13/Sv. 38

HR

Službeni list Europske unije

50


31999L0093


L 013/12

SLUŽBENI LIST EUROPSKE UNIJE


DIREKTIVA 1999/93/EZ EUROPSKOG PARLAMENTA I VIJEĆA

od 13. prosinca 1999.

o okviru Zajednice za elektroničke potpise

EUROPSKI PARLAMENT I VIJEĆE EUROPSKE UNIJE,

uzimajući u obzir Ugovor o osnivanju Europske zajednice, a posebno njegov članak 47. stavak 2. i članke 55. i 95.,

uzimajući u obzir prijedlog Komisije (1),

uzimajući u obzir mišljenje Gospodarskog i socijalnog odbora (2),

uzimajući u obzir mišljenje Odbora regija (3),

u skladu s postupkom utvrđenim člankom 251. Ugovora (4),

budući da:

(1)

Komisija je 16. travnja 1997. predstavila Europskom parlamentu, Vijeću, Gospodarskom i socijalnom odboru te Odboru regija Komunikaciju u vezi s europskom inicijativom u elektroničkoj trgovini.

(2)

Komisija je 8. listopada 1997. predstavila Europskom parlamentu, Vijeću, Gospodarskom i socijalnom odboru te Odboru regija Komunikaciju u vezi s pružanjem sigurnosti i povjerenja u elektroničkoj komunikaciji – prema europskome okviru za digitalne potpise i kodiranje.

(3)

Vijeće je 1. prosinca 1997. pozvalo Komisiju da preda, čim je prije moguće, prijedlog Direktive Europskog parlamenta i Vijeća o digitalnim potpisima.

(4)

Elektronička komunikacija i trgovina zahtijevaju „elektroničke potpise” i njima pripadajuće usluge kojima se omogućuje utvrđivanje autentičnosti podataka; različita pravila u odnosu na pravno priznavanje elektroničkih potpisa te ovlašćivanje davatelja usluga certificiranja u državama članicama mogu stvoriti značajnu prepreku uporabi elektroničkih komunikacija i elektroničke trgovine; s druge strane, jasan okvir Zajednice u vezi s uvjetima koji se primjenjuju na elektroničke potpise pojačat će povjerenje u nove tehnologije i njihovu opću prihvaćenost; zakonodavstvo u državama članicama ne bi trebalo sprečavati slobodno kretanje robe i usluga na unutarnjem tržištu.

(5)

Treba promicati interoperabilnost proizvoda za izradu elektroničkog potpisa; u skladu s člankom 14. Ugovora, unutarnje tržište čini područje bez unutarnjih granica u kojemu je osigurano slobodno kretanje robe; osnovnim zahtjevima, specifičnim za proizvode s elektroničkim potpisom, mora se udovoljiti s ciljem omogućivanja slobodnog kretanja unutar unutarnjeg tržišta te s ciljem jačanja povjerenja u elektroničke potpise, ne dovodeći u pitanje Uredbu Vijeća (EZ) br. 3381/94 od 19. prosinca 1994. o uspostavljanju režima Zajednice za kontrolu izvoza robe s dvojnom namjenom (5) te Odluku Vijeća 94/942/ZVSP od 19. prosinca 1994. u vezi sa zajedničkim djelovanjem koje je usvojilo Vijeće, koja se odnosi na kontrolu izvoza robe s dvojnom namjenom (6).

(6)

Ovom se Direktivom ne usklađuje pružanje usluga koje se odnose na tajnost informacija onda kada su one pokrivene nacionalnim odredbama koje se bave javnom politikom ili javnom sigurnošću.

(7)

Unutarnje tržište omogućuje slobodno kretanje osoba, što ima za posljedicu to da državljani i osobe koje borave u Europskoj uniji imaju sve veću potrebu za kontaktiranjem s nadležnim tijelima drugih država članica, osim onih u kojima borave; dostupnost elektroničke komunikacije može biti od velike pomoći s tim u vezi.

(8)

Ubrzan tehnološki razvoj te globalni karakter interneta zahtijevaju pristup koji je otvoren različitim tehnologijama i uslugama koje omogućuju utvrđivanje autentičnosti podataka elektroničkim putem.

(9)

Elektronički potpisi koristit će se u najrazličitijim okolnostima i primjenama, što će imati za posljedicu širok spektar novih usluga i proizvoda povezanih s elektroničkim potpisima ili koji ih koriste; definicija takvih proizvoda i usluga ne bi se trebala ograničiti na izdavanje i upravljanje certifikatima, već bi također trebala uključiti bilo koju drugu uslugu i proizvod koji koriste elektroničke potpise, odnosno koji su podređeni elektroničkim potpisima, poput usluga registracije, usluge izdavanja vremenskog žiga, imenički servisi, računalne usluge ili savjetodavne usluge koje se odnose na elektroničke potpise.

(10)

Unutarnje tržište omogućuje davateljima usluga certificiranja razvoj njihovih prekograničnih aktivnosti s ciljem povećanja njihove konkurentnosti, čime bi se potrošačima i tvrtkama pružile nove mogućnosti razmjene informacija i trgovine elektroničkim putem u sigurnom okružju, neovisno o granicama; kako bi se potaknulo pružanje usluga certificiranja putem otvorenih mreža na razini cijele Zajednice, davatelji usluga certificiranja trebaju imati slobodu pružanja svojih usluga bez prethodnog odobrenja; prethodno odobrenje predstavlja ne samo bilo koje dopuštenje pri čemu predmetni davatelj usluga certificiranja mora dobiti odluku od strane državnih tijela prije no što mu se omogući pružanje svojih usluga certificiranja, već i bilo koju drugu mjeru koja ima isti učinak.

(11)

Dragovoljni programi ovlašćivanja, koji imaju za cilj povećati razinu pružanja usluga, mogu ponuditi davateljima usluga certificiranja prikladan okvir za daljnji razvoj njihovih usluga s ciljem dosezanja one razine povjerenja, sigurnosti i kakvoće koju zahtijeva tržište u razvoju; takvi programi trebaju ohrabriti razvoj najbolje prakse među davateljima usluga certificiranja; davateljima usluga certificiranja treba ostaviti slobodu pridržavanja i izvlačenja koristi od takvih programa ovlašćivanja.

(12)

Usluge certificiranja mogu se ponuditi ili od strane javnog subjekta ili od strane pravne, odnosno fizičke osobe, kada je osnovan u skladu s nacionalnim zakonom; budući da države članice ne bi trebale zabranjivati davateljima usluga certificiranja djelovanje izvan dragovoljnih programa ovlašćivanja; treba omogućiti da takvi programi ovlašćivanja ne umanjuju tržišno natjecanje kod usluga certificiranja.

(13)

Države članice mogu odlučiti na koji način omogućuju nadzor nad udovoljavanjem odredbama utvrđenim ovom Direktivom; ova Direktiva ne isključuje uspostavljanje sustava nadzora zasnovanih na privatnom sektoru; ova Direktiva ne obvezuje davatelje usluga certificiranja da se prijave da budu nadzirani pod bilo kojim programom ovlašćivanja koji se primjenjuje.

(14)

Važno je postići uravnoteženost između potreba potrošača i potreba tvrtki.

(15)

Prilog III. pokriva zahtjeve za sigurnim sredstvima za izradu potpisa kako bi se omogućilo funkcioniranje naprednih elektroničkih potpisa; on ne pokriva cjelokupno okružje sustava u kojemu takva sredstva djeluju; funkcioniranje unutarnjeg tržišta zahtijeva od Komisije i država članica hitro djelovanje kako bi se omogućilo određivanje tijela koja su zadužena za ocjenu usklađenosti sigurnih uređaja za izradu potpisa s Prilogom III.; ocjena skladnosti mora biti pravovremena i učinkovita kako bi se udovoljilo potrebama tržišta.

(16)

Ova Direktiva doprinosi uporabi i pravnom priznavanju elektroničkih potpisa unutar Zajednice; nije potreban regulatorni okvir za elektroničke potpise koji se koriste isključivo unutar sustava, a koji se zasnivaju na dragovoljnim sporazumima između određenog broja učesnika prema privatnom pravu; sloboda stranaka da među sobom dogovore uvjete pod kojima prihvaćaju podatke potpisane elektroničkim putem treba se poštovati u onoj mjeri u kojoj to dopušta nacionalno pravo; potrebno je priznati pravnu učinkovitost elektroničkih potpisa koji se koriste u takvim sustavima i njihovu dopustivost kao dokaza u sudskim postupcima.

(17)

Ova Direktiva ne nastoji uskladiti nacionalna pravila koja se odnose na ugovorno pravo, posebno izradu i djelovanje ugovora, odnosno drugih formalnosti koji nisu ugovorne prirode a koji se odnose na potpise; iz tog razloga odredbe koje se odnose na pravne učinke elektroničkih potpisa ne bi trebale dovoditi u pitanje zahtjeve u vezi s oblikom utvrđenim nacionalnim pravom u vezi sa sklapanjem ugovora ili pravilima kojima se utvrđuje gdje se ugovor sklapa.

(18)

Spremanje i kopiranje podataka za izradu elektroničkog potpisa moglo bi predstavljati prijetnju pravnoj valjanosti elektroničkih potpisa.

(19)

Elektronički potpisi koristit će se u javnome sektoru unutar nacionalnih uprava i uprava Zajednice te u komunikaciji između takvih uprava s građanima i gospodarskim djelatnicima, na primjer u slučajevima javne nabave, oporezivanja, socijalne sigurnosti, subjektima i pravosudnog sustava.

(20)

Usklađeni kriteriji koji se odnose na pravne učinke elektroničkih potpisa očuvat će koherentan pravni okvir diljem Zajednice; nacionalno pravo utvrđuje različite zahtjeve za pravnu valjanost vlastoručnih potpisa; budući da se certifikati mogu rabiti kako bi se potvrdio identitet osobe koja se potpisuje elektroničkim putem; napredni elektronički potpisi koji se zasnivaju na kvalificiranim certifikatima imaju za cilj višu razinu sigurnosti; napredni elektronički potpisi koji se zasnivaju na kvalificiranom certifikatu te koje je izradilo sredstvo za izradu sigurnih potpisa mogu se smatrati pravno jednakima vlastoručnim potpisima samo ako su ispunjeni uvjeti za vlastoručne potpise.

(21)

Kako bi se dao doprinos općoj prihvaćenosti metoda elektroničkog utvrđivanja autentičnosti, treba omogućiti da se elektronički potpisi mogu koristiti kao dokaz u sudskim postupcima u svim državama članicama; pravno se priznavanje elektroničkih potpisa treba zasnivati na objektivnim kriterijima te ne treba biti vezano uz odobrenje predmetnog davatelja usluga certificiranja; nacionalno pravo upravlja pravnim sferama u kojima se elektronički dokumenti i elektronički potpisi mogu koristiti; ova Direktiva ne dovodi u pitanje ovlasti nacionalnog suda da donese odluku u vezi s udovoljavanjem odredbama ove Direktive te ne utječe na nacionalna pravila koja se odnose na slobodno sudačko razmatranje dokaza.

(22)

Davatelji usluga certificiranja koji pružaju usluge certificiranja javnosti podložni su nacionalnim pravilima u pogledu odgovornosti.

(23)

Razvoj međunarodne elektroničke trgovine zahtijeva prekogranične dogovore koji uključuju treće zemlje; kako bi se osigurala interoperabilnost na globalnoj razini, od koristi bi bili sporazumi o multilateralnim pravilima s trećim zemljama o međusobnom priznavanju usluga certificiranja.

(24)

Kako bi se povećalo povjerenje korisnika u elektroničku komunikaciju i elektroničku trgovinu, davatelji usluga certificiranja moraju voditi računa o zakonskim propisima koji uređuju zaštitu podataka te osobnu privatnost.

(25)

Odredbe o uporabi pseudonima u certifikatima ne bi trebale sprečavati države članice da zahtijevaju identifikaciju osoba prema pravu Zajednice ili nacionalnom pravu.

(26)

Mjere potrebne za provedbu ove Direktive treba usvojiti u skladu s Odlukom Vijeća 1999/468/EZ od 28. lipnja 1999. o utvrđivanju postupaka za izvršavanje provedbenih ovlasti dodijeljenih Komisiji (7).

(27)

Dvije godine nakon njezine provedbe, Komisija će revidirati ovu Direktivu kako bi se, inter alia, omogućilo da napredak tehnologije ili promjene u pravnom okružju nisu stvorile prepreke ostvarivanju ciljeva zacrtanih u ovoj Direktivi; ona bi trebala razmotriti implikacije iz srodnih tehničkih područja te podnijeti izvješće Europskom parlamentu i Vijeću o ovoj temi.

(28)

U skladu s načelima supsidijarnosti i razmjernosti utvrđenim člankom 5. Ugovora, cilj stvaranja usklađenog pravnog okvira za pružanje elektroničkih potpisa i pripadajućih usluga ne mogu dostatno ostvariti države članice, nego se stoga može na bolji način ostvariti na razini Zajednice; ova Direktiva ne prelazi ono što je potrebno za ostvarivanje tog cilja,

DONIJELI SU OVU DIREKTIVU:

Članak 1.

Područje primjene

Svrha je ove Direktive olakšati uporabu elektroničkih potpisa te doprinijeti njihovom pravnom priznavanju. Njome se uspostavlja pravni okvir za elektroničke potpise i određene usluge certificiranja s ciljem omogućivanja pravilnog funkcioniranja unutarnjeg tržišta.

Ona ne pokriva aspekte povezane sa sklapanjem i valjanošću ugovora ili drugih pravnih obveza gdje postoje zahtjevi koji se odnose na njihov oblik propisani nacionalnim pravom ili pravom Zajednice, niti utječe na pravila i ograničenja sadržana u nacionalnom pravu ili pravu Zajednice koji propisuje uporabu dokumenata.

Članak 2.

Definicije

Za potrebe ove Direktive:

1.

„elektronički potpis” znači podaci u elektroničkom obliku koji su pridruženi ili su logički povezani s drugim podacima u elektroničkom obliku te koji služe kao metoda utvrđivanja autentičnosti;

2.

„napredan elektronički potpis” znači elektronički potpis koji udovoljava sljedećim zahtjevima:

(a)

na jedinstven je način povezan s potpisnikom;

(b)

u mogućnosti je identificirati potpisnika;

(c)

stvoren je uporabom sredstava koji potpisniku omogućuju isključivu kontrolu nad njima; i

(d)

povezan je s podacima na koje se odnosi na takav način da se bilo koja naknadna izmjena podataka može otkriti;

3.

„potpisnik” znači osoba koja posjeduje sredstvo za izradu potpisa te koja djeluje u svoje vlastito ime ili u ime fizičke ili pravne osobe ili tijela koje predstavlja;

4.

„podaci za izradu potpisa” znači jedinstveni podaci, poput kodova ili privatnih kriptografskih ključeva, koje potpisnik rabi u svrhu izrade elektroničkog potpisa;

5.

„sredstvo za izradu potpisa” znači konfigurirani računalni program ili računalna oprema koja se koristi za primjenu podataka za izradu potpisa;

6.

„sigurno sredstvo za izradu potpisa” znači sredstvo za izradu potpisa koje udovoljava zahtjevima utvrđenim u Prilogu III.;

7.

„podaci za verifikaciju potpisa” znači podaci poput kodova ili javnih kriptografskih ključeva koji se koriste u svrhu verifikacije elektroničkog potpisa;

8.

„sredstvo za verifikaciju potpisa” znači konfigurirani računalni program ili računalna oprema koja se koristi za primjenu podataka za verifikaciju potpisa;

9.

„certifikat” znači potvrda u elektroničkom obliku koja povezuje podatke za verifikaciju potpisa s nekom osobom i potvrđuje identitet te osobe;

10.

„kvalificirani certifikat” znači certifikat koji udovoljava zahtjevima iz Priloga I. i izdaje ga davatelj usluga certificiranja koji ispunjava uvjete iz Priloga II.;

11.

„davatelj usluga certificiranja” znači subjekt, odnosno pravna ili fizička osoba koja izdaje certifikate, odnosno pruža druge usluge povezane s elektroničkim potpisima;

12.

„proizvod za izradu elektroničkog potpisa” znači računalna oprema ili računalni program, odnosno njihove relevantne komponente namijenjene uporabi od strane davatelja usluga certificiranja za pružanje usluga elektroničkih potpisa ili namijenjene uporabi s ciljem izrade ili verifikacije elektroničkih potpisa;

13.

„dragovoljno ovlašćivanje” znači bilo koje dopuštenje kojim se utvrđuju prava i obveze koje su specifične za pružanje usluga certificiranja, koje na zahtjev predmetnog davatelja usluga certificiranja izdaje javno ili privatno tijelo zaduženo za razradu i nadzor nad udovoljavanjem takvim pravima i obvezama, pri čemu davatelju usluga certificiranja nije dopušteno ostvarivati prava koja proizlaze iz dopuštenja sve dok ne dobije odluku tog tijela.

Članak 3.

Pristup tržištu

1.   Države članice ne bi trebale pružanje usluga certificiranja učiniti podložnim dobivanju prethodnog odobrenja.

2.   Ne dovodeći u pitanje odredbe stavka 1., države članice mogu uvesti ili zadržati programe dragovoljnog ovlašćivanja usmjerene ka povećanju razine pružanja usluga izdavanja certifikata. Svi uvjeti povezani s takvim programima moraju biti objektivni, transparentni, razmjerni i nediskriminirajući. Države članice ne mogu ograničavati broj ovlaštenih davatelja usluga certificiranja zbog razloga koji potpadaju pod područje primjene ove Direktive.

3.   Svaka država članica omogućuje uspostavljanje odgovarajućeg sustava koji dozvoljava nadzor nad davateljima usluga certificiranja koji imaju poslovni nastan na njezinom državnom području te koji izdaju kvalificirane certifikate za javnost.

4.   Sukladnost sigurnih sredstava za izradu potpisa sa zahtjevima iz Priloga III. određuju odgovarajuća javna ili privatna tijela koja imenuju države članice. U skladu s postupkom utvrđenim člankom 9., Komisija propisuje kriterije putem kojih države članice odlučuju hoće li neko tijelo biti imenovano.

Sve države članice priznaju utvrđivanje sukladnosti sa zahtjevima iz Priloga III. koje su provela tijela iz prvog podstavka.

5.   Komisija može, u skladu s postupkom utvrđenim člankom 9., utvrditi i objaviti referentne brojeve općeprihvaćenih normi za proizvode za izradu elektroničkih potpisa u Službenom listu Europskih zajednica. Države članice pretpostavljaju kako postoji udovoljavanje zahtjevima iz Priloga II. točke (f) i Priloga III. kada proizvod za izradu elektroničkih potpisa udovoljava tim normama.

6.   Države članice i Komisija zajednički rade na promicanju razvoja i uporabe sredstava za verifikaciju potpisa u kontekstu preporuka za sigurnu verifikaciju potpisa iz Priloga IV. te u interesu potrošača.

7.   Države članice mogu učiniti uporabu elektroničkih potpisa u javnome sektoru podložnom potencijalnim dodatnim zahtjevima. Takvi zahtjevi trebaju biti objektivni, transparentni, razmjerni i nediskriminirajući te se trebaju odnositi samo na posebne karakteristike predmetne primjene. Takvi zahtjevi ne mogu činiti prepreku prekograničnim uslugama koje se pružaju građanima.

Članak 4.

Načela unutarnjeg tržišta

1.   Svaka država članica primjenjuje nacionalne odredbe koje donosi u skladu s ovom Direktivom na davatelje usluga certificiranja s poslovnim nastanom na njezinom državnom području te na usluge koje pružaju. Države članice ne mogu ograničiti pružanje usluga certificiranja koje potječu iz druge države članice u onim područjima koja pokriva ova Direktiva.

2.   Države članice omogućuju slobodno kretanje na unutarnjem tržištu proizvoda za izradu elektroničkih potpisa koji udovoljavaju ovoj Direktivi.

Članak 5.

Pravni učinci elektroničkih potpisa

1.   Države članice omogućuju da napredni elektronički potpisi, koji se zasnivaju na kvalificiranom certifikatu te koji su izrađeni putem sigurnih sredstava za izradu potpisa:

(a)

udovoljavaju pravnim zahtjevima potpisa u odnosu na podatke u elektroničkom obliku na isti način na koji vlastoručni potpis udovoljava tim zahtjevima u odnosu na podatke u pisanom obliku;

(b)

budu dopušteni kao dokaz u sudskim postupcima.

2.   Države članice omogućuju da se elektroničkom potpisu ne može poricati pravna učinkovitost i prihvatljivost kao dokaza u sudskim postupcima isključivo na temelju toga što je on:

u elektroničkom obliku, ili

nije zasnovan na kvalificiranom certifikatu, ili

nije zasnovan na kvalificiranom certifikatu koju izdaje ovlašteni davatelj usluga certificiranja, ili

nije izrađen uporabom sigurnog sredstva za izradu potpisa.

Članak 6.

Odgovornost

1.   Kao minimum, države članice omogućuju da davatelj usluga certificiranja, izdavanjem certifikata za javnost u obliku kvalificiranog certifikata ili izdavanjem jamstva za takav certifikat za javnost, bude odgovoran za štetu prouzročenu bilo kojem subjektu, odnosno pravnoj ili fizičkoj osobi koja u razumnoj mjeri ovisi o tom certifikatu:

(a)

u vezi s točnošću svih podataka sadržanih u kvalificiranom certifikatu u vrijeme izdavanja te u vezi s činjenicom da certifikat sadrži sve detalje propisane za kvalificirani certifikat;

(b)

kao osiguranje da je, u vrijeme izdavanja certifikata, potpisnik identificiran u kvalificiranom certifikatu posjedovao podatke za izradu potpisa koji odgovaraju podacima za verifikaciju potpisa koji su navedeni ili identificirani u certifikatu;

(c)

kao osiguranje da se podaci za izradu potpisa i podaci za verifikaciju potpisa mogu koristiti na sličan način u slučajevima gdje davatelj usluga certificiranja proizvodi oboje;

osim ako davatelj usluga certificiranja dokaže kako nije djelovao nemarno.

2.   Kao minimum, države članice omogućuju da davatelj usluga certificiranja, koji je javnosti izdao certifikat kao kvalificirani certifikat, bude odgovoran za štetu prouzročenu bilo kojem subjektu, odnosno pravnoj ili fizičkoj osobi koja u razumnoj mjeri ovisi o tom certifikat zbog toga što nije opozvao taj certifikat, osim ako davatelj usluga certificiranja dokaže kako nije djelovao nemarno.

3.   Države članice omogućuju davatelju usluga certificiranja da u kvalificiranom certifikatu naznači ograničenja uporabe tog certifikata, pod uvjetom da se ograničenja priznaju i trećim stranama. Davatelj usluga certificiranja nije odgovoran za štetu prouzrokovanu uporabom kvalificiranog certifikata koja prekoračuje ograničenja koja taj certifikat ima.

4.   Države članice omogućuju davatelju usluga certificiranja da u kvalificiranom certifikatu naznači granicu vrijednosti transakcija za koje se certifikat može koristiti, pod uvjetom da se to ograničenje prizna i trećim stranama.

Davatelj usluga certificiranja nije odgovoran za štetu prouzrokovanu prekoračenjem ovog maksimalnog ograničenja.

5.   Odredbe stavaka od 1. do 4. ne dovode u pitanje Direktivu Vijeća 93/13/EEZ od 5. travnja 1993. o nepoštenim uvjetima u potrošačkim ugovorima (8).

Članak 7.

Međunarodni aspekti

1.   Države članice omogućuju da certifikati, koje su davatelji usluga certificiranja s poslovnim nastanom u trećoj zemlji javnosti izdali kao kvalificirane certifikate, budu priznati kao pravno istovjetni certifikatima koje su izdali davatelji usluga certificiranja s poslovnim nastanom u Zajednici ako:

(a)

davatelj usluga certificiranja ispunjava uvjete utvrđene ovom Direktivom te je ovlašten prema programu dragovoljnog ovlašćivanja utvrđenog u državi članici; ili

(b)

davatelj usluga certificiranja s poslovnim nastanom u Zajednici koji ispunjava uvjete utvrđene ovom Direktivom jamči za certifikat; ili

(c)

potvrda ili davatelj usluga certificiranja priznati su prema bilateralnom ili multilateralnom sporazumu između Zajednice i trećih zemalja ili međunarodnih organizacija.

2.   S ciljem olakšanja prekograničnih usluga certificiranja s trećim zemljama i pravnog priznavanja naprednih elektroničkih potpisa koji potječu iz trećih zemalja, Komisija donosi prijedloge, ako je to primjereno, kako bi se postigla učinkovita provedba standarda i međunarodnih sporazuma koji se mogu primijeniti na usluge certificiranja. Komisija posebno, te ako je to potrebno, podnosi prijedloge Vijeću za odgovarajuće mandate za pregovore oko bilateralnih i multilateralnih sporazuma s trećim zemljama i međunarodnim organizacijama. Vijeće odlučuje o tomu kvalificiranom većinom.

3.   Kad god je Komisija izvještena o bilo kakvim poteškoćama koje poduzeća iz Zajednice susreću u vezi s pristupom tržištu trećih zemalja, ona može, ako je to potrebno, podnijeti prijedloge Vijeću za odgovarajući mandat za pregovore oko usporedivih prava za poduzeća iz Zajednice u dotičnim trećim zemljama. Vijeće odlučuje o tomu kvalificiranom većinom.

Mjere koje se poduzimaju prema ovom stavku ne dovode u pitanje obveze Zajednice i država članica prema relevantnim međunarodnim sporazumima.

Članak 8.

Zaštita podataka

1.   Države članice omogućuju da davatelji usluga certificiranja i državna tijela odgovorna za ovlašćivanje ili nadzor udovoljavaju zahtjevima utvrđenim Direktivom 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka (9).

2.   Države članice omogućuju da davatelj usluga certificiranja, koji izdaje certifikate javnosti, može prikupljati osobne podatke samo izravno od subjekta podataka, ili na temelju izričitog odobrenja od strane subjekta podataka te isključivo u onoj mjeri u kojoj je to neophodno u svrhu izdavanja i čuvanja certifikata. Podaci se ne mogu prikupljati niti obrađivati u bilo koju drugu svrhu bez izričitog odobrenja subjekta podataka.

3.   Ne dovodeći u pitanje pravni učinak koji pseudonimi imaju prema nacionalnom pravu, države članice ne sprečavaju davatelje usluga certificiranja da u certifikatu navedu pseudonim umjesto potpisnikova imena.

Članak 9.

Odbor

1.   Komisiji pomaže „Odbor za elektroničke potpise”, dalje u tekstu: „Odbor”.

2.   Kod upućivanja na ovaj stavak, primjenjuju se članci 4. i 7. Odluke 1999/468/EZ, uzimajući u obzir odredbe njezinog članka 8.

Razdoblje propisano člankom 4. stavkom 3. Odluke 1999/468/EZ određuje se na tri mjeseca.

3.   Odbor usvaja svoj poslovnik.

Članak 10.

Zadaće odbora

Odbor pojašnjava zahtjeve utvrđene u prilozima ovoj Direktivi, kriterijima iz članka 3. stavka 4. te općeprihvaćene standarde za proizvode za izradu elektroničkih potpisa koji su usvojeni i objavljeni prema članku 3. stavku 5., u skladu s postupkom utvrđenim člankom 9. stavkom 2.

Članak 11.

Obavijest

1.   Države članice izvješćuju Komisiju i ostale države članice o sljedećem:

(a)

podacima o nacionalnim programima dragovoljnog ovlašćivanja, uključujući bilo koje dodatne zahtjeve prema članku 3. stavku 7.;

(b)

nazive i adrese državnih tijela koja su odgovorna za ovlašćivanje i nadzor kao i tijela iz članka 3. stavka 4.;

(c)

nazive i adrese svih ovlaštenih nacionalnih davatelja usluga certificiranja.

2.   Države članice trebaju prijaviti bilo koji podatak koji se dobije prema stavku 1. te izmjene u vezi s tim podatkom što je prije moguće.

Članak 12.

Preispitivanje

1.   Komisija preispituje djelovanje ove Direktive i o tome izvješćuje Europski parlament i Vijeće najkasnije do 19. srpnja 2003.

2.   Preispitivanjem se, inter alia, ocjenjuje treba li se mijenjati područje primjene ove Direktive, uzimajući u obzir tehnološki, tržišni te pravni razvoj. Izvješće posebno uključuje ocjenu aspekata usklađivanja, dobivenu na temelju stečenog iskustva. Izvješće prate, gdje je to primjereno, zakonodavni prijedlozi.

Članak 13.

Provedba

1.   Države članice donose zakone i druge propise potrebne za usklađivanje s ovom Direktivom do 19. srpnja 2001. One o tome odmah obavješćuju Komisiju.

Kada države članice donose ove mjere, te mjere prilikom njihove službene objave sadržavaju uputu na ovu Direktivu ili se uz njih navodi takva uputa. Načine tog upućivanja određuju države članice.

2.   Države članice Komisiji dostavljaju tekst glavnih odredaba nacionalnog prave koje donesu u području na koje se odnosi ova Direktiva.

Članak 14.

Stupanje na snagu

Ova Direktiva stupa na snagu na dan objave u Službenom listu Europskih zajednica.

Članak 15.

Adresati

Ova je Direktiva upućena državama članicama.

Sastavljeno u Bruxellesu 13. prosinca 1999.

Za Europski parlament

Predsjednik

N. FONTAINE

Za Vijeće

Predsjednik

S. HASSI


(1)  SL C 325, 23.10.1998., str. 5.

(2)  SL C 40, 15.2.1999., str. 29.

(3)  SL C 93, 6.4.1999., str. 33.

(4)  Mišljenje Europskog parlamenta od 13. siječnja 1999. (SL C 104, 14.4.1999., str. 49.), Zajedničko stajalište Vijeća od 28. lipnja 1999. (SL C 243, 27.8.1999., str. 33.) te Odluka Europskog parlamenta od 27. listopada 1999. (još nije objavljena u Službenom listu). Odluka Vijeća od 30. studenoga 1999.

(5)  SL L 367, 31.12.1994., str. 1. Uredba kako je izmijenjena Uredbom (EZ) br. 837/95 (SL L 90, 21.4.1995., str. 1.).

(6)  SL L 367, 31.12.1994., str. 8. Odluka kako je zadnje izmijenjena Odlukom 99/193/ZVSP (SL L 73, 19.3.1999., str. 1.).

(7)  SL L 184, 17.7.1999., str. 23.

(8)  SL L 95, 21.4.1993., str. 29.

(9)  SL L 281, 23.11.1995., str. 31.


PRILOG I.

Zahtjevi za kvalificirane certifikate

Kvalificirani certifikati moraju sadržavati sljedeće:

(a)

naznaku da se certifikat izdaje kao kvalificirani certifikat;

(b)

identifikaciju davatelja usluga certificiranja te države u kojoj ima poslovni nastan;

(c)

ime potpisnika ili njegov pseudonim, koji se kao takav treba utvrditi;

(d)

odredbu o posebnoj oznaci potpisnika koja se uključuje ako je to potrebno, ovisno o svrsi za koju je certifikat namijenjen;

(e)

podatke o verifikaciji potpisa koji odgovaraju podacima o izradi potpisa koji su pod kontrolom potpisnika;

(f)

naznaku početka i kraja razdoblja valjanosti certifikata;

(g)

identifikacijsku oznaku certifikata;

(h)

napredni elektronički potpis davatelja usluga certificiranja koji izdaje taj certifikat;

(i)

ograničenja vezana uz opseg uporabe certifikata, ako je to primjenljivo; te

(j)

ograničenja vezana uz vrijednost transakcija za koje se certifikat može koristiti, ako je to primjenljivo.


PRILOG II.

Zahtjevi za davatelje usluga certificiranja koji izdaju kvalificirane certifikate

Davatelji usluga certificiranja moraju:

(a)

prikazati pouzdanost neophodnu za pružanje usluga certificiranja;

(b)

omogućiti djelovanje ažurnog i sigurnog registra te uslugu sigurnog i trenutačnog opoziva;

(c)

omogućiti precizno utvrđen datum i vrijeme izdavanja odnosno opoziva certifikata;

(d)

provjeriti identitet te, ako je to primjenljivo, bilo koja posebna svojstva osobe kojoj se izdaje kvalificirani certifikat uporabom odgovarajućih sredstava u skladu s nacionalnim pravom;

(e)

zaposliti osoblje koje posjeduje stručno znanje, iskustvo te kvalifikacije koje su neophodne za usluge koje se pružaju, a posebno sposobnost na upravljačkoj razini, stručnost u primjeni tehnologije elektroničkih potpisa te poznavanje odgovarajućih sigurnosnih postupaka; oni također moraju primjenjivati odgovarajuće administrativne i upravljačke postupke koji odgovaraju priznatim normama;

(f)

koristiti pouzdane sustave i proizvode koji su zaštićeni od preinaka te omogućiti tehničku i kriptografsku sigurnost procesa koje ti sustavi i proizvodi podržavaju;

(g)

poduzeti mjere protiv krivotvorenja certifikata te, u slučajevima gdje davatelj usluga certificiranja proizvodi podatke za izradu potpisa, jamčiti povjerljivost tijekom procesa proizvodnje takvih podataka;

(h)

održavati zadovoljavajuću razinu financijskih resursa kako bi mogli djelovati u skladu sa zahtjevima utvrđenim ovom Direktivom, posebno snositi rizik od odgovornosti za štetu, na primjer putem odgovarajućeg osiguranja od štete;

(i)

pohraniti sve relevantne informacije koje se odnose na kvalificirani certifikat tijekom odgovarajućeg vremenskog razdoblja, posebno u svrhu pružanja dokaza o potvrdi za potrebe sudskih postupaka. Takva se pohrana može obavljati elektroničkim putem;

(j)

ne pohranjivati niti kopirati podatke za izradu potpisa osobe kojoj je davatelj usluga certificiranja pružio ključne upravljačke usluge;

(k)

prije sklapanja ugovornog odnosa s osobom koja traži certifikat kojim će poduprijeti svoj elektronički potpis, izvijestiti dotičnu osobu trajnim sredstvom komunikacije o preciznim uvjetima koji se odnose na uporabu certifikata, uključujući bilo koja ograničenja njegove uporabe, o postojanju dragovoljnih programa ovlašćivanja i postupaka u slučaju žalbi te kod rješavanja sporova. Takvi podaci, koji se mogu prenijeti elektroničkim putem, moraju biti u pisanom obliku te na čitljivom jasnom jeziku. Odgovarajući dijelovi tih podataka moraju se također staviti na raspolaganje trećim stranama, koje ovise o dotičnom certifikatu, na njihov zahtjev;

(l)

koristiti pouzdane sustave pohranjivanja certifikata u obliku koji se može provjeriti tako da:

samo ovlaštene osobe mogu unositi podatke i izmjene,

informacije se mogu provjeriti zbog njihove autentičnosti,

certifikati se mogu dati javnosti na uvid samo u onim slučajevima u kojima je nositelj certifikata izdao svoje dopuštenje, te

bilo koje tehničke promjene koje ugrožavaju ove sigurnosne zahtjeve jasno su vidljive operateru.


PRILOG III.

Zahtjevi za sigurna sredstva za izradu potpisa

1.

Sigurna sredstva za izradu potpisa moraju, uporabom odgovarajućih tehničkih i postupovnih sredstava, omogućiti barem sljedeće:

(a)

da se podaci za izradu potpisa, koji se rabe za generiranje potpisa, mogu praktično pojaviti samo jednom te da je njihova tajnost u razumnoj mjeri osigurana;

(b)

da se podaci za izradu potpisa, koji se rabe za generiranje potpisa, ne mogu uz razumnu sigurnost derivirati, te da je potpis zaštićen od krivotvorenja uporabom trenutačno dostupne tehnologije;

(c)

da se podaci za izradu potpisa, koji se rabe za generiranje potpisa, mogu pouzdano zaštititi od strane legitimnog potpisnika protiv uporabe od strane drugih osoba;

2.

Sigurna sredstva za izradu potpisa ne smiju mijenjati podatke koji se potpisuju ili spriječiti prikazivanje takvih podataka potpisniku prije samog procesa potpisivanja.


PRILOG IV.

Preporuke za sigurnu verifikaciju potpisa

Tijekom procesa verifikacije potpisa potrebno je s razumnom sigurnošću omogućiti da:

(a)

podaci koji se rabe za verifikaciju potpisa odgovaraju podacima prikazanim osobi koja obavlja verifikaciju;

(b)

potpis je pouzdano verificiran, a rezultat te verifikacije na ispravan je način prikazan;

(c)

osoba koja obavlja verifikaciju može, ako je to potrebno, pouzdano utvrditi sadržaj potpisanih podataka;

(d)

autentičnost i valjanost certifikata koji se zahtijeva u vrijeme verifikacije potpisa mogu se pouzdano provjeriti;

(e)

rezultat verifikacije i identitet potpisnika prikazani su na ispravan način;

(f)

uporaba pseudonima jasno je naznačena; te

(g)

bilo koje promjene koje se tiču sigurnosti mogu se otkriti.