Ηλεκτρονική υπογραφή στην ΕΕ

Η παρούσα οδηγία θεσπίζει το νομικό πλαίσιο σε ευρωπαϊκό επίπεδο για τις ηλεκτρονικές υπογραφές (ηλ-υπογραφές) και την αναγνώριση των παρόχων υπηρεσιών πιστοποίησης. Σκοπός είναι:

—	να καταστεί ευκολότερη η χρήση των ηλ-υπογραφών και

—	να βοηθηθούν οι ηλ-υπογραφές να αναγνωριστούν νομικά σε όλες τις χώρες της ΕΕ.

ΠΡΆΞΗ

Οδηγία 1999/93/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 13ης Δεκεμβρίου 1999, σχετικά με το κοινοτικό πλαίσιο για ηλεκτρονικές υπογραφές.

ΣΎΝΟΨΗ

Η παρούσα οδηγία καθορίζει τα κριτήρια που αποτελούν τη βάση για τη νομική αναγνώριση των ηλ-υπογραφών. Επικεντρώνεται στις κανονιστικές ρυθμίσεις που διέπουν τους παρόχους υπηρεσιών πιστοποίησης. Θεσπίζει:

—	κοινές απαιτήσεις για τους παρόχους υπηρεσιών πιστοποίησης ώστε να διασφαλίζεται η διασυνοριακή αναγνώριση των ηλ-υπογραφών και πιστοποιητικών σε όλη την Ευρωπαϊκή Ένωση (ΕΕ)·

—	κοινούς κανόνες όσον αφορά την ευθύνη για να βοηθηθεί η οικοδόμηση εμπιστοσύνης μεταξύ των χρηστών, οι οποίοι βασίζονται στα πιστοποιητικά·

—	μηχανισμούς συνεργασίας ώστε να διευκολύνεται η διασυνοριακή αναγνώριση ηλ-υπογραφών και πιστοποιητικών τρίτων χωρών.

Η οδηγία ορίζει νέες ιδέες:

—	την ηλεκτρονική υπογραφή, δεδομένα σε ηλεκτρονική μορφή τα οποία είναι συνημμένα σε, ή λογικά συσχετιζόμενα με, άλλα ηλεκτρονικά δεδομένα και τα οποία χρησιμεύουν ως μέθοδος απόδειξης της γνησιότητας·

—

την προηγμένη ηλεκτρονική υπογραφή, η οποία ανταποκρίνεται στις εξής απαιτήσεις:

—	συνδέεται μονοσήμαντα με τον υπογράφοντα·

—	είναι ικανή να ταυτοποιήσει τον υπογράφοντα·

—	δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο·

—	συνδέεται με το ηλεκτρονικό έγγραφο του οποίου η γνησιότητα πρέπει να αποδειχθεί. Αυτό συμβαίνει ώστε να μπορεί να εντοπιστεί οποιαδήποτε επακόλουθη αλλοίωση αυτού του εγγράφου.

—

το αναγνωρισμένο πιστοποιητικό, το οποίο πρέπει να περιλαμβάνει κυρίως:

—	ένδειξη ότι το πιστοποιητικό εκδίδεται ως αναγνωρισμένο πιστοποιητικό·

—	τα στοιχεία αναγνώρισης του παρόχου υπηρεσιών πιστοποίησης·

—	το όνομα του υπογράφοντος·

—	τη δυνατότητα πρόβλεψης πρόσθετου ειδικού στοιχείου απόδειξης της γνησιότητας, όπως η ημερομηνία γέννησης του υπογράφοντος (ανάλογα με τον προβλεπόμενο σκοπό του πιστοποιητικού)·

—	δεδομένα επαλήθευσης υπογραφής: αυτά πρέπει να αντιστοιχούν σε δεδομένα δημιουργίας υπογραφής υπό τον έλεγχο του υπογράφοντος·

—	τις ημερομηνίες έναρξης και τέλους της περιόδου ισχύος του πιστοποιητικού·

—	τον κωδικό ταυτοποίησης του πιστοποιητικού·

—	την προηγμένη ηλεκτρονική υπογραφή του παρόχου υπηρεσιών πιστοποίησης που το εκδίδει.

Επίσης, το πιστοποιητικό πρέπει να εκδίδεται από πάροχο υπηρεσιών πιστοποίησης ο οποίος πληροί τις ειδικές απαιτήσεις που καθορίζει η οδηγία.

Πρόσβαση στην αγορά

Οι χώρες της ΕΕ δεν πρέπει να εξαρτούν την παροχή υπηρεσιών πιστοποίησης από πρότερη έγκριση οποιουδήποτε είδους.

Οι χώρες της ΕΕ μπορεί να έχουν τους δικούς τους μηχανισμούς προκειμένου να ενθαρρύνουν πιστοποίηση με βελτιωμένα χαρακτηριστικά. Δεν μπορούν να θέτουν όρια για τον αριθμό των διαπιστευμένων παρόχων υπηρεσιών πιστοποίησης. Επίσης, δεν μπορούν να περιορίζουν την παροχή υπηρεσιών πιστοποίησης που προέρχεται από άλλη χώρα της ΕΕ.

Οι χώρες της ΕΕ μπορεί να εξαρτούν τη χρήση ηλ-υπογραφών στον δημόσιο τομέα από ενδεχόμενες πρόσθετες απαιτήσεις. Οι εν λόγω απαιτήσεις πρέπει να είναι αντικειμενικές, διαφανείς, ανάλογες και να μην οδηγούν σε διακρίσεις.

Έννομες συνέπειες των ηλ-υπογραφών

Μια προηγμένη ηλ-υπογραφή που βασίζεται σε αναγνωρισμένο πιστοποιητικό ικανοποιεί τις νομικές απαιτήσεις υπογραφής σε σχέση με τα δεδομένα σε ηλεκτρονική μορφή κατά τον ίδιο τρόπο που μια ιδιόχειρη υπογραφή ικανοποιεί τις απαιτήσεις αυτές σε σχέση με τα δεδομένα που καταχωρούνται επί χάρτου. [Για λόγους ευκολίας, αυτό το είδος υπογραφής μπορεί να αποκαλείται «αναγνωρισμένη ηλ-υπογραφή». Παρότι την περιγράφει η οδηγία, ουσιαστικά δεν την ορίζει]. Επίσης, γίνεται δεκτή ως αποδεικτικό στοιχείο σε νομικές διαδικασίες.

Δεν απορρίπτεται η νομική ισχύς μιας ηλ-υπογραφής ως αποδεικτικού στοιχείου σε νομικές διαδικασίες μόνο λόγω του γεγονότος ότι:

—	είναι υπό μορφή ηλεκτρονικών δεδομένων·

—	δεν βασίζεται σε αναγνωρισμένο πιστοποιητικό·

—	δεν δημιουργείται από ασφαλή διάταξη δημιουργίας υπογραφής.

Ευθύνη

Οι χώρες της ΕΕ πρέπει να διασφαλίζουν ότι ένας πάροχος υπηρεσιών πιστοποίησης που εκδίδει αναγνωρισμένο πιστοποιητικό αναλαμβάνει ορισμένες ευθύνες. Αυτές περιλαμβάνουν την ευθύνη για ζημιά έναντι οποιουδήποτε προσώπου ή φορέα που ευλόγως βασίζεται στο πιστοποιητικό για:

—	την ακρίβεια, κατά τη στιγμή έκδοσής του, όλων των πληροφοριών που περιέχονται στο αναγνωρισμένο πιστοποιητικό,

—	το γεγονός ότι το πιστοποιητικό περιλαμβάνει όλα τα στοιχεία τα οποία απαιτούνται για ένα αναγνωρισμένο πιστοποιητικό κατά τη στιγμή έκδοσής του, και το γεγονός ότι ο υπογράφων που ταυτοποιείται στο πιστοποιητικό ήταν το πρόσωπο για το οποίο εκδόθηκε το εν λόγω πιστοποιητικό.

Ο πάροχος υπηρεσιών πιστοποίησης δύναται να επιβάλλει όρια στο ύψος των συναλλαγών για τις οποίες το πιστοποιητικό μπορεί να χρησιμοποιηθεί. Τα όρια αυτά πρέπει να είναι προφανή για τους τρίτους. Ο πάροχος δεν πρέπει να θεωρείται υπεύθυνος για ζημίες που απορρέουν από τη χρήση τού αναγνωρισμένου πιστοποιητικού η οποία υπερβαίνει τους περιορισμούς που αναγράφονται στο ίδιο.

Διεθνείς πτυχές

Οι χώρες της ΕΕ πρέπει να διασφαλίζουν ότι ισχύει η αμοιβαία νομική αναγνώριση από τις τρίτες χώρες των αναγνωρισμένων πιστοποιητικών και των ηλ-υπογραφών. Ορισμένες προϋποθέσεις αξιοπιστίας πρέπει να πληρούνται, όπως:

—	οι πάροχοι τρίτων χωρών να πληρούν τις απαιτήσεις της παρούσας οδηγίας και να έχουν διαπιστευθεί δυνάμει εθελοντικού μηχανισμού πιστοποίησης σε μια χώρα της ΕΕ·

—	ένας πάροχος της ΕΕ που πληροί τις απαιτήσεις της οδηγίας μπορεί να εγγυάται πιστοποιητικά παρόχων τρίτων χωρών στον ίδιο βαθμό όπως και τα δικά του.

Η Ευρωπαϊκή Επιτροπή μπορεί να υποβάλλει προτάσεις για να διασφαλίζει ότι τα διεθνή πρότυπα και συμφωνίες εφαρμόζονται πλήρως.

Προστασία δεδομένων

Οι χώρες της ΕΕ πρέπει να διασφαλίζουν ότι οι πάροχοι υπηρεσιών πιστοποίησης και οι εθνικοί φορείς, αρμόδιοι για πιστοποίηση ή εποπτεία, συμμορφούνται με την οδηγία 95/46/ΕΚ για την προστασία δεδομένων προσωπικού χαρακτήρα.

Έγκριση του νέου κανονισμού για την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης

Ο κανονισμός για την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης [κανονισμός (ΕΕ) αριθ. 910/2014] εγκρίθηκε το 2014. Τέθηκε σε ισχύ στις 17.9.2014 και θα εφαρμόζεται από την 1.7.2016 εκτός από ορισμένα άρθρα που απαριθμούνται στο άρθρο 52. Ο κανονισμός (ΕΕ) αριθ. 910/2014 καταργεί την οδηγία 1999/93/ΕΚ με ισχύ από τις 30.6.2016.

Για περισσότερες πληροφορίες, βλ. τη σελίδα για τις υπηρεσίες εμπιστοσύνης του δικτυακού τόπου Ψηφιακό θεματολόγιο για την Ευρώπη της Ευρωπαϊκής Επιτροπής.

ΠΑΡΑΠΟΜΠΈΣ

Πράξη	Έναρξη ισχύος	Προθεσμία για μεταφορά στο εθνικό δίκαιο των κρατών μελών	Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης
Οδηγία 1999/93/ΕΚ	19.1.2000	18.7.2001	EE L 13 της 19.1.2000, σ. 12-20

Διαδοχικές τροποποιήσεις και διορθώσεις της οδηγίας 1999/93/ΕΚ έχουν ενσωματωθεί στο βασικό κείμενο. Αυτή η ενοποιημένη έκδοση προορίζεται μόνο για σκοπούς αναφοράς.

ΣΥΝΑΦΕΊΣ ΠΡΆΞΕΙΣ

Ανακοίνωση της Επιτροπής προς το Συμβούλιο, το Ευρωπαϊκό Κοινοβούλιο, την Ευρωπαϊκή Οικονομική και Κοινωνική Επιτροπή και την Επιτροπή των Περιφερειών - Πρόγραμμα δράσης για τις ηλ-υπογραφές και την ηλ-ταυτοποίηση προκειμένου να διευκολυνθεί η παροχή διασυνοριακών δημοσίων υπηρεσιών στην ενιαία αγορά (COM(2008) 798 τελικό της 28.11.2008).

Στην παρούσα ανακοίνωση, η Επιτροπή προτείνει ένα σχέδιο δράσης με στόχο να συνδράμει τις χώρες της ΕΕ να εφαρμόσουν διαλειτουργικές και αμοιβαία αναγνωρισμένες λύσεις για τις ηλ-υπογραφές και την ηλεκτρονική ταυτοποίηση, με σκοπό να διευκολύνεται η παροχή διασυνοριακών δημόσιων υπηρεσιών σε ηλεκτρονικό περιβάλλον. Αυτό είναι σημαντικό για να αποφευχθεί ο κατακερματισμός της ενιαίας αγοράς.

Οι δράσεις που προβλέπει το σχέδιο δράσης διαιρούνται σε 2 μέρη:

—	δράσεις που αποσκοπούν στη βελτίωση της διασυνοριακής διαλειτουργικότητας των αναγνωρισμένων ηλ-υπογραφών και των προηγμένων ηλ-υπογραφών βασισμένων σε αναγνωρισμένα πιστοποιητικά,

—	δράσεις που βελτιώνουν τη διασυνοριακή διαλειτουργικότητα της ηλεκτρονικής ταυτότητας.

Έκθεση της Επιτροπής προς το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο - Έκθεση αναφορικά με τη λειτουργία της οδηγίας 1999/93/EΚ σχετικά με το κοινοτικό πλαίσιο για ηλεκτρονικές υπογραφές (COM/2006/0120 τελικό της 15ης Μαρτίου 2006).

Η έκθεση αναφέρει ότι οι χώρες της ΕΕ έχουν εφαρμόσει τις γενικές αρχές της οδηγίας.

Η Επιτροπή σημειώνει ότι η μεταφορά της οδηγίας στο δίκαιο των χωρών της ΕΕ κάλυψε τις ανάγκες για νομική αναγνώριση της ηλ-υπογραφής. Ως εκ τούτου, θεωρεί ότι οι στόχοι της οδηγίας έχουν επιτευχθεί και δεν έχει προκύψει ανάγκη για την αναθεώρησή της, στην παρούσα φάση. Ωστόσο, η Επιτροπή σχεδιάζει διαβούλευση με τις χώρες και τους σχετικούς ενδιαφερομένους για να αντιμετωπιστούν μια σειρά ζητημάτων, που αφορούν ιδίως προβλήματα διαλειτουργικότητας, τεχνικές πτυχές και την τυποποίηση.

Απόφαση 2003/511/ΕΚ της Επιτροπής, της 14ης Ιουλίου 2003, σχετικά με τη δημοσίευση αριθμών αναφοράς γενικά αναγνωρισμένων προτύπων για προϊόντα ηλεκτρονικής υπογραφής, σύμφωνα με την οδηγία 1999/93/EΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (Επίσημη Εφημερίδα L 175 της 15.7.2003, σ. 45-46).

Η παρούσα απόφαση αναφέρεται σε 3 γενικώς αναγνωρισμένα πρότυπα για τα προϊόντα ηλεκτρονικής υπογραφής, τα οποία προϋποθέτουν συμμόρφωση με την αναγνωρισμένη ηλεκτρονική υπογραφή.

Απόφαση 2000/709/ΕΚ της Επιτροπής, της 6ης Νοεμβρίου 2000, για τα ελάχιστα κριτήρια που πρέπει να λαμβάνουν υπόψη τα κράτη μέλη όταν ορίζουν φορείς σύμφωνα με το άρθρο 3 παράγραφος 4 της οδηγίας 1999/93/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με το κοινοτικό πλαίσιο για ηλεκτρονικές υπογραφές (Επίσημη Εφημερίδα L 289 της 16.11.2000, σ. 42-43).

Η παρούσα απόφαση θεσπίζει τα κριτήρια που πρέπει να λάβουν υπόψη οι χώρες της ΕΕ όταν ορίζουν εθνικούς φορείς για την αξιολόγηση της συμμόρφωσης των ασφαλών διατάξεων δημιουργίας υπογραφής.

Ημερομηνία τελευταίας τροποποίησης: 09.01.2015