EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI 1999/93/EY,

annettu 13 päivänä joulukuuta 1999,

sähköisiä allekirjoituksia koskevista yhteisön puitteista

EUROOPAN PARLAMENTTI JA EUROOPAN UNIONIN NEUVOSTO, jotka

ottavat huomioon Euroopan yhteisön perustamissopimuksen ja erityisesti sen 47 artiklan 2 kohdan, 55 artiklan ja 95 artiklan,

ottavat huomioon komission ehdotuksen(1),

ottavat huomioon talous- ja sosiaalikomitean lausunnon(2),

ottavat huomioon alueiden komitean lausunnon(3),

noudattavat perustamissopimuksen 251 artiklassa määrättyä menettelyä(4),

sekä katsovat seuraavaa:

1) Komissio antoi 16 päivänä huhtikuuta 1997 Euroopan parlamentille, neuvostolle, talous- ja sosiaalikomitealle ja alueiden komitealle tiedonannon otsikolla Eurooppalainen elektronisen kaupankäynnin aloite.

2) Komissio antoi 8 päivänä lokakuuta 1997 Euroopan parlamentille, neuvostolle, talous- ja sosiaalikomitealle ja alueiden komitealle tiedonannon otsikolla Tietoturvan ja luottamuksen varmistaminen sähköisessä viestinnässä - Digitaalisia allekirjoituksia ja viestien salausta koskeva Eurooppalainen malli.

3) Neuvosto kehotti 1 päivänä joulukuuta 1997 komissiota antamaan mahdollisimman pian ehdotuksen Euroopan parlamentin ja neuvoston direktiiviksi digitaalisista allekirjoituksista.

4) Sähköisessä viestinnässä ja kaupankäynnissä tarvitaan sähköisiä allekirjoituksia ja niihin liittyviä, tiedon todentamisen mahdollistavia palveluja. Jäsenvaltioiden väliset erot sähköisten allekirjoitusten oikeudellista tunnustamista ja varmennepalvelujen tarjoajien akkreditointia koskevissa säännöissä saattavat haitata huomattavasti sähköistä viestintää ja kaupankäyntiä. Toisaalta selkeät sähköisiin allekirjoituksiin sovellettavia ehtoja koskevat yhteisön puitteet vahvistavat luottamusta uusiin teknologioihin ja lisäävät niiden yleistä hyväksyntää. Jäsenvaltioiden lainsäädäntö ei saisi estää tavaroiden ja palvelujen vapaata liikkuvuutta sisämarkkinoilla.

5) Sähköisiin allekirjoituksiin liittyvien tuotteiden yhteentoimivuutta olisi edistettävä. Perustamissopimuksen 14 artiklan mukaan sisämarkkinat käsittävät alueen, jolla ei ole sisäisiä rajoja ja jolla tavaroiden vapaa liikkuvuus taataan. Sähköisiin allekirjoituksiin liittyville tuotteille asetettuja keskeisiä erityisvaatimuksia on noudatettava vapaan liikkuvuuden varmistamiseksi sisämarkkinoilla ja luottamuksen lisäämiseksi sähköisiin allekirjoituksiin, sanotun kuitenkaan rajoittamatta kaksikäyttötuotteiden vientiä koskevan yhteisön valvontajärjestelmän käyttöön ottamisesta 19 päivänä joulukuuta 1994 annetun neuvoston asetuksen (EY) N:o 3381/94(5) ja kaksikäyttötuotteiden viennin valvontaa koskevasta yhteisestä toiminnasta 19 päivänä joulukuuta 1994 tehdyn neuvoston päätöksen 94/942/YUTP(6) soveltamista.

6) Tällä direktiivillä ei yhdenmukaisteta tiedon luottamuksellisuutta koskevien palvelujen tarjoamista sikäli kuin kyseisiin palveluihin sovelletaan yleistä järjestystä tai yleistä turvallisuutta koskevia kansallisia säännöksiä.

7) Sisämarkkinat takaavat henkilöiden vapaan liikkuvuuden, ja sen johdosta Euroopan unionin kansalaiset ja asukkaat joutuvat yhä useammin kääntymään muiden jäsenvaltioiden kuin asuinvaltionsa viranomaisten puoleen. Mahdollisuus käyttää sähköistä viestintää voisi olla suureksi avuksi tässä suhteessa.

8) Internetin nopea tekninen kehitys ja maailmanlaajuisuus edellyttävät lähestymistapaa, joka on avoin erilaisille sähköisille tiedon todentamistekniikoille ja -palveluille.

9) Sähköisiä allekirjoituksia käytetään useissa eri tilanteissa ja sovelluksissa, mistä on seurauksena suuri määrä erilaisia uusia palveluja ja tuotteita, jotka liittyvät sähköisiin allekirjoituksiin tai joissa käytetään sähköisiä allekirjoituksia. Tällaisten palvelujen ja tuotteiden määritelmä ei saisi rajoittua varmenteiden myöntämiseen ja hallinnointiin, vaan siihen olisi kuuluttava myös muut palvelut ja tuotteet, joissa käytetään sähköisiä allekirjoituksia tai jotka liittyvät niihin, kuten rekisteröintipalvelut, aikaleimapalvelut, hakemistopalvelut, laskentapalvelut ja sähköisiin allekirjoituksiin liittyvät neuvontapalvelut.

10) Sisämarkkinat antavat varmennepalvelujen tarjoajille mahdollisuuden kehittää valtioiden rajat ylittäviä toimintojaan kilpailukykynsä lisäämiseksi ja siten tarjota kuluttajille ja yrityksille uusia mahdollisuuksia turvalliseen tiedonvaihtoon ja sähköiseen kaupankäyntiin rajoista riippumatta. Avoimissa verkoissa tapahtuvan yhteisön laajuisen varmennepalvelujen tarjonnan edistämiseksi varmennepalvelujen tarjoajien olisi voitava vapaasti tarjota palvelujaan ilman ennakkovaltuutusta. Ennakkovaltuutuksella ei tarkoiteta ainoastaan lupaa, joka edellyttää, että kyseisen varmennepalvelujen tarjoajan on saatava kansallisilta viranomaisilta päätös ennen varmennepalvelujensa tarjoamisen aloittamista, vaan myös muita vastaavia toimenpiteitä.

11) Vapaaehtoisuuteen perustuvat akkreditointijärjestelmät, joilla pyritään parempaan palvelujen tarjontaan, voivat antaa varmennepalvelujen tarjoajille tarkoituksenmukaiset puitteet kehittää palvelujaan kehittyvien markkinoiden edellyttämän luottamuksen, turvallisuuden ja laadun saavuttamiseksi. Tällaisten järjestelmien olisi rohkaistava parhaiden käytäntöjen kehittämistä varmennepalvelujen tarjoajien keskuudessa. Varmennepalvelujen tarjoajien olisi voitava vapaasti liittyä tällaisiin akkreditointijärjestelmiin ja saada niiden tarjoamat edut hyväkseen.

12) Varmennepalveluja voi tarjota kansallisen lainsäädännön mukainen julkinen yhteisö taikka oikeushenkilö tai luonnollinen henkilö. Jäsenvaltioiden ei tulisi kieltää varmennepalvelujen tarjoajia toimimasta vapaaehtoisten akkreditointijärjestelmien ulkopuolella. Olisi varmistettava, että tällaiset akkreditointijärjestelmät eivät vähennä kilpailua varmennepalvelujen alalla.

13) Jäsenvaltiot voivat päättää tavasta, jolla ne varmistavat tässä direktiivissä annettujen säännösten noudattamisen valvonnan. Tällä direktiivillä ei estetä yksityisellä sektorilla syntyvien valvontajärjestelmien perustamista. Tässä direktiivissä ei velvoiteta varmennepalvelujen tarjoajia pyytämään, että heitä valvottaisiin jonkin soveltuvan akkreditointijärjestelmän mukaisesti.

14) On tärkeätä löytää tasapaino kuluttajien ja yritysten tarpeiden välillä.

15) Liite III sisältää turvallisia allekirjoituksen luomismenetelmiä koskevat vaatimukset kehittyneiden sähköisten allekirjoitusten toimivuuden varmistamiseksi. Se ei koske koko järjestelmäympäristöä, jossa kyseiset menetelmät toimivat. Sisämarkkinoiden toiminta edellyttää, että komissio ja jäsenvaltiot toimivat pikaisesti, jotta liitteen III mukaisten turvallisten allekirjoituksen luomismenetelmien vaatimustenmukaisuuden arvioinnista vastaavat laitokset voidaan nimetä. Markkinoiden tarpeiden huomioon ottamiseksi vaatimustenmukaisuuden arvioinnin on oltava oikea-aikaista ja tehokasta.

16) Tällä direktiivillä edistetään sähköisten allekirjoitusten käyttöä ja oikeudellista tunnustamista yhteisössä. Sääntelypuitteita ei tarvita yksinomaan sellaisissa vapaaehtoisiin yksityisoikeudellisiin sopimuksiin perustuvissa järjestelmissä käytettäviä sähköisiä allekirjoituksia varten, joiden osanottajamäärä on määritelty. Osapuolten vapautta sopia keskenään niistä ehdoista ja edellytyksistä, joilla ne hyväksyvät sähköisesti allekirjoitetun tiedon, olisi kunnioitettava kansallisen lainsäädännön sallimissa rajoissa. Olisi tunnustettava tällaisissa järjestelmissä käytettävien sähköisten allekirjoitusten oikeudelliset vaikutukset ja mahdollisuus käyttää niitä todisteina oikeudellisissa menettelyissä.

17) Tämän direktiivin tarkoituksena ei ole yhdenmukaistaa sopimusoikeutta koskevia kansallisia sääntöjä, erityisesti sopimusten tekemistä ja täyttämistä taikka muita sopimuksiin perustumattomia allekirjoituksia koskevia muotomääräyksiä. Tämän vuoksi sähköisten allekirjoitusten oikeudellista vaikutusta koskevat säännökset eivät saisi rajoittaa kansallisessa lainsäädännössä sopimusten tekemiselle asetettuja muotovaatimuksia eikä sääntöjä, joissa määritellään sopimuksen tekopaikka.

18) Allekirjoituksen luomiseen käytettävien tietojen tallentaminen ja kopiointi saattaa vaarantaa sähköisten allekirjoitusten oikeudellisen pätevyyden.

19) Sähköisiä allekirjoituksia käytetään julkisella sektorilla kansallisessa ja yhteisön hallinnossa sekä kyseisten hallintojen keskinäisessä sekä kansalaisten ja taloudellisten toimijoiden kanssa tapahtuvassa viestinnässä, esimerkiksi julkisiin hankintoihin, verotukseen, sosiaaliturvaan, terveydenhuoltoon ja oikeushallintoon liittyvässä viestinnässä.

20) Sähköisten allekirjoitusten oikeusvaikutuksiin liittyvillä yhdenmukaistetuilla perusteilla säilytetään yhtenäiset oikeudelliset puitteet koko yhteisössä. Kansallisessa lainsäädännössä on toisistaan poikkeavia vaatimuksia käsin kirjoitettujen allekirjoitusten oikeudelliselle pätevyydelle. Varmenteita voidaan käyttää sähköisen allekirjoituksen suorittavan henkilön henkilöllisyyden varmentamiseen. Hyväksyttyihin varmenteihin perustuvilla kehittyneillä sähköisillä allekirjoituksilla pyritään saavuttamaan korkeampi turvallisuustaso. Hyväksyttyyn varmenteeseen perustuvia turvallisella allekirjoituksen luomismenetelmällä luotuja kehittyneitä sähköisiä allekirjoituksia voidaan pitää käsin kirjoitettujen allekirjoitusten kanssa oikeudellisesti samanarvoisina ainoastaan, jos käsin kirjoitetuille allekirjoituksille asetetut vaatimukset täyttyvät.

21) Sähköisten todentamismenetelmien yleisen hyväksynnän edistämiseksi on varmistettava, että sähköisiä allekirjoituksia voidaan käyttää todisteena oikeudellisissa menettelyissä kaikissa jäsenvaltioissa. Sähköisten allekirjoitusten oikeudellisen tunnustamisen olisi perustuttava objektiivisiin arviointiperusteisiin eikä oltava sidoksissa siihen, onko palvelun tarjoaja saanut valtuutuksen. Oikeudenalat, joilla sähköisiä asiakirjoja ja sähköisiä allekirjoituksia voidaan käyttää, vahvistetaan kansallisessa lainsäädännössä. Tämä direktiivi ei rajoita kansallisten tuomioistuinten toimivaltaa tehdä päätös direktiivin vaatimusten täyttymisestä eikä se vaikuta kansallisiin sääntöihin, jotka koskevat tuomioistuimessa suoritettavaa vapaata todistusharkintaa.

22) Yleisölle suunnattuja varmennepalveluja tarjoavat varmennepalvelujen tarjoajat kuuluvat kansallisten vastuusääntöjen piiriin.

23) Kansainvälisen sähköisen kaupankäynnin kehittyminen edellyttää rajat ylittäviä järjestelyjä, joissa on mukana myös yhteisön ulkopuolisia maita. Maailmanlaajuisen yhteensopivuuden takaamiseksi voisi olla hyödyllistä tehdä yhteisön ulkopuolisten maiden kanssa sopimuksia varmennepalvelujen keskinäistä tunnustamista koskevista monenvälisistä säännöistä.

24) Lisätäkseen käyttäjien luottamusta sähköiseen viestintään ja kaupankäyntiin varmennepalvelujen tarjoajien on noudatettava tietoturvalainsäädäntöä ja kunnioitettava yksityisyyden suojaa.

25) Salanimien käytön sallimisen varmenteissa ei tulisi estää jäsenvaltioita edellyttämästä henkilöiden tunnistamista yhteisön tai kansallisen lainsäädännön mukaisesti.

26) Tämän direktiivin täytäntöönpanemiseksi tarvittavat toimenpiteet on hyväksyttävä menettelystä komissiolle siirrettyä täytäntöönpanovaltaa käytettäessä 28 päivänä kesäkuuta 1999 tehdyn neuvoston päätöksen 1999/468/EY(7) 2 artiklan mukaisesti.

27) Komissio tarkastelee tätä direktiiviä kaksi vuotta sen voimaantulon jälkeen muun ohessa varmistaakseen, etteivät tekninen kehitys tai lainsäädännössä tapahtuneet muutokset ole muodostuneet esteeksi direktiivissä vahvistettujen tavoitteiden saavuttamiselle. Komission olisi tutkittava asiaan liittyvien tekniikan alojen vaikutuksia sekä toimitettava Euroopan parlamentille ja neuvostolle tätä kysymystä koskeva kertomus.

28) Perustamissopimuksen 5 artiklassa esitettyjen toissijaisuusperiaatteen ja suhteellisuusperiaatteen mukaisesti jäsenvaltiot eivät voi riittävällä tavalla toteuttaa asetettua tavoitetta eli sähköisten allekirjoitusten tarjontaa ja siihen liittyviä palveluja koskevien yhdenmukaisten oikeudellisten puitteiden luomista, ja se voidaan sen vuoksi toteuttaa paremmin yhteisön tasolla. Tässä direktiivissä ei ylitetä sitä, mikä on tarpeen tämän tavoitteen saavuttamiseksi,

OVAT ANTANEET TÄMÄN DIREKTIIVIN:

1 artikla

Soveltamisala

Tämän direktiivin tarkoituksena on helpottaa sähköisten allekirjoitusten käyttöä ja edistää osaltaan niiden oikeudellista tunnustamista. Sillä vahvistetaan oikeudelliset puitteet sähköisille allekirjoituksille ja tietyille varmennepalveluille sisämarkkinoiden moitteettoman toiminnan varmistamiseksi.

Se ei koske sopimusten tekemiseen ja pätevyyteen liittyviä kysymyksiä eikä muita oikeudellisia velvoitteita, joihin liittyy kansallisessa lainsäädännössä tai yhteisön oikeudessa säädettyjä muotovaatimuksia eikä se vaikuta asiakirjojen käyttöä koskeviin kansallisen tai yhteisön oikeuden sääntöihin ja rajoituksiin.

2 artikla

Määritelmät

Tässä direktiivissä tarkoitetaan:

1) "sähköisellä allekirjoituksella" sähköisessä muodossa olevaa tietoa, joka on liitetty tai joka loogisesti liittyy muuhun sähköiseen tietoon ja jota käytetään todentamisen välineenä;

2) "kehittyneellä sähköisellä allekirjoituksella" sähköistä allekirjoitusta, joka täyttää seuraavat vaatimukset:

a) se liittyy yksiselitteisesti sen allekirjoittajaan;

b) sillä voidaan yksilöidä allekirjoittaja;

c) se on luotu keinoilla, jotka allekirjoittaja voi pitää yksinomaisessa valvonnassaan; ja

d) se on liitetty sen kohteena olevaan tietoon siten, että tiedon mahdollinen myöhempi muuttaminen voidaan havaita,

3) "allekirjoittajalla" henkilöä, jolla on hallussaan allekirjoituksen luomismenetelmä ja joka toimii joko itsensä tai edustamansa luonnollisen henkilön tai oikeushenkilön taikka yhteisön puolesta,

4) "allekirjoituksen luomiseen käytettävillä tiedoilla" ainutlaatuista tietokokonaisuutta, esimerkiksi koodeja tai yksityisiä salausavaimia, joita allekirjoittaja käyttää luodakseen sähköisen allekirjoituksen,

5) "allekirjoituksen luomismenetelmällä" asetuksin varustettua ohjelmistoa tai laitteistoa allekirjoituksen luomiseen käytettävien tietojen toteuttamiseksi,

6) "turvallisella allekirjoituksen luomismenetelmällä" allekirjoituksen luomismenetelmää, joka täyttää liitteessä III vahvistetut vaatimukset,

7) "allekirjoituksen todentamiseen käytettävillä tiedoilla" tietokokonaisuutta, esimerkiksi koodeja tai julkisia salausavaimia, joita käytetään sähköisen allekirjoituksen todentamiseen,

8) "allekirjoituksen todentamismenetelmällä" asetuksin varustettua ohjelmistoa tai laitteistoa allekirjoituksen todentamiseen käytettävien tietojen toteuttamiseksi,

9) "varmenteella" sähköistä todistusta, joka liittää allekirjoituksen todentamiseen käytettävät tiedot henkilöön, ja vahvistaa kyseisen henkilön henkilöllisyyden,

10) "hyväksytyllä varmenteella" varmennetta, joka täyttää liitteessä I vahvistetut vaatimukset ja jonka liitteessä II vahvistetut vaatimukset täyttävä varmennepalvelujen tarjoaja myöntää,

11) "varmennepalvelujen tarjoajalla" yhteisöä taikka oikeushenkilöä tai luonnollista henkilöä, joka myöntää varmenteita tai tarjoaa muita sähköisiin allekirjoituksiin liittyviä palveluja,

12) "sähköisiin allekirjoituksiin liittyvällä tuotteella" laitteistoja tai ohjelmistoja tai niiden merkityksellisiä osia, jotka on tarkoitettu varmennepalvelujen tarjoajan käyttöön tämän tarjotessa sähköisiä allekirjoituspalveluja tai käytettäväksi sähköisten allekirjoitusten luomiseen tai todentamiseen,

13) "vapaaehtoisuuteen perustuvalla akkreditoinnilla" lupaa, jossa määritellään varmennepalvelujen tarjoamiseen liittyvät oikeudet ja velvollisuudet, ja jonka kyseisten oikeuksien ja velvollisuuksien määrittelystä ja niiden noudattamisen valvonnasta vastuussa oleva julkinen tai yksityinen laitos myöntää kyseisen varmennepalvelujen tarjoajan pyynnöstä, ja jonka mukaan varmennepalvelujen tarjoajalla ei ole oikeutta harjoittaa luvasta johtuvia oikeuksia ennen kuin se on saanut kyseisen laitoksen päätöksen;

3 artikla

Markkinoille pääsy

1. Jäsenvaltiot eivät saa tehdä varmennepalvelujen tarjoamisesta ennakkovaltuutuksen varaista.

2. Rajoittamatta 1 kohdan säännösten soveltamista jäsenvaltiot voivat ottaa käyttöön tai ylläpitää vapaaehtoisuuteen perustuvia akkreditointijärjestelmiä parantaakseen varmennepalvelujen tarjonnan laatua. Kaikkien tällaisiin järjestelmiin liittyvien ehtojen on oltava objektiivisia, avoimia, suhteellisia ja syrjimättömiä. Jäsenvaltiot eivät tämän direktiivin soveltamisalaan kuuluvien syiden perusteella saa rajoittaa akkreditoitujen varmennepalvelujen tarjoajien määrää.

3. Kunkin jäsenvaltion on varmistettava sellaisen asianmukaisen järjestelmän käyttöönotto, jonka avulla voidaan valvoa sen alueelle asettautuneita, hyväksyttyjä varmenteita yleisölle myöntäviä varmennepalvelujen tarjoajia.

4. Jäsenvaltioiden nimeämät asianmukaiset julkiset tai yksityiset laitokset määrittelevät, ovatko turvalliset allekirjoituksen luomismenetelmät liitteessä III vahvistettujen vaatimusten mukaisia. Komissio vahvistaa 9 artiklassa säädettyä menettelyä noudattaen perusteet, joiden mukaan jäsenvaltiot määrittelevät, onko laitos nimettävä.

Kaikkien jäsenvaltioiden on tunnustettava ensimmäisessä alakohdassa tarkoitettujen laitosten suorittama, liitteessä III vahvistettujen vaatimusten täyttyminen määrittely.

5. Komissio voi 9 artiklassa säädetyn menettelyn mukaisesti vahvistaa ja julkaista sähköisiin allekirjoituksiin liittyviä tuotteita koskevien yleisesti tunnustettujen standardien viitenumeroita Euroopan yhteisöjen virallisessa lehdessä. Jäsenvaltioiden on oletettava sähköisiin allekirjoituksiin liittyvän tuotteen täyttävän liitteessä II olevassa f kohdassa ja liitteessä III vahvistetut vaatimukset, jos tuote on kyseisten standardien mukainen.

6. Jäsenvaltiot ja komissio toimivat yhteistyössä edistääkseen allekirjoituksen todentamismenetelmien kehittämistä ja käyttöä liitteessä IV olevien turvallista allekirjoitusten todentamista koskevat suositukset ja kuluttajien edut huomioon ottaen.

7. Jäsenvaltiot voivat asettaa mahdollisia lisävaatimuksia sähköisten allekirjoitusten käytölle julkisella sektorilla. Tällaisten vaatimusten on oltava objektiivisia, avoimia, suhteellisia ja syrjimättömiä, ja ne saavat liittyä vain kyseessä olevan sovelluksen erityispiirteisiin. Kyseiset vaatimukset eivät saa estää kansalaisille tarjottavaa rajat ylittäviä palveluja.

4 artikla

Sisämarkkinaperiaatteet

1. Kunkin jäsenvaltion on sovellettava tämän direktiivin nojalla antamiaan kansallisia säännöksiä alueelleen sijoittautuneisiin varmennepalvelujen tarjoajiin ja niiden tarjoamiin palveluihin. Jäsenvaltiot eivät saa rajoittaa toisesta jäsenvaltiosta peräisin olevien varmennepalvelujen tarjontaa tämän direktiivin soveltamisalaan kuuluvilla aloilla.

2. Jäsenvaltioiden on varmistettava, että tämän direktiivin mukaiset sähköisiin allekirjoituksiin liittyvät tuotteet saavat liikkua vapaasti sisämarkkinoilla.

5 artikla

Sähköisten allekirjoitusten oikeusvaikutukset

1. Jäsenvaltioiden on varmistettava, että sellaiset kehittyneet sähköiset allekirjoitukset, jotka perustuvat hyväksyttyyn varmenteeseen ja jotka on luotu turvallisella allekirjoituksen luomismenetelmällä

a) täyttävät sähköisessä muodossa olevan tiedon osalta allekirjoitukselle asetettavat oikeudelliset edellytykset samalla tavoin kuin käsin kirjoitettu allekirjoitus täyttää kyseiset vaatimukset paperilla olevan tiedon osalta; ja että

b) ne kelpaavat todisteeksi oikeudellisissa menettelyissä.

2. Jäsenvaltioiden on varmistettava, että sähköiseltä allekirjoitukselta ei evätä oikeudellista vaikutusta ja hyväksyttävyyttä todisteena oikeudellisissa menettelyissä yksinomaan sen vuoksi, että

- allekirjoitus on sähköisessä muodossa, tai

- se ei perustu hyväksyttyyn varmenteeseen, tai

- se ei perustu akkreditoidun varmennepalvelujen tarjoajan myöntämään hyväksyttyyn varmenteeseen, taikka

- sitä ei ole luotu turvallisella allekirjoituksen luomismenetelmällä.

6 artikla

Vastuu

1. Jäsenvaltioiden on varmistettava ainakin se, että myöntämällä yleisölle varmenteita hyväksyttyinä varmenteina tai takaamalla yleisölle varmenteen varmennepalvelun tarjoaja on vastuussa varmenteeseen perustellulla tavalla tukeutuvalle yhteisölle taikka oikeushenkilölle tai luonnolliselle henkilölle aiheutuvasta vahingosta seuraavien seikkojen osalta:

a) hyväksytyssä varmenteessa olevien tietojen paikkansapitävyys sen myöntämisajankohtana ja kaikkien hyväksytyissä varmenteessa ilmoitettavien tietojen sisältyminen varmenteeseen;

b) varmuus siitä, että hyväksytyssä varmenteessa yksilöidyllä henkilöllä oli varmenteen myöntämisajankohtana hallussaan allekirjoituksen luomiseen käytettävät tiedot, jotka vastaavat varmenteessa mainittuja tai määriteltyjä allekirjoituksen todentamiseen käytettäviä tietoja; ja

c) varmuus siitä, että allekirjoituksen luomiseen käytettäviä tietoja ja allekirjoituksen todentamiseen käytettäviä tietoja voidaan käyttää toisiaan täydentävästi, silloin kun varmennepalvelujen tarjoaja on luonut ne molemmat,

jollei varmennepalvelujen tarjoaja pysty todistamaan, ettei hän ole toiminut huolimattomasti.

2. Jäsenvaltioiden on varmistettava ainakin se, että varmennepalvelujen tarjoaja, joka on myöntänyt yleisölle varmenteita hyväksyttyinä varmenteina, on varmenteen peruuttamista koskevan merkinnän tekemättä jättämisen johdosta vastuussa varmenteeseen perustellulla tavalla tukeutuvalle yhteisölle taikka oikeushenkilölle tai luonnolliselle henkilölle aiheutuvasta vahingosta, jollei varmennepalvelujen tarjoaja pysty todistamaan, ettei hän ole toiminut huolimattomasti.

3. Jäsenvaltioiden on varmistettava, että varmennepalvelujen tarjoajilla on mahdollisuus ilmoittaa hyväksytyssä varmenteessa kyseisen varmenteen käyttöä koskevista rajoituksista edellyttäen, että tällaiset rajoitukset ovat kolmansien osapuolten tunnistettavissa. Varmennepalvelujen tarjoaja ei ole vastuussa vahingosta, joka on aiheutunut hyväksytyn varmenteen käytöstä siinä annettujen käyttörajoitusten vastaisesti.

4. Jäsenvaltioiden on varmistettava, että varmennepalvelujen tarjoajilla on hyväksytyssä varmenteessa mahdollisuus ilmoittaa niiden toimien arvoa koskeva rajoitus, joihin varmennetta voidaan käyttää, edellyttäen, että tällaiset rajoitukset ovat kolmansien osapuolten tunnistettavissa.

Varmennepalvelujen tarjoaja ei ole vastuussa vahingosta, joka aiheutuu siitä, että tämä enimmäisrajoitus ylitetään.

5. Edellä 1-4 kohdan säännökset eivät rajoita kuluttajasopimusten kohtuuttomista ehdoista 5 päivänä huhtikuuta 1993 annetun neuvoston direktiivin 93/13/ETY(8) soveltamista.

7 artikla

Kansainväliset näkökohdat

1. Jäsenvaltioiden on varmistettava, että kolmanteen maahan sijoittautuneen varmennepalvelujen tarjoajan hyväksyttyinä varmenteina yleisölle myöntämät varmenteet tunnustetaan oikeusvaikutuksiltaan vastaaviksi kuin yhteisöön sijoittautuneen varmennepalvelujen tarjoajan myöntämät varmenteet, jos:

a) varmennepalvelujen tarjoaja täyttää tässä direktiivissä vahvistetut vaatimukset ja on akkreditoitu jäsenvaltion käyttöönottaman vapaaehtoisuuteen perustuvan akkreditointijärjestelmän mukaisesti; tai

b) tässä direktiivissä vahvistettujen vaatimusten mukainen yhteisöön sijoittautunut varmennepalvelujen tarjoaja takaa varmenteen; taikka

c) varmenne tai varmennepalvelun tarjoaja on tunnustettu yhteisön ja yhden tai useamman kolmannen maan tai kansainvälisten organisaatioiden välisen kahden- tai monenvälisen sopimuksen nojalla.

2. Helpottaakseen yhteisön jäsenvaltioiden ja kolmansien maiden välisiä rajat ylittäviä varmennepalveluja ja kolmansista maista peräisin olevien kehittyneiden sähköisten allekirjoitusten oikeudellista tunnustamista, komissio antaa tarvittaessa ehdotuksia varmennepalveluihin sovellettavien standardien ja kansainvälisten sopimusten tehokkaaksi täytäntöönpanemiseksi. Komissio antaa neuvostolle tarvittaessa erityisesti ehdotuksia asianmukaisista neuvotteluvaltuuksista kolmansien maiden ja kansainvälisten organisaatioiden kanssa tehtäviä kahden- ja monenvälisiä sopimuksia varten. Neuvosto ratkaisee asian määräenemmistöllä.

3. Jos komissiolle ilmoitetaan yhteisön yritysten toteamista vaikeuksista kolmansien maiden markkinoille pääsyssä, se voi tarvittaessa tehdä neuvostolle ehdotuksia asianmukaisten neuvotteluvaltuuksien antamiseksi sitä varten, että yhteisön yritykset saisivat vastaavat oikeudet näissä kolmansissa maissa. Neuvosto ratkaisee asian määräenemmistöllä.

Tämän kohdan mukaisesti toteutetut toimenpiteet eivät saa vaikuttaa asiaankuuluviin kansainvälisiin sopimuksiin perustuviin yhteisön ja jäsenvaltioiden velvoitteisiin.

8 artikla

Tietosuoja

1. Jäsenvaltioiden on varmistettava, että varmennepalvelujen tarjoajat ja akkreditoinnista tai valvonnasta vastaavat kansalliset laitokset noudattavat yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetussa Euroopan parlamentin ja neuvoston direktiivissä 95/46/EY(9) säädettyjä vaatimuksia.

2. Jäsenvaltioiden on varmistettava, että yleisölle varmenteita myöntävä varmennepalvelujen tarjoaja saa hankkia henkilötietoja vain suoraan tietojen kohteelta itseltään tai saatuaan hänen nimenomaisen suostumuksensa ja ainoastaan siinä määrin kuin se on välttämätöntä varmenteen myöntämiseksi ja ylläpitämiseksi. Tietoja ei saa koota tai muokata muihin tarkoituksiin ilman tietojen kohteen nimenomaista lupaa.

3. Jäsenvaltiot eivät saa estää sitä, että varmennepalvelujen tarjoaja ilmoittaa varmenteessa allekirjoittajan todellisen nimen sijasta salanimen, tämän kuitenkaan vaikuttamatta salanimelle kansallisessa lainsäädännössä annettavaan oikeusvaikutukseen.

9 artikla

Komitea

1. Komissiota avustaa sähköisten allekirjoitusten komitea, jäljempänä "komitea".

2. Tapauksissa, joissa on viitattu tähän kohtaan, sovelletaan päätöksen 1999/468/EY 4 ja 7 artiklaa mainitun päätöksen 8 artiklan mukaisesti.

Päätöksen 1999/468/EY 4 artiklan 3 kohdassa säädetty määräaika vahvistetaan kolmeksi kuukaudeksi.

3. Komitea vahvistaa työjärjestyksensä.

10 artikla

Komitean tehtävät

Komitea tarkentaa 9 artiklan 2 kohdassa säädettyä menettelyä noudattaen tämän direktiivin liitteissä säädettyjä vaatimuksia, 3 artiklan 4 kohdassa tarkoitettuja perusteita sekä sähköisiin allekirjoituksiin liittyvien tuotteiden 3 artiklan 5 kohdan mukaisesti vahvistettuja ja julkaistuja yleisesti tunnustettuja standardeja.

11 artikla

Ilmoittaminen

1. Jäsenvaltioiden on toimitettava seuraavat tiedot komissiolle ja muille jäsenvaltioille:

a) tiedot vapaaehtoisuuteen perustuvista kansallisista akkreditointijärjestelmistä, mukaan lukien mahdolliset 3 artiklan 7 kohdan mukaiset lisävaatimukset;

b) akkreditoinnista ja valvonnasta vastaavien kansallisten laitosten sekä 3 artiklan 4 kohdassa tarkoitettujen laitosten nimet ja osoitteet; ja

c) kaikkien akkreditoitujen kansallisten varmennepalvelujen tarjoajien nimet ja osoitteet.

2. Jäsenvaltioiden on ilmoitettava 1 kohdan nojalla toimitettavat tiedot ja näiden tietojen muutokset mahdollisimman pian.

12 artikla

Tarkastelu

1. Komissio tarkastelee tämän direktiivin toteuttamista sekä antaa Euroopan parlamentille ja neuvostolle siitä kertomuksen viimeistään 19 päivänä heinäkuuta 2003.

2. Tässä kertomuksessa on arvioitava muun muassa, onko direktiivin soveltamisalaa teknisen, markkinoihin liittyvän ja oikeudellisen kehityksen vuoksi muutettava. Kertomuksessa on erityisesti oltava saatuihin kokemuksiin perustuva arvio yhdenmukaistamiseen liittyvistä näkökohdista. Kertomukseen on tarvittaessa liitettävä lainsäädäntöehdotuksia.

13 artikla

Täytäntöönpano

1. Jäsenvaltioiden on saatettava tämän direktiivin noudattamisen edellyttämät lait, asetukset ja hallinnolliset määräykset voimaan viimeistään 19 päivänä heinäkuuta 2001. Niiden on ilmoitettava tästä komissiolle viipymättä.

Näissä jäsenvaltioiden antamissa säädöksissä on viitattava tähän direktiiviin tai niitä virallisesti julkaistaessa niihin on liitettävä viittaus tähän direktiiviin. Jäsenvaltioiden on säädettävä siitä, miten viittaukset tehdään.

2. Jäsenvaltioiden on toimitettava tässä direktiivissä tarkoitetuista kysymyksistä antamansa keskeiset kansalliset säännökset kirjallisina komissiolle.

14 artikla

Voimaantulo

Tämä direktiivi tulee voimaan päivänä, jona se julkaistaan Euroopan yhteisöjen virallisessa lehdessä.

15 artikla

Osoitus

Tämä direktiivi on osoitettu kaikille jäsenvaltioille.

Tehty Brysselissä 13 päivänä joulukuuta 1999.

Euroopan parlamentin puolesta

N. FONTAINE

Puhemies

Neuvoston puolesta

S. HASSI

Puheenjohtaja

(1) EYVL C 325, 23.10.1998, s. 5.

(2) EYVL C 40, 15.2.1999, s. 29.

(3) EYVL C 93, 6.4.1999, s. 33.

(4) Euroopan parlamentin lausunto, annettu 13. tammikuuta 1999 (EYVL C 104, 14.4.1999, s. 49), neuvoston virallinen kanta, vahvistettu 28. kesäkuuta 1999 (EYVL C 243, 27.8.1999, s. 33) ja Euroopan parlamentin päätös, tehty 27. lokakuuta 1999 (ei vielä julkaistu virallisessa lehdessä) sekä neuvoston päätös, tehty 30. marraskuuta 1999.

(5) EYVL L 367, 31.12.1994, s. 1, asetus sellaisena kuin se on muutettuna asetuksella (EY) N:o 837/95 (EYVL L 90, 21.4.1995, s. 1).

(6) EYVL L 367, 31.12.1994, päätös sellaisena kuin se on viimeksi muutettuna päätöksellä 1999/193/YUTP (EYVL L 73, 19.3.1999, s. 1).

(7) EYVL L 184, 17.7.1999, s. 23.

(8) EYVL L 95, 21.4.1993, s. 29.

(9) EYVL L 281, 23.11.1995, s. 31.

LIITE I

Hyväksyttyjä varmenteita koskevat vaatimukset

Hyväksytyssä varmenteessa on oltava:

a) osoitus siitä, että varmenne on myönnetty hyväksyttynä varmenteena;

b) tiedot varmennepalvelujen tarjoajasta ja valtiosta, johon se on sijoittautunut;

c) allekirjoittajan nimi tai salanimi, jonka osalta on mainittava kyseessä olevan salanimi;

d) mahdollisuus lisätä allekirjoittajaan liittyvä asiaankuuluva erityismääre, riippuen varmenteen aiotusta käyttötarkoituksesta;

e) allekirjoituksen todentamiseen käytettävät tiedot, jotka vastaavat allekirjoittajan valvonnassa olevia allekirjoituksen luomiseen käytettäviä tietoja;

f) tieto varmenteen voimassaoloajan alkamis- ja päättymisajankohdasta;

g) varmenteen tunnuskoodi;

h) varmenteen myöntävän varmennepalvelujen tarjoajan kehittynyt sähköinen allekirjoitus;

i) mahdolliset varmenteen käyttörajoitukset; ja

j) mahdolliset arvomääräiset rajoitukset toimille, joihin varmennetta voidaan käyttää.

LIITE II

Hyväksyttyjä varmenteita myöntävien varmennepalvelujen tarjojia koskevat vaatimukset

Varmennepalvelujen tarjoajien on:

a) osoitettava varmennepalvelujen tarjoamisen edellyttämä luotettavuus;

b) varmistettava nopea ja varma hakemistopalvelu sekä luotettava ja viivytyksetön peruuttamismahdollisuus;

c) varmistettava, että varmenteen myöntämisen tai peruuttamisen päivämäärä ja aika voidaan määrittää tarkasti;

d) todennettava tarkoituksenmukaisin keinoin kansallisen lainsäädännön mukaisesti sen henkilön henkilöllisyys ja tarvittaessa tietyt erityismääreet, jolle hyväksytty varmenne on myönnetty;

e) pidettävä palveluksessaan henkilökuntaa, jolla on tarjottujen palvelujen edellyttämä asiantuntemus, kokemus ja pätevyys varsinkin johtotehtävissä toimivien osalta, sähköisten allekirjoitusten tekniikoihin liittyvä asiantuntemus ja tarkoituksenmukaisten turvatoimien tuntemus; palvelujen tarjoajien on lisäksi noudatettava asianmukaisia ja tunnustettujen standardien mukaisia hallinnollisia ja liikkeenjohdollisia menetelytapoja;

f) käytettävä luotettavia järjestelmiä ja tuotteita, jotka on suojattu muutoksilta ja joilla varmistetaan tuotteiden tukemien prosessien turvallisuus niin tekniikan kuin salaamisen osalta;

g) toteutettava toimenpiteet varmenteiden väärentämisen ehkäisemiseksi ja, silloin kun varmennepalvelun tarjoaja luo allekirjoituksen luomiseen käytettävät tiedot, taattava luottamuksellisuus kyseisiä tietoja luotaessa;

h) hallittava tämän direktiivin vaatimusten mukaisen toiminnan edellyttämiä varoja varsinkin vahinkovastuiden kattamiseksi, esimerkiksi asianmukaisella vakuutuksella;

i) arkistoitava kaikki asiaankuuluvat hyväksyttyä varmennetta koskevat tiedot tarkoituksenmukaiseksi ajaksi erityisesti voidakseen esittää varmentamista koskevia todisteita oikeudellisissa menettelyissä. Tällaisia arkistoja voidaan ylläpitää sähköisessä muodossa;

j) oltava tallentamatta tai jäljentämättä varmennepalvelujen tarjoajalta salausavaimen hallintapalveluja saaneen henkilön allekirjoituksen luomiseen käytettäviä tietoja;

k) ennen ryhtymistä sopimussuhteeseen sähköiselle allekirjoitukselleen varmennusta hakevan henkilön kanssa ilmoitettava kyseiselle henkilölle tiedon säilyttävää viestintämuotoa käyttäen varmenteen käytön tarkoista ehdoista ja edellytyksistä, mukaan lukien sen käyttörajoitukset, vapaaehtoisuuteen perustuvan akkreditointijärjestelmän olemassaolosta sekä valitus- ja riitojenratkaisumenettelyistä. Nämä tiedot, jotka voidaan toimittaa sähköisesti, on annettava kirjallisesti ja selvästi ymmärrettävällä kielellä. Näiden tietojen olennaisten kohtien on lisäksi pyynnöstä oltava varmenteeseen tukeutuvien kolmansien osapuolien saatavilla;

l) käytettävä luotettavia järjestelmiä varmenteiden tallentamiseen todennettavassa muodossa siten, että

- ainoastaan valtuutetut henkilöt voivat syöttää tietoja ja tehdä niihin muutoksia,

- tietojen aitous voidaan tarkistaa,

- yleisöllä on oikeus tehdä varmenteita koskevia hakuja vain silloin, kun varmenteen haltijalta on saatu lupa, ja

- että näitä turvallisuusvaatimuksia vaarantavat tekniset muutokset ovat operaattorin nähtävissä.

LIITE III

Turvallisia allekirjoituksen luomismenetelmiä koskevat vaatimukset

1. Turvallisilla allekirjoituksen luomismenetelmillä on tarkoituksenmukaista tekniikkaa ja menettelytapoja käyttäen varmistettava ainakin, että

a) allekirjoituksen luomiseen käytettäviä tietoja voi käytännössä käyttää vain kerran ja että niiden luottamuksellisuus voidaan kohtuudella varmistaa;

b) allekirjoituksen luomiseen käytettäviä tietoja ei voi kohtuullisella varmuudella johtaa ja että allekirjoitus on suojattu kulloinkin käytössä olevaa tekniikkaa käyttäen suoritettavalta väärentämiseltä;

c) laillinen allekirjoittaja voi luotettavasti suojata allekirjoituksen luomiseen käytettävät tiedot muiden käytöltä.

2. Turvalliset allekirjoituksen luomismenetelmät eivät saa muuttaa allekirjoitettavia tietoja eivätkä estää niiden esittämistä allekirjoittajalle ennen allekirjoittamismenettelyä.

LIITE IV

Turvallista allekirjoitusten todentamista koskevat suositukset

Allekirjoituksen todentamismenettelyn aikana olisi kohtuullisella varmuudella varmistettava, että:

a) allekirjoituksen todentamiseen käytettävät tiedot vastaavat todentajalle näkyvissä olevia tietoja;

b) allekirjoitus todennetaan luotettavasti ja että todentamisen tulos on asianmukaisesti nähtävissä;

c) todentaja voi tarvittaessa luotettavasti todeta allekirjoitettujen tietojen sisällön;

d) allekirjoituksen todentamishetkellä vaaditun varmenteen aitous ja pätevyys voidaan luotettavasti todentaa;

e) todentamisen tulos ja allekirjoittajan henkilöllisyys ovat asianmukaisesti nähtävissä;

f) salanimen käyttö on osoitettu selvästi; ja

g) kaikki turvallisuuteen liittyvät muutokset ovat havaittavissa.