31999L0093

Az Európai Parlament és a Tanács 1999/93/EK irányelve

(1999. december 13.)

az elektronikus aláírásra vonatkozó közösségi keretfeltételekről

AZ EURÓPAI PARLAMENT ÉS AZ EURÓPAI UNIÓ TANÁCSA,

tekintettel az Európai Közösséget létrehozó szerződésre és különösen annak 47. cikke (2) bekezdésére, valamint 55. és 95. cikkére,

tekintettel a Bizottság javaslatára [1],

tekintettel a Gazdasági és Szociális Bizottság véleményére [2],

tekintettel a Régiók Bizottságának véleményére [3],

a Szerződés 251. cikkében megállapított eljárásnak megfelelően [4],

mivel:

(1) 1997. április 16-án a Bizottság az elektronikus kereskedelemmel kapcsolatos európai kezdeményezésről szóló közleményt terjesztett az Európai Parlament, a Tanács, a Gazdasági és Szociális Bizottság, valamint a Régiók Bizottsága elé;

(2) 1997. október 8-án a Bizottság "A biztonság és bizalom biztosítása az elektronikus hírközlésben – a digitális aláírások és a kódolás európai keretei" címen közleményt terjesztett az Európai Parlament, a Tanács, a Gazdasági és Szociális Bizottság, valamint a Régiók Bizottsága elé;

(3) 1997. december 1-jén a Tanács felkérte a Bizottságot arra, hogy a lehető legrövidebb időn belül nyújtson be javaslatot egy, a digitális aláírásokról szóló európai parlamenti és tanácsi irányelvre vonatkozóan;

(4) az elektronikus hírközlés és kereskedelem szükségessé teszi az "elektronikus aláírás"–t és az adatok hitelesítését lehetővé tevő kapcsolódó szolgáltatásokat; az elektronikus aláírás jogi elismerésére, és a hitelesítésszolgáltatók akkreditációjára vonatkozó eltérő tagállami szabályok jelentős mértékben akadályozhatják az elektronikus hírközlés és az elektronikus kereskedelem alkalmazását; ugyanakkor az elektronikus aláírásra vonatkozó feltételek világos közösségi kerete erősíteni fogja az új technológiákba vetett bizalmat és azok általános elfogadását; a tagállamok jogszabályai nem hátráltathatják az áruk és szolgáltatások szabad mozgását a belső piacon;

(5) elő kell mozdítani az elektronikus aláírási termékek együttműködési képességét; a Szerződés 14. cikkének megfelelően a belső piac egy olyan, belső határok nélküli térség, amelyben biztosított az áruk szabad mozgása; a kifejezetten az elektronikus aláírási termékekre vonatkozó alapvető előírásoknak teljesülniük kell ahhoz, hogy biztosított legyen a szabad mozgás a belső piacon és kialakuljon az elektronikus aláírásba vetett bizalom, a kettős felhasználású áruk kivitelét ellenőrző közösségi rendszer létrehozásáról szóló, 1994. december 19-i 3381/94/EK tanácsi rendelet [5], továbbá a Tanács által a kettős felhasználású áruk kivitelének ellenőrzésére vonatkozóan elfogadott együttes fellépésről szóló, 1994. december 19-i 94/942/KKBP tanácsi határozat [6] sérelme nélkül;

(6) ez az irányelv nem harmonizálja a szolgáltatásnyújtást az információk titkossága tekintetében, amennyiben az érintett szolgáltatások a közrendre vagy a közbiztonságra vonatkozó nemzeti rendelkezések hatálya alá tartoznak;

(7) a belső piac biztosítja a személyek szabad mozgását, aminek eredményeként az Európai Unió polgárainak és az Európai Unióban letelepedett személyeknek egyre többször kell a lakóhelyük, illetve székhelyük szerinti államtól eltérő tagállamok hatóságaival kapcsolatba lépniük; e tekintetben hasznos lenne az elektronikus hírközlés igénybevételének lehetősége;

(8) a gyors technológiai fejlődés és az internet világméretű elterjedése olyan megközelítést tesz szükségessé, amely nyitott az adatok elektronikus hitelesítésére képes különböző technológiák és szolgáltatások irányában;

(9) az elektronikus aláírást számos esetben és alkalmazásban fogják használni, ez pedig azt eredményezi, hogy az elektronikus aláíráshoz kapcsolódó és azt alkalmazó új szolgáltatásoknak és termékeknek széles választéka alakul ki; az ilyen termékek és szolgáltatások meghatározása nem szűkíthető le a tanúsítványok kibocsátására és kezelésére, hanem minden más olyan terméket és szolgáltatást is e körbe kell sorolni, amely az elektronikus aláírást alkalmazza, vagy azzal összefügg, mint például a nyilvántartásbavételi szolgáltatások, időbélyegző szolgáltatások, nyilvántartási szolgáltatások, informatikai szolgáltatások, illetve az elektronikus aláírásra vonatkozó tanácsadási szolgáltatások;

(10) a belső piac lehetővé teszi a hitelesítésszolgáltatók számára, hogy versenyképességük fokozása céljából a határon átnyúló tevékenységeiket fejlesszék, és ezáltal a fogyasztók és vállalkozások számára új lehetőségeket kínáljanak a határoktól független, biztonságos elektronikus információcsere és elektronikus kereskedés terén; a hitelesítésszolgáltatások nyílt hálózatokon keresztül, közösségi szinten történő nyújtásának ösztönzése érdekében a hitelesítésszolgáltatók számára lehetővé kell tenni, hogy szolgáltatásaikat előzetes engedélyezés nélkül nyújthassák; az előzetes engedélyezés nemcsak minden olyan engedélyezést jelent, amelynek keretében az érintett hitelesítésszolgáltatónak a nemzeti hatóságtól egy határozatot kell beszereznie, mielőtt hitelesítési szolgáltatást nyújthatna, hanem minden egyéb, ezzel azonos hatású intézkedést is;

(11) a továbbfejlesztett szolgáltatást célzó önkéntes akkreditációs rendszer megfelelő keretet nyújthat a hitelesítésszolgáltatóknak ahhoz, hogy szolgáltatásaikat a bizalom, a biztonság és a minőség olyan szintjére fejlesszék, amely megfelel a fejlődőben lévő piac igényeinek; az ilyen rendszereknek ösztönözniük kell a legjobb gyakorlat kialakítását a hitelesítésszolgáltatók körében; a hitelesítésszolgáltatók számára lehetővé kell tenni, hogy az ilyen akkreditációs rendszerek keretében akkreditáltassák magukat és az ebből származó előnyöket kihasználják;

(12) hitelesítésszolgáltatásokat nyújthat állami szerv, illetve természetes vagy jogi személy, amennyiben ez utóbbit a nemzeti jognak megfelelően hozták létre; mivel a tagállamok nem tilthatják meg a hitelesítésszolgáltatóknak az önkéntes akkreditációs rendszereken kívüli működést; biztosítani kell, hogy ezek az akkreditációs rendszerek ne korlátozzák a versenyt a hitelesítésszolgáltatások terén;

(13) a tagállamok eldönthetik, hogyan biztosítják az ezen irányelvben megállapított rendelkezéseknek való megfelelés felügyeletét; ez az irányelv nem zárja ki a magánszektor-alapú felügyeleti rendszerek létrehozását; ez az irányelv nem kötelezi a hitelesítésszolgáltatókat arra, hogy kérelmezzék bármilyen hatályos akkreditációs rendszer keretében történő felügyeletüket;

(14) fontos a fogyasztói és üzleti igények közötti egyensúly kialakítása;

(15) a III. melléklet tartalmazza a fokozott biztonságú elektronikus aláírások funkcióinak érvényesülése érdekében a biztonságos aláírás-létrehozó eszközökre vonatkozó követelményeket; de nem terjed ki annak a rendszerkörnyezetnek az egészére, amelyben az ilyen eszközök üzemelnek; a belső piac működése megkívánja a Bizottság és a tagállamok gyors intézkedését a biztonságos aláírás-létrehozó eszközök III. mellékletnek való megfelelősége értékelését ellátó szervek kijelölésének lehetővé tétele terén; a piaci igények kielégítése érdekében a megfelelőségértékelést kellő időben és hatékonyan kell végezni;

(16) ez az irányelv hozzájárul az elektronikus aláírások alkalmazásához és jogi elismeréséhez a Közösségben; nincs szükség szabályozási keretre a kizárólag olyan rendszerekben használt elektronikus aláírások tekintetében, amelyek meghatározott számú résztvevő között a magánjog alapján kötött önkéntes megállapodásokon alapulnak; a nemzeti jog által megengedett mértékben tiszteletben kell tartani a feleknek azt a jogát, hogy maguk között megállapodjanak az elektronikus aláírással ellátott adatok elfogadásának feltételeiben; az ilyen rendszerekben alkalmazott elektronikus aláírások joghatását és a bírósági eljárásokban bizonyítékként való elfogadhatóságát el kell ismerni;

(17) ez az irányelv nem kívánja harmonizálni a szerződések jogára – különösen a szerződések megkötésére és teljesítésére, illetve más, az aláírással kapcsolatos, szerződésen kívüli formai előírásokra – vonatkozó nemzeti szabályokat; ezért az elektronikus aláírás joghatásával kapcsolatos rendelkezések nem sérthetik a nemzeti jogban megállapított, a szerződéskötésre vonatkozó formai követelményeket, sem a szerződéskötés helyének meghatározására vonatkozó szabályokat;

(18) az aláírás-létrehozó adatok tárolása és másolása veszélyeztetheti az elektronikus aláírások érvényességét;

(19) az elektronikus aláírást használni fogják a közszektorban a nemzeti és közösségi közigazgatáson belül, valamint az ilyen közigazgatási szervek egymás közötti, és az állampolgárokkal, illetve gazdasági szereplőkkel folytatott kommunikációjában, például a közbeszerzési, adózási, társadalombiztosítási, egészségügyi és igazságügyi rendszerekben;

(20) az elektronikus aláírás joghatásaival kapcsolatos harmonizált kritériumok koherens jogi keretet biztosítanak majd a Közösségben; a nemzeti jogok a saját kezű aláírások érvényességére vonatkozóan különböző követelményeket állapítanak meg; a tanúsítványok felhasználhatók az elektronikusan aláíró személy azonosságának igazolásához; a minősített tanúsítványokon alapuló fokozott biztonságú elektronikus aláírások célja a magasabb szintű biztonság elérése; a minősített tanúsítványokon alapuló és biztonságos aláírás-létrehozó eszközzel előállított fokozott biztonságú elektronikus aláírás jogilag csak akkor tekinthető egyenértékűnek a saját kezű aláírással, ha teljesülnek a saját kezű aláírásra megállapított követelmények;

(21) az elektronikus hitelesítési módszerek általános elfogadásának támogatása érdekében biztosítani kell, hogy az elektronikus aláírásokat minden tagállamban bizonyítékként lehessen felhasználni a bírósági eljárásokban; az elektronikus aláírás jogi elismerésének tárgyilagos kritériumokon kell alapulnia, és nem köthető az érintett hitelesítésszolgáltató engedélyéhez; a nemzeti jog határozza meg, hogy a jog mely területein lehet elektronikus dokumentumokat és elektronikus aláírást alkalmazni; ez az irányelv nem sérti a nemzeti bíróságok hatáskörét az ezen irányelv előírásainak való megfelelés megítélésére, továbbá nem sérti a bizonyítékok szabad bírói mérlegelésére vonatkozó nemzeti szabályokat;

(22) a nyilvánosságnak hitelesítésszolgáltatásokat nyújtó hitelesítésszolgáltatókra a felelősség tekintetében a nemzeti szabályok vonatkoznak;

(23) a nemzetközi elektronikus kereskedelem fejlődése harmadik országok részvételével létrejövő nemzetközi megállapodásokat tesz szükségessé; az együttműködési képesség egész világra kiterjedő garantálása érdekében hasznosnak bizonyulhatnának a hitelesítésszolgáltatások kölcsönös elismerésére vonatkozó többoldalú szabályozásról szóló, harmadik országokkal létrejövő megállapodások;

(24) a felhasználók elektronikus hírközlésbe és elektronikus kereskedelembe vetett bizalmának fokozása érdekében a hitelesítésszolgáltatóknak tiszteletben kell tartaniuk az adatvédelmi jogszabályokat és a magánélet védelmét;

(25) az álnevek tanúsítványokon való használatára vonatkozó rendelkezések nem gátolhatják meg a tagállamokat a személyek azonosításának közösségi vagy nemzeti jog alapján történő megkövetelésében;

(26) az ezen irányelv végrehajtásához szükséges intézkedéseket a Bizottságra ruházott végrehajtási hatáskörök gyakorlására vonatkozó eljárások megállapításáról szóló, 1999. június 28-i 1999/468/EK tanácsi határozattal [7] összhangban kell elfogadni;

(27) ezen irányelv végrehajtása után két évvel a Bizottságnak felül kell vizsgálnia az irányelvet, többek között azzal a céllal, hogy meggyőződjön arról, hogy a technológia fejlődése és a jogi környezet változásai nem állítottak korlátokat az ezen irányelvben megfogalmazott célok elérése elé; a Bizottságnak meg kell vizsgálnia a kapcsolódó műszaki területek hatásait, majd erről jelentést kell az Európai Parlament és a Tanács elé terjesztenie;

(28) a Szerződés 5. cikkében meghatározott szubszidiaritás elvével és arányosság elvével összhangban, az elektronikus aláírást és a kapcsolódó szolgáltatások nyújtását szabályozó harmonizált jogi keret létrehozatalára vonatkozó célt a tagállamok nem tudják kielégítően megvalósítani, és ezért ez közösségi szinten jobban megvalósítható; ez az irányelv nem lépi túl az említett célkitűzés eléréséhez szükséges mértéket,

ELFOGADTA EZT AZ IRÁNYELVET:

1. cikk

Alkalmazási kör

Ennek az irányelvnek a célja az elektronikus aláírások alkalmazásának megkönnyítése, továbbá az elektronikus aláírások jogi elismeréséhez való hozzájárulás. Ez az irányelv a belső piac megfelelő működése érdekében létrehozza az elektronikus aláírásra és egyes hitelesítésszolgáltatásokra vonatkozó jogi keretet.

Ez az irányelv nem foglalkozik a szerződések megkötésének és érvényességének szempontjaival, sem más olyan jogi kötelezettségekkel, amelyekre nemzeti vagy közösségi jogszabályokban előírt alaki követelmények vonatkoznak, továbbá nem sérti a nemzeti vagy közösségi jogszabályokban előírt, a dokumentumok felhasználását szabályozó rendelkezéseket és korlátozásokat.

2. cikk

Fogalommeghatározások

Ennek az irányelvnek az alkalmazásában:

(1) "elektronikus aláírás": olyan elektronikus adat, amely más elektronikus adathoz van csatolva, illetve logikailag hozzárendelve, és amely hitelesítésre szolgál;

(2) "fokozott biztonságú elektronikus aláírás": olyan elektronikus aláírás, amely megfelel az alábbi követelményeknek:

a) kizárólag az aláíróhoz kötött;

b) az aláíró azonosítására alkalmas;

c) olyan eszközzel hozták létre, amely kizárólag az aláíró ellenőrzése alatt áll;

d) úgy kapcsolódik azokhoz az adatokhoz, amelyekre vonatkozik, hogy az adatok minden későbbi változása nyomon követhető;

(3) "aláíró": olyan személy, aki aláírás-létrehozó eszközzel rendelkezik, és saját nevében vagy egy általa képviselt természetes vagy jogi személy, illetve intézmény nevében jár el;

(4) "aláírás-létrehozó adat": olyan egyedi adat – mint például kód vagy kriptográfiai magánkulcs –, amelyet az aláíró elektronikus aláírás létrehozásához használ;

(5) "aláírás-létrehozó eszköz": olyan konfigurált hardver- vagy szoftvereszköz, amelyet az aláíró az aláírás-létrehozó adatok alkalmazására használ;

(6) "biztonságos aláírás-létrehozó eszköz": olyan aláírás-létrehozó eszköz, amely megfelel a III. mellékletben megállapított követelményeknek;

(7) "aláírás-ellenőrző adat": olyan adat – mint például kód vagy kriptográfiai nyilvános kulcs –, amely az elektronikus aláírások ellenőrzésére szolgál;

(8) "aláírás-ellenőrző eszköz": olyan konfigurált hardver- vagy szoftvereszköz, amelyet az aláírás-ellenőrző adatok alkalmazására használnak;

(9) "tanúsítvány": olyan elektronikus igazolás, amely az aláírás-ellenőrző adatot egy meghatározott személyhez kapcsolja, és igazolja e személy személyazonosságát;

(10) "minősített tanúsítvány": olyan tanúsítvány, amely megfelel az I. mellékletben megállapított követelményeknek, és amelyet a II. mellékletben megállapított követelményeket teljesítő hitelesítésszolgáltató bocsát ki;

(11) "hitelesítésszolgáltató": olyan intézmény, illetve természetes vagy jogi személy, aki, illetve amely tanúsítványokat bocsát ki, vagy egyéb, elektronikus aláírásokhoz kapcsolódó szolgáltatásokat nyújt;

(12) "elektronikus aláírási termék": olyan hardver- vagy szoftvereszköz, vagy ezek megfelelő része, amelyet a hitelesítésszolgáltató elektronikus aláírással kapcsolatos szolgáltatások nyújtásához használ, illetve amely elektronikus aláírások létrehozására, illetve ellenőrzésére használható;

(13) "önkéntes akkreditáció": olyan, a kifejezetten a hitelesítésszolgáltatásokra vonatkozó jogokat és kötelezettségeket meghatározó engedély, amelyet az érintett hitelesítésszolgáltató kérelmére az az állami szerv vagy magánszervezet ítél oda, amely az ilyen jogok és kötelezettségek megállapítását és tiszteletben tartásuk felügyeletét végzi, és amely esetében a hitelesítésszolgáltatónak mindaddig nincs joga az engedélyből adódó jogok gyakorlására, amíg a fenti szerv vagy szervezet határozatát meg nem kapta.

3. cikk

Piacra jutás

(1) A tagállamok a hitelesítésszolgáltatások nyújtását nem köthetik előzetes engedélyhez.

(2) Az (1) bekezdés rendelkezésének sérelme nélkül, a tagállamok bevezethetnek vagy fenntarthatnak a továbbfejlesztett szintű hitelesítésszolgáltatások nyújtását célzó önkéntes akkreditációs rendszereket. Az ilyen rendszerekre vonatkozó valamennyi feltételnek tárgyilagosnak, átláthatónak, arányosnak és megkülönböztetéstől mentesnek kell lennie. A tagállamok az irányelv hatálya alá tartozó indokokkal nem korlátozhatják az akkreditált hitelesítésszolgáltatók számát.

(3) Minden tagállam biztosítja egy olyan, megfelelő rendszer kiépítését, amely lehetővé teszi az adott tagállam területén működő és a nyilvánosság számára minősített tanúsítványokat kibocsátó hitelesítésszolgáltatók felügyeletét.

(4) A biztonságos aláírás-létrehozó eszközök III. mellékletnek való megfelelését a tagállamok által kijelölt, megfelelő állami szervek vagy magánszervezetek állapítják meg. A Bizottság a 9. cikkben megállapított eljárás alapján meghatározza azokat a kritériumokat, amelyeket a tagállamoknak az említett szervek kijelölésére vonatkozó döntés során figyelembe kell venniük.

A III. mellékletben megállapított követelményeknek való megfelelés első albekezdésben említett szervek, illetve szervezetek általi megállapítását minden tagállam elismeri.

(5) A Bizottság – a 9. cikkben megállapított eljárásnak megfelelően – létrehozhatja az elektronikus aláírással kapcsolatos termékekre vonatkozó, általánosan elismert szabványok hivatkozási számát és azt az Európai Közösségek Hivatalos Lapjában közzéteheti. Amennyiben egy elektronikus aláírással kapcsolatos termék e szabványoknak megfelel, a tagállamok vélelmezik, hogy a termék megfelel a II. melléklet f) pontjában és a III. mellékletben megállapított követelményeknek.

(6) A tagállamok és a Bizottság – a biztonságos aláírás-ellenőrzésre vonatkozó, a IV. mellékletben megállapított ajánlások tükrében, valamint a fogyasztók érdekében – együttműködnek az aláírás-ellenőrző eszközök fejlesztésének és alkalmazásának előmozdításában.

(7) A tagállamok az elektronikus aláírások állami szektorban történő használatát adott esetben további követelményekhez köthetik. Az ilyen követelménynek objektívnek, átláthatónak, arányosnak és megkülönböztetéstől mentesnek kell lennie, és az kizárólag az érintett alkalmazás egyedi jellemzőihez kapcsolódhat. Az ilyen követelmény nem akadályozhatja az állampolgároknak nyújtott, határokon átnyúló szolgáltatásokat.

4. cikk

Belső piaci elvek

(1) Minden tagállam a saját területén letelepedett hitelesítésszolgáltatókra és az általuk nyújtott szolgáltatásokra alkalmazza az ezen irányelv alapján általa elfogadott nemzeti rendelkezéseket. A tagállamok az ezen irányelv hatálya alá tartozó szabályozási területeken nem korlátozhatják a másik tagállamból származó hitelesítésszolgáltatások nyújtását.

(2) A tagállamok gondoskodnak az ezen irányelvnek megfelelő elektronikus aláírási termékek belső piaci szabad forgalmáról.

5. cikk

Az elektronikus aláírások joghatása

(1) A tagállamok biztosítják, hogy a minősített tanúsítványon alapuló és biztonságos aláírás-létrehozó eszközzel létrehozott, fokozott biztonságú elektronikus aláírások:

a) ugyanúgy megfeleljenek az elektronikus adathoz kapcsolódó aláírásra vonatkozó jogi követelményeknek, ahogy a saját kezű aláírás megfelel a papíron megjelenő adatokra vonatkozó ilyen követelményeknek; és

b) bírósági eljárásokban bizonyítékként elfogadhatók legyenek.

(2) A tagállamok biztosítják, hogy az elektronikus aláírás joghatását és bírósági eljárásokban bizonyítékként való elfogadhatóságát ne tagadják meg kizárólag amiatt, hogy:

- az aláírás elektronikus formában létezik, vagy

- nem minősített tanúsítványon alapul, vagy

- nem akkreditált hitelesítésszolgáltató által kibocsátott minősített tanúsítványon alapul, vagy

- nem biztonságos aláírás-létrehozó eszközzel hozták létre.

6. cikk

Felelősség

(1) A tagállamok legalább azt biztosítják, hogy egy tanúsítványnak minősített tanúsítványként történő nyilvános kibocsátása által, illetve az ilyen tanúsítványért történő nyilvános garanciavállalás által, a hitelesítésszolgáltató felelősséggel tartozzon minden kárért, amelyet bármely olyan intézménynek, jogi vagy természetes személynek okozott, amely, illetve aki ésszerűen bízik abban, hogy:

a) a minősített tanúsítvány kibocsátásának időpontjában a benne foglalt valamennyi adat helyes volt, továbbá, hogy a tanúsítvány minden, a minősített tanúsítvány esetében előírt adatot tartalmaz;

b) a tanúsítvány garantálja, hogy a kibocsátásának időpontjában a minősített tanúsítványban azonosított aláíró birtokában volt a tanúsítványban megadott vagy azonosított aláírás-ellenőrző adatoknak megfelelő aláírás-létrehozó adatoknak;

c) a tanúsítvány garantálja, hogy az aláírás-létrehozó adatok és az aláírás-ellenőrző adatok egymást kiegészítve használhatók, amennyiben mindkét adattípust a hitelesítésszolgáltató hozza létre;

kivéve, ha a hitelesítésszolgáltató bizonyítja, hogy nem terheli gondatlanság.

(2) A tagállamok legalább azt biztosítják, hogy az a hitelesítésszolgáltató, aki, illetve amely valamely tanúsítványt minősített tanúsítványként nyilvánosan kibocsát, felelősséggel tartozzon a tanúsítvány visszavonása nyilvántartásba vételének elmulasztásából eredő minden kárért, amelyet bármely olyan intézménynek, illetve jogi vagy természetes személynek okozott, aki, illetve amely ilyen tanúsítványra ésszerűen támaszkodik, kivéve ha a hitelesítésszolgáltató bizonyítja, hogy nem terheli gondatlanság.

(3) A tagállamok biztosítják, hogy a hitelesítésszolgáltató a minősített tanúsítványon feltüntethesse a tanúsítvány felhasználásának korlátait, azzal a feltétellel, hogy e korlátok harmadik személyek számára felismerhetők legyenek. A hitelesítésszolgáltató nem felel azért a kárért, amely egy minősített tanúsítványnak a felhasználására megállapított korlátokon túllépő felhasználásából származik.

(4) A tagállamok biztosítják, hogy a hitelesítésszolgáltató a minősített tanúsítványban megjelölhesse azoknak az ügyleteknek az értékhatárát, amelyekre a tanúsítvány alkalmazható, azzal a feltétellel, hogy ez az értékhatár harmadik személyek számára felismerhető legyen.

A hitelesítésszolgáltató nem vonható felelősségre az e felső határérték túllépéséből származó károkért.

(5) Az (1)–(4) bekezdések rendelkezései nem sértik a fogyasztókkal kötött szerződésekben alkalmazott tisztességtelen feltételekről szóló, 1993. április 5-i 93/13/EGK tanácsi irányelvet [8].

7. cikk

Nemzetközi rendelkezések

(1) A tagállamok biztosítják, hogy azokat a tanúsítványokat, amelyeket egy harmadik országban letelepedett hitelesítésszolgáltató minősített tanúsítványként nyilvánosan kibocsát, a Közösségben letelepedett hitelesítésszolgáltató által kibocsátott tanúsítvánnyal jogilag egyenértékűnek ismerjék el, amennyiben:

a) a hitelesítésszolgáltató megfelel az irányelvben megállapított követelményeknek, és valamely tagállamban létrehozott önkéntes akkreditációs rendszer keretében akkreditálták; vagy

b) egy, a Közösségben letelepedett és az ezen irányelvben megállapított követelményeknek megfelelő hitelesítésszolgáltató garanciát vállal a tanúsítványért; vagy

c) a tanúsítványt vagy a hitelesítésszolgáltatót két- vagy többoldalú, a Közösség és harmadik országok vagy nemzetközi szervezetek között létrejött megállapodás értelmében elismerik.

(2) A harmadik országokat érintő, határokon átnyúló hitelesítésszolgáltatások megkönnyítése és a harmadik országból származó, fokozott biztonságú elektronikus aláírások jogi elismerésének elősegítése érdekében, a Bizottság szükség esetén javaslatot tesz a hitelesítésszolgáltatásokra alkalmazandó szabványok és nemzetközi megállapodások hatékony alkalmazására. Különösen javaslatot terjeszt – szükség esetén – a Tanács elé a harmadik országokkal vagy nemzetközi szervezetekkel két- vagy többoldalú megállapodásokról folytatandó tárgyalásokhoz szükséges megfelelő meghatalmazás tárgyában. A Tanács minősített többséggel dönt.

(3) Ha a Bizottság a közösségi vállalkozások számára a harmadik országok piacaira való bejutás kapcsán felmerülő nehézségekről értesül, szükség esetén javaslatot terjeszthet a Tanács elé azzal a céllal, hogy megkapja a szükséges meghatalmazást arra, hogy e harmadik országokkal a közösségi vállalkozásokra vonatkozó hasonló jogokról tárgyalásokat folytasson. A Tanács minősített többséggel dönt.

Az e bekezdés alapján megtett intézkedések nem sértik a Közösség és a tagállamok megfelelő nemzetközi megállapodások alapján fennálló kötelezettségeit.

8. cikk

Adatvédelem

(1) A tagállamok biztosítják, hogy a hitelesítésszolgáltatók és az akkreditációt, illetve a felügyeletet ellátó nemzeti szervek feleljenek meg a személyes adatok kezelése vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelvben [9] megállapított feltételeknek.

(2) A tagállamok biztosítják, hogy a tanúsítványokat nyilvánosan kibocsátó hitelesítésszolgáltatók kizárólag közvetlenül az érintettől vagy az érintett kifejezett hozzájárulásával gyűjthessenek személyes adatokat, és csak annyiban, amennyiben az adott tanúsítvány kibocsátásához és megőrzéséhez szükséges. Az adatok az érintett kifejezett hozzájárulása nélkül más célra nem gyűjthetők és más céllal nem dolgozhatók fel.

(3) A nemzeti jogszabályok által az álneveknek tulajdonított joghatások sérelme nélkül, a tagállamok nem gátolják meg, hogy a hitelesítésszolgáltatók a tanúsítványokban álnevet tüntessenek fel az aláíró neve helyett.

9. cikk

A bizottság

(1) A Bizottság munkáját az "elektronikus aláírásokkal foglalkozó bizottság" – a továbbiakban "a bizottság" – segíti.

(2) Ha erre a bekezdésre történik hivatkozás, az 1999/468/EK határozat 4. és 7. cikkét kell alkalmazni, tekintettel az említett határozat 8. cikkére.

Az 1999/468/EK határozat 4. cikkének (3) bekezdésében megállapított időtartam három hónap.

(3) A bizottság elfogadja eljárási szabályzatát.

10. cikk

A bizottság feladatai

A bizottság – a 9. cikk (2) bekezdésében megállapított eljárásnak megfelelően – pontosítja az ezen irányelv mellékleteiben megállapított követelményeket, a 3. cikk (4) bekezdésében említett kritériumokat és az elektronikus aláírási termékekre vonatkozó, a 3. cikk (5) bekezdése alapján megállapított és közzétett, általánosan elismert szabványokat.

11. cikk

Értesítés

(1) A tagállamok értesítik a Bizottságot és a többi tagállamot a következőkről:

a) a nemzeti önkéntes akkreditációs rendszerekre vonatkozó információk, beleértve a 3. cikk (7) bekezdése szerinti minden további előírást;

b) az akkreditációt és felügyeletet ellátó nemzeti szervek, továbbá a 3. cikk (4) bekezdésében említett szervek neve és címe;

c) az összes akkreditált nemzeti hitelesítésszolgáltató neve és címe.

(2) Az (1) bekezdés alapján szolgáltatott adatokat és az azokat érintő változásokat a tagállamok a lehető legrövidebb időn belül küldik meg.

12. cikk

Felülvizsgálat

(1) A Bizottság felülvizsgálja ennek az irányelvnek a működését, és erről legkésőbb 2003. július 19-ig jelentést nyújt be az Európai Parlamentnek és a Tanácsnak.

(2) A felülvizsgálat során többek között fel kell mérni, hogy a technológiai, piaci és jogi fejleményeket figyelembe véve szükséges-e módosítani az irányelv alkalmazási körét. A jelentésnek elsősorban a harmonizáció aspektusainak a megszerzett tapasztalatokon alapuló értékelését kell tartalmaznia. A jelentéshez adott esetben jogalkotási javaslatot kell csatolni.

13. cikk

Végrehajtás

(1) A tagállamok hatályba léptetik azokat a törvényi, rendeleti és közigazgatási rendelkezéseket, amelyek szükségesek ahhoz, hogy ennek az irányelvnek 2001. július 19-ig megfeleljenek. Erről haladéktalanul tájékoztatják a Bizottságot.

Amikor a tagállamok elfogadják ezeket az intézkedéseket, azokban hivatkozni kell erre az irányelvre, vagy azokhoz hivatalos kihirdetésük alkalmával ilyen hivatkozást kell fűzni. A hivatkozás módját a tagállamok határozzák meg.

(2) A tagállamok közlik a Bizottsággal nemzeti joguknak azokat a főbb rendelkezéseit, amelyeket az ezen irányelv által szabályozott területen fogadnak el.

14. cikk

Hatálybalépés

Ez az irányelv az Európai Közösségek Hivatalos Lapjában való kihirdetésének napján lép hatályba.

15. cikk

Címzettek

Ennek az irányelvnek a tagállamok a címzettjei.

Kelt Brüsszelben, 1999. december 13-án.

az Európai Parlament részéről

az elnök

N. Fontaine

a Tanács részéről

az elnök

S. Hassi

[1] HL C 325., 1998.10.23., 5. o.

[2] HL C 40., 1999.2.15., 29. o.

[3] HL C 93., 1999.4.6., 33. o.

[4] Az Európai Parlament 1999. január 13-i véleménye (HL C 104., 1999.4.14., 49. o.), a Tanács 1999. június 28-i közös álláspontja (HL C 243., 1999.8.27., 33. o.) és az Európai Parlament 1999. október 27-i határozata (a Hivatalos Lapban még nem tették közzé). A Tanács 1999. november 30-i határozata.

[5] HL L 367., 1994.12.31., 1. o. A 837/95/EK rendelet (HL L 90., 1995.4.21., 1. o.) által módosított rendelet.

[6] HL L 367., 1994.12.31., 8. o. A legutóbb a 99/193/KKBP határozat (HL L 73., 1999.3.19., 1. o.) által módosított határozat.

[7] HL L 184., 1999.7.17., 23. o.

[8] HL L 95., 1993.4.21., 29. o.

[9] HL L 281., 1995.11.23., 31. o.

--------------------------------------------------

I. MELLÉKLET

A minősített tanúsítványra vonatkozó követelmények

A minősített tanúsítványnak a következőket kell tartalmaznia:

a) utalás arra, hogy a tanúsítványt minősített tanúsítványként bocsátották ki;

b) a hitelesítésszolgáltató azonosítója, továbbá az az ország, amelyben székhellyel rendelkezik;

c) az aláíró neve, vagy pedig egy álnév, amely ilyenként azonosítandó;

d) olyan rendelkezés, amely alapján az aláíró valamely egyedi jellemzője – a tanúsítvány felhasználási céljától függően – adott esetben feltüntethető;

e) az aláíró által birtokolt aláírás-létrehozó adatnak megfelelő aláírás-ellenőrző adat;

f) a tanúsítvány érvényességi idejének kezdete és vége;

g) a tanúsítvány azonosító kódja;

h) a tanúsítványt kibocsátó hitelesítésszolgáltató fokozott biztonságú elektronikus aláírása;

i) adott esetben a tanúsítvány felhasználásának korlátai;

j) adott esetben azon ügyletek értékhatára, amelyekre vonatkozóan a tanúsítvány felhasználható.

--------------------------------------------------

II. MELLÉKLET

A minősített tanúsítványokat kiállító hitelesítésszolgáltatóra vonatkozó követelmények

A hitelesítésszolgáltató köteles:

a) bizonyítani a hitelesítésszolgáltatás nyújtásához szükséges megbízhatóságot;

b) gyors és biztonságos nyilvántartási szolgáltatás, valamint biztonságos és azonnali tanúsítvány-visszavonási szolgáltatás fenntartását biztosítani;

c) biztosítani azt, hogy a tanúsítványok kibocsátásának és visszavonásának dátuma és időpontja pontosan meghatározható legyen;

d) megfelelő eszközökkel a nemzeti jogszabályokkal összhangban igazolni annak a személynek az azonosságát, és – adott esetben – egyedi jellemzőit, akinek a részére a minősített tanúsítványt kibocsátották;

e) olyan munkatársakat alkalmazni, akik rendelkeznek a nyújtott szolgáltatásokhoz szükséges szaktudással, tapasztalattal és képesítéssel, valamint különösen hozzáértéssel a vezetők szintjén, szakértelemmel az elektronikus aláírási technológiában, és ismeretekkel a megfelelő biztonsági eljárásokat illetően; ezenfelül köteles olyan ügykezelési és ügyvezetési eljárásokat alkalmazni, amelyek az elismert szabványoknak megfelelnek;

f) megbízható rendszereket és termékeket használni, amelyek a változtatásokkal szemben védettek és biztosítják az általuk támogatott eljárások műszaki és titkosítási biztonságát;

g) intézkedni a tanúsítványok hamisítása ellen, valamint abban az esetben, ha a hitelesítésszolgáltató hozza létre az aláírás-létrehozó adatokat, az ilyen adatok létrehozása során a bizalmas kezelést biztosítani;

h) megfelelő pénzügyi erőforrásokkal rendelkezni az irányelvben megfogalmazott előírásoknak megfelelő működéshez, és különösen – például megfelelő biztosítás kötése által – vállalni a kártérítési felelősség kockázatát;

i) az egy adott minősített tanúsítványra vonatkozó valamennyi lényeges információt megfelelő időszakon keresztül rögzíteni, elsősorban a tanúsításra vonatkozó bizonyíték bírósági eljárások során történő szolgáltatása céljából. Az ilyen rögzítés végezhető elektronikus úton;

j) tartózkodni azon személy aláírás-létrehozó adatainak a tárolásától, illetve másolásától, akinek kulcskezelési szolgáltatásokat nyújtott;

k) – mielőtt az elektronikus aláírásának tanúsítvánnyal történő hitelesítését igénylő személlyel szerződéses jogviszonyra lépne – tartós kommunikációs eszköz segítségével tájékoztatni az igénylőt a tanúsítvány használatának pontos feltételeiről, így többek között a használat esetleges korlátairól, önkéntes akkreditációs rendszer létezéséről, továbbá a panasztételre és a jogviták rendezésére szolgáló eljárásokról. Az ilyen, elektronikusan is továbbítható információt írásban és közérthetően kell rögzíteni. Az információ megfelelő részeit a tanúsítványra hivatkozó harmadik személy számára is – kérésére – rendelkezésre kell bocsátani;

l) megbízható rendszert használni a tanúsítványok ellenőrizhető formában történő tárolására, oly módon, hogy:

- kizárólag engedéllyel rendelkező személyek végezhessenek bejegyzéseket és változtatásokat,

- ellenőrizhető legyen az információ hitelessége,

- a tanúsítvány kizárólag a tanúsítvány jogosultjának hozzájárulásával legyen nyilvánosan kereshető, és

- az e biztonsági előírásokat veszélyeztető műszaki változások az üzemeltető számára érzékelhetővé váljanak.

--------------------------------------------------

III. MELLÉKLET

A biztonságos aláírás-létrehozó eszközökre vonatkozó követelmények

1. A biztonságos aláírás-létrehozó eszközöknek megfelelő műszaki és eljárási módok segítségével garantálniuk kell legalább azt, hogy:

a) az aláírás létrehozásához használt aláírás-létrehozó adatok gyakorlatilag csak egyszer jöhessenek létre, és titkosságuk ésszerű mértékig biztosított legyen;

b) az aláírás létrehozásához használt aláírás-létrehozó adatok kikövetkeztethetősége ésszerű mértékig kizárt legyen, az aláírás pedig a jelenleg rendelkezésre álló technológiát alkalmazó hamisítás ellen védett legyen;

c) az aláírás létrehozásához használt aláírás-létrehozó adatokat a jogszerűen aláíró személy megbízhatóan védeni tudja a mások általi felhasználással szemben.

2. A biztonságos aláírás-létrehozó eszközök nem módosíthatják az aláírással ellátandó adatokat, és nem akadályozhatják meg, hogy az adatokat az aláíró az aláírási eljárás előtt megtekintse.

--------------------------------------------------

IV. MELLÉKLET

A biztonságos aláírás-ellenőrzésre vonatkozó ajánlások

Az aláírás-ellenőrzési eljárás során kellő biztonsággal kell garantálni azt, hogy:

a) az aláírás ellenőrzésére használt adatok megfeleljenek az ellenőrző személy számára kijelzett adatoknak;

b) az aláírást megbízhatóan ellenőrizzék, és az ellenőrzés eredményét helyesen tüntessék fel;

c) az ellenőrző személy szükség szerint megbízhatóan meg tudja állapítani az aláírással ellátott adatok tartalmát;

d) megbízható módon igazolják az aláírás ellenőrzésekor szükséges tanúsítvány hitelességét és érvényességét;

e) az ellenőrzés eredményét és az aláíró azonosítóját helyesen tüntessék fel;

f) egyértelműen tüntessék fel az álnév használatának tényét; és

g) a biztonságot érintő minden változás nyomon követhető legyen.

--------------------------------------------------