezet, amelyet valamely tagállam jogszabályai alapján hoztak létre, vagy amelynek tekintetében valamely tagállam joga az irányadó.
(69) Az Unió intézményei, szervei, hivatalai és ügynökségei számára követendő gyakorlat az e rendelet hatálya alá tartozó elektronikus azonosításnak és bizalmi szolgáltatásoknak az igazgatási együttműködés céljából történő elismerése, és e célból célszerű támaszkodniuk az e rendelet hatálya alá tartozó területeken zajló projektek eredményeire, illetve a már bevált gyakorlatra.
(70) E rendelet egyes részletes technikai vonatkozásainak rugalmas és gyors kiegészítése érdekében a Bizottságnak felhatalmazást kell kapnia arra, hogy az EUMSZ 290. cikkének megfelelően jogi aktusokat fogadjon el a minősített elektronikus aláírást létrehozó eszközök tanúsításáért felelős szervek által teljesítendő kritériumokkal kapcsolatban. Különösen fontos, hogy a Bizottság előkészítő munkája során megfelelő konzultációkat folytasson, többek között szakértői szinten is. A felhatalmazáson alapuló jogi aktusok elkészítésekor és szövegezésekor a Bizottságnak gondoskodnia kell a vonatkozó dokumentumoknak az Európai Parlament és a Tanács részére történő egyidejű, időben történő és megfelelő továbbításáról.
(71) E rendelet egységes feltételek mellett történő végrehajtásának biztosítása érdekében a Bizottságot végrehajtási hatáskörökkel kell felruházni különösen az olyan szabványok hivatkozási számainak meghatározása céljából, amelyek alkalmazása biztosítaná az e rendeletben foglalt egyes követelményeknek való megfelelés vélelmét. E hatáskört a 182/2011/EU európai parlamenti és tanácsi rendeletben * foglaltak szerint kell gyakorolni.
(72) A felhatalmazáson alapuló jogi aktusok, illetve végrehajtási jogi aktusok elfogadása során a Bizottságnak az elektronikus azonosítási és a bizalmi szolgáltatások nagyfokú biztonsága és interoperabilitása érdekében megfelelően figyelembe kell vennie az európai és nemzetközi szabványügyi szervezetek és testületek, különösen az Európai Szabványügyi Bizottság (CEN), az Európai Távközlési Szabványügyi Intézet (ETSI), a Nemzetközi Szabványügyi Szervezet (ISO) és a Nemzetközi Távközlési Egyesület (ITU) által meghatározott szabványokat és technikai előírásokat.
(73) A jogbiztonság és az egyértelműség érdekében az 1999/93/EK irányelvet hatályon kívül kell helyezni.
(74) A jogbiztonság garantálása érdekében azon piaci szereplők számára, akik az 1999/93/EK irányelvvel összhangban természetes személyek számára kibocsátott, minősített tanúsítványokat már használják, az átmenetre megfelelő hosszúságú határidőt kell előírni. Hasonlóképpen átmeneti intézkedéseket kell megállapítani az 1999/93/EK irányelvvel összhangban megfelelőnek minősített biztonságos elektronikus aláírást létrehozó eszközök esetében, valamint a 2016. július 1. előtt minősített tanúsítványokat kiállító hitelesítésszolgáltatók viszonylatában. Végezetül ugyancsak biztosítani kell a Bizottság számára a végrehajtási jogi aktusok és a felhatalmazáson alapuló jogi aktusok e határidő előtt történő elfogadásához szükséges eszközöket.
(75) Az e rendeletben meghatározott alkalmazási időpontok nem érintik a tagállamok uniós jog szerinti, már meglévő kötelezettségeit, különösen a 2006/123/EK irányelvből eredőket.
(76) Mivel e rendelet céljait a tagállamok nem tudják kielégítően megvalósítani, az Unió szintjén azonban az intézkedés léptéke miatt e célok jobban megvalósíthatók, az Unió intézkedéseket hozhat az Európai Unióról szóló szerződés 5. cikkében foglalt szubszidiaritás elvének megfelelően. Az említett cikkben foglalt arányosság elvének megfelelően ez a rendelet nem lépi túl az e célok eléréséhez szükséges mértéket.
(77) A 45/2011/EK európai parlamenti és tanácsi rendelet * 28. cikke (2) bekezdésével összhangban konzultációt folytattak az európai adatvédelmi biztossal, aki 2012. szeptember 27-én véleményt * fogadott el,
ELFOGADTA EZT A RENDELETET:
E rendelet célja a belső piac megfelelő működésének biztosítása, valamint az Unió egészében használt elektronikus azonosító eszközök és bizalmi szolgáltatások megfelelő szintű biztonságának garantálása annak érdekében, hogy lehetővé tegye és megkönnyítse a természetes és jogi személyek számára a digitális társadalomban való biztonságos részvételhez és az online köz- és magánszolgáltatásokhoz való hozzáféréshez való jog gyakorlását az Unió egész területén. E célból ez a rendelet:
a) megállapítja azokat a feltételeket, amelyek mellett a tagállamoknak el kell ismerniük a természetes és jogi személyek olyan elektronikus azonosító eszközeit, amelyek más tagállamok bejelentett elektronikus azonosítási rendszerének keretébe tartoznak, valamint amelyek mellett európai digitális személyiadat-tárcákat kell nyújtaniuk és elismerniük;
b) megállapítja a bizalmi szolgáltatásokra vonatkozó szabályokat, különösen az elektronikus tranzakciókra vonatkozókat;
c) létrehozza az elektronikus aláírásokra, az elektronikus bélyegzőkre, az elektronikus időbélyegzőkre, az elektronikus dokumentumokra, az ajánlott elektronikus kézbesítési szolgáltatásokra, a weboldal-hitelesítési szolgáltatásokra, az elektronikus archiválásra, az elektronikus attribútumtanúsítványra, az elektronikus aláírást létrehozó eszközökre, az elektronikus bélyegzőt létrehozó eszközökre és az elektronikus főkönyvekre vonatkozó jogi keretet.
(1) * Ez a rendelet a tagállamok által bejelentett elektronikus azonosítási rendszerekre, a tagállamok által nyújtott európai digitális személyiadat-tárcákra és az Unió területén letelepedett bizalmi szolgáltatókra alkalmazandó.
(2) E rendelet nem alkalmazandó a nemzeti jogszabályokon vagy meghatározott résztvevők közötti megállapodásokon alapuló, kizárólag zárt rendszerekben alkalmazott bizalmi szolgáltatások nyújtására.
(3) * Ez a rendelet nem érinti sem a szerződések megkötésére és érvényességére, sem az alaki követelményekkel kapcsolatos más jogi vagy eljárási kötelezettségekre vagy az ágazatspecifikus alaki követelményekre vonatkozó uniós vagy nemzeti jogot.
(4) * Ez a rendelet nem érinti az (EU) 2016/679 európai parlamenti és tanácsi rendeletet * .
E rendelet alkalmazásában:
1. * „elektronikus azonosítás”: egy természetes vagy jogi személyt, illetve egy másik természetes személyt vagy egy jogi személyt képviselő természetes személyt egyedileg azonosító elektronikus személyazonosító adatok felhasználásának folyamata;
2. * „elektronikus azonosító eszköz”: olyan fizikai és/vagy nem fizikai egység, amely személyazonosító adatokat tartalmaz, és amelyet online szolgáltatások, vagy adott esetben offline szolgáltatások céljából történő hitelesítésre használnak;
3. * „személyazonosító adatok”: egy természetes vagy jogi személy, vagy egy másik természetes személyt vagy egy jogi személyt képviselő természetes személy személyazonosságának megállapítását lehetővé tevő, az uniós vagy a nemzeti joggal összhangban kibocsátott adatok;
4. * „elektronikus azonosítási rendszer”: elektronikus azonosításra szolgáló rendszer, amelynek keretében természetes vagy jogi személyek, vagy más természetes személyeket vagy jogi személyeket képviselő természetes személyek számára elektronikus azonosító eszközöket bocsátanak ki;
5. * „hitelesítés”: olyan elektronikus folyamat, amely lehetővé teszi a természetes vagy jogi személy elektronikus azonosításának igazolását vagy az elektronikus adatok eredetének és sértetlenségének igazolását;
5a. * „felhasználó”: az e rendelettel összhangban nyújtott bizalmi szolgáltatásokat vagy elektronikus azonosító eszközöket igénybe vevő természetes vagy jogi személy, vagy egy másik természetes személyt vagy egy jogi személyt képviselő természetes személy;
6. * „igénybe vevő fél”: olyan természetes vagy jogi személy, aki, illetve amely elektronikus azonosítást, európai digitális személyiadat-tárcát vagy más elektronikus azonosító eszközt, vagy bizalmi szolgáltatást vesz igénybe;
7. „közigazgatási szerv”: az állam, a regionális vagy helyi hatóság, közjogi intézmény és egy vagy több ilyen hatóságból, illetve közjogi intézményből álló társulások vagy az említett hatóságok, szervek vagy társulások közül legalább egy által közszolgáltatások nyújtásával megbízott és e megbízásuk keretében eljáró magánjogi szervezetek;
8. „közjogi intézmény”: a 2014/24/EU európai parlamenti és tanácsi irányelv * 2. cikke (1) bekezdésének 4. pontjában meghatározott intézmény;
9. „aláíró”: elektronikus aláírást létrehozó természetes személy;
10. „elektronikus aláírás”: olyan elektronikus adat, amelyet más elektronikus adatokhoz csatolnak, illetve logikailag hozzárendelnek, és amelyet az aláíró aláírásra használ;
11. „fokozott biztonságú elektronikus aláírás”: olyan elektronikus aláírás, amely megfelel az a 26. cikkben meghatározott követelményeknek;
12. „minősített elektronikus aláírás”: olyan, fokozott biztonságú elektronikus aláírás, amelyet minősített elektronikus aláírást létrehozó eszközzel állítottak elő, és amely elektronikus aláírás minősített tanúsítványán alapul;
13. „elektronikus aláírás létrehozásához használt adat”: olyan egyedi adat, amelyet az aláíró elektronikus aláírás létrehozásához használ;
14. „elektronikus aláírás tanúsítványa”: olyan elektronikus igazolás, amely az elektronikus aláírást érvényesítő adatokat egy természetes személyhez kapcsolja, és igazolja legalább az érintett személy nevét vagy álnevét;
15. „elektronikus aláírás minősített tanúsítványa”: olyan, elektronikus aláírás céljára használt tanúsítvány, amelyet minősített bizalmi szolgáltató bocsát ki; és amely megfelel az I. mellékletben megállapított követelményeknek;
16. * „bizalmi szolgáltatás”: rendszerint díjazás ellenében nyújtott, az alábbiak bármelyikéből álló elektronikus szolgáltatás:
a) elektronikus aláírások tanúsítványainak, elektronikus bélyegzők tanúsítványainak, weboldal-hitelesítő tanúsítványoknak vagy egyéb bizalmi szolgáltatások nyújtására vonatkozó tanúsítványoknak a kibocsátása;
b) elektronikus aláírások tanúsítványainak, elektronikus bélyegzők tanúsítványainak, weboldal-hitelesítő tanúsítványoknak vagy egyéb bizalmi szolgáltatások nyújtására vonatkozó tanúsítványoknak az érvényesítése;
c) elektronikus aláírások vagy elektronikus bélyegzők létrehozása;
d) elektronikus aláírások vagy elektronikus bélyegzők érvényesítése;
e) elektronikus aláírásoknak, elektronikus bélyegzőknek, elektronikus aláírások tanúsítványainak vagy elektronikus bélyegzők tanúsítványainak a megőrzése;
f) távoli elektronikus aláírást létrehozó eszközök vagy távoli elektronikus bélyegzőt létrehozó eszközök kezelése;
g) elektronikus attribútumtanúsítványok kibocsátása;
h) elektronikus attribútumtanúsítványok érvényesítése;
i) elektronikus időbélyegzők létrehozása;
j) elektronikus időbélyegzők érvényesítése;
k) ajánlott elektronikus kézbesítési szolgáltatások nyújtása;
l) az ajánlott elektronikus kézbesítési szolgáltatásokon keresztül továbbított adatok és a kapcsolódó bizonyítékok érvényesítése;
m) elektronikus adatok és elektronikus dokumentumok elektronikus archiválása;
n) elektronikus adatok rögzítése elektronikus főkönyvbe;
17. „minősített bizalmi szolgáltatás”: olyan bizalmi szolgáltatás, amely megfelel az e rendeletben foglalt alkalmazandó követelményeknek;
18. * „megfelelőségértékelő szervezet”: a 765/2008/EK rendelet 2. cikkének 13. pontjában meghatározott megfelelőségértékelő szervezet, amelyet az említett rendelettel összhangban illetékesnek ismernek el a minősített bizalmi szolgáltató és az általa nyújtott minősített bizalmi szolgáltatások megfelelőségének értékelésére, vagy az európai digitális személyiadat-tárcák vagy az elektronikus azonosító eszközök tanúsításának elvégzésére;
19. „bizalmi szolgáltató”: egy vagy több bizalmi szolgáltatást nyújtó természetes vagy jogi személy; a bizalmi szolgáltató lehet minősített vagy nem minősített bizalmi szolgáltató;
20. „minősített bizalmi szolgáltató”: olyan bizalmi szolgáltató, amely egy vagy több minősített bizalmi szolgáltatást nyújt, és amelynek minősített státusát a felügyeleti szerv jóváhagyta;
21. * „termék”: olyan hardver vagy szoftver, vagy hardver vagy szoftver megfelelő alkotóeleme, amelyet elektronikus azonosítási és bizalmi szolgáltatások nyújtásában való felhasználásra szántak;
22. „elektronikus aláírást létrehozó eszköz”: elektronikus aláírás létrehozására használt, konfigurált hardver- vagy szoftvereszköz;
23. „minősített elektronikus aláírást létrehozó eszköz”: olyan, elektronikus aláírást létrehozó eszköz, amely megfelel a II. mellékletben megállapított követelményeknek;
23a. * „távoli minősített elektronikus aláírást létrehozó eszköz”: az aláíró nevében valamely minősített bizalmi szolgáltató által a 29a. cikkel összhangban kezelt, minősített elektronikus aláírást létrehozó eszköz;
23b. * „távoli minősített elektronikus bélyegzőt létrehozó eszköz”: a bélyegző létrehozója nevében valamely minősített bizalmi szolgáltató által a 39a. cikkel összhangban kezelt, minősített elektronikus bélyegzőt létrehozó eszköz;
24. „bélyegző létrehozója”: elektronikus bélyegzőt létrehozó jogi személy;
25. „elektronikus bélyegző”: olyan elektronikus adatok, amelyeket más elektronikus adatokhoz csatolnak, illetve logikailag hozzárendelnek, hogy biztosítsák a kapcsolt adatok eredetét és sértetlenségét;
26. „fokozott biztonságú elektronikus bélyegző”: olyan elektronikus bélyegző, amely megfelel a 36. cikkben meghatározott követelményeknek;
27. „minősített elektronikus bélyegző”: olyan, fokozott biztonságú elektronikus bélyegző, amelyet minősített elektronikus bélyegzőt létrehozó eszközzel állítottak elő, és amely elektronikus bélyegző minősített tanúsítványán alapul;
28. „elektronikus bélyegző létrehozásához használt adatok”: olyan egyedi adatok, amelyeket az elektronikus bélyegző létrehozója elektronikus bélyegző létrehozásához használ;
29. „elektronikus bélyegző tanúsítványa”: olyan elektronikus tanúsítvány, amely az elektronikus bélyegzőt érvényesítő adatokat egy jogi személyhez kapcsolja, és igazolja az érintett jogi személy nevét;
30. „elektronikus bélyegző minősített tanúsítványa”: elektronikus bélyegző olyan tanúsítványa, amelyet minősített bizalmi szolgáltató bocsát ki; és amely megfelel a III. mellékletben megállapított követelményeknek;
31. „elektronikus bélyegzőt létrehozó eszköz”: elektronikus bélyegző létrehozására használt, konfigurált hardver- vagy szoftvereszköz;
32. „minősített elektronikus bélyegzőt létrehozó eszköz”: olyan, elektronikus bélyegzőt létrehozó eszköz, amely értelemszerűen megfelel a II. mellékletben megállapított követelményeknek;
33. „elektronikus időbélyegző”: olyan elektronikus adatok, amelyek más elektronikus adatokat egy adott időponthoz kötnek, amivel igazolják, hogy utóbbi adatok léteztek az adott időpontban;
34. „minősített elektronikus időbélyegző”: olyan elektronikus időbélyegző, amely megfelel a 42. cikkben megállapított követelményeknek;
35. „elektronikus dokumentum”: elektronikus formában, különösen szöveg, hang-, képi vagy audiovizuális felvétel formájában tárolt bármilyen tartalom;
36. „ajánlott elektronikus kézbesítési szolgáltatás”: olyan szolgáltatás, amely lehetővé teszi az adatok harmadik felek közötti, elektronikus úton való továbbítását, és bizonyítékot szolgáltat a továbbított adatok kezelésére vonatkozóan, beleértve az adatok küldésének és fogadásának igazolását, valamint amely védi a továbbított adatokat az adatvesztés, az adatlopás, az adatkárosodás vagy a jogosulatlan adatmódosítás kockázata ellen;
37. „minősített ajánlott elektronikus kézbesítési szolgáltatás”: olyan ajánlott elektronikus kézbesítési szolgáltatás, amely megfelel a 44. cikkben megállapított követelményeknek;
38. * „weboldal-hitelesítő tanúsítvány”: olyan elektronikus igazolás, amely lehetővé teszi a weboldal hitelesítését és a weboldalt ahhoz a természetes vagy jogi személyhez kapcsolja, akinek vagy amelynek részére a tanúsítványt kibocsátották;
39. „minősített weboldal-hitelesítő tanúsítvány”: olyan weboldal-hitelesítő tanúsítvány, amelyet minősített bizalmi szolgáltató bocsát ki, és amely megfelel a IV. mellékletben megállapított követelményeknek;
40. „érvényesítési adatok”: elektronikus aláírás vagy elektronikus bélyegző érvényesítéséhez használt adatok;
41. * „érvényesítés”: az a folyamat, amelynek keretében ellenőrzik és igazolják, hogy az elektronikus adatok e rendelettel összhangban érvényesek;
42. * „európai digitális személyiadat-tárca”: olyan elektronikus azonosító eszköz, amely lehetővé teszi a felhasználó számára, hogy személyazonosító adatokat és elektronikus attribútumtanúsítványokat biztonságosan tároljon, kezeljen és érvényesítsen abból a célból, hogy azokat az igénybe vevő feleknek és az európai digitális személyiadat-tárcák egyéb felhasználóinak a rendelkezésére bocsássa, valamint hogy minősített elektronikus aláírások révén aláírjon vagy minősített elektronikus bélyegzők révén bélyegezzen;
43. * „attribútum”: valamely természetes vagy jogi személy, vagy tárgy jellemzője, sajátossága, joga vagy engedélye;
44. * „elektronikus attribútumtanúsítvány”: olyan, elektronikus formátumú igazolás, amely lehetővé teszi az attribútumok hitelesítését;
45. * „minősített elektronikus attribútumtanúsítvány”: olyan elektronikus attribútumtanúsítvány, amelyet minősített bizalmi szolgáltató bocsát ki, és amely megfelel az V. mellékletben megállapított követelményeknek;
46. * „a hiteles forrásért felelős közigazgatási szerv által vagy nevében kibocsátott elektronikus attribútumtanúsít- vány”: olyan elektronikus attribútumtanúsítvány, amelyet a hiteles forrásért felelős közigazgatási szerv vagy ilyen attribútumtanúsítványoknak a hiteles forrásért felelős közigazgatási szerv nevében való kibocsátására a tagállam által kijelölt közigazgatási szerv bocsátott ki a 45f. cikkel és a VII. melléklettel összhangban;
47. * „hiteles forrás”: olyan, közigazgatási szerv vagy magánszervezet felelősségi körében kezelt adattár vagy rendszer, amely valamely természetes vagy jogi személyre vagy tárgyra vonatkozó attribútumokat tartalmaz és szolgáltat, és amely az adott információ elsődleges forrásának minősül, vagy amelyet az uniós vagy a nemzeti jognak - beleértve a közigazgatási gyakorlatot is - megfelelően hitelesnek ismernek el;
48. * „elektronikus archiválás”: olyan szolgáltatás, amely elektronikus adatok és elektronikus dokumentumok fogadását, tárolását, visszakeresését és törlését biztosítja annak érdekében, hogy a megőrzési időszak egésze alatt garantálja azok tartósságát és olvashatóságát, valamint megőrizze azok sértetlenségét, bizalmasságát és eredetének bizonyítékát;
49. * „minősített elektronikus archiválási szolgáltatás”: olyan elektronikus archiválási szolgáltatás, amelyet valamely minősített bizalmi szolgáltató nyújt, és amely megfelel a 45j. cikkben meghatározott követelményeknek;
50. * „európai digitális személyiadat-tárca bizalmi jegye”: ellenőrizhető, egyszerű, és felismerhető, egyértelműen közölt jelzés arra vonatkozóan, hogy az európai digitális személyiadat-tárcát e rendelettel összhangban nyújtották;
51. * „erős felhasználóhitelesítés”: legalább két olyan, különböző kategóriákba - az ismeret, vagyis csak a felhasználó által ismert információ, a birtoklás, vagyis amit a felhasználó birtokol, vagy a biológiai tulajdonság, vagyis a felhasználó egyedi jellemzője, kategóriájába - tartozó hitelesítési tényező felhasználásán alapuló hitelesítés, melyek egymástól függetlenek oly módon, hogy az egyik feltörése nem veszélyezteti a többi megbízhatóságát, és az eljárás kialakítása gondoskodik a hitelesítési adatok bizalmasságáról;
52. * „elektronikus főkönyv”: elektronikus adatrekordok sorozata, amely biztosítja ezen adatrekordok integritását és ezen adatrekordok időrendi sorrendjének pontosságát;
53. * „minősített elektronikus főkönyv”: olyan elektronikus főkönyv, amelyet valamely minősített bizalmi szolgáltató nyújt és amely megfelel a 45l. cikkben meghatározott követelményeknek;
54. * „személyes adat”: az (EU) 2016/679 rendelet 4. cikkének 1. pontjában meghatározott bármely információ;
55. * „személyazonosság megfeleltetése”: olyan folyamat, amelynek során személyazonosító adatokat vagy elektronikus személyazonosító eszközöket az ugyanahhoz a személyhez tartozó meglévő fiókkal párosítanak vagy ahhoz kapcsolnak;
56. * „adatrekord”: az adatkezelést támogató kapcsolódó metaadatokkal együtt rögzített elektronikus adatok;
57. * „offline mód”: az európai digitális személyiadat-tárcák használata tekintetében a felhasználó és egy harmadik fél közötti, fizikai helyszínen, kis hatótávolságú technológiák alkalmazásával történő interakció, amelynek során az európai digitális személyiadat-tárcának nem szükséges az interakció céljából elektronikus hírközlő hálózatokon keresztül távoli rendszerekhez hozzáférnie.
(1) Az e rendelet hatálya alá eső területekhez tartozó okokból nem korlátozható a bizalmi szolgáltatásoknak egy adott tagállam területén történő, más tagállamban letelepedett bizalmi szolgáltató általi nyújtása.
(2) Biztosítani kell az e rendeletnek megfelelő termékek és bizalmi szolgáltatások belső piaci szabad forgalmát.
Az uniós vagy nemzeti jog azon konkrét szabályainak sérelme nélkül, amelyek előírják a felhasználók számára, hogy azonosítsák magukat, illetve az álnevek nemzeti jog szerinti joghatásának sérelme nélkül, nem tilos a felhasználó által választott álnevek használata.
(1) Annak biztosítása érdekében, hogy az Unióban minden természetes és jogi személy biztonságos, megbízható és zökkenőmentes, határokon átnyúló hozzáféréssel rendelkezzen a köz- és magánszolgáltatásokhoz úgy, hogy mindeközben teljes körű ellenőrzést gyakoroljon az adatai felett, minden tagállam legalább egy európai digitális személyiadat-tárcát nyújt az e cikk (23) bekezdésében és az 5c. cikk (6) bekezdésében említett végrehajtási jogi aktusok hatálybalépésétől számított 24 hónapon belül.
(2) Az európai digitális személyiadat-tárcákat az alábbi egy vagy több módon kell nyújtani:
a) közvetlenül valamely tagállam által;
b) valamely tagállam megbízásából;
c) valamely tagállamtól függetlenül, de az említett tagállam által elismert módon.
(3) Az európai digitális személyiadat-tárcák alkalmazásszoftver-alkotóelemének forráskódját nyílt forráskódú licenccel kell ellátni. A tagállamok rendelkezhetnek úgy, hogy kellően indokolt esetben a felhasználói eszközökre telepítettektől eltérő egyes konkrét alkotóelemek forráskódja ne legyen nyilvános.
(4) Az európai digitális személyiadat-tárcák a következőket teszik lehetővé a felhasználó számára felhasználóbarát, átlátható és nyomon követhető módon:
a) személyazonosító adatok és adott esetben az azokhoz társított elektronikus attribútumtanúsítványok biztonságos kérelmezése, megszerzése, kiválasztása, kombinálása, tárolása, törlése, megosztása és bemutatása - a felhasználó kizárólagos ellenőrzése mellett - az igénybe vevő felek számára online és adott esetben offline módon való hitelesítés céljából, köz- és magánszolgáltatásokhoz való hozzáférés érdekében, biztosítva ugyanakkor az adatok szelektív hozzáférhetővé tételének lehetőségét;
b) álnevek generálása és azok titkosított, helyi szintű tárolása az európai digitális személyiadat-tárcán belül;
c) egy másik személy európai digitális személyiadat-tárcájának biztonságos hitelesítése, valamint a személyazonosító adatok és az elektronikus attribútumtanúsítványok biztonságos módon történő fogadása és megosztása a két európai digitális személyiadat-tárca között;
d) hozzáférés az európai digitális személyiadat-tárcán keresztül végrehajtott összes tranzakció naplójához egy közös irányítópulton keresztül, amely lehetővé teszi a felhasználó számára, hogy:
i. megtekintse azon igénybe vevő felek naprakész listáját, amelyekkel a felhasználó kapcsolatot létesített, és adott esetben az összes kicserélt adatot;
ii. könnyen kérelmezhesse az igénybe vevő féltől a személyes adatok törlését az (EU) 2016/679 rendelet 17. cikke alapján;
iii. könnyen bejelenthesse az igénybe vevő felet az illetékes nemzeti adatvédelmi hatóságnak, ha állítólagosan jogellenes vagy gyanús adatigénylés érkezik;
e) minősített elektronikus aláírással történő aláírás vagy minősített elektronikus bélyegzővel történő bélyegzés;
f) a felhasználói adatok, az elektronikus attribútumtanúsítványok és a konfigurációk letöltése a műszakilag megvalósítható mértékben;
g) az adathordozhatóságra vonatkozó felhasználói jogok gyakorlása.
(5) Az európai digitális személyiadat-tárcáknak különösen:
a) támogatniuk kell a következőkre szolgáló közös protokollokat és interfészeket:
i. személyazonosító adatoknak, minősített és nem minősített elektronikus attribútumtanúsítványoknak vagy minősített és nem minősített tanúsítványoknak az európai digitális személyiadat-tárcák számára történő kibocsátása;
ii. személyazonosító adatoknak és elektronikus attribútumtanúsítványoknak az igénybe vevő felek általi kérelmezése és érvényesítése;
iii. személyazonosító adatok, elektronikus attribútumtanúsítványok vagy szelektíven hozzáférhetővé tett kapcsolódó adatok online és adott esetben offline módon történő megosztása és az igénybe vevő felek számára történő bemutatása;
iv. az európai digitális személyiadat-tárcával való interakció lehetővé tétele a felhasználó számára és az európai digitális személyiadat-tárca bizalmi jegyének megjelenítése;
v. a felhasználó biztonságos beléptetése elektronikus azonosító eszköz használatával az 5a. cikk (24) bekezdésének megfelelően;
vi. két személy európai digitális személyiadat-tárcája közötti interakció személyazonosító adatok és elektronikus attribútumtanúsítványok biztonságos módon történő fogadása, érvényesítése és megosztása céljából;
vii. az igénybe vevő felek hitelesítése és azonosítása hitelesítési mechanizmusok alkalmazásával az 5b. cikknek megfelelően;
viii. az európai digitális személyiadat-tárcák hitelességének és érvényességének ellenőrzése az igénybe vevő felek által;
ix. a személyes adatok törlésének kérelmezése az igénybe vevő féltől az (EU) 2016/679 rendelet 17. cikke alapján;
x. az igénybe vevő fél bejelentése az illetékes nemzeti adatvédelmi hatóságnak, ha állítólagosan jogellenes vagy gyanús adatigénylés érkezik;
xi. minősített elektronikus aláírások vagy elektronikus bélyegzők létrehozása minősített elektronikus aláírást vagy elektronikus bélyegzőt létrehozó eszközökkel;
b) nem szolgáltathatnak információt az elektronikus attribútumtanúsítványok bizalmi szolgáltatói számára az említett elektronikus tanúsítványok felhasználásáról;
c) biztosítaniuk kell, hogy az igénybe vevő feleket hitelesíteni és azonosítani lehessen az 5b. cikk szerinti hitelesítési mechanizmusok alkalmazásával;
d) meg kell felelniük a 8. cikkben a »magas« biztonsági szint tekintetében meghatározott követelményeknek, különösen a személyazonosság igazolására és ellenőrzésére, valamint az elektronikus azonosító eszközök kezelésére és hitelesítésére vonatkozó követelményeket illetően;
e) a beágyazott közzétételi szabályzatot tartalmazó elektronikus attribútumtanúsítvány esetében végre kell hajtaniuk az arra szolgáló megfelelő mechanizmust, hogy tájékoztassák a felhasználót arról, hogy az említett elektronikus attribútumtanúsítványt kérelmező igénybe vevő fél vagy az európai digitális személyiadat-tárca említett elektronikus attribútumtanúsítványt kérelmező felhasználója rendelkezik az ilyen tanúsítványhoz való hozzáférésre vonatkozó engedéllyel;
f) biztosítaniuk kell, hogy az azon elektronikus azonosítási rendszerből rendelkezésre bocsátott személyazonosító adatok, amelynek keretében az európai digitális személyiadat-tárcát nyújtják, egyedileg azonosítsák a természetes személyt, a jogi személyt vagy a természetes vagy jogi személyt képviselő természetes személyt, és össze legyenek kapcsolva az említett európai digitális személyiadat-tárcával;
g) minden természetes személy számára lehetővé kell tenniük, hogy alapértelmezés szerint és ingyenesen alkalmazhassák a minősített elektronikus aláírást.
Az első albekezdés g) pontjától eltérve a tagállamok arányos intézkedésekről rendelkezhetnek annak biztosítása érdekében, hogy a minősített elektronikus aláírás természetes személyek általi ingyenes használata a nem szakmai célú felhasználásra korlátozódjon.
(6) A tagállamok késedelem nélkül tájékoztatják a felhasználókat a biztonság minden olyan megsértéséről, amely részben vagy egészben veszélyeztethette az európai digitális személyiadat-tárcájukat vagy annak tartalmát, különösen akkor, ha az európai digitális személyiadat-tárcájukat az 5e. cikk alapján felfüggesztették vagy visszavonták.
(7) Az 5f. cikk sérelme nélkül a tagállamok a nemzeti joggal összhangban rendelkezhetnek az európai digitális személyiadat-tárcák további funkcióiról, beleértve a meglévő nemzeti elektronikus azonosító eszközökkel való interoperabilitást is. E további funkcióknak meg kell felelniük e cikknek.
(8) A tagállamok ingyenes érvényesítési mechanizmusokat biztosítanak a következők érdekében:
a) annak biztosítása, hogy az európai digitális személyiadat-tárcák hitelessége és érvényessége ellenőrizhető legyen;
b) annak lehetővé tétele, hogy a felhasználók ellenőrizni tudják az 5b. cikkel összhangban nyilvántartásba vett igénybe vevő felek személyazonosságának hitelességét és érvényességét.
(9) A tagállamok biztosítják, hogy az európai digitális személyiadat-tárca érvényességét vissza lehessen vonni az alábbi körülmények fennállása esetén:
a) a felhasználó kifejezett kérésére;
b) ha az európai digitális személyiadat-tárca biztonsága sérült;
c) a felhasználó halála vagy a jogi személy tevékenységének megszűnése esetén.
(10) Az európai digitális személyiadat-tárcákat nyújtó szolgáltatóknak biztosítaniuk kell, hogy a felhasználók könnyen kérhessenek technikai támogatást és könnyen bejelenthessék a technikai problémákat vagy az európai digitális személyiadat-tárca használatára negatív hatást gyakorló eseményeket.
(11) Az európai digitális személyiadat-tárcákat »magas« biztonsági szintű elektronikus azonosítási rendszer keretében kell biztosítani.
(12) Az európai digitális személyiadat-tárcáknak biztosítaniuk kell a beépített biztonságot.
(13) Az európai digitális személyiadat-tárcák kibocsátásának, használatának és visszavonásának ingyenesnek kell lennie minden természetes személy számára.
(14) A felhasználóknak teljes körű ellenőrzést kell tudniuk gyakorolni saját európai digitális személyiadat-tárcájuk használata felett és a saját európai digitális személyiadat-tárcájukban tárolt adatok felett. Az európai digitális személyiadat-tárcát nyújtó szolgáltató nem gyűjthet az európai digitális személyiadat-tárca használatáról olyan információkat, amelyek nem szükségesek az európai digitális személyiadat-tárcával kapcsolatos szolgáltatások nyújtásához, és nem kombinálhatja a személyazonosító adatokat vagy az európai digitális személyiadat-tárcán tárolt vagy annak használatával kapcsolatos más személyes adatokat az e szolgáltató által kínált bármely más szolgáltatásból vagy harmadik fél szolgáltatásaiból származó olyan személyes adatokkal, amelyek nem szükségesek az európai digitális személyiadat-tárcával kapcsolatos szolgáltatások nyújtásához, kivéve, ha a felhasználó kifejezetten másként kéri. Az európai digitális személyiadat-tárca nyújtásával kapcsolatos személyes adatokat az európai digitális személyiadat-tárcát nyújtó szolgáltatók birtokában lévő minden egyéb adattól logikailag elkülönítve kell tárolni. Amennyiben az európai digitális személyiadat-tárcát e cikk (2) bekezdésének b) és c) pontjával összhangban magánfelek nyújtják, a 45h. cikk (3) bekezdésének rendelkezései értelemszerűen alkalmazandók.
(15) Az európai digitális személyiadat-tárcák használata önkéntes. A köz- és magánszolgáltatásokhoz való hozzáférés, a munkaerőpiachoz való hozzáférés és a vállalkozás szabadsága semmilyen módon nem korlátozható, illetve nem tehető hátrányossá az európai digitális személyiadat-tárcákat nem használó természetes vagy jogi személyek számára. Továbbra is lehetővé kell tenni a köz- és magánszolgáltatásokhoz való hozzáférést más meglévő azonosítási és hitelesítési eszközökkel.
(16) Az európai digitális személyiadat-tárcák technikai keretének:
a) nem szabad lehetővé tennie az elektronikus attribútumtanúsítványokat nyújtó szolgáltatók vagy bármely más fél számára, hogy az attribútumtanúsítvány kibocsátását követően olyan adatokat szerezzenek meg, amelyek lehetővé teszik a tranzakciók vagy a felhasználói magatartás nyomon követését, összekapcsolását, korrelációját vagy a tranzakciókra vonatkozó ismeret vagy a felhasználói magatartás más módon történő megszerzését, kivéve, ha ezt a felhasználó kifejezetten engedélyezi;
b) lehetővé kell tennie a magánélet védelmére szolgáló olyan technikák használatát, amelyek biztosítják az ösz- szekapcsolás megakadályozását, amennyiben az attribútumok tanúsítása nem teszi szükségessé a felhasználó azonosítását.
(17) A személyes adatoknak a tagállamok által vagy a nevükben az európai digitális személyiadat-tárcák elektronikus azonosító eszközként való nyújtásáért felelős szervek vagy felek által végzett bármely kezelését megfelelő és hatékony adatvédelmi intézkedésekkel összhangban kell végezni. Bizonyítani kell, hogy az ilyen adatkezelés megfelel az (EU) 2016/679 rendeletnek. A tagállamok nemzeti szintű rendelkezéseket vezethetnek be az ilyen intézkedések alkalmazásának további pontosítása érdekében.
(18) A tagállamok indokolatlan késedelem nélkül értesítik a Bizottságot a következőkről:
a) az 5b. cikk (5) bekezdése szerinti, az európai digitális személyiadat-tárcákat igénybe vevő, nyilvántartásba vett igénybe vevő felek jegyzékének összeállításáért és fenntartásáért felelős szerv és az, hogy hol található e jegyzék;
b) az 5a. cikk (1) bekezdése szerinti, az európai digitális személyiadat-tárcák nyújtásáért felelős szervek;
c) az 5a. cikk (5) bekezdésének f) pontja szerinti, annak biztosításáért felelős szervek, hogy a személyazonosító adatok össze legyenek kapcsolva az európai digitális személyiadat-tárcával;
d) az a mechanizmus, amely lehetővé teszi az 5a. cikk (5) bekezdésének f) pontjában említett személyazonosító adatoknak és az igénybe vevő felek személyazonosságának az érvényesítését;
e) az európai digitális személyiadat-tárcák hitelességének és érvényességének érvényesítésére szolgáló mechanizmus.
A Bizottság az első albekezdés alapján bejelentett információkat automatizált feldolgozásra alkalmas, elektronikus aláírással vagy bélyegzővel ellátott formátumban, biztonságos csatornán keresztül hozzáférhetővé teszi a nyilvánosság számára.
(19) E cikk (22) bekezdésének sérelme nélkül, a 11. cikk értelemszerűen alkalmazandó az európai digitális személyiadat-tárcára.
(20) A 24. cikk (2) bekezdésének b) pontja, valamint d)-h) pontja értelemszerűen alkalmazandó az európai digitális személyiadat-tárcákat nyújtó szolgáltatókra.
(21) Az európai digitális személyiadat-tárcákat az (EU) 2019/882 európai parlamenti és tanácsi irányelvvel * összhangban a többi felhasználóval azonos alapon hozzáférhetővé kell tenni a fogyatékossággal élő személyek általi használatra.
(22) Az európai digitális személyiadat-tárcák biztosítása céljából az európai digitális személyiadat-tárcák és azon elektronikus azonosítási rendszerek, amelyek keretében nyújtják őket, nem tartoznak a 7., 9., 10., 12. és 12a. cikkben meghatározott követelmények hatálya alá.
(23) 2024. november 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az európai digitális személyiadat-tárcák megvalósításával kapcsolatos, az e cikk (4), (5), (8) és (18) bekezdésében említett követelményekre vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(24) A Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg annak érdekében, hogy megkönnyítse a felhasználóknak az európai digitális személyiadat-tárcába való beléptetését, mégpedig vagy »magas« biztonsági szintnek megfelelő elektronikus azonosító eszközök, vagy olyan, »jelentős« biztonsági szintnek megfelelő elektronikus azonosító eszközök alkalmazásával, amelyek további, távoli beléptetési eljárásokkal kombinálva együttesen megfelelnek a »magas« biztonsági szint követelményeinek. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(1) Amennyiben az igénybe vevő fél köz- vagy magánszolgáltatások digitális interakció útján történő nyújtása céljából európai digitális személyiadat-tárcákat kíván igénybe venni, az igénybe vevő félnek nyilvántartásba kell vetetnie magát a letelepedési helye szerinti tagállamban.
(2) A nyilvántartásba vételi eljárásnak költséghatékonynak és a kockázattal arányosnak kell lennie. Az igénybe vevő félnek legalább a következőket kell megadnia:
a) az európai digitális személyiadat-tárcákhoz szükséges hitelesítéshez megkívánt információk, amelyek legalább a következőket magukban foglalják:
i. az igénybe vevő fél letelepedési helye szerinti tagállam; és
ii. az igénybe vevő fél hivatalos nyilvántartásban szereplő megnevezése és adott esetben nyilvántartási száma az említett hivatalos nyilvántartás azonosító adataival együtt;
b) az igénybe vevő fél elérhetősége;
c) az európai digitális személyiadat-tárcák tervezett felhasználása, beleértve az igénybe vevő fél által a felhasználóktól kért adatok megjelölését.
(3) Az igénybe vevő felek nem kérhetik a felhasználóktól, hogy a (2) bekezdés c) pontja alapján megjelölt adatokon kívül egyéb adatokat is szolgáltassanak.
(4) Az (1) és (2) bekezdés nem érinti a konkrét szolgáltatások nyújtására alkalmazandó uniós vagy nemzeti jogot.
(5) A tagállamok a (2) bekezdésben említett információkat automatizált feldolgozásra alkalmas, elektronikus aláírással vagy bélyegzővel ellátott formátumban online nyilvánosan hozzáférhetővé teszik.
(6) Az e cikkel összhangban nyilvántartásba vett igénybe vevő feleknek haladéktalanul tájékoztatniuk kell a tagállamokat a nyilvántartásba vétel során a (2) bekezdés szerint megadott információk bármely változásáról.
(7) A tagállamok olyan közös mechanizmusról gondoskodnak, amely az 5a. cikk (5) bekezdésének c) pontjában említetteknek megfelelően lehetővé teszi az igénybe vevő felek azonosítását és hitelesítését.
(8) Amennyiben az igénybe vevő felek európai digitális személyiadat-tárcákat kívánnak igénybe venni, azonosítaniuk kell magukat a felhasználó felé.
(9) Az igénybe vevő felek felelősek az európai digitális személyiadat-tárcákból igényelt személyazonosító adatok és elektronikus attribútumtanúsítványok hitelesítésére és érvényesítésére irányuló eljárás lefolytatásáért. Az igénybe vevő felek nem utasíthatják el az álnevek használatát, ha a felhasználó azonosítását az uniós vagy nemzeti jog nem írja elő.
(10) Az igénybe vevő felek nevében eljáró köztes szereplők igénybe vevő feleknek tekintendők, és nem tárolhatnak a tranzakció tartalmával kapcsolatos adatokat.
(11) 2024. november 21-ig a Bizottság az 5a. cikk (23) bekezdésében említett, az európai digitális személyiadat-tárcák megvalósításáról szóló végrehajtási jogi aktusok útján megállapítja az e cikk (2), (5) és (6)-(9) bekezdésében említett követelményekre vonatkozó technikai specifikációkat és eljárásokat. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében vizsgálóbizottsági eljárás keretében kell elfogadni.
(1) Azt, hogy az európai digitális személyiadat-tárcák és az elektronikus azonosítási rendszer, amelynek keretében nyújtják őket, megfelelnek az 5a. cikk (4), (5) és (8) bekezdésében meghatározott követelményeknek, az 5a. cikk (14) bekezdésében meghatározott logikai elkülönítés követelményének, valamint adott esetben az 5a. cikk (24) bekezdésében meghatározott szabványoknak és technikai specifikációknak, a tagállamok által kijelölt megfelelőségértékelő szervezeteknek kell tanúsítaniuk.
(2) Annak tanúsítását, hogy az európai digitális személyiadat-tárcák megfelelnek az e cikk (1) bekezdésében említett azon követelményeknek vagy azok egy részének, amelyek a kiberbiztonság szempontjából relevánsak, az (EU) 2019/881 európai parlamenti és tanácsi rendelet * alapján elfogadott európai kiberbiztonsági tanúsítási rendszereknek és az e cikk (6) bekezdésében említett végrehajtási jogi aktusokban foglaltaknak megfelelően kell elvégezni.
(3) Az e cikk (1) bekezdésében említett azon követelmények tekintetében, amelyek a kiberbiztonság szempontjából nem relevánsak, és az e cikk (1) bekezdésében említett azon követelmények tekintetében, amelyek a kiberbiztonság szempontjából relevánsak annyiban, amennyiben az e cikk (2) bekezdésében említettek szerinti kiberbiztonsági tanúsítási rendszerek nem vagy csak részben terjednek ki az említett kiberbiztonsági követelményekre, a tagállamok nemzeti tanúsítási rendszereket hoznak létre az e cikk (6) bekezdésében említett végrehajtási jogi aktusokban meghatározott követelményeknek megfelelően. A tagállamok a nemzeti tanúsítási rendszerük tervezetét továbbítják a 46e. cikk (1) bekezdése alapján létrehozott, az európai digitális személyazonossággal foglalkozó együttműködési csoportnak (a továbbiakban: az együttműködési csoport). Az együttműködési csoport véleményeket és ajánlásokat adhat ki.
(4) Az (1) bekezdés szerinti tanúsítás legfeljebb öt évig érvényes, feltéve, hogy kétévente sebezhetőségi értékelést végeznek. Amennyiben sebezhetőséget azonosítanak, és azt kellő időn belül nem orvosolják, a tanúsítást törölni kell.
(5) A személyesadat-kezelési műveletekre vonatkozó, az e rendelet 5a. cikkében meghatározott követelményeknek való megfelelés az (EU) 2016/679 rendelet szerint tanúsítható.
(6) 2024. november 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az e cikk (1), (2) és (3) bekezdésében említett, az európai digitális személyiadat-tárcák tanúsítására vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében vizsgálóbizottsági eljárás keretében kell elfogadni.
(7) A tagállamok tájékoztatják a Bizottságot az (1) bekezdésben említett megfelelőségértékelő szervezetek nevéről és címéről. A Bizottság ezt az információt valamennyi tagállam rendelkezésére bocsátja.
(8) A Bizottság felhatalmazást kap arra, hogy a 47. cikknek megfelelően felhatalmazáson alapuló jogi aktusokat fogadjon el az e cikk (1) bekezdésében említett, kijelölt megfelelőségértékelő szervezetek által teljesítendő egyedi kritériumok meghatározására vonatkozóan.
(1) A tagállamok indokolatlan késedelem nélkül tájékoztatják a Bizottságot és a 46e. cikk (1) bekezdése alapján létrehozott együttműködési csoportot az 5a. cikk alapján nyújtott és az 5c. cikk (1) bekezdésében említett megfelelőségértékelő szervezetek által tanúsított európai digitális személyiadat-tárcákról. A tagállamok indokolatlan késedelem nélkül tájékoztatják a Bizottságot és a 46e. cikk (1) bekezdése alapján létrehozott együttműködési csoportot a tanúsítás esetleges törléséről, és megjelölik a törlés okait.
(2) Az 5a. cikk (18) bekezdésének sérelme nélkül a tagállamok által szolgáltatott, az e cikk (1) bekezdésében említett információknak legalább a következőket magukban kell foglalniuk:
a) a tanúsított európai digitális személyiadat-tárca tanúsítványa és a tanúsítására vonatkozó értékelő jelentés;
b) azon elektronikus azonosítási rendszer leírása, amelynek keretében az európai digitális személyiadat-tárcát nyújtják;
c) az alkalmazandó felügyeleti rendszer, valamint tájékoztatás az európai digitális személyiadat-tárcát biztosító félre vonatkozó felelősségi rendszerről;
d) az elektronikus azonosítási rendszerért felelős hatóság vagy hatóságok;
e) az elektronikus azonosítási rendszernek vagy a hitelesítésnek vagy azok érintett veszélyeztetett részeinek a felfüggesztésére vagy visszavonására vonatkozó szabályok.
(3) Az (1) bekezdés szerint beérkezett információk alapján a Bizottság összeállítja, az Európai Unió Hivatalos Lapjában közzéteszi, és géppel olvasható formátumban vezeti a tanúsított európai digitális személyiadat-tárcák listáját.
(4) A tagállamok kérelmet nyújthatnak be a Bizottsághoz arra vonatkozóan, hogy egy adott európai digitális személyiadat-tárcát és az elektronikus azonosítási rendszert, amelynek keretében azt nyújtják, törölje a (3) bekezdésben említett listáról.
(5) Amennyiben az (1) bekezdés szerint szolgáltatott információkban változás következik be, a tagállam a Bizottság rendelkezésére bocsátja az aktualizált információkat.
(6) A Bizottság naprakészen tartja a (3) bekezdésben említett listát oly módon, hogy a (4) bekezdés szerinti kérelem vagy az (5) bekezdés szerinti aktualizált információk kézhezvételétől számított egy hónapon belül közzéteszi a lista megfelelő módosításait az Európai Unió Hivatalos Lapjában.
(7) 2024. november 21-ig a Bizottság az 5a. cikk (23) bekezdésében említett, az európai digitális személyiadat-tárcák megvalósításáról szóló végrehajtási jogi aktusok útján meghatározza az e cikk (1), (4) és (5) bekezdésének céljából alkalmazandó formátumokat és eljárásokat. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(1) Amennyiben az 5a. cikk alapján nyújtott európai digitális személyiadat-tárcákat, az 5a. cikk (8) bekezdésében említett érvényesítési mechanizmusokat vagy azon elektronikus azonosítási rendszert, amelynek keretében az európai digitális személyiadat-tárcákat nyújtják, oly módon megsértik vagy részben veszélyeztetik, hogy az hátrányosan érinti a megbízhatóságukat vagy más európai digitális személyiadat-tárcák megbízhatóságát, az európai digitális személyiadat-tárcákat nyújtó tagállam indokolatlan késedelem nélkül felfüggeszti az európai digitális személyiadat-tárcák nyújtását és használatát.
Amennyiben az első albekezdésben említett biztonságsértés vagy veszélyeztetés súlyossága indokolja, a tagállam indokolatlan késedelem nélkül visszavonja az európai digitális személyiadat-tárcákat.
A tagállam ennek megfelelően tájékoztatja az érintett felhasználókat, a 46c. cikk (1) bekezdése alapján kijelölt egyedüli kapcsolattartó pontokat, az igénybe vevő feleket és a Bizottságot.
(2) Ha az e cikk (1) bekezdésének első albekezdésében említett biztonságsértést vagy veszélyeztetést nem orvosolják a felfüggesztéstől számított három hónapon belül, az európai digitális személyiadat-tárcákat nyújtó tagállam visz- szavonja az európai digitális személyiadat-tárcákat és azok érvényességét. A tagállam ennek megfelelően tájékoztatja a visszavonásról az érintett felhasználókat, a 46c. cikk (1) bekezdése alapján kijelölt egyedüli kapcsolattartó pontokat, az igénybe vevő feleket és a Bizottságot.
(3) Amennyiben az e cikk (1) bekezdésének első albekezdésében említett biztonságsértést vagy veszélyeztetést orvosolják, a tárcákat biztosító tagállam visszaállítja az európai digitális személyiadat-tárcák nyújtását és használatát, és indokolatlan késedelem nélkül tájékoztatja az érintett felhasználókat és igénybe vevő feleket, a 46c. cikk (1) bekezdése alapján kijelölt egyedüli kapcsolattartó pontokat és a Bizottságot.
(4) A Bizottság indokolatlan késedelem nélkül közzéteszi az Európai Unió Hivatalos Lapjában az 5d. cikkben említett lista ennek megfelelő módosításait.
(5) 2024. november 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az e cikk (1), (2) és (3) bekezdésében említett intézkedésekre vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(1) Amennyiben a tagállamok egy közigazgatási szerv által nyújtott online szolgáltatáshoz való hozzáféréshez elektronikus azonosítást és hitelesítést írnak elő, akkor az e rendelettel összhangban nyújtott európai digitális személyiadat-tárcákat is el kell fogadniuk.
(2) Amennyiben a szolgáltatásokat nyújtó, magánszférabeli igénybe vevő felek - a 2003/361/EK bizottsági ajánlás * mellékletének 2. cikkében meghatározott mikrovállalkozások és kisvállalkozások kivételével - az uniós vagy a nemzeti jog értelmében erős felhasználóhitelesítést kötelesek használni az online azonosításhoz, vagy ha szerződéses kötelezettség írja elő az erős felhasználóhitelesítést az online azonosításhoz - többek között a közlekedés, az energia, a banki és pénzügyi szolgáltatások, a szociális biztonság, az egészségügy, az ivóvíz, a postai szolgáltatások, a digitális infrastruktúra, az oktatás vagy a távközlés területén -, az említett magánszférabeli igénybe vevő feleknek legkésőbb az 5a. cikk (23) bekezdésében és az 5c. cikk (6) bekezdésében említett végrehajtási jogi aktusok hatálybalépésétől számított 36 hónappal és kizárólag a felhasználó önkéntes kérésére el kell fogadniuk az e rendelettel összhangban nyújtott európai digitális személyiadat-tárcák használatát is.
(3) Amennyiben az (EU) 2022/2065 európai parlamenti és tanácsi rendelet * 33. cikkében említett, online óriásplatformokat üzemeltető szolgáltatók az online szolgáltatásokhoz való hozzáféréshez megkövetelik a felhasználóhitelesítést, akkor - kizárólag a felhasználó önkéntes kérésére, valamint az azon konkrét online szolgáltatáshoz szükséges minimális adatok tekintetében, amelyre vonatkozóan a hitelesítést kérik - a felhasználóhitelesítés céljára el kell fogadniuk és elő kell segíteniük az e rendelettel összhangban nyújtott európai digitális személyiadat-tárcák használatát is.
(4) A Bizottság a tagállamokkal együttműködve elősegíti a magatartási kódexeknek - valamennyi érdekelt féllel, köztük a civil társadalommal szoros együttműködésben történő - kidolgozását annak érdekében, hogy hozzájáruljon az e rendelet hatálya alá tartozó európai digitális személyiadat-tárcák széles körű elérhetőségéhez és használhatóságához, és hogy arra ösztönözze a szolgáltatókat, hogy végezzék el a magatartási kódexek kidolgozását.
(5) A Bizottság az európai digitális személyiadat-tárcák bevezetésétől számított 24 hónapon belül értékeli az európai digitális személyiadat-tárcák iránti keresletet, valamint azok elérhetőségét és használhatóságát olyan kritériumokat figyelembe véve, mint például a felhasználók körében való elterjedés, a szolgáltatók határokon átnyúló jelenléte, a technológiai fejlődés, a használati minták alakulása és a fogyasztói kereslet.
(1) Ha a nemzeti jogszabályok vagy a közigazgatási gyakorlat értelmében egy közigazgatási szerv által nyújtott szolgáltatás online elérését elektronikus azonosító eszközt és hitelesítést alkalmazó elektronikus azonosításhoz kötik egy tagállamban, a másik tagállamban kibocsátott elektronikus azonosító eszközt el kell ismerni az első tagállamban az említett online szolgáltatáshoz szükséges, határokon átnyúló hitelesítés céljából, feltéve, hogy teljesülnek az alábbi feltételek:
a) az elektronikus azonosító eszközt a Bizottság által a 9. cikkel összhangban közzétett listában szereplő valamelyik elektronikus azonosítási rendszer keretében bocsátották ki;
b) az elektronikus azonosító eszköz biztonsági szintje azonos vagy magasabb, mint az érintett közigazgatási szerv által az első tagállamban nyújtott online szolgáltatáshoz való hozzáféréshez előírt biztonsági szint, feltéve, hogy az említett elektronikus azonosító eszköz biztonsági szintje „jelentős” vagy „magas”;
c) az érintett közigazgatási szerv a „jelentős” vagy „magas” biztonsági szintet használja az adott online szolgáltatáshoz való hozzáféréssel kapcsolatban.
Az elismerésre sort kell keríteni legkésőbb 12 hónappal azután, hogy a Bizottság közzétette az első albekezdés a) pontjában említett listát.
(2) A közigazgatási szervek az általuk nyújtott online szolgáltatásokhoz szükséges határokon átnyúló hitelesítés céljából elismerhetik a Bizottság által a 9. cikkel összhangban közzétett listában szereplő valamely rendszer keretében kibocsátott és az „alacsony” biztonsági szintnek megfelelő elektronikus azonosító eszközt.
A 9. cikk (1) bekezdésének értelmében az elektronikus azonosítási rendszerek bejelenthetők, feltéve, ha az alábbi feltételek mindegyike teljesül:
a) az elektronikus azonosítási rendszer keretébe tartozó elektronikus azonosító eszközt:
i. a bejelentő tagállam bocsátotta ki;
ii. a bejelentő tagállam megbízásából bocsátották ki; vagy
iii. a bejelentő tagállamtól függetlenül bocsátották ki, de a bejelentő tagállam elismerte az említett eszközt;
b) az elektronikus azonosítási rendszer keretébe tartozó elektronikus azonosító eszköz a bejelentő tagállamban legalább egy, közigazgatási szerv által nyújtott és elektronikus azonosítást előíró szolgáltatáshoz való hozzáféréshez használható;
c) a rendszer és a keretében kibocsátott elektronikus azonosító eszköz megfelel a 8. cikk (3) bekezdésében említett végrehajtási jogi aktusban meghatározott biztonsági szintek közül legalább az egyikre vonatkozóan meghatározott követelményeknek;
d) a bejelentő tagállam biztosítja, hogy az adott személyt kizárólagosan azonosító személyazonosító adatokat a 8. cikk (3) bekezdésében említett végrehajtási jogi aktusban előírt, vonatkozó biztonsági szinthez tartozó technikai specifikációknak, szabványoknak és eljárásoknak megfelelően hozzárendeljék a 3. cikk 1. pontjában említett természetes vagy jogi személyhez a szóban forgó rendszer keretébe tartozó -- elektronikus azonosító eszköz kibocsátásakor;
e) a szóban forgó rendszer keretébe tartozó elektronikus azonosító eszközt kibocsátó fél biztosítja, hogy az elektronikus azonosító eszközt a 8. cikk (3) bekezdésében említett végrehajtási jogi aktusban előírt, vonatkozó biztonsági szinthez tartozó technikai specifikációknak, szabványoknak és eljárásoknak megfelelően rendeljék hozzá az e cikk d) pontjában említett személyhez;
f) a bejelentő tagállam hozzáférést biztosít az online hitelesítéshez annak érdekében, hogy egy másik tagállam területén letelepedett bármely igénybe vevő fél igazolni tudja az elektronikus formában kapott személyazonosító adatokat.
A közigazgatási szervektől eltérő igénybe vevő felek esetében a bejelentő tagállam előírhatja a hitelesítésekhez való hozzáférés feltételeit. Az ilyen határokon átnyúló hitelesítést ingyenesen kell biztosítani, amennyiben arra egy közigazgatási szerv által nyújtott online szolgáltatással kapcsolatban kerül sor.
A tagállamok semmilyen különleges, aránytalan technikai előírást nem tehetnek kötelezővé az ilyen hitelesítést végrehajtani kívánó igénybe vevő felek számára, amennyiben ezen előírások megakadályozzák vagy jelentősen megnehezítik a bejelentett elektronikus azonosítási rendszerek közötti átjárhatóságot;
g) * a 12. cikk (5) bekezdése alkalmazásának céljából a bejelentő tagállam a 9. cikk (1) bekezdése szerinti bejelentést megelőzően legalább hat hónappal, a 12. cikk (6) bekezdése szerint elfogadott végrehajtási jogi aktusokban meghatározott eljárási szabályokkal összhangban eljuttatja a többi tagállamnak az említett rendszer leírását;
h) az elektronikus azonosítási rendszer megfelel a 12. cikk (8) bekezdésében említett végrehajtási jogi aktus előírásainak.
(1) A 9. cikk (1) bekezdése szerint bejelentett elektronikus azonosítási rendszernek meg kell határoznia az adott rendszer keretében kibocsátott elektronikus azonosító eszközöknek tulajdonított „alacsony”, „jelentős” és/vagy „magas” biztonsági szintet.
(2) Az „alacsony”, „jelentős” vagy „magas” biztonsági szintnek az alábbi követelményeket kell teljesítenie:
a) az „alacsony” biztonsági szint egy elektronikus azonosítási rendszer keretében kibocsátott olyan elektronikus azonosító eszközre utal, amely korlátozott megbízhatósággal ellenőrzi egy személy általa megadott vagy állítólagos személyazonosságát, és amelyet a kapcsolódó technikai specifikációk, szabványok és eljárások, többek között technikai ellenőrzések alapján kell jellemezni, továbbá amelynek célja a személyazonossággal való visszaélés vagy a személyazonosság megváltoztatása kockázatának csökkentése;
b) a „jelentős” biztonsági szint egy elektronikus azonosítási rendszer keretében kibocsátott olyan elektronikus azonosító eszközre utal, amely jelentős megbízhatósággal ellenőrzi egy személy általa megadott vagy állítólagos személyazonosságát, és amelyet a kapcsolódó technikai specifikációk, szabványok és eljárások, többek között technikai ellenőrzések alapján kell jellemezni, továbbá amelynek célja a személyazonossággal való visszaélés vagy a személyazonosság megváltoztatása kockázatának jelentős csökkentése;
c) a „magas” biztonsági szint egy elektronikus azonosítási rendszer keretében kibocsátott olyan elektronikus azonosító eszközre utal, amely nagyobb megbízhatósággal ellenőrzi egy személy általa megadott vagy állítólagos személyazonosságát, mint egy „jelentős” biztonsági szintű elektronikus azonosító eszköz, és amelyet a kapcsolódó technikai specifikációk, szabványok és eljárások, többek között technikai ellenőrzések alapján kell jellemezni, továbbá amelynek célja a személyazonossággal való visszaélésnek vagy a személyazonosság megváltoztatásának a megakadályozása;
(3) * A Bizottság - a vonatkozó nemzetközi szabványokat figyelembe véve és a (2) bekezdésre is figyelemmel - 2015. szeptember 18-ig végrehajtási jogi aktusok útján minimális technikai specifikációkat, szabványokat és eljárásokat állapít meg, amelyekre hivatkozva meghatározható az elektronikus azonosító eszközök „alacsony”, „jelentős” vagy „magas” biztonsági szintje.
E minimális technikai specifikációkat, szabványokat és eljárásokat az alábbi elemek megbízhatósága és minősége alapján kell megállapítani:
a) az elektronikus azonosító eszköz kibocsátását kérő természetes vagy jogi személyek személyazonosítására és személyazonosságának ellenőrzésére alkalmazott eljárás;
b) az elektronikus azonosító eszköz kibocsátására alkalmazott eljárás;
c) azon hitelesítési mechanizmus, amelynek keretében a természetes vagy jogi személy az elektronikus azonosító eszközt arra használja, hogy a személyazonosságát igazolja a szolgáltatást igénybe vevő fél számára;
d) az elektronikus azonosító eszközt kibocsátó szervezet;
e) az elektronikus azonosító eszközök kibocsátása iránti kérelmekkel foglalkozó más szervek; valamint
f) a kibocsátott elektronikus azonosító eszközök technikai és biztonsági specifikációi.
Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.
(1) A bejelentő tagállam a következő információkat, valamint azok későbbi változásait indokolatlan késedelem nélkül bejelenti a Bizottságnak:
a) az elektronikus azonosítási rendszer leírása, ezen belül a rendszer biztonsági szintjei, az adott rendszerbe tartozó elektronikus azonosító eszközök kibocsátója (kibocsátói);
b) az alkalmazandó felügyeleti rendszer, valamint tájékoztatás a felelősségi szabályokról az alábbiak vonatkozásában:
i. az elektronikus azonosító eszközt kibocsátó fél; valamint
ii. a hitelesítési eljárást végrehajtó fél;
c) az elektronikus azonosítási rendszerért felelős hatóság vagy hatóságok;
d) tájékoztatás az egyedi személyazonosító adatok nyilvántartásba vételét kezelő szervezetről vagy szervezetekről;
e) annak ismertetése, hogy a 12. cikk (8) bekezdésében említett végrehajtási jogi aktusokban foglalt előírások milyen módon teljesülnek;
f) a 7. cikk f) pontjában említett hitelesítés leírása;
g) a bejelentett elektronikus azonosítási rendszernek vagy hitelesítésnek vagy azok veszélyeztetett részeinek a felfüggesztésére vagy visszavonására vonatkozó szabályok.
(2) * A Bizottság indokolatlan késedelem nélkül közzéteszi az Európai Unió Hivatalos Lapjában az (1) bekezdés szerint bejelentett elektronikus azonosítási rendszerek listáját az említett rendszerekkel kapcsolatos alapinformációkkal együtt.
(3) * A Bizottság az említett bejelentés kézhezvételétől számított egy hónapon belül közzéteszi az Európai Unió Hivatalos Lapjában a (2) bekezdésben említett lista módosításait.
(4) Bármely tagállam kérelmezheti a Bizottságtól, hogy az általa bejelentett elektronikus azonosítási rendszert törölje a (2) bekezdésben említett listáról. A Bizottság a tagállam kérelmének kézhezvételétől számított egy hónapon belül közzéteszi az Európai Unió Hivatalos Lapjában a lista módosításait.
(5) A Bizottság végrehajtási jogi aktusok útján meghatározhatja az (1) bekezdés szerinti bejelentés feltételeit, formátumait és eljárásait. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.
(1) Amennyiben a 9. cikk (1) bekezdésének megfelelően bejelentett elektronikus azonosítási rendszert vagy a 7. cikk f) pontjában említett hitelesítést oly módon megsértik vagy részben veszélyeztetik, hogy ez hátrányosan érinti a rendszer határokon átnyúló hitelesítésének megbízhatóságát, a bejelentő tagállam késedelem nélkül felfüggeszti vagy visszavonja a határokon átnyúló hitelesítést vagy az érintett veszélyeztetett részeket, és erről tájékoztatja a többi tagállamot és a Bizottságot.
(2) Az (1) bekezdésben említett biztonságsértés vagy veszély orvoslását követően a bejelentő tagállam visszaállítja a határokon átnyúló hitelesítést, és indokolatlan késedelem nélkül értesíti a többi tagállamot és a Bizottságot.
(3) Ha az (1) bekezdésben említett biztonságsértést vagy veszélyt nem orvosolják a felfüggesztést vagy a visszavonást követő három hónapon belül, a bejelentő tagállam értesíti a többi tagállamot és a Bizottságot az elektronikus azonosítási rendszer visszavonásáról.
A Bizottság indokolatlan késedelem nélkül közzéteszi az Európai Unió Hivatalos Lapjában a 9. cikk (2) bekezdésében említett lista ennek megfelelő módosításait.
(1) A bejelentő tagállam felelős a bármely természetes vagy jogi személynek szándékosan vagy gondatlanul okozott kárért, amennyiben egy határon átnyúló tranzakcióban nem teljesíti a 7. cikk d) és f) pontja értelmében fennálló kötelezettségeit.
(2) Az elektronikus azonosító eszközöket kibocsátó fél felelős a bármely természetes vagy jogi személynek szándékosan vagy gondatlanul okozott kárért, amennyiben egy határon átnyúló tranzakcióban nem teljesíti a 7. cikk e) pontjában említett kötelezettségét.
(3) A hitelesítési eljárást működtető fél felelős a bármely természetes vagy jogi személynek szándékosan vagy gondatlanul okozott kárért, amennyiben egy határon átnyúló tranzakcióban nem biztosítja a 7. cikk f) pontjában említett hitelesítés hibátlan működését.
(4) Az (1), a (2) és a (3) bekezdést a felelősségre vonatkozó nemzeti szabályokkal összhangban kell alkalmazni.
(5) Az (1), a (2) és a (3) bekezdés nem érinti az olyan tranzakcióban részt vevő feleknek a nemzeti jog alapján fennálló felelősségét, amelyben a 9. cikk (1) bekezdése szerint bejelentett elektronikus azonosítási rendszer keretébe tartozó elektronikus azonosító eszközt alkalmaznak.
(1) Amikor a tagállamok határokon átnyúló szolgáltatásokat igénybe vevő felekként járnak el, bejelentett elektronikus azonosító eszközök vagy európai digitális személyiadat-tárcák használatával biztosítják a természetes személyek személyazonosságának egyértelmű megfeleltetését.
(2) A tagállamok technikai és szervezési intézkedéseket írnak elő a személyazonosság megfeleltetéséhez használt személyes adatok magas szintű védelmének biztosítása és a felhasználókról való profilalkotás megakadályozása érdekében.
(3) 2024. november 21-ig a Bizottság összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az e cikk (1) bekezdésében említett követelményekre vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(1) A 9. cikk (1) bekezdése szerint bejelentett nemzeti elektronikus azonosítási rendszereknek átjárhatónak kell lenniük.
(2) Az (1) bekezdésben megállapítottak teljesítése érdekében létre kell hozni egy átjárhatósági keretet.
(3) Az átjárhatósági keretnek az alábbi kritériumoknak kell megfelelnie:
a) technológiasemlegességre törekszik, és a tagállamon belül az elektronikus azonosításra szolgáló konkrét nemzeti technikai megoldások egyikével szemben sem alkalmaz hátrányos megkülönböztetést;
b) lehetőség szerint követi az európai és a nemzetközi normákat;
c) * megkönnyíti a beépített adatvédelem és biztonság érvényesítését;
d) *
(4) Az átjárhatósági keretnek az alábbiakat kell magában foglalnia:
a) a 8. cikkben megállapított biztonsági szintekhez kapcsolódó minimális technikai követelményekre való hivatkozás;
b) a bejelentett elektronikus azonosítási rendszerek nemzeti biztonsági szintjeinek megfeleltetése a 8. cikkben megállapított biztonsági szinteknek;
c) a minimális átjárhatósági technikai követelményekre való hivatkozás;
d) * egy természetes vagy jogi személy, illetve egy másik természetes személyt vagy egy jogi személyt képviselő természetes személy kizárólagos azonosításához szükséges, az elektronikus azonosítási rendszerekből megszerezhető minimális személyazonosító adatokra való hivatkozás;
e) eljárási szabályzat;
f) vitarendezési eljárások;és
g) közös működési biztonsági normák.
(5) * A tagállamok elvégzik az e rendelet hatálya alá tartozó, és a 9. cikk (1) bekezdésének a) pontja szerint bejelentendő elektronikus azonosítási rendszerek partneri felülvizsgálatát.
(6) * A Bizottság 2025. március 18-ig végrehajtási jogi aktusok útján megállapítja az e cikk (5) bekezdésében említett partneri felülvizsgálatokhoz szükséges eljárási szabályokat a kockázat mértékének megfelelő, magas szintű bizalom és biztonság előmozdítása céljából. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(7) *
(8) * Az e cikk (1) bekezdése szerinti követelmény végrehajtása egységes feltételeinek meghatározása céljából a Bizottság 2025. szeptember 18-ig - az e cikk (3) bekezdésében foglalt kritériumoknak megfelelően és a tagállamok közötti együttműködés eredményeinek figyelembevételével - végrehajtási jogi aktusokat fogad el az e cikk (4) bekezdésében meghatározottak szerinti átjárhatósági keretre vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(9) Az e cikk (7) és (8) bekezdésében említett végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.
(1) A bejelentendő elektronikus azonosítási rendszereknek az e rendeletben meghatározott kiberbiztonsági követelményeknek való megfelelését - beleértve a 8. cikk (2) bekezdésében meghatározott, a kiberbiztonság szempontjából releváns, az elektronikus azonosítási rendszerek biztonsági szintjeire vonatkozó követelményeknek való megfelelést is - a tagállamok által kijelölt megfelelőségértékelő szervezeteknek kell tanúsítaniuk.
(2) Az e cikk (1) bekezdése szerinti tanúsítást az (EU) 2019/881 rendelet szerinti releváns kiberbiztonsági tanúsítási rendszer vagy annak részei keretében kell elvégezni annyiban, amennyiben a kiberbiztonsági tanúsítvány vagy annak részei kiterjednek az említett kiberbiztonsági követelményekre.
(3) Az (1) bekezdés szerinti tanúsítás legfeljebb öt évig érvényes, feltéve, hogy kétévente sebezhetőségi értékelést végeznek. Amennyiben sebezhetőséget azonosítanak, és azt az azonosítástól számított három hónapon belül nem orvosolják, a tanúsítást törölni kell.
(4) A (2) bekezdéstől eltérve, a tagállamok a (2) bekezdéssel összhangban további információkat kérhetnek a bejelentő tagállamtól a tanúsított elektronikus azonosítási rendszerekkel vagy azok ilyen módon tanúsított részével kapcsolatban.
(5) Az elektronikus azonosítási rendszereknek a 12. cikk (5) bekezdésének d) pontjában említett partneri felülvizsgálata nem alkalmazandó az e cikk (1) bekezdésének megfelelően tanúsított elektronikus azonosítási rendszerekre vagy azok ilyen módon tanúsított részeire. A tagállamok használhatják a releváns tanúsítási rendszerek vagy az ilyen rendszerek részei keretében kiadott tanúsítványt vagy megfelelőségi nyilatkozatot annak igazolására, hogy valamely elektronikus azonosítási rendszer megfelel a 8. cikk (2) bekezdésében az elektronikus azonosítási rendszerek biztonsági szintje tekintetében meghatározott nem kiberbiztonsági követelményeknek.
(6) A tagállamok tájékoztatják a Bizottságot az (1) bekezdésben említett megfelelőségértékelő szervezetek nevéről és címéről. A Bizottság ezt az információt valamennyi tagállam rendelkezésére bocsátja.
Amennyiben az európai digitális személyiadat-tárcák azon szolgáltatói és a bejelentett elektronikus azonosító eszközök azon kibocsátói, amelyek kereskedelmi vagy szakmai minőségben járnak el és az (EU) 2022/1925 európai parlamenti és tanácsi rendelet * 2. cikkének 2. pontjában meghatározott alapvető platformszolgáltatásokat használnak az európai digitális személyiadat-tárcákkal kapcsolatos szolgáltatások és az elektronikus azonosító eszközök végfelhasználók részére történő nyújtása céljából vagy annak során, az említett rendelet 2. cikkének 21. pontjában meghatározott üzleti felhasználóknak minősülnek, a kapuőröknek különösen lehetővé kell tenniük a számukra az ugyanazon operációs rendszerrel, hardver- vagy szoftverfunkciókkal való tényleges interoperabilitást és azokhoz az interoperabilitás céljából való tényleges hozzáférést. Az ilyen tényleges interoperabilitást és hozzáférést díjmentesen kell lehetővé tenni, függetlenül attól, hogy az (EU) 2022/1925 rendelet 6. cikkének (7) bekezdése értelmében azon hardver- vagy szoftverfunkciók az operációs rendszer részét képezik-e, a kapuőr rendelkezésére állnak-e, vagy a kapuőr használja-e azokat az ilyen szolgáltatások nyújtása során. Ez a cikk nem érinti e rendelet 5a. cikkének (14) bekezdését.
(1) * E cikk (2) bekezdésétől eltérve és az (EU) 2016/679 rendelet sérelme nélkül a bizalmi szolgáltatóknak felelősséggel tartoznak az olyan kárért, amelyet szándékosan vagy gondatlanságból bármely természetes vagy jogi személynek okoztak az e rendelet szerinti kötelezettségeik megszegéséből eredően. Minden olyan természetes vagy jogi személy, aki, illetve amely e rendelet valamely bizalmi szolgáltató általi megsértése következtében vagyoni vagy nem vagyoni kárt szenvedett, jogosult arra, hogy az uniós és a nemzeti joggal összhangban kártérítést követeljen.
A nem minősített bizalmi szolgáltató szándékossága vagy gondatlansága bizonyításának azt a természetes vagy jogi személyt kell terhelnie, aki, illetve amely állítása szerint az első albekezdésben említett kárt elszenvedte.
Vélelmezni kell a minősített bizalmi szolgáltató szándékosságát vagy gondatlanságát, kivéve abban az esetben, ha a minősített bizalmi szolgáltató bizonyítja, hogy az első albekezdésben említett kár anélkül következett be, hogy az említett minősített bizalmi szolgáltató szándékosan vagy gondatlanul járt volna el.
(2) Amennyiben a bizalmi szolgáltatók előzetesen megfelelően tájékoztatják az ügyfeleiket az általuk nyújtott szolgáltatások igénybevételére vonatkozó korlátozásokról, és amennyiben ezek a korlátozások harmadik felek számára felismerhetők, a bizalmi szolgáltatók nem felelősek a szolgáltatások igénybevételéből eredő, a jelzett korlátozásokat meghaladó károkért.
(3) Az (1) és a (2) bekezdést a felelősségre vonatkozó nemzeti szabályokkal összhangban kell alkalmazni.
(1) A valamely harmadik országban letelepedett bizalmi szolgáltatók vagy valamely nemzetközi szervezet által nyújtott bizalmi szolgáltatásokat abban az esetben kell jogilag egyenértékűnek elismerni az Unióban letelepedett minősített bizalmi szolgáltatók által nyújtott minősített bizalmi szolgáltatásokkal, ha a harmadik országból származó bizalmi szolgáltatásokat vagy a nemzetközi szervezetet végrehajtási jogi aktusok útján, vagy az Unió és a harmadik ország vagy a nemzetközi szervezet által az EUMSZ 218. cikke alapján megkötött megállapodás útján elismerték.
Az első albekezdésben említett végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(2) Az (1) bekezdésben említett végrehajtási jogi aktusoknak és megállapodásnak biztosítaniuk kell, hogy az érintett harmadik ország bizalmi szolgáltatói vagy a nemzetközi szervezetek, valamint az általuk nyújtott bizalmi szolgáltatások megfeleljenek az Unióban letelepedett minősített bizalmi szolgáltatókra és az általuk nyújtott minősített bizalmi szolgáltatásokra alkalmazandó követelményeknek. Ennek megfelelően a harmadik országoknak és a nemzetközi szervezeteknek létre kell hozniuk, vezetniük kell és közzé kell tenniük az elismert bizalmi szolgáltatók bizalmi listáját.
(3) Az (1) bekezdésben említett megállapodásoknak biztosítaniuk kell, hogy az Unióban letelepedett minősített bizalmi szolgáltatók által nyújtott minősített bizalmi szolgáltatásokat jogilag egyenértékűnek ismerjék el az azon harmadik ország bizalmi szolgáltatói vagy az azon nemzetközi szervezet által nyújtott bizalmi szolgáltatásokkal, amellyel megállapodás jött létre.
Az elektronikus azonosító eszközök és a bizalmi szolgáltatások nyújtását, továbbá az ilyen szolgáltatásnyújtás során alkalmazott végfelhasználói termékeket egyszerű és érthető nyelven, a fogyatékossággal élő személyek jogairól szóló ENSZ-egyezménynek, valamint a termékekre és a szolgáltatásokra vonatkozó akadálymentességi követelményekről szóló (EU) 2019/882 irányelvben foglalt akadálymentességi követelményeknek megfelelően kell elérhetővé tenni, hogy ezáltal azokat olyan személyek is igénybe vehessék, akik funkcióképességükben korlátozottak, mint például az időskorúak és a digitális technológiákhoz korlátozott hozzáféréssel rendelkező személyek.
(1) Az (EU) 2022/2555 európai parlamenti és tanácsi irányelv * 31. cikkének sérelme nélkül a tagállamok megállapítják az e rendelet megsértése esetén alkalmazandó szankciókra vonatkozó szabályokat. Ezeknek a szankcióknak hatékonyaknak, arányosaknak és visszatartó erejűeknek kell lenniük.
(2) A tagállamok biztosítják, hogy e rendeletnek a minősített és a nem minősített bizalmi szolgáltatók általi megsértését legalább a következő maximális közigazgatási bírsággal sújtsák:
a) 5 000 000 EUR, ha a bizalmi szolgáltató természetes személy; vagy
b) ha a bizalmi szolgáltató jogi személy, 5 000 000 EUR vagy az azon vállalkozás globális éves összforgalma 1%-ának megfelelő összeg, amelyhez a jogsértés bekövetkezését megelőző pénzügyi évben a bizalmi szolgáltató tartozott - e két összeg közül a magasabbat kell figyelembe venni.
(3) A tagállamok jogrendszerétől függően a közigazgatási bírságokra vonatkozó szabályokat oly módon is lehet alkalmazni, hogy a bírságot az illetékes felügyeleti szerv kezdeményezésére az illetékes nemzeti bíróságok róják ki. E szabályokat úgy kell alkalmazni az érintett tagállamokban, hogy biztosítva legyen e jogorvoslatok hatékonysága és a közvetlenül a felügyeleti hatóságok által kiszabott közigazgatási bírságokéval egyenértékű hatása.
(1) A minősített és nem minősített bizalmi szolgáltatók megfelelő technikai és szervezeti intézkedéseket hajtanak végre az általuk nyújtott bizalmi szolgáltatások biztonságát fenyegető kockázatok kezelése érdekében. Ezen intézkedésekkel - figyelembe véve a legújabb technológiai fejleményeket - biztosítani kell, hogy a biztonsági szint arányos legyen a kockázat mértékével. Intézkedéseket kell végrehajtani különösen a biztonsági események megelőzése és azok hatásának minimálisra csökkentése, valamint az érdekeltek bármely esemény káros hatásairól való tájékoztatása érdekében.
(2) A minősített és nem minősített bizalmi szolgáltatók indokolatlan késedelem nélkül, de minden esetben az esetről való értesüléstől számított 24 órán belül értesítik a felügyeleti szervet és adott esetben más érintett szerveket, például az információbiztonságért felelős nemzeti szervet vagy az adatvédelmi hatóságot a biztonság megsértéséről vagy az adatok sértetlenségének megszűnéséről, amennyiben az jelentős hatást gyakorol a bizalmi szolgáltatásra vagy az annak keretében tárolt személyes adatokra.
Amennyiben a biztonság megsértése vagy az adatok sértetlenségének megszűnése vélhetőleg hátrányosan érintheti azt a természetes vagy jogi személyt, aki bizalmi szolgáltatást vett igénybe, a bizalmi szolgáltató a természetes vagy jogi személyt is indokolatlan késedelem nélkül értesíti a biztonság megsértéséről vagy az adatok sértetlenségének megszűnéséről.
Adott esetben, különösen, ha a biztonság megsértése vagy az adatok sértetlenségének megszűnése két vagy több tagállamot érint, az értesítést kézhez vevő felügyeleti szerv tájékoztatja a többi érintett tagállam felügyeleti szerveit és az ENISA-t.
Az értesített felügyeleti szerv tájékoztatja a nyilvánosságot, vagy a bizalmi szolgáltatókat kötelezi erre, amennyiben megállapítja, hogy a biztonság megsértésének vagy az adatok sértetlensége megszűnésének a nyilvánosságra hozatala közérdekből szükséges.
(3) A felügyeleti szerv évente egyszer összefoglaló tájékoztatást nyújt az ENISA számára a bizalmi szolgáltatóktól beérkezett, a biztonság megsértésére és az adatok sértetlenségének megszűnésére vonatkozó bejelentésekről.
(4) A Bizottság végrehajtási jogi aktusok útján:
a) az (1) bekezdésben említett intézkedéseket tovább pontosíthatja, és
b) meghatározhatja a (2) bekezdés céljára alkalmazandó formátumokat és eljárásokat, beleértve a határidőket is.
Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.
(1) A nem minősített bizalmi szolgáltatásokat nyújtó nem minősített bizalmi szolgáltató köteles:
a) megfelelő szabályzatokkal rendelkezni és ezeknek megfelelő intézkedéseket hozni a nem minősített bizalmi szolgáltatás nyújtásával kapcsolatos jogi, üzleti, működési és egyéb közvetlen vagy közvetett kockázatok kezelésére, amelyeknek - az (EU) 2022/2555 irányelv 21. cikke ellenére - magukban kell foglalniuk legalább a következőkkel kapcsolatos intézkedéseket:
i. a bizalmi szolgáltatással kapcsolatos regisztrációra és beléptetésre vonatkozó eljárások;
ii. a bizalmi szolgáltatások nyújtásához szükséges eljárási vagy adminisztratív ellenőrzések;
iii. a bizalmi szolgáltatások irányítása és végrehajtása;
b) a biztonságnak a szolgáltatás nyújtása vagy az a) pont i., ii. és iii. alpontjában említett intézkedések végrehajtása során bekövetkező minden olyan megsértéséről vagy a szolgáltatás nyújtása vagy az a) pont i., ii. és iii. alpontjában említett intézkedések végrehajtása során bekövetkező minden olyan zavarról, amely jelentős hatást gyakorol a nyújtott bizalmi szolgáltatásra vagy az annak keretében tárolt személyes adatokra, indokolatlan késedelem nélkül, de legkésőbb a biztonság megsértéséről vagy a zavarról való tudomásszerzéstől számított 24 órán belül értesíteni a felügyeleti szervet, az azonosítható érintett személyeket, a nyilvánosságot - amennyiben az közérdekű -, valamint adott esetben más érintett illetékes hatóságokat.
(2) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg e cikk (1) bekezdésének a) pontjára vonatkozóan. Az e szabványoknak, specifikációknak és eljárásoknak való megfelelés esetén vélelmezni kell az e cikkben foglalt követelményeknek való megfelelést. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(1) * A minősített bizalmi szolgáltatókat legalább 24 havonta, a szolgáltatók saját költségére megfelelőségértékelő szervezetnek kell ellenőriznie. Az ellenőrzésnek igazolnia kell, hogy a minősített bizalmi szolgáltatók és az általuk nyújtott minősített bizalmi szolgáltatások megfelelnek az e rendeletben és az (EU) 2022/2555 irányelv 21. cikkében megállapított követelményeknek. A minősített bizalmi szolgáltatók kötelesek az elkészült megfelelőségértékelési jelentést a kézhezvételtől számított három munkanapon belül benyújtani a felügyeleti szervnek.
(1a) * A minősített bizalmi szolgáltatóknak bármely tervezett ellenőrzésről legalább egy hónappal azt megelőzően tájékoztatniuk kell a felügyeleti szervet, és kérésre lehetővé kell tenniük a felügyeleti szerv megfigyelőként való részvételét.
(1b) * A tagállamok indokolatlan késedelem nélkül bejelentik a Bizottságnak az (1) bekezdésben említett megfelelőségértékelő szervezetek nevét, címét és akkreditációs adatait, valamint azok későbbi változásait. A Bizottság ezt az információt valamennyi tagállam rendelkezésére bocsátja.
(2) * Az (1) bekezdés sérelme nélkül, a felügyeleti szerv bármikor ellenőrizheti a minősített bizalmi szolgáltatókat, illetve felkérhet egy megfelelőségértékelő szervezetet a minősített bizalmi szolgáltatók megfelelőségértékelésének elvégzésére a bizalmi szolgáltatók költségére annak igazolása céljából, hogy e szolgáltatók és az általuk nyújtott minősített bizalmi szolgáltatások megfelelnek az e rendeletben megállapított követelményeknek. A személyes adatok védelmére vonatkozó szabályok vélhető megsértése esetén a felügyeleti szervnek indokolatlan késedelem nélkül tájékoztatnia kell az (EU) 2016/679 rendelet 51. cikke alapján létrehozott illetékes felügyeleti hatóságokat.
(3) * Amennyiben a minősített bizalmi szolgáltató nem teljesíti az e rendeletben meghatározott követelmények valamelyikét, a felügyeleti szervnek adott esetben elő kell írnia számára, hogy meghatározott határidőn belül orvosolja a helyzetet.
Amennyiben a szolgáltató - adott esetben a felügyeleti szerv által megszabott határidőn belül - nem orvosolja a helyzetet, a felügyeleti szervnek - különösen, ha ez a mulasztás mértéke, időtartama és következményei miatt indokolt - vissza kell vonnia a szolgáltató vagy az általa nyújtott érintett szolgáltatás minősített státusát.
(3a) * Amennyiben az (EU) 2022/2555 irányelv 8. cikkének (1) bekezdése alapján kijelölt vagy létrehozott illetékes hatóság arról tájékoztatja a felügyeleti szervet, hogy a minősített bizalmi szolgáltató nem teljesít valamely, az említett irányelv 21. cikkében meghatározott követelményt, a felügyeleti szervnek - különösen, ha ez a mulasztás mértéke, időtartama és következményei miatt indokolt - vissza kell vonnia a szolgáltató vagy az általa nyújtott érintett szolgáltatás minősített státusát.
(3b) * Amennyiben az (EU) 2016/679 rendelet 51. cikke alapján létrehozott felügyeleti hatóság arról tájékoztatja a felügyeleti szervet, hogy a minősített bizalmi szolgáltató nem teljesít valamely, az említett rendeletben meghatározott követelményt, a felügyeleti szervnek - különösen, ha ez a mulasztás mértéke, időtartama és következményei miatt indokolt - vissza kell vonnia a szolgáltató vagy az általa nyújtott érintett szolgáltatás minősített státusát.
(3c) * A felügyeleti szervnek tájékoztatnia kell a minősített bizalmi szolgáltatót a minősített státusának vagy az érintett szolgáltatás minősített státusának a visszavonásáról. A felügyeleti szervnek - az e rendelet 22. cikkének (1) bekezdésében említett bizalmi listák frissítése céljából - tájékoztatnia kell az említett cikk (3) bekezdése szerint bejelentett szervet, valamint az (EU) 2022/2555 irányelv 8. cikkének (1) bekezdése alapján kijelölt vagy létrehozott illetékes hatóságot.
(4) * 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg a következőkre vonatkozóan:
a) az (1) bekezdésben említett megfelelőségértékelő szervezetek akkreditációja, valamint az (1) bekezdésben említett megfelelőségértékelési jelentés;
b) azon ellenőrzési követelmények, amelyek alapján a megfelelőségértékelő szervezetek elvégzik a minősített bizalmi szolgáltatóknak az (1) bekezdés szerinti megfelelőségértékelését, beleértve az összetett értékelést is;
c) a minősített bizalmi szolgáltatók megfelelőségértékelésének a megfelelőségértékelő szervezetek általi elvégzésére és az (1) bekezdésben említett jelentés benyújtására szolgáló megfelelőségértékelési rendszerek.
Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(1) * Amennyiben bizalmi szolgáltatók minősített bizalmi szolgáltatás elindítását tervezik, értesíteniük kell e szándékukról a felügyeleti szervet, az értesítéshez egy megfelelőségértékelő szervezet által kibocsátott olyan megfelelőségértékelési jelentést is mellékelve, amely igazolja, hogy megfelelnek az e rendeletben és az (EU) 2022/2555 irányelv 21. cikkében megállapított követelményeknek.
(2) * A felügyeleti szervnek ellenőriznie kell, hogy a bizalmi szolgáltató és az általa nyújtott bizalmi szolgáltatások megfelelnek-e e rendelet előírásainak, különösen a minősített bizalmi szolgáltatókra és az általuk nyújtott minősített bizalmi szolgáltatásokra vonatkozó előírásoknak.
Annak ellenőrzése érdekében, hogy a bizalmi szolgáltató megfelel-e az (EU) 2022/2555 irányelv 21. cikkében meghatározott követelményeknek, a felügyeleti szervnek fel kell kérnie az említett irányelv 8. cikkének (1) bekezdése alapján kijelölt vagy létrehozott illetékes hatóságokat, hogy hajtsák végre az ezzel kapcsolatos felügyeleti intézkedéseket, és indokolatlan késedelem nélkül, de minden esetben az említett felkérés kézhezvételétől számított két hónapon belül nyújtsanak tájékoztatást az eredményekről. Amennyiben az ellenőrzés az értesítéstől számított két hónapon belül nem zárul le, az említett illetékes hatóságoknak tájékoztatniuk kell a felügyeleti szervet a késedelem okairól és az ellenőrzés befejezésére kitűzött időpontról.
Amennyiben a felügyeleti szerv azt állapítja meg, hogy a bizalmi szolgáltató és az általa nyújtott bizalmi szolgáltatások megfelelnek az e rendeletben meghatározott követelményeknek, meg kell adnia a minősített státust a bizalmi szolgáltató és az általa nyújtott bizalmi szolgáltatások számára, valamint legkésőbb három hónappal az e cikk (1) bekezdése szerinti értesítést követően a 22. cikk (1) bekezdésében említett bizalmi listák frissítése céljából tájékoztatnia kell a 22. cikk (3) bekezdésében említett szervet.
Amennyiben az ellenőrzés az értesítéstől számított három hónapon belül nem zárul le, a felügyeleti szervnek tájékoztatnia kell erről a bizalmi szolgáltatót, megjelölve a késedelem okait és az ellenőrzés befejezésére kitűzött időpontot.
(3) A minősített bizalmi szolgáltatók azt követően indíthatják el a minősített bizalmi szolgáltatást, hogy a „minősített” státust feltüntették a 22. cikk (1) bekezdésében említett bizalmi listákon.
(4) * 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján megállapítja az értesítés és az ellenőrzés e cikk (1) és (2) bekezdésének céljából alkalmazandó formátumait és eljárásait. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(1) Valamennyi tagállam bizalmi listákat állít össze, tart fenn és tesz közzé, amelyeken szerepelnek a felelőssége alá tartozó minősített bizalmi szolgáltatókra vonatkozó információk, valamint az e szolgáltatók által nyújtott minősített bizalmi szolgáltatásokra vonatkozó információk.
(2) A tagállamok biztonságos módon, automatizált feldolgozásra alkalmas formában állítják össze, tartják fenn és teszik közzé az (1) bekezdésben említett, elektronikus aláírással vagy bélyegzővel ellátott bizalmi listákat.
(3) A tagállamok indokolatlan késedelem nélkül bejelentik a Bizottságnak a tagállami bizalmi listák összeállításáért, fenntartásáért és közzétételéért felelős szervre vonatkozó adatokat, és az ilyen listák közzétételi helyével, a bizalmi listák aláírással és bélyegzővel való ellátásához használt tanúsítvánnyal, valamint a mindezeket érintő változtatásokkal kapcsolatos részleteket.
(4) A Bizottság biztonságos csatornán keresztül, automatizált feldolgozásra alkalmas, elektronikus aláírással vagy bélyegzővel ellátott formátumban a nyilvánosság számára elérhetővé teszi a (3) bekezdésben említett adatokat.
(5) A Bizottság 2015. szeptember 18-ig végrehajtási jogi aktusok útján pontosíthatja az (1) bekezdésben meghatározott információkat, és meghatározhatja a bizalmi listákra vonatkozó, az (1)-(4) bekezdés értelmében alkalmazandó műszaki leírást és formátumokat. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.
(1) Azt követően, hogy a 21. cikk (2) bekezdése második albekezdésében említett minősített státust feltüntették a 22. cikk (1) bekezdésében említett bizalmi listán, a minősített bizalmi szolgáltatók az általuk nyújtott minősített bizalmi szolgáltatások egyszerű, felismerhető és egyértelmű módon való feltüntetése céljából használhatják az uniós bizalmi jegyet.
(2) A minősített bizalmi szolgáltatóknak gondoskodniuk kell arról, hogy amennyiben alkalmazzák az uniós bizalmi jegyet az (1) bekezdésben említett minősített bizalmi szolgáltatásokra, honlapjukon link mutasson a vonatkozó bizalmi listára.
(3) A Bizottság 2015. július 1-ig végrehajtási jogi aktusok útján meghatározza a minősített bizalmi szolgáltatások uniós bizalmi jegyének formájára és különösen a megjelenésére, a felépítésére, a méretére és a formatervére vonatkozó részletszabályokat. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.
(1) * Minősített tanúsítvány vagy minősített elektronikus attribútumtanúsítvány kibocsátásakor a minősített bizalmi szolgáltatónak ellenőriznie kell annak a természetes vagy jogi személynek az azonosságát és - adott esetben - egyedi attribútumait, akinek vagy amelynek a részére a minősített tanúsítvány vagy a minősített elektronikus attribútumtanúsítvány kibocsátásra kerül.
(1a) * Az azonosság (1) bekezdésben említett ellenőrzését a minősített bizalmi szolgáltatónak megfelelő eszközökkel, közvetlenül vagy harmadik fél révén kell elvégeznie az alábbi módszerek egyike alapján vagy szükség esetén azokat kombinálva, az (1c) bekezdésben említett végrehajtási jogi aktusokkal összhangban:
a) az európai digitális személyiadat-tárcával vagy olyan bejelentett elektronikus azonosító eszközzel, amely a »magas« biztonsági szint tekintetében megfelel a 8. cikkben meghatározott követelményeknek;
b) minősített elektronikus aláírásnak vagy minősített elektronikus bélyegzőnek az a), c) vagy d) ponttal összhangban kibocsátott tanúsítványával;
c) olyan egyéb azonosítási módszerek alkalmazásával, amelyek biztosítják a személy magas megbízhatósági szintű azonosítását, és amelyek megfelelőségét megfelelőségértékelő szervezetnek kell igazolnia;
d) a természetes személynek vagy a jogi személy meghatalmazott képviselőjének személyes jelenléte útján, megfelelő bizonyítékok és eljárások révén, a nemzeti joggal összhangban.
(1b) * Az attribútumok (1) bekezdésben említett ellenőrzését a minősített bizalmi szolgáltatónak megfelelő eszközökkel, közvetlenül vagy harmadik fél révén kell elvégeznie az alábbi módszerek egyike alapján vagy szükség esetén azokat kombinálva, az (1c) bekezdésben említett végrehajtási jogi aktusokkal összhangban:
a) az európai digitális személyiadat-tárcával vagy olyan bejelentett elektronikus azonosító eszközzel, amely a »magas« biztonsági szint tekintetében megfelel a 8. cikkben meghatározott követelményeknek;
b) minősített elektronikus aláírásnak vagy minősített elektronikus bélyegzőnek az (1a) bekezdés a), c) vagy d) pontjával összhangban kibocsátott tanúsítványával;
c) minősített elektronikus attribútumtanúsítvánnyal;
d) olyan egyéb módszerek alkalmazásával, amelyek biztosítják az attribútumok magas megbízhatósági szintű ellenőrzését, és amelyek megfelelőségét megfelelőségértékelő szervezetnek kell igazolnia;
e) a természetes személynek vagy a jogi személy meghatalmazott képviselőjének személyes jelenléte útján, megfelelő bizonyítékok és eljárások révén, a nemzeti joggal összhangban.
(1c) * 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén technikai specifikációkat és eljárásokat állapít meg az azonosság és az attribútumok e cikk (1), (1a) és (1b) bekezdésével összhangban történő ellenőrzésére vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében vizsgálóbizottsági eljárás keretében kell elfogadni.
(2) * A minősített bizalmi szolgáltatást nyújtó minősített bizalmi szolgáltató köteles:
a) * értesíteni a felügyeleti szervet legalább egy hónappal a minősített bizalmi szolgáltatásai nyújtásában bekövetkező bármely változás végrehajtása előtt, illetve az említett tevékenységek beszüntetésének szándéka esetén legalább három hónappal a tevékenységek beszüntetése előtt;
b) olyan munkatársakat és adott esetben olyan alvállalkozókat alkalmazni, akik megbízhatóak, rendelkeznek a szükséges szakértelemmel, tapasztalattal és képesítésekkel, valamint megfelelő képzésben részesültek a biztonságra és a személyes adatok védelmére vonatkozó szabályokkal kapcsolatban, továbbá köteles olyan igazgatási és ügyvezetési eljárásokat alkalmazni, amelyek megfelelnek az európai és nemzetközi szabványoknak;
c) a 13. cikk szerinti kártérítési felelősség kockázata tekintetében megfelelő pénzügyi forrásokkal és/vagy megfelelő felelősségbiztosítással rendelkezni a nemzeti joggal összhangban;
d) * a szerződéskötést megelőzően közérthetően, teljeskörűen és könnyen hozzáférhető formában, nyilvánosan elérhető helyen és egyénileg tájékoztatni a minősített bizalmi szolgáltatást igénybe venni kívánó személyt a szolgáltatás igénybevételére vonatkozó pontos szerződési feltételekről, beleértve az igénybevételre vonatkozó bármely korlátozást is;
e) * olyan megbízható rendszereket és termékeket használni, amelyek védettek a módosításokkal szemben, és biztosítják az általuk támogatott eljárások műszaki biztonságát és megbízhatóságát, többek között megfelelő kriptográfiai technikák alkalmazásával;
f) megbízható rendszereket használni a számára szolgáltatott adatok ellenőrizhető formában történő tárolására, olyan módon, hogy:
i. az adatok kizárólag annak a személynek a hozzájárulásával legyenek nyilvánosan kereshetők, akire az adatok vonatkoznak;
ii. kizárólag arra feljogosított személyek végezhessenek bejegyzéseket és változtatásokat a tárolt adatokon;
iii. ellenőrizhető legyen az adatok hitelessége;
fa) * az (EU) 2022/2555 irányelv 21. cikke ellenére, megfelelő szabályzatokkal rendelkezni és megfelelő intézkedéseket hozni a minősített bizalmi szolgáltatás nyújtásával kapcsolatos jogi, üzleti, működési és egyéb közvetlen vagy közvetett kockázatok kezelésére, beleértve legalább a következőkkel kapcsolatos intézkedéseket:
i. a szolgáltatással kapcsolatos regisztrációra és beléptetésre vonatkozó eljárások;
ii. eljárási vagy adminisztratív ellenőrzések;
iii. a szolgáltatások irányítása és végrehajtása;
fb) * a biztonságnak a szolgáltatás nyújtása vagy az fa) pont i., ii. és iii. alpontjában említett intézkedések végrehajtása során bekövetkező minden olyan megsértéséről vagy a szolgáltatás nyújtása vagy az fa) pont i., ii. vagy iii. alpontjában említett intézkedések végrehajtása során bekövetkező minden olyan zavarról, amely jelentős hatást gyakorol a nyújtott bizalmi szolgáltatásra vagy az annak keretében tárolt személyes adatokra, indokolatlan késedelem nélkül, de legkésőbb a biztonság megsértéséről vagy a zavarról való tudomász- szerzéstől számított 24 órán belül értesíteni a felügyeleti szervet, az azonosítható érintett személyeket, adott esetben más érintett illetékes szerveket, valamint a felügyeleti szerv kérésére a nyilvánosságot, amennyiben az közérdekű;
g) * megfelelő intézkedéseket hozni az adathamisítás, adatlopás vagy jogosulatlan adatfelhasználás, illetve az adatok jogosulatlan törlése, megváltoztatása vagy hozzáférhetetlenné tétele ellen;
h) * a minősített bizalmi szolgáltató tevékenységeinek beszüntetését követően a szükséges időre rögzíteni és hozzáférhetővé tenni az általa kibocsátott vagy általa kapott adatokra vonatkozó összes lényeges információt bizonyítékok bírósági eljárások során történő bemutatása, valamint a szolgáltatás folytonosságának biztosítása céljából. Az ilyen adatrögzítés elektronikus úton is végezhető;
i) * a felügyeleti szerv által a 46b. cikk (4) bekezdésének i) pontja szerint ellenőrzött rendelkezéseknek megfelelő, a szolgáltatás megszüntetésére vonatkozó naprakész tervvel rendelkezni a szolgáltatás folytonosságának biztosítása érdekében;
j) *
k) minősített tanúsítványokat kibocsátó minősített bizalmi szolgáltatók esetében tanúsítvány-adatbázist létrehozni és naprakészen tartani.
A felügyeleti szerv az első albekezdés a) pontja szerint bejelentett információkon kívül is bekérhet információkat, illetve bekérheti a megfelelőségértékelés eredményét, és feltételekhez kötheti a minősített bizalmi szolgáltatások tervezett változtatásainak végrehajtására vonatkozó engedély megadását. Amennyiben az ellenőrzés az értesítéstől számított három hónapon belül nem zárul le, a felügyeleti szervnek tájékoztatnia kell erről a bizalmi szolgáltatót, megjelölve a késedelem okait és az ellenőrzés befejezésére kitűzött időpontot.
(3) Amennyiben a minősített tanúsítványt kibocsátó minősített bizalmi szolgáltatók egy tanúsítvány visszavonása mellett döntenek, kellő időben, de minden esetben a kérelem kézhezvételét követő 24 órán belül rögzíteniük kell tanúsítvány-adatbázisukban a visszavonást, és közzé kell tenniük a tanúsítvány visszavont státusát. A visszavonás a közzétételét követően azonnal hatályossá válik.
(4) Tekintettel a (3) bekezdésre, a minősített tanúsítványt kibocsátó minősített bizalmi szolgáltatónak tájékoztatnia kell a szolgáltatást igénybe vevő felet az általa kibocsátott minősített tanúsítványok érvényességéről vagy visszavont státusáról. Ennek az információnak - legalább tanúsítványonként - megbízható, ingyenes és hatékony automatizált formában bármikor, a tanúsítvány érvényességi idejének lejártát követően is elérhetőnek kell lennie.
(4a) * A (3) és a (4) bekezdést ennek megfelelően alkalmazni kell a minősített elektronikus attribútumtanúsítványok visszavonására.
(4b) * A Bizottság felhatalmazást kap arra, hogy a 47. cikknek megfelelően, felhatalmazáson alapuló jogi aktusok útján további, az e cikk (2) bekezdésének fa) pontjában említett intézkedéseket állapítson meg.
(5) * 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az e cikk (2) bekezdésében említett követelményekre vonatkozóan. Az e szabványoknak, specifikációknak és eljárásoknak való megfelelés esetén vélelmezni kell az e bekezdésben foglalt követelményeknek való megfelelést. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(1) A valamely tagállamban kibocsátott minősített tanúsítványon alapuló minősített elektronikus aláírásokat és a valamely tagállamban kibocsátott minősített tanúsítványon alapuló minősített elektronikus bélyegzőket az összes többi tagállamban el kell ismerni minősített elektronikus aláírásként, illetve minősített elektronikus bélyegzőként.
(2) A valamely tagállamban tanúsított, minősített elektronikus aláírást létrehozó eszközöket, illetve minősített elektronikus bélyegzőt létrehozó eszközöket az összes többi tagállamban el kell ismerni minősített elektronikus aláírást létrehozó eszközként, illetve minősített elektronikus bélyegzőt létrehozó eszközként.
(3) Az elektronikus aláírások, illetve az elektronikus bélyegzők valamely tagállamban kibocsátott, minősített tanúsítványát, valamint a valamely tagállamban nyújtott, távoli minősített elektronikus aláírást létrehozó eszközök kezelésére irányuló minősített bizalmi szolgáltatást, illetve távoli minősített elektronikus bélyegzőt létrehozó eszközök kezelésére irányuló minősített bizalmi szolgáltatást az összes többi tagállamban el kell ismerni elektronikus aláírások, illetve elektronikus bélyegzők minősített tanúsítványaként, valamint távoli minősített elektronikus aláírást létrehozó eszközök kezelésére irányuló minősített bizalmi szolgáltatásként, illetve távoli minősített elektronikus bélyegzőt létrehozó eszközök kezelésére irányuló minősített bizalmi szolgáltatásként.
(4) A valamely tagállamban nyújtott, minősített elektronikus aláírást érvényesítő minősített érvényesítési szolgáltatást, illetve minősített elektronikus bélyegzőt érvényesítő minősített érvényesítési szolgáltatást az összes többi tagállamban el kell ismerni minősített elektronikus aláírást érvényesítő minősített érvényesítési szolgáltatásként, illetve minősített elektronikus bélyegzőt érvényesítő minősített érvényesítési szolgáltatásként.
(5) A valamely tagállamban nyújtott, minősített elektronikus aláírások megőrzésére vonatkozó minősített szolgáltatást, illetve minősített elektronikus bélyegzők megőrzésére vonatkozó minősített szolgáltatást az összes többi tagállamban el kell ismerni minősített elektronikus aláírások megőrzésére vonatkozó minősített szolgáltatásként, illetve minősített elektronikus bélyegzők megőrzésére vonatkozó minősített szolgáltatásként.
(6) A valamely tagállamban kiadott, minősített elektronikus időbélyegzőt az összes többi tagállamban el kell ismerni minősített elektronikus időbélyegzőként.
(7) A valamely tagállamban kibocsátott, minősített weboldal-hitelesítő tanúsítványt az összes többi tagállamban el kell ismerni minősített weboldal-hitelesítő tanúsítványként.
(8) A valamely tagállamban nyújtott, minősített ajánlott elektronikus kézbesítési szolgáltatást az összes többi tagállamban el kell ismerni minősített ajánlott elektronikus kézbesítési szolgáltatásként.
(9) A valamely tagállamban kibocsátott, minősített elektronikus attribútumtanúsítványt az összes többi tagállamban el kell ismerni minősített elektronikus attribútumtanúsítványként.
(10) A valamely tagállamban nyújtott, minősített elektronikus archiválási szolgáltatást az összes többi tagállamban el kell ismerni minősített elektronikus archiválási szolgáltatásként.
(11) A valamely tagállamban vezetett, minősített elektronikus főkönyvet az összes többi tagállamban el kell ismerni minősített elektronikus főkönyvként.
(1) Az elektronikus aláírás joghatása és bírósági eljárásokban bizonyítékként való elfogadhatósága nem tagadható meg kizárólag amiatt, hogy az elektronikus formátumú, illetve nem felel meg a minősített elektronikus aláírásra vonatkozó követelményeknek.
(2) A minősített elektronikus aláírás a saját kezű aláírással azonos joghatású.
(3) *
(1) * A fokozott biztonságú elektronikus aláírásnak az alábbi követelményeknek kell megfelelnie:
a) kizárólag az aláíróhoz köthető;
b) alkalmas az aláíró azonosítására;
c) olyan, elektronikus aláírás létrehozásához használt adatok felhasználásával hozzák létre, amelyeket az aláíró nagy megbízhatósággal kizárólag saját maga használhat;
d) olyan módon kapcsolódik azokhoz az adatokhoz, amelyeket aláírtak vele, hogy az adatok minden későbbi változása nyomon követhető.
(2) * 2026. május 21-ig a Bizottság értékeli, hogy szükség van-e olyan végrehajtási jogi aktusok elfogadására, amelyek útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg a fokozott biztonságú elektronikus aláírásokra vonatkozóan. Ezen értékelés alapján a Bizottság ilyen végrehajtási jogi aktusokat fogadhat el. Amennyiben egy fokozott biztonságú elektronikus aláírás megfelel ezeknek a szabványoknak, specifikációknak és eljárásoknak, vélelmezni kell, hogy az aláírás a fokozott biztonságú elektronikus aláírásokra vonatkozó követelményeknek is megfelel. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(1) Ha egy tagállam egy közigazgatási szerv által vagy egy ilyen szerv nevében nyújtott online szolgáltatás használatához fokozott biztonságú elektronikus aláírás alkalmazását írja elő, akkor ennek a tagállamnak el kell ismernie azokat a fokozott biztonságú elektronikus aláírásokat, elektronikus aláírás minősített tanúsítványán alapuló, fokozott biztonságú elektronikus aláírásokat és minősített elektronikus aláírásokat, amelyeket legalább az (5) bekezdésben említett végrehajtási jogi aktusokban meghatározott formátumokban vagy módszerek alkalmazásával hoztak létre.
(2) Ha egy tagállam egy közigazgatási szerv által vagy egy ilyen szerv nevében nyújtott online szolgáltatás használatához minősített tanúsítványon alapuló, fokozott biztonságú elektronikus aláírás alkalmazását írja elő, akkor ennek a tagállamnak el kell ismernie azokat a minősített tanúsítványon alapuló, fokozott biztonságú elektronikus aláírásokat és a minősített elektronikus aláírásokat, amelyeket legalább az (5) bekezdésben említett végrehajtási jogi aktusokban meghatározott formátumokban vagy módszerek alkalmazásával hoztak létre.
(3) A közigazgatási szervek által nyújtott online szolgáltatások határokon átnyúló igénybevétele tekintetében a tagállamok nem követelhetnek meg a minősített elektronikus aláírásnál magasabb biztonsági szintű elektronikus aláírást.
(4) *
(5) 2015. szeptember 18-ig, és figyelembe véve a jelenlegi gyakorlatot, szabványokat és uniós jogi aktusokat, a Bizottság végrehajtási jogi aktusok útján meghatározza a fokozott biztonságú elektronikus aláírások referenciaformátumait, illetve az alternatív formátumok használata esetén alkalmazandó referencia-módszereket. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.
(1) Az elektronikus aláírások minősített tanúsítványainak meg kell felelniük az I. mellékletben foglalt követelményeknek.
(2) Az elektronikus aláírások minősített tanúsítványaira nem vonatkozhatnak olyan kötelező követelmények, amelyek az I. mellékletben foglalt előírásokat meghaladják.
(3) Az elektronikus aláírások minősített tanúsítványain további, nem kötelező jellegű egyedi jellemzőket is fel lehet tüntetni. Ezek a jellemzők nem érinthetik a minősített elektronikus aláírások interoperabilitását és elismerését.
(4) Ha az elektronikus aláírás minősített tanúsítványát a kezdeti aktiválást követően visszavonják, a tanúsítvány a visszavonás időpontjában érvényességét veszti, státusa pedig semmilyen körülmények között nem állítható vissza.
(5) A tagállamok az alábbi feltételek mellett nemzeti szabályokat határozhatnak meg az elektronikus aláírás minősített tanúsítványának ideiglenes felfüggesztésére vonatkozóan:
a) ha egy elektronikus aláírás minősített tanúsítványát ideiglenesen felfüggesztik, a tanúsítvány a felfüggesztés időtartamára érvényét veszti;
b) a felfüggesztés időtartamát egyértelműen fel kell tüntetni a tanúsítványok adatbázisában oly módon, hogy a felfüggesztett státus a felfüggesztés időtartama alatt látható legyen a tanúsítvány státusáról tájékoztatást nyújtó szolgáltatás igénybevétele során.
(6) * 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az elektronikus aláírások minősített tanúsítványaira vonatkozóan. Amennyiben az elektronikus aláírás minősített tanúsítványa megfelel ezeknek a szabványoknak, specifikációknak és eljárásoknak, vélelmezni kell az I. mellékletben foglalt követelményeknek való megfelelést. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(1) A minősített elektronikus aláírást létrehozó eszközöknek meg kell felelniük a II. mellékletben foglalt követelményeknek.
(1a) * Az elektronikus aláírás létrehozásához használt adatok előállítását és kezelését vagy az ilyen aláírás létrehozására használt adatok adatmentési célból történő másolását csak az aláíró nevében - az aláíró kérésére - lehet végezni, és csak távoli minősített elektronikus aláírást létrehozó eszközök kezelésére irányuló minősített bizalmi szolgáltatást nyújtó minősített bizalmi szolgáltató által.
(2) A Bizottság végrehajtási jogi aktusok útján összeállíthatja a minősített elektronikus aláírást létrehozó eszközökre vonatkozó szabványok hivatkozási számainak listáját. Amennyiben a minősített elektronikus aláírást létrehozó eszköz megfelel ezeknek a szabványoknak, vélelmezni kell a II. mellékletben foglalt követelmények teljesülését. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.
(1) Távoli minősített elektronikus aláírást létrehozó eszközök kezelését minősített szolgáltatásként csak olyan minősített bizalmi szolgáltató végezheti, amely:
a) az aláíró nevében állít elő és kezel az elektronikus aláírás létrehozásához használt adatokat;
b) a II. melléklet 1. pontjának d) alpontja ellenére - kizárólag adatmentési célból - biztonsági másolatot készít az elektronikus aláírás létrehozásához használt adatokról, feltéve, hogy teljesülnek a következő követelmények:
i. a biztonsági adatállomány ugyanolyan biztonságos, mint az eredeti adatállomány;
ii. a biztonsági adatállományok száma nem haladhatja meg a szolgáltatás folytonosságának biztosításához minimálisan szükséges mennyiséget;
c) megfelel a minősített elektronikus aláírást létrehozó eszközre vonatkozóan a 30. cikk szerint kiadott tanúsítási jelentésben meghatározott követelményeknek.
(2) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg e cikk (1) bekezdésének alkalmazása céljából. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(1) A tagállamok által kijelölt megfelelő állami vagy magánszervek tanúsítják, hogy a minősített elektronikus aláírást létrehozó eszközök megfelelnek a II. mellékletben meghatározott követelményeknek.
(2) A tagállamok tájékoztatják a Bizottságot az (1) bekezdés alapján általuk kijelölt állami vagy magánszerv nevéről és címéről. A Bizottság ezt az információt a tagállamok rendelkezésére bocsátja.
(3) Az (1) bekezdésben említett tanúsításnak az alábbiak egyikén kell alapulnia:
a) biztonságértékelési eljárás, amelyet a második albekezdéssel összhangban létrehozott listán szereplő, információtechnológiai termékek biztonságának értékelésére vonatkozó szabványok egyikének megfelelően hajtottak végre.; vagy
b) az a) pontban említettől eltérő eljárás, feltéve, hogy összehasonlítható biztonsági szintet biztosít, és feltéve, hogy az (1) bekezdésben említett állami vagy magánszerv értesítette a Bizottságot erről az eljárásról. Ez az eljárás csak az a) pontban említett szabványok hiányában alkalmazható, vagy akkor, ha az a) pontban említett biztonságértékelési eljárás folyamatban van.
A Bizottság végrehajtási jogi aktusok útján létrehozza az a) pontban említett információtechnológiai termékek biztonságának értékelésére vonatkozó szabványok listáját. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni
(3a) * Az (1) bekezdésben említett tanúsítás legfeljebb öt évig lehet érvényes, feltéve, hogy kétévente sebezhetőségi értékelést végeznek. Amennyiben sebezhetőségeket azonosítanak, de azokat nem orvosolják, a tanúsítást törölni kell.
(4) A Bizottság felhatalmazást kap arra, hogy a 47. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el az e cikk (1) bekezdésében említett kijelölt szervek által teljesítendő részletes feltételek meghatározása céljából.
(1) A tagállamok indokolatlan késedelem nélkül, de legkésőbb egy hónappal a tanúsítás lezárultát követően bejelentik a Bizottságnak a 30. cikk (1) bekezdésében említett szervek által tanúsított, minősített elektronikus aláírást létrehozó eszközökre vonatkozó adatokat. A tagállamok kötelesek továbbá indokolatlan késedelem nélkül, de legkésőbb egy hónappal a tanúsítás visszavonását követően bejelenteni a Bizottságnak a tanúsítvánnyal már nem rendelkező, elektronikus aláírást létrehozó eszközökre vonatkozó adatokat.
(2) A beérkezett adatok alapján a Bizottság összeállítja, közzéteszi és fenntartja a, minősített elektronikus aláírást létrehozó tanúsított eszközök listáját.
(3) * 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján meghatározza az e cikk (1) bekezdésének céljából alkalmazandó formátumokat és eljárásokat. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(1) * A minősített elektronikus aláírás érvényesítésére szolgáló eljárás megállapítja a minősített elektronikus aláírás érvényességét, amennyiben:
a) az aláírást igazoló tanúsítvány az aláírás időpontjában elektronikus aláírás olyan minősített tanúsítványa volt, amely megfelel az I. mellékletnek;
b) a minősített tanúsítványt minősített bizalmi szolgáltató bocsátotta ki, és az az aláírás időpontjában érvényes volt;
c) az aláírás-érvényesítési adatok megfelelnek a szolgáltatást igénybe vevő fél számára megadott adatoknak;
d) a szolgáltatást igénybe vevő fél pontosan megkapja a tanúsítványban az aláírót azonosító egyedi adatokat;
e) amennyiben az aláírás időpontjában álnév használatára került sor, az álnév használatának tényét egyértelműen feltüntették a szolgáltatást igénybe vevő fél számára;
f) az elektronikus aláírást minősített elektronikus aláírást létrehozó eszközzel állították elő;
g) az aláírt adatok sértetlensége nem került veszélybe;
h) az aláírás időpontjában teljesültek a 26. cikkben foglalt követelmények;
Amennyiben a minősített elektronikus aláírások érvényesítése megfelel a (3) bekezdésben említett szabványoknak, specifikációknak és eljárásoknak, vélelmezni kell az e bekezdés első albekezdésében foglalt követelményeknek való megfelelést.
(2) A minősített elektronikus aláírás érvényesítésére használt rendszernek biztosítania kell az érvényesítési eljárás pontos eredményét a szolgáltatást igénybe vevő fél számára, és lehetővé kell tennie, hogy a szolgáltatást igénybe vevő fél minden, a biztonságot érintő problémát észleljen.
(3) * 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg a minősített elektronikus aláírások érvényesítésére vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(1) A minősített tanúsítványokon alapuló, fokozott biztonságú elektronikus aláírások érvényesítésére szolgáló eljárás keretében meg kell állapítani a minősített tanúsítványon alapuló, fokozott biztonságú elektronikus aláírás érvényességét, feltéve, hogy:
a) az aláírást igazoló tanúsítvány az aláírás időpontjában elektronikus aláírás olyan minősített tanúsítványa volt, amely megfelel az I. mellékletnek;
b) a minősített tanúsítványt minősített bizalmi szolgáltató bocsátotta ki, és az az aláírás időpontjában érvényes volt;
c) az aláírás-érvényesítési adatok megfelelnek az igénybe vevő fél számára megadott adatoknak;
d) az igénybe vevő fél pontosan megkapja a tanúsítványban az aláírót azonosító egyedi adatokat;
e) amennyiben az aláírás időpontjában álnév használatára került sor, az álnév használatának tényét egyértelműen feltüntették az igénybe vevő fél számára;
f) az aláírt adatok sértetlensége nem került veszélybe;
g) az aláírás időpontjában teljesültek a 26. cikkben foglalt követelmények.
(2) A minősített tanúsítványokon alapuló, fokozott biztonságú elektronikus aláírások érvényesítésére használt rendszernek biztosítania kell az érvényesítési eljárás pontos eredményét az igénybe vevő fél számára, és lehetővé kell tennie, hogy az igénybe vevő fél minden, a biztonságot érintő problémát észleljen.
(3) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg a minősített tanúsítványokon alapuló, fokozott biztonságú elektronikus aláírások érvényesítésére vonatkozóan. Amennyiben a minősített tanúsítványokon alapuló, fokozott biztonságú elektronikus aláírások érvényesítése megfelel ezeknek a szabványoknak, specifikációknak és eljárásoknak, vélelmezni kell az e cikk (1) bekezdésében foglalt követelményeknek való megfelelést. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(1) Minősített elektronikus aláírást érvényesítő minősített érvényesítési szolgáltatást kizárólag olyan minősített bizalmi szolgáltató nyújthat, amely:
a) a 32. cikk (1) bekezdésének megfelelő érvényesítést biztosít; és
b) lehetővé teszi a szolgáltatást igénybe vevő felek részére, hogy olyan automatizált módon kapják meg az érvényesítési eljárás eredményét, amely megbízható és hatékony, és amelyet a minősített érvényesítési szolgáltatás biztosítójának fokozott biztonságú elektronikus aláírásával vagy fokozott biztonságú elektronikus bélyegzőjével láttak el.
(2) * 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az e cikk (1) bekezdésében említett minősített érvényesítési szolgáltatásra vonatkozóan. Amennyiben a minősített elektronikus aláírást érvényesítő minősített érvényesítési szolgáltatás megfelel ezeknek a szabványoknak, specifikációknak és eljárásoknak, vélelmezni kell az e cikk (1) bekezdésében foglalt követelményeknek való megfelelést. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(1) Minősített elektronikus aláírás megőrzésére vonatkozó minősített szolgáltatást kizárólag olyan minősített bizalmi szolgáltató nyújthat, amely olyan eljárásokat és technológiákat alkalmaz, amelyek képesek a minősített elektronikus aláírás megbízhatóságát a technológiai érvényességi időn túlra is kiterjeszteni.
(1a) * Amennyiben a minősített elektronikus aláírások megőrzésére vonatkozó minősített szolgáltatás megfelel a (2) bekezdésben említett szabványoknak, specifikációknak és eljárásoknak, vélelmezni kell az (1) bekezdésben foglalt követelményeknek való megfelelést.
(2) * 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg a minősített elektronikus aláírások megőrzésére vonatkozó minősített szolgáltatásra vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(1) Az elektronikus bélyegző joghatása és bírósági eljárásokban bizonyítékként való elfogadhatósága nem tagadható meg kizárólag amiatt, hogy az elektronikus formában létezik, illetve nem felel meg a minősített elektronikus bélyegzőkre vonatkozó követelményeknek.
(2) A minősített elektronikus bélyegzők esetében vélelmezni kell a hozzájuk kapcsolódó adatok sértetlenségét és a bélyegzőnek megfelelő eredetét.
(3) *
(1) * A fokozott biztonságú elektronikus bélyegzőnek az alábbi követelményeknek kell megfelelnie:
a) kizárólag a bélyegző létrehozójához kötött;
b) alkalmas a bélyegző létrehozójának azonosítására;
c) olyan, elektronikus bélyegző létrehozásához használt adatok felhasználásával hozzák létre, amelyeket a bélyegző létrehozója nagy megbízhatósággal kizárólag saját maga elektronikus bélyegző létrehozására használhat;
d) olyan módon kapcsolódik azokhoz az adatokhoz, amelyekre vonatkozik, hogy az adatok minden későbbi változása nyomon követhető;
(2) * 2026. május 21-ig a Bizottság elvégzi annak értékelését, hogy szükség van-e olyan végrehajtási jogi aktusok elfogadására, amelyek útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg a fokozott biztonságú elektronikus bélyegzőkre vonatkozóan. Az értékelés eredménye alapján a Bizottság ilyen végrehajtási jogi aktusokat fogadhat el. Amennyiben egy fokozott biztonságú elektronikus bélyegző megfelel ezeknek a szabványoknak, specifikációknak és eljárásoknak, vélelmezni kell, hogy a bélyegző a fokozott biztonságú elektronikus bélyegzőkre vonatkozó követelményeket is teljesíti. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(1) Ha egy tagállam egy közigazgatási szerv által vagy egy ilyen szerv nevében nyújtott online szolgáltatás használatához fokozott biztonságú elektronikus bélyegző alkalmazását írja elő, akkor ennek a tagállamnak el kell ismernie legalább az (5) bekezdésben említett végrehajtási jogi aktusokban meghatározott formátumokban vagy az ott említett módszerek alkalmazásával létrehozott fokozott biztonságú elektronikus bélyegzőket, elektronikus bélyegzők minősített tanúsítványain alapuló, fokozott biztonságú elektronikus bélyegzőket és minősített elektronikus bélyegzőket.
(2) Ha egy tagállam egy közigazgatási szerv által vagy egy ilyen szerv nevében nyújtott online szolgáltatás használatához elektronikus bélyegző minősített tanúsítványán alapuló, fokozott biztonságú elektronikus bélyegző alkalmazását írja elő, akkor ennek a tagállamnak el kell ismernie az elektronikus bélyegző minősített tanúsítványán alapuló, fokozott biztonságú elektronikus bélyegzőket és a minősített elektronikus bélyegzőket legalább az (5) bekezdésben említett végrehajtási jogi aktusokban meghatározott formátumokban vagy alkalmazási módszerekben.
(3) A közigazgatási szervek által nyújtott online szolgáltatások határokon átnyúló igénybevétele tekintetében a tagállamok nem követelhetnek meg a minősített elektronikus bélyegzőnél magasabb biztonsági szintű elektronikus bélyegzőt.
(4) *
(5) 2015. szeptember 18-ig, és figyelembe véve a jelenlegi gyakorlatot, szabványokat és az Unió jogi aktusait, a Bizottság végrehajtási jogi aktusok útján meghatározza a fokozott biztonságú elektronikus bélyegzők referenciaformátumait, illetve az alternatív formátumok használata esetén alkalmazandó referencia-módszereket. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.
(1) Az elektronikus bélyegzők minősített tanúsítványainak meg kell felelniük a III. mellékletben foglalt követelményeknek.
(2) Az elektronikus bélyegzők minősített tanúsítványaira nem vonatkozhatnak olyan kötelező követelmények, amelyek a III. mellékletben foglalt előírásokat meghaladják.
(3) Az elektronikus bélyegzők minősített tanúsítványain további, nem kötelező jellegű egyedi jellemzők is feltüntethetők. Ezek a jellemzők nem érinthetik a minősített elektronikus bélyegzők interoperabilitását és elismerését.
(4) Ha az elektronikus bélyegző minősített tanúsítványát a kezdeti aktiválást követően visszavonják, a tanúsítvány a visszavonás időpontjában érvényét veszti, státusa pedig semmilyen körülmények között nem állítható vissza.
(5) A tagállamok az alábbi feltételek mellett nemzeti szabályokat határozhatnak meg az elektronikus bélyegzők minősített tanúsítványai ideiglenes felfüggesztésére vonatkozóan:
a) ha egy elektronikus bélyegző minősített tanúsítványát ideiglenesen felfüggesztik, a tanúsítvány a felfüggesztés időtartamára érvényét veszti;
b) a felfüggesztés időtartamát egyértelműen fel kell tüntetni a tanúsítványok adatbázisában oly módon, hogy a felfüggesztett státus a felfüggesztés időtartama alatt látható legyen a tanúsítvány státusáról tájékoztatást nyújtó szolgáltatás igénybevétele során.
(6) * 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az elektronikus bélyegzők minősített tanúsítványaira vonatkozóan. Amennyiben az elektronikus bélyegző minősített tanúsítványa megfelel ezeknek a szabványoknak, specifikációknak és eljárásoknak, vélelmezni kell a III. mellékletben foglalt követelményeknek való megfelelést. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(1) A 29. cikket értelemszerűen alkalmazni kell a minősített elektronikus bélyegzőt létrehozó eszközökre vonatkozó követelményekre.
(2) A 30. cikket értelemszerűen alkalmazni kell a minősített elektronikus bélyegzőt létrehozó eszközök tanúsítására.
(3) A 31. cikket értelemszerűen alkalmazni kell a tanúsított, minősített elektronikus bélyegzőt létrehozó eszközök listájának közzétételére.
A 29a. cikket értelemszerűen alkalmazni kell a távoli minősített elektronikus bélyegzőt létrehozó eszközök kezelésére irányuló minősített szolgáltatásra.
A 32., 33. és 34. cikket értelemszerűen alkalmazni kell a minősített elektronikus bélyegzők érvényesítésére és megőrzésére.
A 32a. cikket értelemszerűen alkalmazni kell a minősített tanúsítványokon alapuló fokozott biztonságú elektronikus bélyegzők érvényesítésére.
(1) Az elektronikus időbélyegző joghatása és bírósági eljárásokban bizonyítékként való elfogadhatósága nem tagadható meg kizárólag amiatt, hogy az elektronikus formátumú, illetve nem felel meg a minősített elektronikus időbélyegzőkre vonatkozó követelményeknek.
(2) A minősített elektronikus időbélyegző esetében vélelmezni kell az általa feltüntetett dátum és időpont pontosságát, valamint az adott dátumhoz és időponthoz kapcsolt adatok sértetlenségét.
(3) *
(1) A minősített elektronikus időbélyegzőnek az alábbi követelményeknek kell megfelelnie:
a) az adatokat oly módon kell a dátumhoz és az időponthoz kapcsolnia, hogy az ésszerű mértékben kizárja az adatok észrevétlen megváltoztatásának lehetőségét;
b) az egyezményes koordinált világidőhöz kötött pontos időforráson kell alapulnia; és
c) a minősített bizalmi szolgáltató fokozott biztonságú elektronikus aláírásával vagy fokozott biztonságú elektronikus bélyegzőjével, vagy más egyenértékű módszerrel kell ellenjegyezni.
(1a) * Amennyiben a dátumnak és az időpontnak az adatokhoz való hozzárendelése, valamint az időforrás pontossága megfelel a (2) bekezdésben említett szabványoknak, specifikációknak és eljárásoknak, vélelmezni kell az (1) bekezdésben foglalt követelményeknek való megfelelést.
(2) * 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg a dátumnak és az időpontnak az adatokhoz való hozzárendelésére, valamint az időforrások pontosságának meghatározására vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(1) Az ajánlott elektronikus kézbesítési szolgáltatás alkalmazásával küldött és fogadott adatok joghatása és bírósági eljárásokban bizonyítékként való elfogadhatósága nem tagadható meg kizárólag amiatt, hogy azok elektronikus formában állnak rendelkezésre, illetve nem felelnek meg a minősített ajánlott elektronikus kézbesítési szolgáltatásra vonatkozó követelményeknek.
(2) A minősített ajánlott elektronikus kézbesítési szolgáltatás alkalmazásával küldött és fogadott adatok esetében vélelmezni kell azok sértetlenségét, az adatok küldésének az azonosított küldő és az adatok fogadásának az azonosított fogadó általi végrehajtása tényét, valamint az adatküldésnek és -fogadásnak a minősített ajánlott elektronikus kézbesítési szolgáltatás által feltüntetett dátuma és időpontja pontosságát.
(1) A minősített ajánlott elektronikus kézbesítési szolgáltatásoknak az alábbi követelményeknek kell megfelelniük:
a) egy vagy több minősített bizalmi szolgáltató nyújtja a szolgáltatásokat;
b) lehetővé teszik azt, hogy nagy biztonsággal lehessen azonosítani a küldőt;
c) az adat kézbesítése előtt biztosítaniuk kell a fogadó azonosítását;
d) az adatküldést és az adatfogadást egy minősített bizalmi szolgáltató fokozott biztonságú elektronikus aláírásával vagy fokozott biztonságú elektronikus bélyegzőjével kell biztonságossá tenni olyan módon, hogy az kizárja az adatok észrevétlen megváltoztatásának lehetőségét;
e) az adatküldéshez vagy -fogadáshoz szükséges minden adatmódosítást világosan fel kell tüntetni az adatok küldője és címzettje számára;
f) az adatok küldésének, fogadásának és módosításának dátumát és időpontját minősített elektronikus időbélyegzővel fel kell tüntetni;
Két vagy több minősített bizalmi szolgáltató között történő adattovábbítás esetén az a)-f) pont követelményei valamennyi minősített bizalmi szolgáltatóra vonatkozóan alkalmazandók.
(1a) * Amennyiben az adatküldés és az adatfogadás folyamata megfelel a (2) bekezdésben említett szabványoknak, specifikációknak és eljárásoknak, vélelmezni kell az (1) bekezdésben foglalt követelményeknek való megfelelést.
(2) * 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az adatküldés és az adatfogadás folyamatára vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(2a) * A minősített ajánlott elektronikus kézbesítési szolgáltatásokat nyújtó szolgáltatók megállapodhatnak az általuk nyújtott minősített ajánlott elektronikus kézbesítési szolgáltatások közötti interoperabilitásról. Ezen interoperabilitási keretnek meg kell felelnie az (1) bekezdésben meghatározott követelményeknek, és e megfelelést megfelelőségértékelő szervezetnek kell igazolnia.
(2b) * A Bizottság végrehajtási jogi aktusok útján összeállíthat egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapíthat meg az e cikk (2a) bekezdésében említett interoperabilitási keretre vonatkozóan. A technikai specifikációknak és a szabványok tartalmának költséghatékonynak és arányosnak kell lenniük. A végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(1) A minősített weboldal-hitelesítő tanúsítványoknak meg kell felelniük a IV. mellékletben foglalt követelményeknek. Az e követelményeknek való megfelelés értékelését az e cikk (2) bekezdésében említett szabványokkal, specifikációkkal és eljárásokkal összhangban kell elvégezni.
(1a) Az e cikk (1) bekezdésével összhangban kibocsátott, minősített weboldal-hitelesítő tanúsítványokat a webböngésző-szolgáltatóknak el kell ismerniük. A webböngésző-szolgáltatóknak biztosítaniuk kell, hogy a tanúsítványban tanúsított személyazonosító adatok és a további tanúsított attribútumok felhasználóbarát módon legyenek megjelenítve. A webböngésző-szolgáltatóknak biztosítaniuk kell az e cikk (1) bekezdésében említett, minősített weboldal-hitelesítő tanúsítványok támogatását és interoperabilitását; ez alól kivételt képeznek a működésük első öt évében a webböngészési szolgáltatásokat nyújtó, a 2003/361/EK ajánlás mellékletének 2. cikkében meghatározott mikro- vagy kisvállalkozások.
(1b) A minősített weboldal-hitelesítő tanúsítványokra nem vonatkozhatnak az (1) bekezdésben foglalt követelményeken kívüli kötelező követelmények.
(2) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az e cikk (1) bekezdésében említett, minősített weboldal-hitelesítő tanúsítványokra vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(1) A webböngésző-szolgáltatók nem hozhatnak olyan intézkedéseket, amelyek ellentétesek a 45. cikkben meghatározott kötelezettségeikkel, különösen azon követelményekkel, amelyek a minősített weboldal-hitelesítő tanúsítványok elismerésére és a rendelkezésre bocsátott személyazonosító adatok felhasználóbarát módon való megjelenítésére vonatkoznak.
(2) Az (1) bekezdéstől eltérve, és kizárólag abban az esetben, ha megalapozott aggályok merülnek fel egy azonosított tanúsítvány vagy tanúsítványegyüttes biztonságának megsértésével vagy sértetlenségének megszűnésével kapcsolatban, a webböngésző-szolgáltatók óvintézkedéseket hozhatnak az adott tanúsítvány vagy tanúsítványegyüttes tekintetében.
(3) Amennyiben egy webböngésző-szolgáltató a (2) bekezdés alapján óvintézkedéseket hoz, a webböngésző-szol- gáltatónak indokolatlan késedelem nélkül, írásban értesítenie kell aggályairól a Bizottságot, az illetékes felügyeleti szervet, azt a szervezetet, amely részére a tanúsítványt kiállították, valamint a tanúsítványt vagy tanúsítványegyüttest kibocsátó minősített bizalmi szolgáltatót, és az értesítésben ismertetnie kell az aggályos jelenség mérséklése céljából hozott intézkedéseket. Az értesítés kézhezvételét követően az illetékes felügyeleti szervnek átvételi elismervényt kell kibocsátania az adott webböngésző-szolgáltató részére.
(4) Az illetékes felügyeleti szervnek a 46b. cikk (4) bekezdésének k) pontjával összhangban meg kell vizsgálnia az értesítésben felvetett kérdéseket. Amennyiben e vizsgálat nem eredményezi a tanúsítvány minősített státusának visszavonását, a felügyeleti szervnek tájékoztatnia kell erről a webböngésző-szolgáltatót, és fel kell kérnie az említett szolgáltatót arra, hogy szüntesse meg az e cikk (2) bekezdésében említett óvintézkedéseket.
(1) Az elektronikus attribútumtanúsítvány joghatása vagy bírósági eljárásokban bizonyítékként való elfogadhatósága nem tagadható meg kizárólag amiatt, hogy az elektronikus formátumú, vagy hogy az nem felel meg a minősített elektronikus attribútumtanúsítványokra vonatkozó követelményeknek.
(2) A minősített elektronikus attribútumtanúsítványoknak és a hiteles forrásért felelős közigazgatási szerv által vagy nevében kibocsátott attribútumtanúsítványoknak ugyanolyan joghatással kell bírniuk, mint a jogszerűen kibocsátott papíralapú tanúsítványoknak.
(3) A hiteles forrásért felelős közigazgatási szerv által vagy nevében valamely tagállamban kibocsátott attribútumtanúsítványt valamennyi tagállamban el kell ismerni hiteles forrásért felelős közigazgatási szerv által vagy nevében kibocsátott attribútumtanúsítványként.
Ha a nemzeti jogszabályok értelmében egy közigazgatási szerv által nyújtott online szolgáltatás elérését elektronikus azonosító eszközt és hitelesítést alkalmazó elektronikus azonosításhoz kötik, az elektronikus attribútumtanúsítványban szereplő személyazonosító adatok nem helyettesíthetik az elektronikus azonosító eszközt és hitelesítést alkalmazó elektronikus azonosítást, kivéve, ha azt a tagállam kifejezetten megengedi. Ilyen esetben a más tagállamokból származó, minősített elektronikus attribútumtanúsítványt is el kell fogadni.
(1) A minősített elektronikus attribútumtanúsítványoknak meg kell felelniük az V. mellékletben foglalt követelményeknek.
(2) Az V. mellékletben megállapított követelményeknek való megfelelés értékelését az e cikk (5) bekezdésében említett szabványokkal, specifikációkkal és eljárásokkal összhangban kell elvégezni.
(3) A minősített elektronikus attribútumtanúsítványokra az V. mellékletben szereplőkön túl nem vonatkozhatnak kötelező követelmények.
(4) Ha a minősített elektronikus attribútumtanúsítványt a kezdeti kibocsátást követően visszavonják, a tanúsítvány a visszavonás időpontjában érvényességét veszti, státusa pedig semmilyen körülmények között nem állítható vissza.
(5) 2024. november 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg a minősített elektronikus attribútumtanúsítványokra vonatkozóan. Ezeknek a végrehajtási jogi aktusoknak összhangban kell lenniük az európai digitális személyiadat-tárca megvalósításáról szóló, az 5a. cikk (23) bekezdésében említett végrehajtási jogi aktusokkal. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(1) A tagállamok az 5a. cikk (23) bekezdésében és az 5c. cikk (6) bekezdésében említett végrehajtási jogi aktusok hatálybalépésének napját követő 24 hónapon belül biztosítják, hogy legalább a VI. mellékletben felsorolt attribútumok tekintetében - amennyiben ezek az attribútumok a közszférán belüli hiteles forrásokra támaszkodnak - intézkedéseket hozzanak annak érdekében, hogy az elektronikus attribútumtanúsítványok minősített bizalmi szolgáltatói ezeket az attribútumokat a felhasználó kérésére, az uniós vagy a nemzeti joggal összhangban elektronikus úton ellenőrizhessék.
(2) 2024. november 21-ig a Bizottság végrehajtási jogi aktusok útján, a vonatkozó nemzetközi szabványok figyelembevételével összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az attribútumok katalógusára, az attribútumok tanúsítási rendszereire, valamint a minősített elektronikus attribútumtanúsítványok ellenőrzési eljárásaira vonatkozóan e cikk (1) bekezdésének alkalmazása céljából. Ezeknek a végrehajtási jogi aktusoknak összhangban kell lenniük az európai digitális személyiadat-tárca megvalósításáról szóló, az 5a. cikk (23) bekezdésében említett végrehajtási jogi aktusokkal. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(1) A hiteles forrásért felelős közigazgatási szerv által vagy nevében kibocsátott elektronikus attribútumtanúsítványnak az alábbi követelményeknek kell megfelelnie:
a) a VII. mellékletben megállapított követelmények;
b) a VII. melléklet b) pontja szerinti kibocsátóként azonosított, a 3. cikk 46. pontja szerinti közigazgatási szerv minősített elektronikus aláírására vagy minősített elektronikus bélyegzőjére vonatkozó minősített tanúsítványnak, amely automatizált feldolgozásra alkalmas formában tartalmazza a következő konkrét tanúsított attribútumokat:
i. annak feltüntetése, hogy a kibocsátó szervet - az uniós vagy a nemzeti joggal összhangban - az azon hiteles forrásért felelős szervként vagy az annak nevében való eljárásra kijelölt szervként hozták létre, amelynek alapján az elektronikus attribútumtanúsítványt kibocsátják;
ii. az i. alpontban említett hiteles forrást egyértelműen azonosító adatok; és
iii. az i. alpontban említett uniós vagy nemzeti jog megjelölése.
(2) A 3. cikk 46. pontjában említett közigazgatási szervek letelepedési helye szerinti tagállam biztosítja, hogy az elektronikus attribútumtanúsítványokat kibocsátó közigazgatási szervek a megbízhatóság szintje szempontjából egyenértékűek legyenek a 24. cikk szerinti minősített bizalmi szolgáltatókkal.
(3) A tagállamok értesítik a Bizottságot a 3. cikk 46. pontjában említett közigazgatási szervekről. Ezen értesítésnek tartalmaznia kell a megfelelőségértékelő szervezet által kibocsátott megfelelőségértékelési jelentést, amely megerősíti, hogy az e cikk (1), (2) és (6) bekezdésében meghatározott követelmények teljesülnek. A Bizottság biztonságos csatornán keresztül, automatizált feldolgozásra alkalmas, elektronikus aláírással vagy bélyegzővel ellátott formátumban a nyilvánosság számára elérhetővé teszi a 3. cikk 46. pontjában említett közigazgatási szervek jegyzékét.
(4) Amennyiben a hiteles forrásért felelős közigazgatási szerv által vagy nevében kibocsátott elektronikus attribútumtanúsítványt a kezdeti kibocsátást követően visszavonják, a tanúsítvány a visszavonás időpontjában érvényességét veszti és a státusa nem állítható vissza.
(5) Amennyiben a hiteles forrásért felelős közigazgatási szerv által vagy nevében kibocsátott elektronikus attribútumtanúsítvány megfelel a (6) bekezdésben említett szabványoknak, specifikációknak és eljárásoknak, vélelmezni kell az (1) bekezdésben megállapított követelményeknek való megfelelést.
(6) 2024. november 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg a hiteles forrásért felelős közigazgatási szerv által vagy nevében kibocsátott elektronikus attribútumtanúsítványokra vonatkozóan. Ezeknek a végrehajtási jogi aktusoknak összhangban kell lenniük az európai digitális személyiadat-tárca megvalósításáról szóló, az 5a. cikk (23) bekezdésében említett végrehajtási jogi aktusokkal. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(7) 2024. november 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg e cikk (3) bekezdésének alkalmazásához. Ezeknek a végrehajtási jogi aktusoknak összhangban kell lenniük az európai digitális személyiadat-tárca megvalósításáról szóló, az 5a. cikk (23) bekezdésében említett végrehajtási jogi aktusokkal. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(8) Az elektronikus attribútumtanúsítványokat kibocsátó, a 3. cikk 46. pontjában említett közigazgatási szerveknek felületet kell biztosítaniuk az 5a. cikkel összhangban nyújtott európai digitális személyiadat-tárcákhoz.
(1) Az elektronikus attribútumtanúsítványokat nyújtó szolgáltatóknak lehetővé kell tenniük az európai digitális személyiadat-tárcák felhasználói számára az elektronikus attribútumtanúsítvány igénylését, beszerzését, tárolását és kezelését, függetlenül attól, hogy az európai digitális személyiadat-tárcát mely tagállamokban nyújtják.
(2) A minősített elektronikus attribútumtanúsítványokat nyújtó szolgáltatóknak felületet kell biztosítaniuk az 5a. cikkel összhangban nyújtott európai digitális személyiadat-tárcákhoz.
(1) A minősített és nem minősített elektronikus attribútumtanúsítványokkal kapcsolatos szolgáltatásokat nyújtó szolgáltatók nem kombinálhatják az e szolgáltatások nyújtásához kapcsolódó személyes adatokat az általuk vagy kereskedelmi partnereik által kínált bármely más szolgáltatásból származó személyes adatokkal.
(2) Az elektronikus attribútumtanúsítványok nyújtására irányuló szolgáltatásokkal kapcsolatos személyes adatokat minden egyéb, az elektronikus attribútumtanúsítványokat nyújtó szolgáltató által tárolt adattól logikailag elkülönítve kell tárolni.
(3) A minősített elektronikus attribútumtanúsítványokra irányuló szolgáltatásokat nyújtó szolgáltatóknak az ilyen minősített bizalmi szolgáltatásokat az általuk nyújtott egyéb szolgáltatásoktól funkcionálisan elkülönített módon kell nyújtaniuk.
(1) Az elektronikus archiválási szolgáltatás alkalmazásával megőrzött elektronikus adatok és elektronikus dokumentumok joghatása vagy bírósági eljárásokban bizonyítékként való elfogadhatósága nem tagadható meg kizárólag amiatt, hogy azok elektronikus formátumban állnak rendelkezésre, illetve hogy megőrzésük nem minősített elektronikus archiválási szolgáltatás igénybevételével történik.
(2) A minősített elektronikus archiválási szolgáltatás alkalmazásával megőrzött elektronikus adatok és elektronikus dokumentumok esetében a minősített bizalmi szolgáltató általi megőrzés időszaka alatt vélelmezni kell az adatok sértetlenségét és megfelelő eredetét.
(1) A minősített elektronikus archiválási szolgáltatásoknak az alábbi követelményeknek kell megfelelniük:
a) azokat minősített bizalmi szolgáltatóknak kell nyújtaniuk;
b) olyan eljárásokat és technológiákat kell alkalmazniuk, amelyek lehetővé teszik az elektronikus adatok és elektronikus dokumentumok tartósságának és olvashatóságának biztosítását - azok sértetlenségének és eredetük pontosságának megtartása mellett - a technológiai érvényességi időszakon túlmenően és legalább a jogi vagy szerződéses megőrzési időszak tartamára;
c) biztosítaniuk kell, hogy az említett elektronikus adatok és az említett elektronikus dokumentumok a megőrzésük során - az adathordozójukat vagy elektronikus formátumukat érintő változások kivételével - védve legyenek az adatvesztéssel és az adatmódosítással szemben;
d) lehetővé kell tenniük a jogosult igénybe vevő felek számára, hogy automatizált módon olyan jelentést kapjanak, amely megerősíti, hogy valamely, a minősített elektronikus archívumban visszakeresett elektronikus adat vagy elektronikus dokumentum sértetlensége a megőrzési időszak kezdetétől a keresés pillanatáig vélelmezhető.
Az első albekezdés d) pontjában említett jelentést megbízható és hatékony módon kell eljuttatni, és el kell látni a minősített elektronikus archiválási szolgáltatás nyújtójának minősített elektronikus aláírásával vagy minősített elektronikus bélyegzőjével.
(2) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg a minősített elektronikus archiválási szolgáltatásokra vonatkozóan. Amennyiben a minősített elektronikus archiválási szolgáltatások megfelelnek ezeknek a szabványoknak, előírásoknak és eljárásoknak, vélelmezni kell a minősített elektronikus archiválási szolgáltatásokra vonatkozó követelményeknek való megfelelést. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(1) Az elektronikus főkönyv joghatása vagy bírósági eljárásokban bizonyítékként való elfogadhatósága nem tagadható meg kizárólag amiatt, hogy az elektronikus formátumban létezik, vagy hogy nem felel meg a minősített elektronikus főkönyvekre vonatkozó követelményeknek.
(2) A minősített elektronikus főkönyvben szereplő adatrekordokkal kapcsolatban vélelmezni kell azok egyedi és pontos szekvenciális időrendi sorrendjét és sértetlenségét.
(1) A minősített elektronikus főkönyveknek a következő követelményeknek kell megfelelniük:
a) egy vagy több minősített bizalmi szolgáltató hozta létre és kezeli őket;
b) megállapítják a főkönyvben szereplő adatrekordok eredetét;
c) garantálják a főkönyvben szereplő adatrekordok egyedi szekvenciális időrendi sorrendjét;
d) oly módon rögzítik az adatokat, hogy az adatok bármely későbbi változása azonnal észlelhető legyen, így biztosítva azok sértetlenségét az idők során.
(2) Amennyiben egy elektronikus főkönyv megfelel a (3) bekezdésben említett szabványoknak, előírásoknak és eljárásoknak, vélelmezni kell az (1) bekezdésben foglalt követelményeknek való megfelelést.
(3) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az e cikk (1) bekezdésében meghatározott követelményekre vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
Az elektronikus dokumentum joghatása és bírósági eljárásokban bizonyítékként való elfogadhatósága nem tagadható meg kizárólag amiatt, hogy az elektronikus formátumú.
(1) A tagállamok kijelölnek egy vagy több, a területükön letelepedett felügyeleti szervet.
Az első albekezdés szerint kijelölt felügyeleti szerveknek rendelkezniük kell a feladataik eredményes, hatékony és független ellátásához szükséges hatáskörökkel és megfelelő erőforrásokkal.
(2) A tagállamok bejelentik a Bizottságnak az (1) bekezdés szerint kijelölt felügyeleti szerveik nevét és címét, valamint ezek későbbi változásait. A Bizottság közzéteszi a bejelentett felügyeleti szervek jegyzékét.
(3) Az (1) bekezdés szerint kijelölt felügyeleti szervek szerepe a következő:
a) ellátni az európai digitális személyiadat-tárcákat nyújtó, a kijelölő tagállam területén letelepedett szolgáltatók felügyeletét, valamint előzetes és utólagos felügyeleti tevékenységek révén biztosítani, hogy e szolgáltatók és az általuk nyújtott európai digitális személyiadat-tárcák megfeleljenek az e rendeletben megállapított követelményeknek;
b) szükség esetén - utólagos felügyeleti tevékenységek révén - intézkedéseket hozni az európai digitális személyiadat-tárcákat nyújtó, a kijelölő tagállam területén letelepedett szolgáltatókkal kapcsolatban, amennyiben tájékoztatást kaptak arról, hogy e szolgáltatók vagy az általuk nyújtott európai digitális személyiadat-tárcák sértik ezt a rendeletet.
(4) Az (1) bekezdés szerint kijelölt felügyeleti szervek feladatai különösen a következők:
a) együttműködni más felügyeleti szervekkel, és a 46c. és 46e. cikkel összhangban segítséget nyújtani e szerveknek;
b) bekérni az e rendeletnek való megfelelés ellenőrzéséhez szükséges információkat;
c) tájékoztatni az érintett tagállamoknak az (EU) 2022/2555 irányelv 8. cikkének (1) bekezdése alapján kijelölt vagy létrehozott érintett illetékes hatóságait a biztonság olyan jelentős megsértéséről vagy a sértetlenség olyan megszűnéséről, amelyről feladataik ellátása során tudomást szereznek, valamint a biztonság más tagállamokat érintő, jelentős megsértése vagy a sértetlenség más tagállamokat érintő megszűnése esetén tájékoztatni az érintett tagállamnak az (EU) 2022/2555 irányelv 8. cikkének (3) bekezdése szerint kijelölt vagy létrehozott egyedüli kapcsolattartó pontját, valamint a többi érintett tagállamnak az e rendelet 46c. cikkének (1) bekezdése szerint kijelölt egyedüli kapcsolattartó pontját, továbbá tájékoztatni a nyilvánosságot - vagy erre kötelezni az európai digitális személyiadat-tárcát nyújtó szolgáltatót -, amennyiben a felügyeleti szerv megállapítja, hogy a biztonság megsértésének vagy a sértetlenség megszűnésének a nyilvánosságra hozatala közérdeket szolgálna;
d) helyszíni ellenőrzéseket végezni és távoli felügyeletet ellátni;
e) előírni, hogy az európai digitális személyiadat-tárcákat nyújtó szolgáltatók az e rendeletben foglalt követelményeknek való megfelelés elmulasztása esetén orvosolják a helyzetet;
f) az európai digitális személyiadat-tárca jogellenes vagy csalárd használata esetén felfüggeszteni vagy törölni az igénybe vevő felek nyilvántartásba vételét és az 5b. cikk (7) bekezdésében említett mechanizmusban való részvételét;
g) együttműködni az (EU) 2016/679 rendelet 51. cikke alapján létrehozott illetékes felügyeleti hatóságokkal, különösen azáltal, hogy indokolatlan késedelem nélkül tájékoztatják őket egyrészt arról, ha vélhetően megsértették a személyes adatok védelmére vonatkozó szabályokat, másrészt pedig a biztonság vélhetően adatvédelmi incidensnek minősülő megsértéséről.
(5) Amennyiben az (1) bekezdés szerint kijelölt felügyeleti szerv előírja az európai digitális személyiadat-tárcát nyújtó szolgáltató számára, hogy a (4) bekezdés e) pontjával összhangban orvosolja az e rendeletben foglalt követelményeknek való megfelelés elmulasztását, és a szolgáltató - adott esetben az említett felügyeleti szerv által meghatározott határidőn belül - ezt nem teljesíti, az (1) bekezdés szerint kijelölt felügyeleti szerv - figyelembe véve különösen a mulasztás mértékét, időtartamát és következményeit - kötelezheti a szolgáltatót az európai digitális személyiadat-tárca nyújtásának felfüggesztésére vagy megszüntetésére. A felügyeleti szervnek indokolatlan késedelem nélkül értesíteniük kell a többi tagállam felügyeleti szerveit, a Bizottságot, az igénybe vevő feleket és az európai digitális személyiadat-tárca felhasználóit az európai digitális személyiadat-tárca nyújtásának felfüggesztését vagy megszüntetését elrendelő határozatról.
(6) Minden évben március 31-ig az (1) bekezdés szerint kijelölt felügyeleti szervek mindegyikének be kell nyújtania a Bizottság részére egy, az előző naptári évben végzett főbb tevékenységeiről szóló jelentést. A Bizottság ezeket az éves jelentéseket az Európai Parlament és a Tanács rendelkezésére bocsátja.
(7) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján meghatározza az e cikk (6) bekezdésében említett jelentés formátumait és a kapcsolódó eljárásokat. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(1) A tagállamok kijelölnek egy, a területükön letelepedett felügyeleti szervet vagy egy másik tagállammal kötött kölcsönös megállapodás alapján kijelölnek egy, e másik tagállamban letelepedett felügyeleti szervet. E felügyeleti szerv felelős a felügyeleti feladatoknak a bizalmi szolgáltatások tekintetében a kijelölő tagállamban való ellátásáért.
Az első albekezdés szerint kijelölt felügyeleti szerveknek rendelkezniük kell a feladataik ellátásához szükséges hatáskörökkel és megfelelő erőforrásokkal.
(2) A tagállamok bejelentik a Bizottságnak az (1) bekezdés szerint kijelölt felügyeleti szerveik nevét és címét, valamint ezek későbbi változásait. A Bizottság közzéteszi a bejelentett felügyeleti szervek jegyzékét.
(3) Az (1) bekezdés szerint kijelölt felügyeleti szervek szerepe a következő:
a) ellátni a kijelölő tagállam területén letelepedett minősített bizalmi szolgáltatók felügyeletét, és előzetes és utólagos felügyeleti tevékenységek révén biztosítani, hogy e minősített bizalmi szolgáltatók és az általuk nyújtott minősített bizalmi szolgáltatások megfeleljenek az e rendeletben megállapított követelményeknek;
b) szükség esetén, utólagos felügyeleti tevékenységek révén intézkedést hozni a kijelölő tagállam területén letelepedett nem minősített bizalmi szolgáltatókkal szemben, amennyiben arról értesülnek, hogy e nem minősített bizalmi szolgáltatók vagy az általuk nyújtott bizalmi szolgáltatások vélhetően nem felelnek meg az e rendeletben megállapított követelményeknek.
(4) Az (1) bekezdés szerint kijelölt felügyeleti szerv feladatai különösen a következők:
a) tájékoztatni az érintett tagállamoknak az (EU) 2022/2555 irányelv 8. cikkének (1) bekezdése alapján kijelölt vagy létrehozott érintett illetékes hatóságait a biztonság olyan jelentős megsértéséről vagy a sértetlenség olyan megszűnéséről, amelyről feladatai ellátása során tudomást szerez, valamint a biztonság más tagállamokat érintő, jelentős megsértése vagy a sértetlenség más tagállamokat érintő megszűnése esetén tájékoztatni az érintett tagállamnak az (EU) 2022/2555 irányelv 8. cikkének (3) bekezdése szerint kijelölt vagy létrehozott egyedüli kapcsolattartó pontját, valamint a többi érintett tagállamnak az e rendelet 46c. cikkének (1) bekezdése szerint kijelölt egyedüli kapcsolattartó pontját, továbbá tájékoztatni a nyilvánosságot - vagy erre kötelezni a bizalmi szolgáltatót -, amennyiben a felügyeleti szerv megállapítja, hogy a biztonság megsértésének vagy a sértetlenség megszűnésének a nyilvánosságra hozatala közérdeket szolgálna;
b) együttműködni más felügyeleti szervekkel, és a 46c. és 46e. cikkel összhangban segítséget nyújtani e szerveknek;
c) elemezni a 20. cikk (1) bekezdésében és a 21. cikk (1) bekezdésében említett megfelelőségértékelési jelentéseket;
d) e cikk (6) bekezdésével összhangban jelentést tenni a Bizottság részére a főbb tevékenységeiről;
e) a 20. cikk (2) bekezdésével összhangban ellenőrzéseket végezni, vagy felkérni egy megfelelőségértékelő szervezetet a minősített bizalmi szolgáltatókra vonatkozó megfelelőségértékelés elvégzésére;
f) együttműködni az (EU) 2016/679 rendelet 51. cikke alapján létrehozott illetékes felügyeleti hatóságokkal, különösen azáltal, hogy indokolatlan késedelem nélkül tájékoztatja őket egyrészt arról, ha vélhetően megsértették a személyes adatok védelmére vonatkozó szabályokat, másrészt pedig a biztonság vélhetően adatvédelmi incidensnek minősülő megsértéséről;
g) a 20. és a 21. cikkel összhangban megadni a minősített státust a bizalmi szolgáltatóknak és az általuk nyújtott szolgáltatásoknak, valamint visszavonni tőlük e státust;
h) tájékoztatni a 22. cikk (3) bekezdésében említett, a tagállami bizalmi listáért felelős szervet a minősített státus megadására és visszavonására vonatkozó határozatairól, amennyiben ez a szerv egyben nem maga az e cikk (1) bekezdése szerint kijelölt felügyeleti szerv;
i) ellenőrizni a szolgáltatás megszüntetésére vonatkozó terv meglétét, valamint a tervre vonatkozó rendelkezések helyes alkalmazását olyan esetekben, amikor valamely minősített bizalmi szolgáltató meg kívánja szüntetni a tevékenységét, beleértve annak ellenőrzését is, hogy az információ milyen módon lesz továbbra is hozzáférhető a 24. cikk (2) bekezdésének h) pontjával összhangban;
j) előírni, hogy a bizalmi szolgáltatók az e rendeletben foglalt követelményeknek való megfelelés elmulasztása esetén orvosolják a helyzetet;
k) megvizsgálni a webböngésző-szolgáltatók által a 45a. cikk alapján benyújtott kérelmeket és szükség esetén intézkedést hozni.
(5) A tagállamok előírhatják, hogy az (1) bekezdés szerint kijelölt felügyeleti szerv a tagállami joggal összhangban hozzon létre egy bizalmi infrastruktúrát, azt tartsa fenn és tegye naprakésszé.
(6) Minden évben március 31-ig az (1) bekezdés szerint kijelölt felügyeleti szervek mindegyikének be kell nyújtania a Bizottság részére egy, az előző naptári évben végzett főbb tevékenységeiről szóló jelentést. A Bizottság ezeket az éves jelentéseket az Európai Parlament és a Tanács rendelkezésére bocsátja.
(7) 2025. május 21-ig a Bizottság iránymutatásokat fogad el az e cikk (4) bekezdésében említett feladatoknak az e cikk (1) bekezdése szerint kijelölt felügyeleti szervek általi ellátására vonatkozóan, valamint végrehajtási jogi aktusok útján meghatározza az e cikk (6) bekezdésében említett jelentés formátumait és a kapcsolódó eljárásokat. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(1) Minden tagállam kijelöl egy egyedüli kapcsolattartó pontot a bizalmi szolgáltatások, az európai digitális személyiadat-tárcák és a bejelentett elektronikus azonosítási rendszerek tekintetében.
(2) Minden egyedüli kapcsolattartó pont összekötő feladatot lát el abból a célból, hogy elősegítése a bizalmi szolgáltatók felügyeleti hatóságai közötti és az európai digitális személyiadat-tárcákat nyújtó szolgáltatók felügyeleti hatóságai közötti, továbbá - adott esetben - a Bizottsággal és az Európai Uniós Kiberbiztonsági Ügynökséggel (ENISA), valamint az adott tagállamban működő egyéb illetékes hatóságokkal történő, határokon átnyúló együttműködést.
(3) Minden tagállam nyilvánosságra hozza az (1) bekezdés szerint kijelölt egyedüli kapcsolattartó pont nevét és címét, valamint ezek későbbi változásait, és indokolatlan késedelem nélkül bejelenti azokat a Bizottságnak.
(4) A Bizottság közzéteszi a (3) bekezdéssel összhangban bejelentett egyedüli kapcsolattartó pontjok jegyzékét.
(1) Az e rendelet szerinti kötelezettségekre vonatkozó felügyeletnek és e kötelezettségek betartatásának a megköny- nyítése érdekében a bizalmi szolgáltatásokért felelős, a 46a. cikk (1) bekezdése és a 46b. cikk (1) bekezdése szerint kijelölt felügyeleti szervek - többek között a 46e. cikk (1) bekezdése alapján létrehozott együttműködési csoporton keresztül - kölcsönös segítségnyújtást kérhetnek egy olyan másik tagállam felügyeleti szerveitől, amelyben az európai digitális személyiadat-tárcát nyújtó szolgáltató vagy a bizalmi szolgáltató letelepedett, vagy amelyben a hálózati és információs rendszerei találhatók, vagy ahol az a szolgáltatásait nyújtja.
(2) A kölcsönös segítségnyújtásnak legalább a következőket kell magában foglalnia:
a) az egyik tagállamban felügyeleti és jogérvényesítési intézkedéseket alkalmazó felügyeleti szerv tájékoztatja a másik érintett tagállam felügyeleti szervét, és konzultál vele;
b) a felügyeleti szerv felkérheti egy másik érintett tagállam felügyeleti szervét felügyeleti vagy jogérvényesítési intézkedések meghozatalára, ideértve például az aziránti megkereséseket, hogy a megkeresett felügyeleti szerv a 20. és 21. cikkel összhangban a megfelelőségértékelési jelentésekkel kapcsolatos vizsgálatokat végezzen a bizalmi szolgáltatások nyújtása tekintetében;
c) a felügyeleti szervek adott esetben közös vizsgálatokat folytathatnak más tagállamok felügyeleti szerveivel.
Az első albekezdés szerinti közös intézkedésekre vonatkozó részletes szabályokat és eljárásokat az érintett tagállamok állapítják meg és hagyják jóvá a saját nemzeti joguknak megfelelően.
(3) A segítségnyújtás iránti megkeresés teljesítését a megkeresett felügyeleti szerv bármely alábbi indokkal megtagadhatja:
a) a kért segítség nem arányos a felügyeleti szervnek a 46a. és 46b. cikkel összhangban végzett felügyeleti tevékenységeivel;
b) a felügyeleti szerv nem illetékes a kért segítség megadására;
c) a kért segítség megadása nem lenne összeegyeztethető e rendelettel.
(4) 2025. május 21-ig, majd azt követően kétévente a 46e. cikk (1) bekezdése alapján létrehozott együttműködési csoport iránymutatást ad ki az e cikk (1) és (2) bekezdésében említett kölcsönös segítségnyújtás szervezeti szempontjairól és eljárásairól.
(1) A bizalmi szolgáltatásokkal, az európai digitális személyiadat-tárcákkal és a bejelentett elektronikus azonosítási rendszerekkel kapcsolatos, határokon átnyúló tagállami együttműködés és információcsere támogatása és megköny- nyítése érdekében a Bizottság létrehozza az európai digitális személyazonossággal foglalkozó együttműködési csoportot (a továbbiakban: az együttműködési csoport).
(2) Az együttműködési csoport a tagállamok és a Bizottság által kijelölt képviselőkből áll. Az együttműködési csoport elnöki tisztét a Bizottság tölti be. A Bizottság egyúttal az együttműködési csoport titkárságát is biztosítja.
(3) Az érdekelt felek képviselői eseti alapon meghívást kaphatnak az együttműködési csoport üléseire és megfigyelőként részt vehetnek annak munkájában.
(4) Az ENISA-t fel kell kérni arra, hogy megfigyelőként részt vegyen az együttműködési csoport munkájában, amikor a csoport véleményt, legjobb gyakorlatokat és információkat cserél a releváns kiberbiztonsági szempontokkal - például a biztonság megsértésének bejelentésével - kapcsolatban, vagy amikor a kiberbiztonsági tanúsítványok vagy szabványok alkalmazásával foglalkoznak.
(5) Az együttműködési csoport a következő feladatokat látja el:
a) véleményt cserél és együttműködik a Bizottsággal a digitális személyiadat-tárcák, az elektronikus azonosító eszközök és a bizalmi szolgáltatások területén felmerülő szakpolitikai kezdeményezésekkel kapcsolatban;
b) adott esetben tanácsot ad a Bizottság részére az e rendelet alapján elfogadandó végrehajtási jogi aktusok és felhatalmazáson alapuló jogi aktusok tervezete kidolgozásának korai szakaszában;
c) annak érdekében, hogy támogassa a felügyeleti szerveket e rendelet rendelkezéseinek végrehajtásában:
i. legjobb gyakorlatokat és információkat cserél e rendelet rendelkezéseinek végrehajtásával kapcsolatban;
ii. értékeli a digitális személyiadat-tárcák, az elektronikus azonosítás és a bizalmi szolgáltatások ágazatában bekövetkezett fejleményeket;
iii. közös üléseket szervez az Unió egész területéről részt vevő érdekelt felekkel az általa végzett tevékenységek megvitatása, valamint a felmerülő szakpolitikai kihívásokkal kapcsolatos információgyűjtés céljából;
iv. az ENISA támogatásával véleményt, legjobb gyakorlatokat és információkat cserél az európai digitális személyiadat-tárcákkal, az elektronikus azonosítási rendszerekkel és a bizalmi szolgáltatásokkal kapcsolatos releváns kiberbiztonsági szempontokról;
v. legjobb gyakorlatokat cserél a biztonság megsértésének bejelentésére vonatkozó szabályok, valamint az 5e. és a 10. cikkben említett közös intézkedések kidolgozása és végrehajtása tekintetében;
vi. közös üléseket szervez az (EU) 2022/2555 irányelv 14. cikkének (1) bekezdése alapján létrehozott Kiberbiztonsági Együttműködési Csoporttal abból a célból, hogy megosszák egymással a bizalmi szolgáltatásokkal és az elektronikus azonosítással kapcsolatos kiberfenyegetésekre, biztonsági eseményekre, sebezhetőségekre, tájékoztatási kezdeményezésekre, képzésekre, gyakorlatokra és készségekre, kapacitásépítésre, valamint szabványokra és technikai specifikációkra vonatkozó releváns információkat;
vii. valamely felügyeleti szerv kérésére megvitat konkrét, kölcsönös segítségnyújtás iránti, a 46d. cikk szerinti megkereséseket;
viii. elősegíti a felügyeleti szervek közötti információcserét azáltal, hogy iránymutatást nyújt a 46d. cikkben említett kölcsönös segítségnyújtás szervezeti szempontjaira és eljárásaira vonatkozóan;
d) partneri felülvizsgálatokat szervez az e rendelet hatálya alá tartozó, bejelentendő elektronikus azonosítási rendszerekre vonatkozóan.
(6) A tagállamok biztosítják, hogy kijelölt képviselőik eredményesen és hatékonyan működjenek együtt az együttműködési csoportban.
(7) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján meghatározza a tagállamok közötti, e cikk (5) bekezdésének d) pontja szerinti együttműködés megkönnyítéséhez szükséges eljárási szabályokat. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(1) A Bizottság az e cikkben meghatározott feltételek mellett felhatalmazást kap felhatalmazáson alapuló jogi aktus elfogadására.
(2) * A Bizottságnak az 5c. cikk (7) bekezdésében, a 24. cikk (4b) bekezdésében és a 30. cikk (4) bekezdésében említett, felhatalmazáson alapuló jogi aktus elfogadására vonatkozó felhatalmazása határozatlan időre szól 2014. szeptember 17-től kezdődő hatállyal.
(3) * Az Európai Parlament vagy a Tanács bármikor visszavonhatja az 5c. cikk (7) bekezdésében, a 24. cikk (4b) bekezdésében és a 30. cikk (4) bekezdésében említett felhatalmazást. A visszavonásról szóló határozat megszünteti az abban meghatározott felhatalmazást. A határozat az Európai Unió Hivatalos Lapjában való kihirdetését követő napon, vagy a benne megjelölt későbbi időpontban lép hatályba. A határozat nem érinti a már hatályban lévő, felhatalmazáson alapuló jogi aktusok érvényességét.
(4) A Bizottság a felhatalmazáson alapuló jogi aktus elfogadását követően haladéktalanul és egyidejűleg értesíti arról az Európai Parlamentet és a Tanácsot e jogi aktus elfogadásáról.
(5) * Az 5c. cikk (7) bekezdése, a 24. cikk (4b) bekezdése vagy a 30. cikk (4) bekezdése értelmében elfogadott, felhatalmazáson alapuló jogi aktus csak akkor lép hatályba, ha az Európai Parlamentnek és a Tanácsnak a jogi aktusról való értesítését követő két hónapon belül sem az Európai Parlament, sem a Tanács nem emelt ellene kifogást, illetve ha az említett időtartam lejártát megelőzően mind az Európai Parlament, mind a Tanács arról tájékoztatta a Bizottságot, hogy nem fog kifogást emelni. Az Európai Parlament vagy a Tanács kezdeményezésére ez az időtartam két hónappal meghosszabbodik.
(1) A Bizottságot egy bizottság segíti. Ez a bizottság a 182/2011/EU rendelet értelmében vett bizottságnak minősül.
(2) Az e bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 5. cikkét kell alkalmazni.
(1) A tagállamok biztosítják a területükön nyújtott európai digitális személyiadat-tárcák és minősített bizalmi szolgáltatások működésével kapcsolatos statisztikák gyűjtését.
(2) Az (1) bekezdésnek megfelelően gyűjtött statisztikáknak a következőket kell tartalmazniuk:
a) az érvényes európai digitális személyiadat-tárcával rendelkező természetes és jogi személyek száma;
b) az európai digitális személyiadat-tárca használatát elfogadó szolgáltatások típusa és száma;
c) az igénybe vevő felekkel és a minősített bizalmi szolgáltatásokkal kapcsolatos felhasználói panaszok, valamint fogyasztóvédelmi vagy adatvédelmi incidensek száma;
d) az európai digitális személyiadat-tárca használatát megakadályozó eseményekre vonatkozó adatokat is tartalmazó összefoglaló jelentés;
e) összefoglaló a jelentős biztonsági eseményekről, adatvédelmi incidensekről, valamint az európai digitális személyiadat-tárcák vagy minősített bizalmi szolgáltatások érintett felhasználóiról.
(3) A (2) bekezdésben említett statisztikákat nyílt és széles körben használt, géppel olvasható formátumban elérhetővé kell tenni a nyilvánosság számára.
(4) A tagállamok minden év március 31-ig benyújtanak a Bizottságnak egy, a (2) bekezdéssel összhangban gyűjtött statisztikákról szóló jelentést.
(1) A Bizottság 2026. május 21-ig felülvizsgálja e rendelet alkalmazását, és jelentést tesz az Európai Parlamentnek és a Tanácsnak. Ebben a jelentésben a Bizottság különösen azt vizsgálja meg, hogy helyénvaló-e e rendelet hatályának, illetve bizonyos rendelkezéseinek - többek között különösen az 5c. cikk (5) bekezdésében foglalt rendelkezéseknek - a módosítása, figyelemmel az e rendelet alkalmazása során szerzett tapasztalatokra és a technológiai, piaci és jogi fejleményekre. Ezen jelentéshez szükség esetén az e rendeletre vonatkozó módosítási javaslatot kell mellékelni.
(2) Az (1) bekezdésben említett jelentésnek tartalmaznia kell az e rendelet hatálya alá tartozó bejelentett elektronikus azonosító eszközök és európai digitális személyiadat-tárcák elérhetőségének, biztonságosságának és használhatóságának értékelését, valamint annak értékelését, hogy a felhasználóhitelesítés céljából harmadik féltől származó elektronikus azonosítási szolgáltatásokat igénybe vevő valamennyi online magánszolgáltatót kötelezni kell-e arra, hogy elfogadja a bejelentett elektronikus azonosító eszközök és az európai digitális személyiadat-tárcák használatát.
(3) Ezenkívül a Bizottság 2030. május 21-ig és azt követően négyévente jelentést nyújt be az Európai Parlamentnek és a Tanácsnak az e rendelet céljainak megvalósítása terén elért eredményekről.
(1) Az 1999/93/EK irányelv 2016. július 1-jével hatályát veszti.
(2) A hatályon kívül helyezett irányelvre történő hivatkozásokat az e rendeletre történő hivatkozásnak kell tekinteni.
(1) Azokat a biztonságos elektronikus aláírást létrehozó eszközöket, amelyek megfelelőségét az 1999/93/EK irányelv 3. cikkének (4) bekezdésével összhangban állapították meg, e rendelet értelmében 2027. május 21-ig továbbra is minősített elektronikus aláírást létrehozó eszköznek kell tekinteni.
(2) Az 1999/93/EK irányelv alapján természetes személyek számára kibocsátott minősített tanúsítványokat 2026. május 21-ig továbbra is elektronikus aláírások e rendelet szerinti minősített tanúsítványának kell tekinteni.
(3) A távoli minősített elektronikus aláírást és bélyegzőt létrehozó eszközök olyan minősített bizalmi szolgáltatók általi kezelése, amelyek nem olyan minősített bizalmi szolgáltatók, amelyek távoli minősített elektronikus aláírást és bélyegzőt létrehozó eszközöknek a 29a. és 39a. cikkel összhangban történő kezelése céljából nyújtanak minősített bizalmi szolgáltatásokat, 2026. május 21-ig végezhető, anélkül, hogy meg kellene szerezni a minősített státust ezen kezelési szolgáltatások nyújtásához.
(4) Azoknak a minősített bizalmi szolgáltatóknak, amelyeknek e rendelet alapján 2024. május 20. előtt ítélték oda a minősített státust, a lehető leghamarabb, de minden esetben 2026. május 21-ig olyan megfelelőségértékelési jelentést kell benyújtaniuk a felügyeleti szervnek, amely jelentés igazolja a 24. cikk (1), (1a) és (1b) bekezdésének való megfelelést.
(1) Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.
(2) Ezt a rendeletet 2016. július 1-jétől kell alkalmazni, kivéve a következő rendelkezéseket:
a) a 8. cikk (3) bekezdését, a 9. cikk (5) bekezdését, a 12. cikk (2)-(9) bekezdését, a 17. cikk (8) bekezdését, a 19. cikk (4) bekezdését, a 20. cikk (4) bekezdését, a 21. cikk (4) bekezdését, a 22. cikk (5) bekezdését, a 23. cikk (3) bekezdését, a 24. cikk (5) bekezdését, a 27. cikk (4) és (5) bekezdését, a 28. cikk (6) bekezdését, a 29. cikk (2) bekezdését, a 30. cikk (3) és (4) bekezdését, a 31. cikk (3) bekezdését, a 32. cikk (3) bekezdését, a 33. cikk (2) bekezdését, a 34. cikk (2) bekezdését, a 37. cikk (4) és (5) bekezdését, a 38. cikk (6) bekezdését, a 42. cikk (2) bekezdését, a 44. cikk (2) bekezdését, a 45. cikk (2) bekezdését, a 47. cikket és a 48. cikket 2014. szeptember 17-től kezdődően kell alkalmazni;
b) a 7. cikket, a 8. cikk (1) és (2) bekezdését, a 9., 10., és 11. cikket, valamint a 12. cikk (1) bekezdését a 8. cikk (3) bekezdésében és a 12. cikk (8) bekezdésében említett végrehajtási jogi aktusok alkalmazása időpontjától kezdve kell alkalmazni;
c) a 6. cikket a 8. cikk (3) bekezdésében és a 12. cikk (8) bekezdésében említett végrehajtási jogi aktusok alkalmazása időpontjától számított 3 év elteltével kell alkalmazni.
(3) Amennyiben a bejelentett elektronikus azonosítási rendszer az e cikk (2) bekezdésének c) pontjában említett időpontot megelőzően már szerepel a Bizottság által a 9. cikk alapján közzétett listán, akkor az említett rendszer szerinti elektronikus azonosító eszköznek a 6. cikk alapján történő elismerésére legkésőbb a szóban forgó rendszer közzétételét követő 12 hónapon belül, de semmi esetre sem az e cikk (2) bekezdésének c) pontjában említett időpontot megelőzően kerül sor.
(4) Az e cikk (2) bekezdésének c) pontja ellenére egy tagállam határozhat úgy, hogy a valamely másik tagállam által a 9. cikk (1) bekezdése alapján bejelentett elektronikus azonosítási rendszer szerinti elektronikus azonosító eszközöket a saját tagállamában a 8. cikk (3) bekezdésében és a 12. cikk (8) bekezdésében említett végrehajtási jogi aktusok alkalmazása időpontjától kezdve ismeri el. Erről az érintett tagállamok tájékoztatják a Bizottságot. A Bizottság ezeket az információkat közzéteszi.
Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.
Kelt Brüsszelben, 2014. július 23-án.
a Parlament részéről | a Tanács részéről | |
az elnök | az elnök | |
M. SCHULZ | S. GOZI |
Az elektronikus aláírások minősített tanúsítványainak a következőket kell tartalmazniuk:
a) legalább automatizált feldolgozásra alkalmas formában utalnia kell arra, hogy a tanúsítványt elektronikus aláírás minősített tanúsítványaként bocsátották ki;
b) a minősített tanúsítványt kibocsátó minősített bizalmi szolgáltatót egyértelműen azonosító adatok, beleértve legalább azt a tagállamot, amelyben az érintett szolgáltató letelepedett, valamint
- jogi személy esetében a hivatalos nyilvántartásban szereplő megnevezést és adott esetben nyilvántartási számot,
- természetes személy esetében a személy nevét;
c) legalább az aláíró neve vagy pedig egy álnév;. álnév használata esetén ezt egyértelműen jelezni kell;
d) az elektronikus aláírás érvényesítéséhez használt adat, amely megfelel az elektronikus aláírás létrehozásához használt adatnak;
e) a tanúsítvány érvényességi idejének kezdete és vége;
f) a tanúsítvány azonosító kódja, amelynek a minősített bizalmi szolgáltatóhoz tartozó egyedi kódnak kell lennie;
g) a minősített bizalmi szolgáltató fokozott biztonságú elektronikus aláírása vagy fokozott biztonságú elektronikus bélyegzője;
h) az a helyszín, ahol a g) pontban említett, a fokozott biztonságú elektronikus aláírásra vagy fokozott biztonságú elektronikus bélyegzőre vonatkozó tanúsítvány ingyenesen hozzáférhető;
i) * információ a minősített tanúsítvány érvényességi állapotáról, vagy azoknak a szolgáltatásoknak a helye, amelyek segítségével arról felvilágosítás kérhető;
j) amennyiben az elektronikus aláírás érvényesítéséhez használt adathoz kapcsolódó, elektronikus aláírás létrehozásához használt adat minősített elektronikus aláírást létrehozó eszközön található, ennek megfelelő feltüntetése, legalább automatizált feldolgozásra alkalmas formában.
1. A minősített elektronikus aláírást létrehozó eszközöknek megfelelő technikai és eljárási megoldások segítségével garantálniuk kell legalább azt, hogy:
a) az elektronikus aláírás létrehozásához használt adat bizalmassága ésszerű mértékben biztosítva legyen;
b) az elektronikus aláírás létrehozásához használt adat gyakorlatilag csak egyszer jöhessen létre;
c) az elektronikus aláírás létrehozásához használt adatok kikövetkeztethetősége ésszerű mértékig kizárható legyen, az elektronikus aláírás pedig megbízhatóan védve legyen a jelenleg rendelkezésre álló technológiákkal elkövetett hamisítás ellen;
d) az elektronikus aláírás létrehozásához használt adatot a jogszerűen aláíró személy megbízható védelemmel tudja ellátni a mások általi felhasználás ellen.
2. A minősített elektronikus aláírást létrehozó eszközök nem módosíthatják az aláírással ellátandó adatokat, és nem akadályozhatják meg, hogy az adatokat az aláíró az aláírás előtt megtekintse.
3. *
4. *
Az elektronikus bélyegzők minősített tanúsítványainak a következőket kell tartalmazniuk:
a) legalább automatizált feldolgozásra alkalmas formában utalnia kell arra, hogy a tanúsítványt elektronikus bélyegző minősített tanúsítványaként bocsátották ki;
b) a minősített tanúsítványt kibocsátó minősített bizalmi szolgáltatót egyértelműen azonosító adatok, beleértve legalább azt a tagállamot, amelyben az érintett szolgáltató letelepedett és
- jogi személy esetében a hivatalos nyilvántartásban szereplő megnevezést és adott esetben nyilvántartási számot,
- természetes személy esetében a személy nevét;
c) a bélyegző létrehozójának legalább a hivatalos nyilvántartásban szereplő neve és adott esetben nyilvántartási száma;
d) az elektronikus bélyegző érvényesítéséhez használt adat, amelyek megfelel az elektronikus bélyegző létrehozásához használt adatnak;
e) a tanúsítvány érvényességi idejének kezdete és vége;
f) a tanúsítvány azonosító kódja, amelynek a minősített bizalmi szolgáltatóhoz tartozó egyedi kódnak kell lennie;
g) a minősített bizalmi szolgáltató fokozott biztonságú elektronikus aláírása vagy fokozott biztonságú elektronikus bélyegzője;
h) az a helyszín, ahol a g) pontban említett, a fokozott biztonságú elektronikus aláírásra vagy fokozott biztonságú elektronikus bélyegzőre vonatkozó tanúsítvány ingyenesen hozzáférhető;
i) * információ a minősített tanúsítvány érvényességi állapotáról, vagy azoknak a szolgáltatásoknak a helye, amelyek segítségével arról felvilágosítás kérhető;
j) amennyiben az elektronikus bélyegző érvényesítéséhez használt adathoz kapcsolódó, elektronikus bélyegző létrehozásához használt adat minősített elektronikus bélyegzőt létrehozó eszközön található, ennek megfelelő feltüntetése, legalább automatizált feldolgozásra alkalmas formában.
A weboldal hitelesítésére szolgáló minősített tanúsítványnak a következőket kell tartalmaznia:
a) legalább automatizált feldolgozásra alkalmas formában utalnia kell arra, hogy a tanúsítványt weboldal hitelesítésére szolgáló minősített tanúsítványként bocsátották ki;
b) a minősített tanúsítványt kibocsátó minősített bizalmi szolgáltatót egyértelműen azonosító adatok, beleértve legalább azt a tagállamot, amelyben az érintett szolgáltató letelepedett és
- jogi személy esetében a hivatalos nyilvántartásban szereplő megnevezést és adott esetben nyilvántartási számot,
- természetes személy esetében a személy nevét;
c) * természetes személyek esetében legalább annak a személynek a neve, aki számára a tanúsítványt kibocsátották, vagy egy álnév; álnév használata esetén ezt egyértelműen jelezni kell;
ca) * jogi személy esetében az azon jogi személyt egyértelműen azonosító egyedi adatok, amely számára a tanúsítványt kibocsátották; ezen adatok között szerepelnie kell legalább azon jogi személy hivatalos nyilvántartásban szereplő megnevezését és - adott esetben - nyilvántartási számát, amely számára a tanúsítványt kibocsátották;
d) annak a természetes vagy jogi személynek a címéhez tartozó elemek, beleértve legalább a várost és a tagállamot, amelynek a számára a tanúsítványt kibocsátják, adott esetben a hivatalos nyilvántartásban szereplő formában;
e) a kibocsátott tanúsítvány jogosultjaként megnevezett természetes vagy jogi személy által működtetett doménnév (doménnevek);
f) a tanúsítvány érvényességi idejének kezdete és vége;
g) a tanúsítvány azonosító kódja, amelynek a minősített bizalmi szolgáltatóhoz tartozó egyedi kódnak kell lennie;
h) a minősített bizalmi szolgáltató fokozott biztonságú elektronikus aláírása vagy fokozott biztonságú elektronikus bélyegzője;
i) az a helyszín, ahol a h) pontban említett fokozott biztonságú elektronikus aláírásra vagy fokozott biztonságú elektronikus bélyegzőre vonatkozó tanúsítvány ingyenesen hozzáférhető;
j) * információ a minősített tanúsítvány érvényességi állapotáról, vagy azoknak a tanúsítvány érvényességi állapotával kapcsolatos szolgáltatásoknak a helye, amelyek segítségével arról felvilágosítás kérhető.
A minősített elektronikus attribútumtanúsítványnak a következőket kell tartalmaznia:
a) legalább automatizált feldolgozásra alkalmas formában utalnia kell arra, hogy a tanúsítványt minősített elektronikus attribútumtanúsítványként bocsátották ki;
b) a minősített elektronikus attribútumtanúsítványt kibocsátó minősített bizalmi szolgáltatót egyértelműen azonosító adatok, beleértve legalább azt a tagállamot, amelyben az érintett szolgáltató letelepedett, valamint:
i. jogi személy esetében a hivatalos nyilvántartásban szereplő megnevezés és adott esetben nyilvántartási szám;
ii. természetes személy esetében a személy neve;
c) az azon szervezetet egyértelműen azonosító adatok, amelyre a tanúsított attribútumok vonatkoznak; álnév használata esetén ezt egyértelműen jelezni kell;
d) a tanúsított attribútum vagy attribútumok, beleértve adott esetben az említett attribútumok alkalmazási körének meghatározásához szükséges információkat;
e) a tanúsítvány érvényességi idejének kezdete és vége;
f) a tanúsítvány azonosító kódja, amelynek a minősített bizalmi szolgáltatóhoz tartozó egyedi kódnak kell lennie, továbbá adott esetben annak a tanúsítási rendszernek a megjelölése, amelynek az attribútumtanúsítvány a részét képezi;
g) a tanúsítványt kibocsátó minősített bizalmi szolgáltató minősített elektronikus aláírása vagy minősített elektronikus bélyegzője;
h) az a helyszín, ahol a g) pontban említett, a minősített elektronikus aláírásra vagy minősített elektronikus bélyegzőre vonatkozó tanúsítvány ingyenesen elérhető;
i) információ a minősített tanúsítvány érvényességi állapotáról, vagy azoknak a szolgáltatásoknak a helye, amelyek segítségével arról felvilágosítás kérhető.
A 45e. cikkel összhangban a tagállamok biztosítják olyan intézkedések meghozatalát, amelyek lehetővé teszik az elektronikus attribútumtanúsítványok minősített bizalmi szolgáltatói számára, hogy a felhasználó kérésére elektronikus úton ellenőrizhessék a következő attribútumok hitelességét a nemzeti szintű, releváns hiteles forrás alapján vagy az uniós vagy a nemzeti joggal összhangban nemzeti szinten elismert, kijelölt köztes szereplőkön keresztül, amennyiben ezek az attribútumok a közszférán belüli hiteles forrásokra támaszkodnak:
1. cím;
2. életkor;
3. nem;
4. családi állapot;
5. családösszetétel;
6. nemzetiség vagy állampolgárság;
7. iskolai végzettségek, címek és engedélyek;
8. szakmai képesítések, címek és engedélyek;
9. természetes vagy jogi személyek képviseletére vonatkozó meghatalmazások és megbízások;
10. nyilvános engedélyek;
11. jogi személyek esetében pénzügyi és vállalati adatok.
A hiteles forrásért felelős közigazgatási szerv által vagy nevében kibocsátott elektronikus attribútumtanúsítványnak az alábbiakat kell tartalmaznia:
a) annak jelzése - legalább automatizált feldolgozásra alkalmas formában -, hogy a tanúsítványt valamely hiteles forrásért felelős közigazgatási szerv által vagy nevében kibocsátott elektronikus attribútumtanúsítványként adták ki;
b) az elektronikus attribútumtanúsítványt kibocsátó közigazgatási szervet egyértelműen azonosító adatok, beleértve legalább azt a tagállamot, amelyben az érintett közigazgatási szerv letelepedett, valamint a közigazgatási szervnek a hivatalos nyilvántartásban szereplő megnevezését és adott esetben nyilvántartási számát;
c) az azon szervezetet egyértelműen azonosító adatok, amelyre a tanúsított attribútumok vonatkoznak; álnév használata esetén ezt egyértelműen jelezni kell;
d) a tanúsított attribútum vagy attribútumok, beleértve adott esetben az említett attribútumok alkalmazási körének meghatározásához szükséges információkat;
e) a tanúsítvány érvényességi idejének kezdete és vége;
f) a tanúsítvány azonosító kódja, amelynek a kibocsátó közigazgatási szervhez tartozó egyedi kódnak kell lennie, és adott esetben annak a tanúsítási rendszernek a megjelölése, amelynek az attribútumtanúsítvány a részét képezi;
g) a kibocsátó szerv minősített elektronikus aláírása vagy minősített elektronikus bélyegzője;
h) az a helyszín, ahol a g) pontban említett, a minősített elektronikus aláírásra vagy minősített elektronikus bélyegzőre vonatkozó tanúsítvány ingyenesen elérhető;
i) információ a tanúsítvány érvényességi állapotáról, vagy azoknak a szolgáltatásoknak a helye, amelyek segítségével arról felvilágosítás kérhető.