L 13/12 IS 19.
1. 2000 Stjórnartíðindi EB
TILSKIPUN EVRÓPUÞINGSINS
OG RÁÐSINS 1999/93/EB frá 13. desember 1999 um ramma bandalagsins varðandi
rafrænar undirskriftir
EVRÓPUÞINGIÐ OG
RÁÐ EVRÓPUSAMBANDSINS HAFA, með hliðsjón af stofnsáttmála Evrópubandalagsins,
einkum 2. mgr. 47. gr., 55 og 95. gr., með hliðsjón af tillögu framkvæmdastjórnarinnar
(1), með hliðsjón af áliti efnahags- og félagsmálanefndarinnar (2), með
hliðsjón af áliti svæðanefndarinnar (3), í samræmi við málsmeðferðina
sem mælt er fyrir um í 251. gr. sáttmálans (4), og að teknu tilliti til
eftirfarandi:
1) Hinn 16. apríl
1997 lagði framkvæmdastjórnin fyrir Evrópuþingið, ráðið, efnahags- og félagsmálanefndina
og svæðanefndina orðsendingu um evrópskt framtaksverkefni á sviði rafrænnar
verslunar.
2) Hinn 8. október
1997 lagði framkvæmdastjórnin fyrir Evrópuþingið, ráðið, efnahags- og félagsmálanefndina
og svæðanefndina orðsendingu um að tryggja öryggi og tiltrú í rafrænum
samskiptum — í þágu Evrópuramma fyrir stafrænar undirskriftir og dulkóðun.
3) Hinn 1.
desember 1997 fór ráðið þess á leit við framkvæmdastjórnina að hún
legði eins fljótt og unnt er fram tillögu að tilskipun Evrópuþingsins og ráðsins
um rafrænar undirskriftir.
4) Rafræn
samskipti og verslun útheimta rafrænar undirskriftir og tengda þjónustu sem
gerir kleift að sanna uppruna upplýsinga. Mismunandi reglur í aðildarríkjunum
um lagalega viðurkenningu rafrænna undirskrifta og faggildingu vottunaraðila
kunna að torvelda notkun rafrænna samskipta og verslunar verulega. Á hinn bóginn
mun skýr bandalagsrammi um þau skilyrði sem gilda um rafrænar undirskriftir
auka tiltrú á þessari nýju tækni og stuðla að almennri viðurkenningu
hennar. Löggjöf aðildarríkjanna ætti ekki að hindra frjálsa vöruflutninga
og frjálsa þjónustustarfsemi á hinum innri markaði. ________________ (1)
Stjtíð. EB C 325, 23.10.1998, bls. 5. (2) Stjtíð. EB C 40, 15.2.1999, bls.
29. (3) Stjtíð. EB C 93, 6.4.1999, bls. 33. (4) Álit Evrópuþingsins frá
13. janúar 1999 (Stjtíð. EB C 104, 14.4.1999, bls. 49), sameiginleg afstaða
ráðsins frá 28. júní 1999 (Stjtíð. EB C 243, 27.8.1999, bls. 33) og ákvörðun
Evrópuþingsins frá 27. október 1999 (hefur enn ekki verið birt í Stjórnartíðindum
EB). Ákvörðun ráðsins frá 30. nóvember 1999.
5) Stuðla ber að
rekstarsamhæfi vara til rafrænna undirskrifta. Í samræmi við 14. gr. sáttmálans
myndar innri markaðurinn svæði án innri landamæra þar sem frjálsir vöruflutningar
eru tryggðir. Uppfylla ber grunnkröfur sem gilda sérstaklega um vörur til
rafrænna undirskrifta til þess að tryggja frjálsa flutninga innan innri
markaðarins og skapa traust á rafrænum undirskriftum, með fyrirvara um
reglugerð ráðsins (EB) nr. 3381/94 frá 19. desember 1994 um að koma á
bandalagsskipan um eftirlit með útflutningi vara sem þjóna tvenns konar
tilgangi (5) og ákvörðun ráðsins 94/942/CFSP frá 19. desember 1994 um
sameiginlegar aðgerðir sem ráðið hefur samþykkt um eftirlit með útflutningi
vara sem þjóna tvenns konar tilgangi (6).
6) Þessi
tilskipun fjallar ekki um samhæfingu þjónustuveitingar með tilliti til upplýsingaleyndar
ef innlend ákvæði, sem fjalla um allsherjarreglu eða almannaöryggi, gilda
um slíka þjónustuveitingu.
7) Innri markaðurinn
tryggir frjálsa fólksflutninga sem hefur í för með sér að borgarar í Evrópusambandinu
og þeir sem eru búsettir þar þurfa í auknum mæli að eiga samskipti við
yfirvöld í öðrum aðildarríkjum en því þar sem þeir hafa fasta búsetu.
Framboð á rafrænum samskiptum gæti gert mikið gagn í þessu tilliti.
8) Hröð tækniþróun
og hnattrænir eiginleikar Netsins útheimta nálgun sem býður heim margvíslegri
tækni og þjónustu sem gerir kleift að sanna uppruna upplýsinga með rafrænum
hætti.
9) Rafrænar
undirskriftir verða notaðar við margháttaðar aðstæður og aðgerðir sem
leiðir af sér margvíslega nýja þjónustu og vörur sem til rafrænna
undirskrifta eða krefjast notkunar þeirra. Skilgreiningu slíkra vara og þjónustu
ber ekki að einskorða við útgáfu skilríkja og umsýslu vegna þeirra,
heldur ætti slík skilgreining einnig að ná til hvers kyns annarrar þjónustu
og allra vara þar sem rafrænar undirskriftir eru notaðar eða sem eru þeim
til eflingar, eins og skráningarþjónustu, tímastimplunar, upplýsingaþjónustu,
þjónustu á sviði gagnameðferðar eða ráðgjafarþjónustu sem tengist
rafrænum undirskriftum.
10) Innri markaðurinn
gerir vottunaraðilum kleift að þróa starfsemi sína yfir landamæri í því
skyni að auka samkeppnishæfni sína og að bjóða neytendum og fyrirtækjum
þannig ný tækifæri til rafrænna upplýsingaskipta og viðskipta með öruggum
hætti án tillits til landamæra. Í því augnamiði að efla vottunarþjónustu
á opnum netum vítt og breitt í bandalaginu ætti vottunaraðilum að vera frjálst
að bjóða fram þjónustu sína án heimildar sem er veitt fyrirfram. Með
heimild, sem er veitt fyrirfram, er ekki aðeins átt við leyfi þar sem viðkomandi
vottunaraðili skal útvega sér ákvörðun ________________ (5) Stjtíð. EB L
367, 31.12.1994, bls. 1. Reglugerðinni var breytt með reglugerð (EB) nr.
837/95 (Stjtíð. EB L 90, 21.4.1995, bls. 1). (6) Stjtíð. EB L 367,
31.12.1994, bls. 8. Reglugerðinni var síðast breytt með ákvörðun 99/193/CFSP
(Stjtíð. EB L 73, 19.3.1999, bls. 1). 19. 1. 2000 IS L 13/13 Stjórnartíðindi
EB innlendra yfirvalda áður en honum er heimilt að veita vottunarþjónustu,
heldur og allar aðrar ráðstafanir sem hafa sömu áhrif.
11) Skipulag
valfrjálsrar faggildingar, sem miðar að bættri þjónustuveitingu, gæti
verið réttur grundvöllur fyrir vottunaraðila til þess að þróa enn frekar
þjónustustarfsemi sína í því skyni að skapa það traust, öryggi og gæði
sem hinn vaxandi markaður krefst. Fyrrnefnt skipulag ætti að stuðla að þróun
ákjósanlegustu starfshátta vottunaraðila. Vottunaraðilum ætti að vera frjálst
að vera þátttakendur í slíku faggildingarskipulagi og njóta góðs af því.
12) Opinberir aðilar,
lögpersónur eða einstaklingar, sem eru viðurkenndir í samræmi við innlend
lög, geta boðið fram vottunarþjónustu. Aðildarríkin ættu ekki að banna
vottunaraðilum að starfa utan skipulags valfrjálsrar faggildingar. Tryggja
ber að slíkt faggildingarskipulag dragi ekki úr samkeppni á vottunarþjónustu.
13) Aðildarríkjunum
er heimilt að ákveða með hvaða hætti þau tryggja eftirlit með því að
farið sé að ákvæðunum sem mælt er fyrir um í þessari tilskipun.
Tilskipun þessi útilokar ekki að komið verði á fót einkareknum
eftirlitskerfum. Vottunaraðilum er ekki skylt, samkvæmt þessari tilskipun, að
sækja um að hlíta eftirliti samkvæmt faggildingarskipulagi.
14) Mikilvægt er
að jafnvægi ríki milli þarfa neytenda og fyrirtækja.
15) Í III. viðauka
er fjallað um kröfur sem eru gerðar til öruggs undirskriftarbúnaðar í því
skyni að tryggja virkni þróaðra, rafrænna undirskrifta. Í fyrrnefndum viðauka
er ekki fjallað um gervallt umhverfi þess kerfis sem slíkur búnaður vinnur
í. Nauðsynlegt er, vegna starfsemi innri markaðarins, að framkvæmdastjórnin
og aðildarríkin bregðist skjótt við til þess að unnt sé að tilnefna
þá aðila sem er ætlað að meta hvort öruggur undirskriftarbúnaður sé í
samræmi við III. viðauka. Samræmismat skal fara fram tímanlega og með
skilvirkum hætti í því skyni að mæta þörfum markaðarins.
16) Tilskipun þessi
stuðlar að notkun og lagalegri viðurkenningu rafrænna undirskrifta í
bandalaginu. Rammaákvæða er ekki þörf vegna rafrænna undirskrifta sem eru
einvörðungu notaðar innan kerfa sem eru grundvölluð á frjálsum samningum,
samkvæmt einkamálarétti, milli tilgreinds fjölda þátttakenda. Virða ber
frelsi aðila til að semja sín á milli um skilmála og skilyrði sem gildi um
gögn, undirrituð með rafrænum hætti, sem þeir samþykkja, að því marki
sem landslög leyfa. Viðurkenna ber lagalegt gildi rafrænna undirskrifta sem
eru notaðar í slíkum kerfum og lögmæti þeirra við málarekstur.
17) Með þessari
tilskipun er ekki stefnt að því að samræma innlendar reglur á sviði
samningalaga, einkum um gerð og efndir samninga, eða önnur formsatriði sem lúta
ekki að samningum og varða undirskriftir. Af þessum ástæðum skulu ákvæði
um réttaráhrif rafrænna undirskrifta vera með fyrirvara um formkröfur, sem
mælt er fyrir um í landslögum, með tilliti til samningagerðar eða reglna
um það hvar samningsgerð fari fram.
18) Geymsla og
afritun undirskriftargagna gæti teflt lögmæti rafrænna undirskrifta í hættu.
19) Rafrænar
undirskriftir verða notaðar í opinbera geiranum í innlendri stjórnsýslu og
stjórnsýslu bandalagsins og í samskiptum milli þeirra og við borgara og aðila
í atvinnurekstri, til dæmis á vettvangi opinberra innkaupa, skattakerfisins,
almannatrygginga og heilbrigðis- og réttarkerfisins.
20) Samræming viðmiðana,
sem gilda um réttaráhrif rafrænna undirskrifta, mun gera kleift að viðhalda
heildstæðum lagaramma hvarvetna innan bandalagsins. Landslög mæla fyrir um
ólíkar kröfur um lögmæti eiginhandarundirskrifta. Unnt er að nota skilríki
til þess að bera kennsl á einstakling sem undirritar með rafrænum hætti.
Með þróuðum rafrænum undirskriftum, sem eru grundvallaðar á viðurkenndum
skilríkjum, er stefnt að hærra öryggisstigi. Því aðeins er unnt að líta
á þróaðar rafrænar undirskriftir, sem eru grundvallaðar á viðurkenndum
skilríkjum og gerðar með öruggum undirskriftarbúnaði, sem jafngildar
eiginhandarundirskriftum í lagalegu tilliti ef kröfum um
eiginhandarundirskriftir er fullnægt.
21) Tryggja ber,
í því skyni að stuðla að því að rafræn sönnun á uppruna hljóti
almenna viðurkenningu, að unnt sé að nota rafrænar undirskriftir sem sönnunargögn
í málarekstri í öllum aðildarríkjunum. Grundvalla ber viðurkenningu rafrænna
undirskrifta í lagalegu tilliti á hlutlægum viðmiðunum, óháð
leyfisveitingu til handa viðkomandi vottunaraðila. Landslög skera úr um það
á hvaða lagasviðum er heimilt að nota rafræn skjöl og rafrænar
undirskriftir. Tilskipun þessi er með fyrirvara um vald innlendra dómstóla
til þess að fella úrskurð um hvort kröfum þessarar tilskipunar sé fullnægt
og hefur ekki áhrif á innlend ákvæði um óháða umfjöllun dómstóla um sönnunargögn.
22) Innlend ákvæði
um ábyrgð gilda um vottunaraðila sem veita almenningi þjónustu sína.
23) Þróun rafrænnar
verslunar milli landa krefst ráðstafana sem ná yfir landamæri og til þriðju
landa. Í því skyni að tryggja hnattrænt rekstrarsamhæfi gæti reynst hagkvæmt
að gera samninga við þriðju lönd um marghliða reglur sem fjalla um gagnkvæma
viðurkenningu vottunarþjónustu. L 13/14 IS 19. 1. 2000 Stjórnartíðindi EB
24) Til þess að
auka tiltrú notenda á rafrænum samskiptum og rafrænni verslun verða
vottunaraðilar að virða löggjöf um upplýsingavernd og friðhelgi einkalífsins.
25) Ákvæði um
notkun dulnefna í skilríkjum ættu ekki að hindra aðildarríkin í því að
krefjast þess að unnt sé að bera kennsl á einstaklinga samkvæmt bandalagslögum
eða landslögum.
26) Samþykkja ber
nauðsynlegar ráðstafanir til framkvæmdar þessari tilskipun í samræmi við
ákvörðun ráðsins 1999/468/EB frá 28. júní 1999 um verklagsreglur um meðferð
framkvæmdavalds sem framkvæmdastjórninni er falið (1).
27) Tveimur árum
eftir að þessi tilskipun kemur til framkvæmda ber framkvæmdastjórninni að
endurskoða hana, meðal annars í því skyni að tryggja að hvorki tækniframfarir
né breytingar á lagaumhverfi komi í veg fyrir að markmiðum tilskipunarinnar
verði náð. Henni ber að kanna áhrif tengdra tæknisviða og senda Evrópuþinginu
og ráðinu skýrslu þar að lútandi.
28) Samkvæmt
dreifræðisreglunni og meðalhófsreglunni, eins og kemur fram í 5. gr. sáttmálans,
eru aðildarríkin ekki nógu vel í stakk búin til þess að ná því
takmarki að skapa samræmdan lagaramma um framboð rafrænna undirskrifta og
tengdrar þjónustu og því er bandalagið betur til þess fallið að ná því
takmarki. Með tilskipun þessari er ekki gengið lengra en nauðsynlegt er til
þess að ná fyrrnefndu takmarki.
SAMÞYKKT
TILSKIPUN ÞESSA:
1.
gr. Gildissvið Tilgangurinn
með þessari tilskipun er að greiða fyrir notkun rafrænna undirskrifta og
stuðla að lagalegri viðurkenningu þeirra. Með tilskipuninni er settur
lagarammi um rafrænar undirskriftir og tiltekna vottunarþjónustu í því
skyni að tryggja eðlilega starfsemi innri markaðarins. Tilskipunin fjallar
hvorki um þætti sem varða gerð og gildi samninga eða aðrar lagaskyldur, þar
sem fram koma kröfur með tilliti til forms sem mælt er fyrir um í landslögum
eða lögum bandalagsins, né heldur hefur hún áhrif á reglur og skorður sem
eru settar í landslögum eða lögum bandalagsins og stýra notkun skjala.
2.
gr. Skilgreiningar Í tilskipun þessari er skilgreining eftirfarandi hugtaka
sem hér segir:
„rafræn
undirskrift“: gögn í rafrænu formi sem fylgja eða tengjast öðrum
rafrænum gögnum með rökrænum hætti og þjóna þeim tilgangi að staðfesta
uppruna; ________________ (1) Stjtíð. EB L 184, 17.7.1999, bls. 23.
„þróuð
rafræn undirskrift“: rafræn undirskrift sem uppfyllir eftirtaldar kröfur:
a)
hún
tengist undirritanda einum með ótvíræðum hætti;
b)
hún segir
deili á undirritanda;
c)
hún er gerð
með þeim hætti sem undirritandinn getur einn haft stjórn á; og
d)
hún
tengist þeim gögnum sem hún vísar til með þeim hætti að unnt er að
greina síðari breytingar á þeim;
„undirritandi“:
einstaklingur sem ræður yfir undirskriftarbúnaði og kemur fram fyrir eigin hönd
eða fyrir hönd annars einstaklings eða lögpersónu eða aðila sem hann er
fulltrúi fyrir;
„undirskriftargögn“:
sérstök gögn, t.d. kóðar eða einkadulkóðunarlyklar, sem undirritandi
notar til rafrænnar undirskriftar;
„undirskriftarbúnaður“:
samskipaður hugbúnaður eða vélbúnaður til þess að gera undirskriftargögnin
nothæf;
„öruggur
undirskriftarbúnaður“: undirskriftarbúnaður sem fullnægir kröfunum
sem mælt er fyrir um í III. viðauka;
„staðfestingargögn“:
gögn, t.d. kóðar eða opinberir dulkóðunarlyklar, sem eru notuð til þess
að staðfesta rafræna undirskrift;
„staðfestingarbúnaður“:
samskipaður hugbúnaður eða vélbúnaður til þess að gera staðfestingargögnin
nothæf;
„skilríki“:
rafræn vottun sem tengir staðfestingargögn einstaklingi og staðfestir hver
hann er;
„viðurkennd
skilríki“: skilríki sem fullnægja kröfunum sem mælt er fyrir um í
I. viðauka og látin eru í té af vottunaraðila sem fullnægir kröfunum sem
mælt er fyrir um í II. viðauka;
„vottunaraðili“:
aðili eða lögpersóna eða einstaklingur sem gefur út skilríki eða veitir
aðra þjónustu sem tengist rafrænum undirskriftum;
„vara
til rafrænna undirskrifta“: vél- eða hugbúnaður eða viðeigandi
íhlutir hans sem vottunaraðila er ætlað að nota í því skyni að veita þjónustu
á sviði rafrænna undirskrifta eða eru ætluð til þess að staðfesta rafrænar
undirskriftir;
„valfrjáls
faggilding“: leyfi sem mælir fyrir um réttindi og skyldur sem varða
sérstaklega veitingu vottunarþjónustu og er veitt samkvæmt beiðni viðkomandi
vottunaraðila af opinberri stofnun eða einkaaðila, sem er falið að sjá um
útfærslu á slíkum réttindum og að slíkar skyldur séu uppfylltar, þegar
vottunaraðili hefur ekki heimild til þess að njóta þeirra réttinda sem leiðir
af leyfinu fyrr en hann hefur móttekið ákvörðun viðkomandi aðila. 19. 1.
2000 IS L 13/15 Stjórnartíðindi EB
3.
gr. Markaðsaðgangur
Aðildarríkin
skulu ekki gera það að skilyrði að veiting vottunarþjónustu sé háð
fyrirframgefnu leyfi.
Aðildarríkjunum
er heimilt, með fyrirvara um ákvæði 1. mgr., að samþykkja eða viðhalda
skipulagi valfrjálsrar faggildingar sem miðar að bættri vottunarþjónustu.
Öll skilyrði í tengslum við slíkar áætlanir skulu vera hlutlæg, gagnsæ,
í réttu hlutfalli við tilefnið og án mismununar. Aðildarríkjunum er óheimilt
að takmarka fjölda faggiltra vottunaraðila af ástæðum sem falla undir
gildissvið þessarar tilskipunar.
Hvert og eitt aðildarríki
skal ábyrgjast að komið sé á fót viðeigandi kerfi til að unnt sé að
hafa eftirlit með vottunaraðilum sem hafa staðfestu á landsvæði þess og
gefa út viðurkennd skilríki handa almenningi.
Til þess bærar
opinberar stofnanir eða einkaaðilar, (Nánar
útskýrt í ákvörðun Evrópuráðsins frá 6 nóvember 2000 ) sem aðildarríkin tilnefna, skulu skera
úr um það hvort öruggur undirskriftarbúnaður sé í samræmi við kröfurnar
sem mælt er fyrir um í III. viðauka. Framkvæmdastjórninni ber, samkvæmt málsmeðferðinni
sem mælt er fyrir um í 9. gr., að samþykkja viðmiðanir sem aðildarríkin
fari eftir þegar ákveða skal hvort tilnefna beri tiltekinn aðila. Öll aðildarríkin
skulu viðurkenna ákvarðanir sem stofnanir eða einkaaðilar, sem um getur í
fyrstu undirgrein, taka um hvort kröfunum, sem mælt er fyrir um í III. viðauka,
sé talið fullnægt.
Framkvæmdastjórninni
er heimilt, í samræmi við málsmeðferðina sem mælt er fyrir um í 9. gr.,
að ákveða og birta í Stjórnartíðindum Evrópubandalaganna tilvísunarnúmer
staðla sem eru almennt viðurkenndir fyrir vörur til rafrænna undirskrifta. Aðildarríkin
skulu ganga út frá því að vörur til rafrænna undirskrifta uppfylli kröfurnar,
sem mælt er fyrir um í f-lið II. viðauka og III. viðauka, ef þær eru í
samræmi við fyrrnefnda staðla.
Aðildarríkin og
framkvæmdastjórnin skulu í sameiningu stuðla að þróun og notkun staðfestingarbúnaðar
með hliðsjón af tilmælum um örugga staðfestingu undirskrifta, sem mælt er
fyrir um í IV. viðauka, og með tilliti til hagsmuna neytenda.
Aðildarríkin
geta gert notkun rafrænna undirskrifta í opinbera geiranum háða hugsanlegum
viðbótarkröfum. Slíkar kröfur skulu vera hlutlægar, gagnsæjar, í réttu
hlutfalli við tilefnið og án mismununar og eiga eingöngu við um séreiginleika
þeirrar notkunar sem um ræðir. Kröfurnar skulu ekki hindra þjónustustarfsemi
yfir landamæri í þágu borgaranna.
4.
gr. Meginreglur um innri markaðinn
Hvert og eitt aðildarríki
skal beita innlendum ákvæðum, sem það samþykkir samkvæmt þessari
tilskipun, gagnvart vottunaraðilum sem hafa staðfestu á landsvæði þess og
þeirri þjónustu sem þeir láta í té. Aðildarríkjunum er óheimilt, á þeim
sviðum sem þessi tilskipun fjallar um, að takmarka vottunarþjónustu sem á
rætur að rekja til annars aðildarríkis.
Aðildarríkin
skulu tryggja frjálsa dreifingu á innri markaðinum á vörum til rafrænna
undirskrifta sem eru í samræmi við þessa tilskipun.
5.
gr. Réttaráhrif rafrænna undirskrifta
Aðildarríkin
skulu tryggja að þróaðar, rafrænar undirskriftir, sem eru byggðar á viðurkenndum
skilríkjum og til verða með öruggum undirskriftarbúnaði:
a)
uppfylli
lagakröfur um undirskrift í tengslum við rafræn gögn á sama hátt og
eiginhandarundirskrift uppfyllir lagakröfur í tengslum við pappírsgögn; og
b)
séu viðurkenndar
sem sönnunargögn í málarekstri.
Aðildarríkin
skulu tryggja að því sé ekki hafnað að rafræn undirskrift fái réttaráhrif
og sé viðurkennd sem sönnunargagn í málarekstri einungis af þeirri ástæðu
að hún er: — á rafrænu formi, eða — ekki byggð á viðurkenndum skilríkjum,
eða — ekki byggð á viðurkenndum skilríkjum sem faggiltur vottunaraðili
gefur út, eða — ekki gerð með öruggum undirskriftarbúnaði.
6.
gr. Skaðabótaábyrgð
Aðildarríkin
skulu að minnsta kosti tryggja að samfara því að vottunaraðili gefur út
skilríki sem eru ígildi viðurkenndra skilríkja handa almenningi eða ábyrgist
slík skilríki gagnvart almenningi sé hann ábyrgur fyrir tjóni aðila, lögpersónu
eða einstaklings sem reiðir sig á slík skilríki með eðlilegum hætti að
því er varðar:
a)
nákvæma
meðferð við útgáfu á öllum upplýsingum sem viðurkenndu skilríkin
innihalda og að því er varðar að skilríkin innihaldi allar þær upplýsingar
sem mælt er fyrir um að viðurkennd skilríki skuli gera;
b)
tryggingu
fyrir því að við útgáfu skilríkjanna hafi undirritandinn, sem er auðkenndur
í viðurkenndu skilríkjunum, haft undir höndum undirskriftargögnin sem svara
til staðfestingargagnanna sem koma fram eða eru auðkennd í skilríkjunum;
c)
tryggingu
fyrir því að unnt sé að nota undirskriftargögnin og staðfestingargögnin
til gagnkvæmrar uppfyllingar þegar vottunaraðili annast gerð beggja; nema
vottunaraðili færi sönnur á að hann hafi ekki gert sig sekan um vanrækslu.
L 13/16 IS 19. 1. 2000 Stjórnartíðindi EB
Aðildarríkin
skulu að minnsta kosti tryggja að vottunaraðili, sem hefur gefið út skilríki
sem eru ígildi viðurkenndra skilríkja handa almenningi, sé ábyrgur fyrir tjóni
aðila, lögpersónu eða einstaklings, sem reiðir sig á skilríkin með eðlilegum
hætti, sem rekja má til þess að skráningu á afturköllun skilríkjanna
hefur ekki verið sinnt, nema vottunaraðilinn færi sönnur á að hann hafi
ekki gert sig sekan um vanrækslu.
Aðildarríkin
skulu tryggja að vottunaraðila sé heimilt að gefa til kynna í viðurkenndum
skilríkjum takmarkanir á notkun þeirra, að því tilskildu að þriðju aðilum
séu slíkar takmarkanir ljósar. Vottunaraðili er ekki ábyrgur fyrir tjóni
sem leiðir af notkun viðurkenndra skilríkja sem nær út fyrir þær
takmarkanir sem hún miðast við.
Aðildarríkin
skulu tryggja að vottunaraðila sé heimilt að gefa til kynna í viðurkenndum
skilríkjum við hvaða mörk viðskiptafjárhæðar notkun skilríkjanna miðast,
að því tilskildu að þriðju aðilum séu mörkin ljós. Vottunaraðili er
ekki ábyrgur fyrir tjóni sem leiðir af því að farið sé yfir fyrrnefnt hámark.
5. Ákvæði 1. til 4. mgr. eru með fyrirvara um tilskipun ráðsins 93/13/EBE
frá 5. apríl 1993 um óréttmæta skilmála í neytendasamningum (1).
7.
gr. Alþjóðleg sjónarmið
Aðildarríkin
skulu tryggja að viðurkennt sé að skilríki, sem vottunaraðili, sem hefur
staðfestu í þriðja landi, gefur út sem viðurkennd skilríki handa
almenningi, jafngildi skilríkjum sem vottunaraðili, sem hefur staðfestu í
bandalaginu, gefur út, ef:
a)
viðkomandi
vottunaraðili uppfyllir skilyrðin sem mælt er fyrir um í þessari tilskipun
og hefur hlotið faggildingu samkvæmt skipulagi valfrjálsrar faggildingar sem
hefur verið komið á í aðildarríki; eða
b)
vottunaraðili,
sem hefur staðfestu í bandalaginu og uppfyllir skilyrðin sem mælt er fyrir
um í þessari tilskipun, ábyrgist skilríkin; eða
c)
skilríkin
eða viðkomandi vottunaraðili er viðurkenndur samkvæmt tvíhliða eða
marghliða samningi milli bandalagsins og þriðju landa eða alþjóðastofnana.
Framkvæmdastjórnin
skal, í því skyni að auðvelda vottunarþjónustu yfir landamæri við þriðju
lönd og lagalega viðurkenningu þróaðra, rafrænna undirskrifta sem eru
upprunnar í þriðju löndum, leggja fram tillögur, þar sem það á við,
til þess að unnt sé að framkvæma á skilvirkan hátt staðla og milliríkjasamninga
sem gilda um vottunarþjónustu. Hún skal, einkum og sér í lagi og ef nauðsyn
krefur, senda ráðinu tillögur um viðeigandi umboð til viðræðna um tvíhliða
og marghliða samninga við þriðju lönd og alþjóðastofnanir. Ráðið
tekur ákvörðun með auknum meirihluta. ________________ (1) Stjtíð. EB L
95, 21.4.1993, bls. 29.
Í hvert sinn sem
framkvæmdastjórninni er tilkynnt um vanda bandalagsfyrirtækja í tengslum við
markaðsaðgang í þriðju löndum getur hún, ef nauðsyn krefur, sent ráðinu
tillögur um viðeigandi umboð til viðræðna um sambærileg réttindi til
handa bandalagsfyrirtækjum í viðkomandi þriðju löndum. Ráðið tekur ákvörðun
með auknum meirihluta. Ráðstafanir, sem eru gerðar samkvæmt þessari málsgrein,
eru með fyrirvara um skuldbindingar bandalagsins og aðildarríkjanna samkvæmt
viðeigandi milliríkjasamningum.
8.
gr. Gagnavernd
Aðildarríkin
skulu tryggja að vottunaraðilar og innlendir aðilar sem annast faggildingu eða
eftirlit uppfylli kröfurnar sem mælt er fyrir um í tilskipun Evrópuþingsins
og ráðsins 95/46/EB frá 24. október 1995 um vernd einstaklinga í tengslum
við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga (2).
Aðildarríkin
skulu tryggja að vottunaraðilar, sem gefa út skilríki handa almenningi, hafi
einungis heimild til að verða sér úti um persónuleg gögn beint frá þeim
sem gögnin varða eða að fengnu fullu samþykki hans og aðeins að svo miklu
leyti sem nauðsynlegt er í því skyni að gefa út skilríkin og viðhalda þeim.
Óheimilt er að safna gögnunum eða meðhöndla þau í öðrum tilgangi án
fulls samþykkis þess sem gögnin varða. 3. Aðildarríkin skulu ekki, með
fyrirvara um réttaráhrif sem dulnefnum eru eignuð samkvæmt landslögum,
hindra vottunaraðila í að gefa til kynna í skilríkjunum dulnefni í stað
nafns undirritanda.
9.
gr. Nefnd
Framkvæmdastjórnin
skal njóta aðstoðar nefndar um rafrænar undirskriftir, hér á eftir kölluð
„nefndin“.
Þegar fjallað er
um þessa málsgrein gilda ákvæði 4. og 7. gr. ákvörðunar 1999/468/EB með
hliðsjón af ákvæðum 8. gr. sömu ákvörðunar. Fresturinn, sem mælt er
fyrir um í 3. mgr. 4. gr. ákvörðunar 1999/468/EB, skal vera þrír mánuðir.
3. Nefndin setur sér starfsreglur.
10.
gr. Verkefni nefndarinnar
Nefndin skal, í
samræmi við málsmeðferðina sem mælt er fyrir um í 2. mgr. 9. gr., skýra
kröfurnar sem mælt er fyrir um í viðaukunum við þessa tilskipun, viðmiðanirnar
sem um getur í 4. mgr. 3. gr. og almennt viðurkennda staðla fyrir vörur til
rafrænna undirskrifta sem eru samþykktir og gefnir út samkvæmt 5. mgr. 3.
gr. ________________ (2) Stjtíð. EB L 281, 23.11.1995, bls. 31. 19. 1. 2000 IS
L 13/17 Stjórnartíðindi EB
11.
gr. Tilkynning
Aðildarríkin
skulu tilkynna framkvæmdastjórninni og hinum aðildarríkjunum um
eftirfarandi:
a)
upplýsingar
um innlent skipulag valfrjálsrar faggildingar, þar með taldar viðbótarkröfur
samkvæmt 7. mgr. 3. gr.;
b)
nöfn og
heimilisföng innlendra aðila sem annast faggildingu og umsjón og einnig þeirra
aðila sem um getur í 4. mgr. 3. gr.;
c)
nöfn og
heimilisföng allra innlendra vottunaraðila sem hafa öðlast faggildingu.
Aðildarríkin
skulu, eins fljótt og auðið er, tilkynna um allar upplýsingar sem látnar
eru í té samkvæmt 1. mgr. og um breytingar á þeim.
12.
gr. Endurskoðun
Framkvæmdastjórnin
skal leggja mat á framkvæmd þessarar tilskipunar og gefa Evrópuþinginu og ráðinu
skýrslu um það eigi síðar en 19. júlí 2003.
Í matinu skal meðal
annars fjallað um það hvort breyta beri gildissviði þessarar tilskipunar, að
teknu tilliti til þróunar á sviði tæknimála, markaðsmála og réttarfars.
Í skýrslunni skal sérstaklega koma fram mat á ýmsum hliðum samræmingar er
byggist á fenginni reynslu. Skýrslunni skulu fylgja tillögur að fyrirmælum
laga, ef við á.
13.
gr.Framkvæmd
Aðildarríkin
skulu samþykkja nauðsynleg lög og stjórnsýslufyrirmæli til að fara að
tilskipun þessari fyrir 19. júlí 2001. Þau skulu tilkynna það framkvæmdastjórninni
þegar í stað. Þegar aðildarríkin samþykkja þessar ráðstafanir skal
vera í þeim tilvísun í þessa tilskipun eða þeim fylgja slík tilvísun þegar
þær eru birtar opinberlega. Aðildarríkin skulu setja nánari reglur um slíka
tilvísun.
Aðildarríkin
skulu senda framkvæmdastjórninni helstu ákvæði úr landslögum sem þau samþykkja
um málefni sem tilskipun þessi nær til.
14.
gr. Gildistaka
Tilskipun þessi
öðlast gildi á þeim degi sem hún birtist í Stjórnartíðindum Evrópubandalaganna.
15.
gr. Viðtakendur
Tilskipun þessari
er beint til aðildarríkjanna.
Gjört í Brussel
13. desember 1999. Fyrir hönd Evrópuþingsins, Fyrir hönd ráðsins, N.
FONTAINE S. HASSI forseti. Forseti.
____
L 13/18 IS 19. 1. 2000 Stjórnartíðindi EB
I.
VIÐAUKI
Kröfur
viðvíkjandi viðurkenndum skilríkjum
Viðurkennd skilríki
skulu innihalda:
a)
ábendingu
þess efnis að skilríkin séu útgefin sem viðurkennd skilríki;
b)
deili á
vottunaraðila og ríkinu þar sem hann hefur staðfestu;
c)
nafn
undirritanda eða dulnefni sem skal vera auðkennt sem slíkt;
d)
sérstakar
upplýsingar um undirritandann sem komi fram ef við á, eftir því í hvaða
tilgangi nota á skilríkin;
e)
þau staðfestingargögn
sem svara til þeirra undirskriftargagna sem undirritandinn ræður yfir;
f)
upplýsingar
um upphaf og lok gildistíma skilríkjanna;
g)
kennikóða
skilríkjanna;
h)
þróaða,
rafræna undirskrift vottunaraðilans sem gefur þau út;
i)
takmarkanir
á notkunarsviði skilríkjanna, ef við á; og
j)
mörk þeirrar
viðskiptafjárhæðar sem notkun skilríkjanna miðast við, ef við á.
____ 19. 1. 2000
IS L 13/19 Stjórnartíðindi EB
II.
VIÐAUKI
Kröfur
viðvíkjandi vottunaraðilum sem gefa út viðurkennd skilríki
Vottunaraðilar
skulu:
a)
sýna fram
á nauðsynlegan trúverðugleika til þess að láta í té vottunarþjónustu;
b)
sjá til þess
að veitt sé hraðvirk og örugg skráar- og afturköllunarþjónusta;
c)
tryggja að
unnt sé að sjá nákvæmlega hvaða dag og hvenær dags skilríki eru gefin út
eða afturkölluð;
d)
staðfesta,
með viðeigandi hætti og í samræmi við landslög, deili á og sérstök
einkenni, ef við á, þess einstaklings sem viðurkenndu skilríkin eru gefin
út fyrir;
e)
ráða
starfsmenn með sérþekkingu, reynslu og menntun og hæfi sem eru nauðsynleg
vegna þeirrar þjónustu sem er veitt, einkum stjórnunarhæfni, sérþekkingu
í tækni á sviði rafrænna undirskrifta og þekkingu á viðeigandi starfsháttum
á sviði öryggismála; þeir skulu einnig viðhafa rétt stjórnsýslu- og stjórnunarvinnubrögð
sem eru í samræmi við viðurkennda staðla;
f)
nota örugg
kerfi og vörur sem ekki er unnt að breyta og tryggja tæknilegt öryggi og öryggi
dulkóðunar að því er varðar það ferli sem er byggt á þeim;
g)
gera ráðstafanir
til að koma í veg fyrir fölsun skilríkja og þegar vottunaraðilinn er höfundur
undirskriftargagna, ábyrgjast að trúnaður sé virtur meðan slík gögn eru
í vinnslu;
h)
ráða að
staðaldri yfir nægilegu fjármagni til þess að geta haldið starfseminni
gangandi í samræmi við kröfurnar sem mælt er fyrir um í þessari
tilskipun, einkum að geta risið undir áhættu samfara skaðabótaábyrgð,
til dæmis með því að útvega sér viðeigandi tryggingu;
i)
skrá allar
upplýsingar, sem skipta máli um viðurkennd skilríki, í hæfilega langan tíma,
einkum til þess að vera fær um að leggja fram sönnunargögn um vottun í málarekstri.
Heimilt er að slík skráning fari fram með rafrænum hætti;
j)
ekki geyma
eða afrita undirskriftargögn þess einstaklings sem vottunaraðilinn veitti
lykilþjónustu á sviði umsýslu;
k)
áður en
þeir gera samning við einstakling, sem sækist eftir að fá skilríki til að
renna stoðum undir rafræna undirskrift sína, upplýsa viðkomandi
einstakling, gegnum haldgóðan samskiptamiðil, um nákvæma skilmála og
skilyrði sem gilda um notkun skilríkjanna, meðal annars um
notkunartakmarkanir þeirra, tilvist skipulags valfrjálsrar faggildingar og um
meðferð kærumála og lausn deilumála. Þessar upplýsingar, sem heimilt er að
senda með rafrænum hætti, skulu vera skriflegar og á auðskiljanlegu máli.
Viðeigandi hlutar þessara upplýsinga skulu einnig, samkvæmt beiðni, vera aðgengilegir
þriðju aðilum sem reiða sig á skilríkin;
l)
nota örugg
kerfi til þess að geyma skilríki í staðfestanlegu formi til þess að: —
aðeins einstaklingar, sem til þess hafa heimild, geti framkvæmt færslur og
gert breytingar, — unnt sé að ganga úr skugga um uppruna upplýsinga, —
skilríki séu aðeins aðgengileg almenningi að fengnu samþykki handhafa
skilríkja, og — sérhver tæknibreyting, sem er ógnar þessum öryggiskröfum,
sé rekstraraðilanum augljós.
____ L 13/20 IS
19. 1. 2000 Stjórnartíðindi EB
III.
VIÐAUKI
Kröfur
viðvíkjandi öruggum undirskriftarbúnaði
1. Öruggur
undirskriftarbúnaður skal, með viðeigandi tæknilegum aðferðum og
verklagsreglum, tryggja, að minnsta kosti:
a)
að
undirskriftargögnin, sem eru notuð við gerð undirskriftar, geti í raun aðeins
komið fram einu sinni og að leynd þeirra sé tryggð á eðlilegan hátt;
b)
að öruggt
sé, eins og eðlilegt má teljast, að ekki sé hægt að rekja undirskriftargögnin
sem eru notuð við gerð undirskriftar og að nýjasta tækni komi í veg fyrir
að unnt sé að falsa undirskriftina;
c)
að réttur
undirritandi geti tryggilega verndað undirskriftargögnin, sem eru notuð við
undirskrift, þannig að aðrir geti ekki notað þau.
2. Undirskriftargögnin
mega ekki breyta gögnunum sem undirrita á eða hindra að slík gögn séu
kynnt undirritandanum áður en til undirskriftar kemur.
IV.
VIÐAUKI
Tillögur
um örugga staðfestingu undirskrifta
Um leið og staðfesting
undirskrifta fer fram skal tryggja með eins miklu öryggi og frekast má:
a)
að gögnin,
sem eru notuð til að staðfesta undirskriftina, svari til gagnanna sem þeim
sem annast staðfestinguna eru sýnd;
b)
að
undirskriftin sé tryggilega staðfest og niðurstöður þeirrar staðfestingar
séu sýndar með réttum hætti;
c)
að sá sem
annast staðfestinguna geti, eftir því sem nauðsyn krefur, staðfest með öruggum
hætti innihald gagnanna sem hafa verið undirrituð;
d)
að áreiðanleiki
og lögmæti skilríkjanna, sem eru nauðsynleg þegar staðfesting
undirskriftar fer fram, séu staðfest með öruggum hætti;
e)
að niðurstöður
staðfestingar og deili á undirritandanum séu sýnd með réttum hætti;
f)
að
notkun dulnefnis komi skýrt fram; og g) að unnt sé að koma auga á allar
breytingar sem varða öryggi.