31999L0093Euroopa Liidu Teataja L 013 , 19/01/2000 Lk 0012 - 0020


Euroopa parlamendi ja nõukogu direktiiv 1999/93/EÜ,

13. detsember 1999,

elektroonilisi allkirju käsitleva ühenduse raamistiku kohta

EUROOPA PARLAMENT JA EUROOPA LIIDU NÕUKOGU,

võttes arvesse Euroopa Ühenduse asutamislepingut, eriti selle artikli 47 lõiget 2 ja artikleid 55 ja 95,

võttes arvesse komisjoni ettepanekut, [1]

võttes arvesse majandus- ja sotsiaalkomitee arvamust, [2]

võttes arvesse regioonide komitee arvamust, [3]

toimides asutamislepingu artiklis 251 sätestatud korras [4]

ning arvestades, et:

(1) 16. aprillil 1997 esitas komisjon Euroopa Parlamendile, nõukogule, majandus- ja sotsiaalkomiteele ja regioonide komiteele teatise "Euroopa algatus elektroonilises kaubanduses";

(2) 8. oktoobril 1997 esitas komisjon Euroopa Parlamendile, nõukogule, majandus- ja sotsiaalkomiteele ja regioonide komiteele teatise "Turvalisuse ja usalduse tagamine elektroonilises sides — digitaalallkirju ja krüpteerimist käsitleva Euroopa raamistiku poole";

(3) 1. detsembril 1997 palus nõukogu komisjonil esitada esimesel võimalusel ettepanek digitaalallkirju käsitleva Euroopa Parlamendi ja nõukogu direktiivi vastuvõtmiseks;

(4) elektroonilises sides ja kaubanduses on vaja elektroonilisi allkirju ja nendega seotud teenuseid, mis võimaldavad tõendada andmete ehtsust; erinevused liikmesriikide eeskirjades, mis käsitlevad elektrooniliste allkirjade õiguslikku tunnustamist ja sertifitseerimisteenuste osutajate akrediteerimist, võivad endast kujutada olulist takistust elektroonilisele sidele ja kaubandusele; teisalt suurendab elektrooniliste allkirjade suhtes kehtivaid tingimusi käsitlev selge ühenduse raamistik usaldust uue tehnoloogia vastu ja selle üldist heakskiitmist; liikmesriikide õigusnormid ei tohiks takistada kaupade ja teenuste vaba liikumist siseturul;

(5) tuleks edendada elektrooniliste allkirjadega seotud toodete koostoimivust; kooskõlas asutamislepingu artikliga 14 käsitatakse siseturuna sisepiirideta ala, kus on tagatud kaupade vaba liikumine; elektrooniliste allkirjadega seotud tooteid käsitlevaid olulisi nõudeid tuleb täita, et tagada vaba liikumine siseturul ja suurendada usaldust elektrooniliste allkirjade vastu, ilma et see takistaks kohaldamast nõukogu 19. detsembri 1994. aasta määrust (EÜ) nr 3381/94, millega kehtestatakse ühenduse kord kahesuguse kasutusega kaupade ekspordi kontrollimiseks, [5] ja nõukogu 19. detsembri 1994. aasta otsust 94/942/ÜVJP nõukogu vastuvõetud, kahesuguse kasutusega kaupade ekspordi järelevalvet käsitleva ühismeetme kohta [6];

(6) käesoleva direktiiviga ei ühtlustata teabe konfidentsiaalsusega seotud teenuste osutamist, kuivõrd nende teenuste suhtes kehtivad avalikku korda ja julgeolekut käsitlevad siseriiklikud sätted;

(7) siseturg tagab isikute vaba liikumise, mille tagajärjel on Euroopa Liidu kodanikel ja residentidel vaja üha rohkem suhelda selliste liikmesriikide ametiasutustega, kus nad ei ela; selles suhtes võib elektrooniline side olla suureks abiks;

(8) tehnoloogia kiire areng ja Interneti ülemaailmne ulatus eeldavad lähenemisviisi, mis on avatud erinevatele andmete ehtsuse elektroonilise tõendamise tehnikatele ja teenustele;

(9) elektroonilisi allkirju kasutatakse paljudes olukordades ja rakendustes, mille tagajärjeks on suur hulk uusi teenuseid ja tooteid, mis on seotud elektrooniliste allkirjadega või milles neid kasutatakse; selliste toodete ja teenuste määratlus ei tohiks piirduda sertifikaatide väljastamise ja haldamisega, vaid peaks hõlmama ka kõiki muid teenuseid ja tooteid, milles kasutatakse elektroonilisi allkirju või mis on nendega seotud, nagu näiteks registreerimisteenused, ajatempliga varustamine, kataloogiteenused, arvutiteenused ja elektrooniliste allkirjadega seotud nõustamisteenused;

(10) siseturg võimaldab sertifitseerimisteenuste osutajatel arendada oma piiriülest tegevust, et suurendada oma konkurentsivõimet ja seega pakkuda tarbijatele ja ettevõtjatele uusi võimalusi vahetada teavet ja elektrooniliselt kaubelda turvalisel viisil, olenemata piiridest; soodustamaks sertifitseerimisteenuste osutamist avatud võrkudes kogu ühenduse piires peaks sertifitseerimisteenuste osutajatel olema võimalus osutada oma teenuseid eelneva loata; eelnev luba ei tähenda üksnes luba, mille sertifitseerimisteenuste osutaja peab siseriiklike ametiasutuste otsusega saama, enne kui ta võib oma teenuseid osutada, vaid ka muid samasuguse toimega meetmeid;

(11) vabatahtlikkusel põhinevad akrediteerimissüsteemid, millega püütakse teenuste taset parandada, võivad anda sertifitseerimisteenuste osutajatele sobiva raamistiku oma teenuste edasiarendamiseks, et need vastaksid areneva turu seatavatele usaldus-, turvalisus- ja kvaliteedinõuetele; sellised süsteemid peaksid soodustama parimate tavade väljatöötamist sertifitseerimisteenuste osutajate hulgas; sertifitseerimisteenuste osutajatel peaks olema võimalus selliste akrediteerimissüsteemidega liituda ja nendest kasu saada;

(12) sertifitseerimisteenuseid võib osutada kas avalik-õiguslik üksus või füüsiline või juriidiline isik, kes on vastavalt kas registreeritud või asutatud siseriikliku õiguse kohaselt; liikmesriigid ei tohiks keelata sertifitseerimisteenuste osutajatel tegutseda väljaspool vabatahtlikkusel põhinevaid akrediteerimissüsteeme; tuleks tagada, et selliste akrediteerimissüsteemidega ei vähendata konkurentsi sertifitseerimisteenuste alal;

(13) liikmesriigid võivad otsustada, kuidas nad korraldavad käesoleva direktiivi sätete täitmise järelevalve; käesolev direktiiv ei välista erajärelevalvesüsteemide loomist; käesolev direktiiv ei kohusta sertifitseerimisteenuste osutajaid taotlema enda järele valvamist mõne kehtiva akrediteerimissüsteemi raames;

(14) on oluline saavutada tasakaal tarbijate ja ettevõtjate vajaduste vahel;

(15) III lisa sisaldab nõudeid turvalistele allkirja andmise vahenditele, et tagada täiustatud elektrooniliste allkirjade toimivus; see ei hõlma kogu süsteemi keskkonda, milles sellised vahendid toimivad; siseturu toimimiseks on vaja, et komisjon ja liikmesriigid tegutseksid kiiresti, et oleks võimalik määrata III lisa kohaste turvaliste allkirja andmise vahendite vastavushindamisega tegelevad asutused; turu vajaduste rahuldamiseks peab vastavushindamine olema õigeaegne ja tõhus;

(16) käesoleva direktiiviga edendatakse elektrooniliste allkirjade kasutamist ja õiguslikku tunnustamist ühenduses; õiguslikku raamistikku ei ole vaja elektrooniliste allkirjade jaoks, mida kasutatakse ainuüksi süsteemide piires, mis põhinevad vabatahtlikel eraõiguslikel kokkulepetel, mis on sõlmitud kindlaksmääratud arvu osaliste vahel; osaliste vabadust leppida omavahel kokku tingimused, mille alusel nad kiidavad heaks elektrooniliselt allkirjastatud andmed, tuleks austada niivõrd, kuivõrd siseriiklik õigus seda võimaldab; tuleks tunnustada sellistes süsteemides kasutatavate elektrooniliste allkirjade õiguslikku kehtivust ja nende tõenduskõlblikkust kohtumenetlustes;

(17) käesoleva direktiivi eesmärk ei ole ühtlustada siseriiklikke lepinguõiguse norme, pidades silmas eeskätt lepingute sõlmimist ja täitmist käsitlevaid norme, ega muid lepingutega sidumata vorminõudeid, mis käsitlevad allkirju; seepärast ei tohiks elektrooniliste allkirjade õiguslikku toimet käsitlevad sätted piirata siseriiklikke vorminõudeid lepingute sõlmimisel ega eeskirju, millega määratakse kindlaks lepingu sõlmimise koht;

(18) allkirja andmiseks vajalike andmete säilitamine ja paljundamine võib ohustada elektrooniliste allkirjade õiguslikku kehtivust;

(19) elektroonilisi allkirju kasutatakse avalikus sektoris riiklikes ja ühenduse ametiasutustes ning selliste asutuste ja kodanike ja ettevõtjate vahelises suhtluses, näiteks riigihangete, maksustamise, sotsiaalkindlustuse, tervishoiu ja õigusemõistmise alal;

(20) elektrooniliste allkirjade õiguslikku toimet käsitlevate ühtlustatud aluste abil säilitatakse ühtne õiguslik raamistik kogu ühenduses; siseriiklikus õiguses esitatakse käsitsi kirjutatud allkirjade õiguslikule kehtivusele erinevaid nõudeid; elektrooniliselt alla kirjutava isiku samasuse tuvastamiseks võib kasutada sertifikaate; nõuetekohastel sertifikaatidel põhinevate täiustatud elektrooniliste allkirjadega püütakse saavutada kõrgem turvalisuse tase; nõuetekohasel sertifikaadil põhinevaid täiustatud elektroonilisi allkirju, mis on loodud turvalise allkirja andmise vahendiga, võib käsitada õiguslikult samaväärsena käsitsi kirjutatud allkirjadega üksnes siis, kui on täidetud käsitsi kirjutatud allkirju käsitlevad nõuded;

(21) elektrooniliste ehtsuse tõendamise menetluste üldise tunnustamise edendamiseks tuleb tagada, et elektroonilisi allkirju saab kasutada kohtumenetlustes tõenditena kõikides liikmesriikides; elektrooniliste allkirjade õiguslik tunnustamine peaks põhinema erapooletutel alustel ega tohiks olla seotud asjaomasele sertifitseerimisteenuste osutajale loa andmisega; siseriiklikus õiguses kinnitatakse õigusvaldkonnad, kus võib kasutada elektroonilisi dokumente ja elektroonilisi allkirju; käesolev direktiiv ei piira siseriikliku kohtu õigust teha käesoleva direktiivi nõuete täitmist käsitlev otsus ega mõjuta siseriiklikke sätteid, mis käsitlevad tõendite vaba hindamist õigusemõistmisel;

(22) nende suhtes, kes osutavad sertifitseerimisteenuseid üldsusele, kehtivad siseriiklikud vastutust käsitlevad normid;

(23) rahvusvahelise elektroonilise kaubanduse areng eeldab rahvusvahelisi kokkuleppeid, milles osalevad kolmandad riigid; ülemaailmse koostoimivuse tagamisel võib olla kasu sertifitseerimisteenuste vastastikust tunnustamist käsitlevatest kokkulepetest kolmandate riikidega;

(24) suurendamaks kasutajate usaldust elektroonilise side ja kaubanduse vastu peavad sertifitseerimisteenuste osutajad täitma andmekaitsenorme ja austama eraelu puutumatust;

(25) sätted, mis käsitlevad varjunimede kasutamist sertifikaatidel, ei tohiks takistada liikmesriike nõudmast isikute tuvastamist ühenduse või siseriikliku õiguse kohaselt;

(26) käesoleva direktiivi rakendamiseks vajalikud meetmed tuleb vastu võtta kooskõlas nõukogu 28. juuni 1999. aasta otsusega 1999/468/EÜ, millega kehtestatakse komisjoni rakendusvolituste kasutamise menetlused [7];

(27) kahe aasta möödudes käesoleva direktiivi rakendamise algusest vaatab komisjon selle läbi, et muu hulgas uurida, kas tehnoloogia areng või õigusliku keskkonna muutumine ei ole loonud takistusi käesolevas direktiivis sätestatud eesmärkide saavutamisele; komisjon peaks uurima seonduvate tehnikavaldkondade mõju ja esitama asjakohase aruande Euroopa Parlamendile ja nõukogule;

(28) kuna liikmesriigid ei suuda täielikult saavutada eesmärki luua ühtne õiguslik raamistik elektrooniliste allkirjade andmisele ja seonduvatele teenustele, saab seda asutamislepingu artiklis 5 sätestatud subsidiaarsus- ja proportsionaalsuspõhimõtte kohaselt paremini saavutada ühenduse tasandil; käesolev direktiiv piirdub üksnes selle eesmärgi saavutamiseks vajalikuga,

ON VASTU VÕTNUD KÄESOLEVA DIREKTIIVI:

Artikkel 1

Kohaldamisala

Käesoleva direktiivi eesmärk on hõlbustada elektrooniliste allkirjade kasutamist ja aidata kaasa nende õiguslikule tunnustamisele. Sellega kehtestatakse õiguslik raamistik elektroonilistele allkirjadele ja teatavatele sertifitseerimisteenustele, et tagada siseturu nõuetekohane toimimine.

See ei hõlma lepingute sõlmimise ja kehtivusega seotud küsimusi ega muid õiguslikke kohustusi, millega on seotud siseriikliku või ühenduse õigusega ettenähtud vorminõuded, ega mõjuta siseriiklikus või ühenduses õiguses sisalduvaid eeskirju ja piiranguid, mis käsitlevad dokumentide kasutamist.

Artikkel 2

Mõisted

Käesolevas direktiivis kasutatakse järgmisi mõisteid:

1. elektrooniline allkiri — elektroonilised andmed, mis on lisatud muudele elektroonilistele andmetele või on nendega loogiliselt seotud ja mida kasutatakse ehtsuse tõendamiseks;

2. täiustatud elektrooniline allkiri — elektrooniline allkiri, mis vastab järgmistele nõuetele:

a) see on seotud ainuüksi allakirjutajaga;

b) selle abil on võimalik allakirjutajat tuvastada;

c) see luuakse vahendite abil, mis on ainuüksi allakirjutaja käsutuses, ja

d) see on liidetud nende andmetega, millele see viitab, nii et kõik hilisemad andmete muudatused on täheldatavad;

3. allakirjutaja — isik, kelle valduses on allkirja andmise vahend ja kes tegutseb enda huvides või enda esindatava füüsilise või juriidilise isiku või üksuse huvides;

4. allkirja andmiseks vajalikud andmed — ainulaadsed andmed, nagu koodid või isiklikud krüptograafilised võtmed, mida allakirjutaja kasutab elektroonilise allkirja andmiseks;

5. allkirja andmise vahend — seadistatud tark- või riistvara, mida kasutatakse allkirja andmiseks vajalike andmete rakendamiseks;

6. turvaline allkirja andmise vahend — allkirja andmise vahend, mis vastab III lisas sätestatud nõuetele;

7. allkirja ehtsuse tõendamiseks vajalikud andmed — andmed, nagu koodid või avalikud krüptograafilised võtmed, mida kasutatakse elektroonilise allkirja ehtsuse tõendamiseks;

8. allkirja ehtsuse tõendamise vahend — seadistatud tark- või riistvara, mida kasutatakse allkirja ehtsuse tõendamiseks vajalike andmete rakendamiseks;

9. sertifikaat — elektrooniline tõend, mis seob allkirja ehtsuse tõendamiseks vajalikud andmed isikuga ja kinnitab selle isiku samasust;

10. nõuetekohane sertifikaat — sertifikaat, mis vastab I lisas sätestatud nõuetele ja mille väljastab sertifitseerimisteenuste osutaja, kes vastab II lisa sätestatud nõuetele;

11. sertifitseerimisteenuste osutaja — üksus või juriidiline või füüsiline isik, kes väljastab sertifikaate või osutab muid elektrooniliste allkirjadega seotud teenuseid;

12. elektrooniliste allkirjadega seotud tooted — riist- või tarkvara või nende asjakohased osad, mis on mõeldud kasutamiseks sertifitseerimisteenuste osutajale elektrooniliste allkirjadega seotud teenuste osutamiseks või mis on mõeldud elektrooniliste allkirjade andmiseks või nende ehtsuse tõendamiseks;

13. vabatahtlikkusel põhinev akrediteerimine — luba, milles sätestatakse sertifitseerimisteenuste osutamisega seotud õigused ja kohustused ja mille annab asjaomase sertifitseerimisteenuste osutaja taotlusel avalik-õiguslik või eraõiguslik organ, kes vastutab selliste õiguste ja kohustuste määratlemise ja nende täitmise järelevalve eest, ja millest tulenevaid õigusi ei või sertifitseerimisteenuste osutaja kasutada enne, kui ta on saanud kõnealuse organi otsuse.

Artikkel 3

Turulepääs

1. Liikmesriigid ei nõua sertifitseerimisteenuste osutamiseks eelnevat luba.

2. Ilma et see piiraks lõike 1 kohaldamist, võivad liikmesriigid luua või säilitada vabatahtlikkusel põhinevaid akrediteerimissüsteeme, mille eesmärk on parandada sertifitseerimisteenuste kvaliteeti. Kõik selliste süsteemidega seotud tingimused peavad olema erapooletud, läbipaistvad, proportsionaalsed ja mittediskrimineerivad. Liikmesriigid ei või piirata akrediteeritud sertifitseerimisteenuste osutajate arvu põhjustel, mis jäävad käesoleva direktiivi kohaldamisalasse.

3. Iga liikmesriik hoolitseb selle eest, et loodaks sobiv süsteem, mis võimaldab valvata tema territooriumil asuvate ja üldsusele nõuetekohaseid sertifikaate väljastavate sertifitseerimisteenuste osutajate järele.

4. Turvaliste allkirja andmise vahendite vastavuse III lisa nõuetele teevad kindlaks liikmesriikide määratud sobivad avalik-õiguslikud või eraõiguslikud organid. Komisjon kehtestab artiklis 9 sätestatud korras tingimused, mille põhjal liikmesriigid otsustavad, kas teatava organi võib määrata või mitte.

Kõik liikmesriigid tunnustavad esimeses lõigus osutatud organite sooritatud III lisa nõuetele vastavuse hindamist.

5. Komisjon võib artiklis 9 sätestatud korras kindlaks määrata ja Euroopa Ühenduste Teatajas avaldada elektrooniliste allkirjadega seotud toodete üldtunnustatud standardite viitenumbrid. Liikmesriigid eeldavad, et II lisa punkti f ja III lisa nõuded on täidetud, kui elektrooniliste allkirjadega seotud toode on kooskõlas nende standarditega.

6. Liikmesriigid ja komisjon teevad koostööd, et edendada allkirjade ehtsuse tõendamise vahendite arendamist ja kasutamist, pidades silmas IV lisas sätestatud soovitusi allkirjade ehtsuse turvalise tõendamise kohta ja tarbijate huve.

7. Liikmesriigid võivad seada lisanõudeid elektrooniliste allkirjade kasutamisele avalikus sektoris. Sellised nõuded on erapooletud, läbipaistvad, proportsionaalsed ja mittediskrimineerivad ja need on seotud üksnes asjakohase rakenduse iseärasustega. Sellised nõuded ei või takistada teenuste piiriülest osutamist kodanikele.

Artikkel 4

Siseturu põhimõtted

1. Iga liikmesriik kohaldab käesoleva direktiivi kohaselt vastuvõetud siseriiklikke sätteid oma territooriumil asuvate sertifitseerimisteenuste osutajate ja nende osutatavate teenuste suhtes. Liikmesriigid ei või piirata mõnest muust liikmesriigist osutatavate sertifitseerimisteenuste osutamist käesoleva direktiiviga hõlmatud valdkondades.

2. Liikmesriigid tagavad, et käesoleva direktiiviga kooskõlas olevatel elektrooniliste allkirjadega seotud toodetel lubatakse siseturul vabalt ringelda.

Artikkel 5

Elektrooniliste allkirjade õiguslik toime

1. Liikmesriigid tagavad, et täiustatud elektroonilised allkirjad, mis põhinevad nõuetekohasel sertifikaadil ja mis on antud turvalise allkirja andmise vahendiga:

a) vastavad elektrooniliste andmete puhul allkirjale esitatavatele õiguslikele nõuetele samamoodi, kui käsitsi kirjutatud allkiri vastab nendele nõuetele paberkandjal olevate andmete puhul, ja

b) on kohtumenetlustes tõenduskõlblikud.

2. Liikmesriigid tagavad, et elektroonilist allkirja ei tunnistata õiguslikult kehtetuks ega kohtumenetlustes tõenduskõlbmatuks üksnes seetõttu, et:

- allkiri on elektroonilisel kujul või

- see ei põhine nõuetekohasel sertifikaadil või

- see ei põhine heakskiidetud sertifitseerimisteenuste osutaja väljastatud nõuetekohasel sertifikaadil või

- see ei ole antud turvalise allkirja andmise vahendiga.

Artikkel 6

Vastutus

1. Liikmesriigid tagavad vähemalt, et sertifitseerimisteenuste osutaja, kes väljastab üldsusele sertifikaadi nõuetekohase sertifikaadina või annab üldsusele sellise sertifikaadi kohta tagatise, vastutab üksusele või juriidilisele või füüsilisele isikule, kes põhjendatult tugineb sellele sertifikaadile, põhjustatud kahju eest seoses järgmiste asjaoludega:

a) nõuetekohases sertifikaadis selle väljastamise ajal sisalduva teabe õigsus ja see, et sertifikaat sisaldab kõiki nõuetekohasele sertifikaadile ettenähtud andmeid;

b) kindlus selles, et sertifikaadi väljastamise ajal olid nõuetekohases sertifikaadis määratletud allakirjutaja valduses allkirja andmiseks vajalikud andmed, mis vastavad sertifikaadis esitatud või määratletud allkirja ehtsuse tõendamiseks vajalikele andmetele;

c) kindlus selles, et allkirja andmiseks ja selle ehtsuse tõendamiseks vajalikke andmeid saab kasutada teineteist täiendaval viisil juhtudel, kui sertifitseerimisteenuste osutaja on loonud need mõlemad,

välja arvatud juhul, kui sertifitseerimisteenuste osutaja tõestab, et ta ei ole tegutsenud ettevaatamatult.

2. Liikmesriigid tagavad vähemalt, et sertifitseerimisteenuste osutaja, kes on väljastanud üldsusele sertifikaadi nõuetekohase sertifikaadina, vastutab sertifikaadi kehtetuks tunnistamise registreerimata jätmisest tuleneva kahju eest, mis on põhjustatud mõnele üksusele või juriidilisele või füüsilisele isikule, kes põhjendatult tugineb sellele sertifikaadile, välja arvatud juhul, kui sertifitseerimisteenuste osutaja tõestab, et ta ei ole tegutsenud ettevaatamatult.

3. Liikmesriigid tagavad, et sertifitseerimisteenuste osutaja võib märkida nõuetekohasele sertifikaadile selle sertifikaadi kasutamise piirangud, tingimusel et need piirangud on kolmandatele isikutele arusaadavad. Sertifitseerimisteenuste osutaja ei vastuta kahju eest, mis tuleneb nõuetekohase sertifikaadi kasutamise piirangute rikkumisest.

4. Liikmesriigid tagavad, et sertifitseerimisteenuste osutaja võib märkida nõuetekohasele sertifikaadile nende tehingute väärtuse ülemmäära, milleks sertifikaati saab kasutada, tingimusel et see ülemmäär on kolmandatele isikutele arusaadav.

Sertifitseerimisteenuste osutaja ei vastuta kahju eest, mis tuleneb selle ülemmäära ületamisest.

5. Lõiked 1—4 ei piira tarbijalepingute ebaõiglasi tingimusi käsitleva nõukogu 5. aprilli 1993. aasta direktiivi 93/13/EMÜ [8] kohaldamist.

Artikkel 7

Rahvusvahelised aspektid

1. Liikmesriigid tagavad, et sertifikaate, mille kolmandas riigis asuv sertifitseerimisteenuste osutaja on üldsusele väljastanud nõuetekohaste sertifikaatidena, peetakse õiguslikult samaväärseks ühenduses asuva sertifitseerimisteenuste osutaja väljastatud sertifikaatidega, kui:

a) sertifitseerimisteenuste osutaja täidab käesolevas direktiivis sätestatud nõudeid ja ta on akrediteeritud mõnes liikmesriigis kehtestatud vabatahtlikkusel põhineva akrediteerimissüsteemi raames või

b) ühenduses asuv sertifitseerimisteenuste osutaja, kes täidab käesolevas direktiivis sätestatud nõudeid, tagab sertifikaati või

c) sertifitseerimisteenuste osutaja sertifikaati tunnustatakse kahe- või mitmepoolse lepingu alusel, mis ühendus on sõlminud kolmandate riikide või rahvusvaheliste organisatsioonidega.

2. Hõlbustamaks sertifitseerimisteenuste piiriülest osutamist liikmesriikide ja kolmandate riikide vahel ja kolmandatest riikidest pärinevate täiustatud elektrooniliste allkirjade õiguslikku tunnustamist, teeb komisjon vajaduse korral ettepanekuid sertifitseerimisteenuste suhtes kohaldatavate standardite ja rahvusvaheliste lepingute tõhusaks rakendamiseks. Eelkõige esitab ta vajaduse korral nõukogule ettepanekuid anda vajalikud läbirääkimisvolitused kahe- ja mitmepoolsete lepingute sõlmimiseks kolmandate riikide ja rahvusvaheliste organisatsioonidega. Nõukogu teeb otsuse kvalifitseeritud häälteenamusega.

3. Kui komisjonile teatatakse raskustest, mis ühenduse ettevõtjatel on ette tulnud kolmandate riikide turule pääsemisel, võib ta vajaduse korral teha nõukogule ettepanekuid anda vajalikud läbirääkimisvolitused, selleks et saada ühenduse ettevõtjatele võrreldavad õigused kõnealustes kolmandates riikides. Nõukogu teeb otsuse kvalifitseeritud häälteenamusega.

Käesoleva lõike kohaselt võetud meetmed ei piira ühenduse ja liikmesriikide kohustusi, mis tulenevad asjakohastest rahvusvahelistest lepingutest.

Artikkel 8

Andmekaitse

1. Liikmesriigid tagavad, et sertifitseerimisteenuste osutajad ja akrediteerimise või järelevalve eest vastutavad siseriiklikud organid täidavad nõudeid, mis on sätestatud Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivis 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta. [9]

2. Liikmesriigid tagavad, et üldsusele sertifikaate väljastav sertifitseerimisteenuste osutaja võib koguda isikuandmeid üksnes otse isikult, keda andmed käsitlevad, või selle isiku selgesõnalisel nõusolekul ja üksnes niivõrd, kuivõrd see on vajalik sertifikaadi väljastamiseks ja haldamiseks. Andmeid ei või nendega hõlmatud isiku selgesõnalise nõusolekuta koguda ega töödelda ühelgi muul eesmärgil.

3. Ilma et see piiraks siseriikliku õiguse kohast varjunimede õiguslikku toimet, ei takista liikmesriigid sertifitseerimisteenuste osutajaid märkimast sertifikaadile allakirjutaja nime asemel varjunime.

Artikkel 9

Komitee

1. Komisjoni abistab elektrooniliste allkirjade komitee, edaspidi "komitee".

2. Kui viidatakse käesolevale lõikele, kohaldatakse otsuse 1999/468/EÜ artikleid 4 ja 7, võttes arvesse nimetatud otsuse artiklis 8 sätestatut.

Otsuse 1999/468/EÜ artikli 4 lõikes 3 sätestatud tähtajaks kehtestatakse kolm kuud.

3. Komitee võtab vastu oma töökorra.

Artikkel 10

Komitee ülesanded

Artikli 9 lõikes 2 sätestatud korras täpsustab komitee käesoleva direktiivi lisades sätestatud nõudeid, artikli 3 lõikes 4 osutatud tingimusi ja artikli 3 lõike 5 kohasel kehtestatud ja avaldatud üldtunnustatud standardeid, mis käsitlevad elektrooniliste allkirjadega seotud tooteid.

Artikkel 11

Teatamine

1. Liikmesriigid teatavad komisjonile ja muudele liikmesriikidele:

a) siseriiklikke vabatahtlikkusel põhinevaid akrediteerimissüsteeme käsitlevad andmed, sealhulgas artikli 3 lõike 7 kohased lisanõuded;

b) akrediteerimise ja järelevalve eest vastutavate siseriiklike organite ja artikli 3 lõikes 4 osutatud organite nimed ja aadressid;

c) kõigi heakskiidetud kodumaiste sertifitseerimisteenuste osutajate nimed ja aadressid.

2. Liikmesriigid teatavad lõike 1 kohased andmed ja nende muudatused võimalikult kiiresti.

Artikkel 12

Läbivaatamine

1. Komisjon vaatab käesoleva direktiivi toimimise läbi ja annab sellest Euroopa Parlamendile ja nõukogule aru hiljemalt 19. juulil 2003.

2. Läbivaatamise käigus tehakse muu hulgas kindlaks, kas käesoleva direktiivi kohaldamisala tuleks tehnoloogia, turu ja õiguse arengu tõttu muuta. Eelkõige sisaldab aruanne omandatud kogemustel põhinevat hinnangut ühtlustamisele. Vajaduse korral lisatakse aruandele asjakohased seadusandlikud ettepanekud.

Artikkel 13

Rakendamine

1. Liikmesriigid jõustavad käesoleva direktiivi täitmiseks vajalikud õigus- ja haldusnormid enne 19. juulit 2001. Liikmesriigid teatavad nendest viivitamata komisjonile.

Kui liikmesriigid need normid vastu võtavad, lisavad nad nendesse või nende ametliku avaldamise korral nende juurde viite käesolevale direktiivile. Sellise viitamise viisi näevad ette liikmesriigid.

2. Liikmesriigid edastavad komisjonile käesoleva direktiiviga reguleeritavas valdkonnas nende poolt vastuvõetud põhiliste siseriiklike õigusnormide teksti.

Artikkel 14

Jõustumine

Käesolev direktiiv jõustub selle Euroopa Ühenduste Teatajas avaldamise päeval.

Artikkel 15

Adressaadid

Käesolev direktiiv on adresseeritud liikmesriikidele.

Brüssel, 13. detsember 1999

Euroopa Parlamendi nimel

president

N. Fontaine

Nõukogu nimel

eesistuja

S. Hassi

[1] EÜT C 325, 23.10.1998, lk 5.

[2] EÜT C 40, 15.2.1999, lk 29.

[3] EÜT C 93, 6.4.1999, lk 33.

[4] Euroopa Parlamendi 13. jaanuari 1999. aasta arvamus (EÜT C 104, 14.4.1999, lk 49), nõukogu 28. juuni 1999. aasta ühine seisukoht (EÜT C 243, 27.8.1999, lk 33) ja Euroopa Parlamendi 27. oktoobri 1999. aasta otsus (Euroopa Ühenduste Teatajas seni avaldamata). Nõukogu 30. novembri 1998. aasta otsus.

[5] EÜT L 367, 31.12.1994, lk 1. Määrust on muudetud määrusega (EÜ) nr 837/95 (EÜT L 90, 21.4.1995, lk 1).

[6] EÜT L 367, 31.12.1994, lk 8. Otsust on viimati muudetud otsusega 99/193/ÜVJP (EÜT L 73, 19.3.1999, lk 1).

[7] EÜT L 184, 17.7.1999, lk 23.

[8] EÜT L 95, 21.4.1993, lk 29.

[9] EÜT L 281, 23.11.1995, lk 31.

--------------------------------------------------

I LISA

Nõuetekohaseid sertifikaate käsitlevad nõuded

Nõuetekohastel sertifikaatidel on:

a) märge, et sertifikaat on väljastatud nõuetekohase sertifikaadina;

b) sertifitseerimisteenuste osutaja ja tema asukohariigi tunnusandmed;

c) allakirjutaja nimi või varjunimi, mille puhul märgitakse, et see on varjunimi;

d) vajaduse korral võimalus lisada allakirjutaja eritunnus, olenevalt sertifikaadi ettenähtud otstarbest;

e) allkirja ehtsuse tõendamiseks vajalikud andmed, mis vastavad allakirjutaja valduses olevatele allkirja andmiseks vajalikele andmetele;

f) märge sertifikaadi kehtivusaja alguse ja lõpu kohta;

g) sertifikaadi tunnuskood;

h) sertifikaadi väljastanud sertifitseerimisteenuste osutaja täiustatud elektrooniline allkiri;

i) vajaduse korral sertifikaadi kasutamise piirangud ja

j) vajaduse korral nende tehingute väärtuse ülemmäär, milleks sertifikaati saab kasutada.

--------------------------------------------------

II LISA

Nõuetekohaseid sertifikaate väljastavaid sertifitseerimisteenuste osutajaid käsitlevad nõuded

Sertifitseerimisteenuste osutajad peavad:

a) näitama üles sertifitseerimisteenuste osutamiseks vajalikku usaldusväärsust;

b) tagama kiire ja turvalise kataloogiteenuse ning turvalise ja viivitamatu kehtetustamisteenuse;

c) tagama, et on võimalik täpselt kindlaks teha kuupäev ja kellaaeg, mil sertifikaat on väljastatud või kehtetustatud;

d) tegema sobivate vahenditega siseriikliku õiguse kohaselt kindlaks sertifikaadi saaja isiku ja vajaduse korral tema eritunnused;

e) rakendama töötajaid, kellel on teenuste osutamiseks vajalikud erialased teadmised, kogemused ja oskused ning eelkõige juhtimispädevus ja kes tunnevad elektrooniliste allkirjade tehnoloogiat ja asjakohaseid turvamenetlusi; lisaks sellele peavad nad rakendama sobivat ja tunnustatud standarditele vastavat haldus- ja juhtimiskorda;

f) kasutama usaldusväärseid süsteeme ja tooteid, mis on kaitstud muutmise eest, ja tagama nende toetatavate menetluste tehnilise ja krüptograafilise turvalisuse;

g) võtma meetmeid sertifikaatide võltsimise vastu ja juhtudel, kui sertifitseerimisteenuste osutaja loob allkirja andmiseks vajalikud andmed, tagama konfidentsiaalsuse nende andmete loomisel;

h) haldama piisavat hulka rahalisi vahendeid, et tegutseda käesolevas direktiivis sätestatud nõuete kohaselt ja eelkõige kanda vastutust võimalike kahjude eest, näiteks asjakohase kindlustuse saamiseks;

i) salvestama sobivaks tähtajaks kõik asjakohased andmed, mis käsitlevad nõuetekohast sertifikaati, eeskätt sertifitseerimise tõendamiseks kohtumenetlustes. Sellised andmed võib salvestada elektrooniliselt;

j) mitte säilitama ega paljundama selle isiku allkirja andmiseks vajalikke andmeid, kellele sertifitseerimisteenuste osutaja osutas võtme haldamise teenust;

k) enne oma elektroonilise allkirja kohta sertifikaati taotleva isikuga lepingu sõlmimist teavitama seda isikut andmeid säilitavate sidevahendite abil sertifikaadi täpsetest kasutustingimustest, sealhulgas selle kasutamise piirangutest, vabatahtlikkusel põhineva akrediteerimissüsteemi olemasolust ning kaebuste esitamise ja vaidluste lahendamise korrast. Selline teave, mille võib edastada elektrooniliselt, peab olema kirjalik ja kergesti mõistetavas keeles. Selle teabe asjakohased osad tuleb nõudmise korral teha kättesaadavaks ka teistele isikutele, kes tuginevad sertifikaadile;

l) kasutama sertifikaatide säilitamiseks ehtsuse tõendamist võimaldavas vormis usaldusväärseid süsteeme nii, et:

- üksnes selleks volitatud isikud saavad andmeid sisestada ja muuta,

- on võimalik kindlaks teha, kas andmed on ehtsad,

- sertifikaadid on otsingutes üldkättesaadavad üksnes siis, kui sertifikaadi omanik on andnud nõusoleku, ja

- neid turvanõudeid ohustavad tehnilised muudatused on kasutajale nähtavad.

--------------------------------------------------

III LISA

Nõuded turvalistele allkirja andmise vahenditele

1. Turvalised allkirja andmised vahendid peavad sobivate tehnikavõtete ja menetluste abil tagama vähemalt selle, et:

a) allkirja andmiseks vajalikud andmed, mida kasutatakse allkirja loomiseks, võivad tegelikult esineda vaid ühe korra ja nende salajasus on mõistlikkuse piires kindlustatud;

b) allkirja andmiseks vajalikke andmeid, mida kasutatakse allkirja loomiseks, ei saa mõistlikkuse piires tuletada ja allkirja ei saa praegu kasutatava tehnoloogia abil võltsida;

c) allkirja andmiseks vajalikke andmeid, mida kasutatakse allkirja loomiseks, saab õiguspärane allakirjutaja piisavalt kaitsta, et teised isikud ei saaks neid kasutada.

2. Turvalised allkirja andmise vahendid ei tohi muuta allkirjastatavaid andmeid ega takistada selliste andmete esitamist allakirjutajale enne allkirjastamist.

--------------------------------------------------

IV LISA

Soovitused allkirjade ehtsuse turvalise tõendamise kohta

Allkirjade ehtsuse tõendamisel tuleks mõistlikkuse piires tagada, et:

a) allkirja ehtsuse tõendamiseks kasutatavad andmed vastavad tõendajale nähtavatele andmetele;

b) allkirja ehtsus tõendatakse usaldusväärselt ja selle tõendamise tulemust näidatakse õigesti;

c) tõendaja saab vajaduse korral usaldusväärselt kindlaks teha allkirjastatud andmete sisu;

d) allkirja ehtsuse tõendamise ajal nõutava sertifikaadi ehtsus ja kehtivus tehakse usaldusväärselt kindlaks;

e) tõendamise tulemust ja allakirjutaja isikut näidatakse õigesti;

f) varjunime kasutamist näidatakse selgesti ja

g) kõik turvalisusega seotud muudatused on täheldatavad.

--------------------------------------------------