Oficialusis leidinys L 013 , 19/01/2000 p. 0012 - 0020
Europos Parlamento ir Tarybos direktyva 1999/93/EB 1999 m. gruodžio 13 d. dėl Bendrijos elektroninių parašų reguliavimo sistemos EUROPOS PARLAMENTAS IR EUROPOS SĄJUNGOS TARYBA, atsižvelgdami į Europos bendrijos steigimo sutartį, ypač į jos 47 straipsnio 2 dalį, 55 ir 95 straipsnius, atsižvelgdami į Komisijos pasiūlymą [1], atsižvelgdami į Ekonomikos ir socialinių reikalų komiteto nuomonę [2], atsižvelgdami į Regionų komiteto nuomonę [3], laikydamiesi Sutarties 251 straipsnyje nustatytos tvarkos [4], kadangi: (1) 1997 m. balandžio 16 d. Europos Parlamentui, Tarybai, Ekonomikos ir socialinių reikalų komitetui bei Regionų komitetui Komisija pristatė komunikatą dėl Europos iniciatyvos elektroninės komercijos srityje; (2) 1997 m. spalio 8 d. Europos Parlamentui, Tarybai, Ekonomikos ir socialinių reikalų komitetui bei Regionų komitetui Komisija pristatė komunikatą dėl elektroninio ryšio saugumo ir pasitikėjimo užtikrinimo, kuriant skaitmeninių parašų ir šifravimo reguliavimo sistemą Europoje; (3) 1997 m. gruodžio 1 d. Taryba paprašė Komisiją kuo skubiau pateikti pasiūlymą dėl Europos Parlamento ir Tarybos direktyvos dėl skaitmeninių parašų; (4) elektroniniam ryšiui ir elektroninei komercijai yra būtini "elektroniniai parašai" ir atitinkamos paslaugos, leidžiančios patvirtinti duomenų autentiškumą; skirtingos taisyklės, nustatančios teisinį elektroninių parašų pripažinimą ir sertifikavimo paslaugų teikėjų akreditavimą, valstybėse narėse gali sudaryti rimtų kliūčių naudojantis elektroniniais ryšiais bei elektronine komercija; kita vertus, aiški Bendrijos elektroninių parašų reguliavimo sistema sustiprins pasitikėjimą naujomis technologijomis ir apskritai padarys jas priimtinesnes; valstybių narių teisės aktai neturi kliudyti laisvam prekių ir paslaugų judėjimui vidaus rinkoje; (5) turi būti skatinama elektroninio parašo produktų sąveika; pagal Sutarties 14 straipsnį vidaus rinka apima teritoriją be vidaus sienų, kurioje yra užtikrinamas laisvas prekių judėjimas; turi būti pripažįstami pagrindiniai elektroninio parašo produktams būdingi reikalavimai, siekiant užtikrinti laisvą judėjimą vidaus rinkoje ir pasitikėjimą elektroniniais parašais, nepažeidžiant 1994 m. gruodžio 19 d. Tarybos reglamento (EB) Nr. 3381/94, nustatančio dvejopo naudojimo prekių eksporto kontrolės tvarką Bendrijoje [5], ir 1994 m. gruodžio 19 d. Tarybos sprendimo 94/942/BUSP dėl bendrųjų veiksmų, kuriuos Taryba patvirtino dėl dvejopo naudojimo prekių eksporto kontrolės [6]; (6) ši direktyva nesuvienodina reikalavimų informacijos konfidencialumo užtikrinimo paslaugoms, jeigu šias paslaugas reglamentuoja nacionalinės nuostatos, susijusios su viešąja tvarka ir visuomenės saugumu; (7) vidaus rinka užtikrina laisvą asmenų judėjimą, todėl Europos Sąjungos piliečiams ir nuolatiniams gyventojams vis dažniau tenka susidurti su kitų, ne savo gyvenamosios vietos valstybių narių valdžios institucijomis; galimybė naudotis elektroniniais ryšiais šiais atvejais galėtų būti labai naudinga; (8) greita technologijų plėtra ir interneto paplitimas visame pasaulyje reikalauja plėtoti atvirą požiūrį į elektroninio duomenų autentiškumo patvirtinimo technologijas ir paslaugas; (9) elektroniniai parašai bus naudojami labai įvairiomis aplinkybėmis ir atvejais, todėl atsiras daug naujų produktų ir paslaugų, susijusių su elektroniniais parašais arba jų naudojimu; tokių produktų ir paslaugų apibrėžimas neturi apsiriboti sertifikatų išdavimu ir tvarkymu, o turi apimti ir visus kitus elektroninio parašo produktus ir paslaugas, įskaitant pagalbines, tokias kaip registravimas, laiko žymos formavimas, katalogo tvarkymas, skaičiavimas arba konsultavimas; (10) sertifikavimo paslaugų teikėjams vidaus rinka leidžia plėtoti tarpvalstybinę veiklą, siekiant padidinti jų konkurencingumą ir taip sudaryti vartotojams bei įmonėms naujų galimybių saugiai keistis informacija ir prekiauti elektroniniu būdu, nepaisant sienų; siekiant skatinti sertifikavimo paslaugų teikimą visoje Bendrijoje naudojant atviruosius tinklus, sertifikavimo paslaugų teikėjams turi būti sudarytos galimybės teikti savo paslaugas be išankstinio leidimo; išankstinis leidimas reiškia ne tik nacionalinės valdžios išduodamą leidimą, kurį atitinkamas sertifikavimo paslaugų teikėjas turi gauti prieš pradėdamas teikti sertifikavimo paslaugas, bet ir bet kurias kitas tokio paties poveikio priemones; (11) savanoriškos akreditacijos sistemos, kurių tikslas yra geresnė paslaugų teikimo kokybė, sertifikavimo paslaugų teikėjams gali būti tinkamos gairės toliau didinant pasitikėjimą paslaugomis, keliant jų saugumą ir kokybę, ko reikalauja besivystanti rinka; tokios sistemos turi skatinti sertifikavimo paslaugų teikėjus perimti pažangiausią praktiką; sertifikavimo paslaugų teikėjams turi būti leidžiama laisvai pasirinkti, ar jungtis prie tokių akreditacijos sistemų ir naudotis jų teikiama nauda, ar ne; (12) sertifikavimo paslaugas gali siūlyti viešasis subjektas arba juridinis ar fizinis asmuo, jeigu taip yra nustatyta pagal nacionalinę teisę; valstybės narės neturi drausti sertifikavimo paslaugų teikėjams veikti ne pagal savanoriškos akreditacijos sistemas; reikėtų užtikrinti, kad tokios akreditacijos sistemos nesilpnintų sertifikavimo paslaugų konkurencijos; (13) valstybės narės gali pačios spręsti, kaip užtikrinti šios direktyvos nuostatų laikymosi priežiūrą; ši direktyva nedraudžia kurti priežiūros sistemų privačiame sektoriuje; ši direktyva neįpareigoja sertifikavimo paslaugų teikėjų kreiptis dėl priežiūros pagal kurią nors galiojančią akreditacijos sistemą; (14) svarbu sudaryti pusiausvyrą tarp vartotojo ir verslo poreikių; (15) III priede yra nustatyti reikalavimai saugiai parašo formavimo įrangai, siekiant užtikrinti saugių elektroninių parašų funkcionalumą; jame nenustatomi reikalavimai visai sistemos aplinkai, kurioje tokia įranga veikia; vidaus rinkos egzistavimas reikalauja, kad Komisija ir valstybės narės veiktų greitai, paskiriant institucijas, atsakingas už įvertinimą, ar saugi parašo įranga atitinka III priedo reikalavimus; siekiant patenkinti rinkos poreikius, atitikties įvertinimas turi būti atliktas laiku ir veiksmingai; (16) ši direktyva prisideda prie elektroninių parašų naudojimo ir jų teisinio pripažinimo Bendrijoje; elektroniniams parašams, naudojamiems išimtinai tik sistemose, kurios yra paremtos savanoriškomis, pagal privatinę teisę sudarytomis sutartimis tarp tam tikro dalyvių skaičiaus, reguliavimo sistema nereikalinga; šalių laisvė tarpusavyje susitarti dėl sąlygų, pagal kurias jos priimtų elektroniniu būdu pasirašytus duomenis, turi būti pripažįstama tiek, kiek tai leidžia nacionalinė teisė; turi būti pripažintas teisinis tokiose sistemose naudojamų elektroninių parašų galiojimas bei jų, kaip įrodymų, leistinumas teismo procese; (17) ši direktyva nesiekia suderinti su sutarčių teise susijusių nacionalinių taisyklių, ypač sutarčių sudarymo ir jų vykdymo arba kitų nesutartinių, su parašais susijusių formalumų; todėl nuostatos dėl elektroninių parašų teisinės galios negali prieštarauti nacionalinės teisės nustatytiems formos reikalavimams, susijusiems su sutarčių sudarymu arba sutarties sudarymo vietą nustatančiomis taisyklėmis; (18) parašo formavimo duomenų laikymas ir kopijavimas gali kelti grėsmę elektroninių parašų teisiniam galiojimui; (19) elektroniniai parašai bus naudojami valstybės sektoriuje nacionalinių bei Bendrijos administracijų, taip pat tokioms valdymo institucijoms palaikant ryšius tarpusavyje bei su piliečiais ir ūkio subjektais, pvz., viešųjų pirkimų, mokesčių, socialinės apsaugos, sveikatos ir teisingumo sistemų srityje; (20) suderinti elektroninių parašų teisinės galios kriterijai išsaugos vientisą teisinę sistemą visoje Bendrijoje; nacionalinė teisė numato skirtingus reikalavimus rašytinių parašų teisiniam galiojimui; kadangi sertifikatai gali būti naudojami elektroniniu būdu pasirašančio asmens tapatybei patvirtinti; saugiais elektroniniais parašais, paremtais kvalifikuotais sertifikatais, siekiama didesnio saugumo; saugūs elektroniniai parašai, paremti kvalifikuotais sertifikatais ir sukurti saugia parašo formavimo įranga, gali būti laikomi teisiškai lygiaverčiais rašytiniams parašams tik tuo atveju, jeigu yra patenkinami rašytiniams parašams keliami reikalavimai; (21) siekiant prisidėti prie autentiškumo patvirtinimo elektroniniu būdu metodų visuotinio pripažinimo, reikia užtikrinti, kad elektroniniai parašai galėtų būti naudojami kaip įrodymai teismo procese visose valstybėse narėse; elektroninių parašų teisinis pripažinimas turi būti pagrįstas objektyviais kriterijais ir neturi būti susijęs su atitinkamo sertifikavimo paslaugų teikėjo leidimu; nacionalinė teisė reglamentuoja teisines sritis, kuriose gali būti naudojami elektroniniai dokumentai ir elektroniniai parašai; ši direktyva neriboja nacionalinio teismo teisės priimti nutarimą dėl šios direktyvos reikalavimų atitikties ir neturi įtakos nacionalinėms taisyklėms, reglamentuojančioms nesuvaržyto įrodymų svarstymo teisme; (22) sertifikavimo paslaugų teikėjams, teikiantiems sertifikavimo paslaugas visuomenei, taikomos nacionalinės atsakomybę reglamentuojančios taisyklės; (23) tarptautinei elektroninės komercijos plėtrai reikalingi tarpvalstybiniai susitarimai su trečiosiomis šalimis; siekiant užtikrinti sąveiką pasauliniu mastu, galėtų būti naudingi susitarimai su trečiosiomis šalimis dėl daugiašalių taisyklių, reglamentuojančių sertifikavimo paslaugų abipusį pripažinimą; (24) siekiant padidinti vartotojų pasitikėjimą elektroniniais ryšiais ir elektronine komercija, sertifikavimo paslaugų teikėjai turi laikytis duomenų apsaugą reglamentuojančių teisės aktų ir nenusižengti asmens privatumui; (25) nuostatos dėl slapyvardžių sertifikatuose naudojimo neturėtų neleisti valstybėms narėms reikalauti asmens tapatybės nustatymo pagal Bendrijos arba nacionalinę teisę; (26) šiai direktyvai įgyvendinti reikalingos priemonės turi būti patvirtintos vadovaujantis 1999 m. birželio 28 d. Tarybos sprendimu 1999/468/EB, nustatančiu Komisijos naudojimosi jai suteiktais įgyvendinimo įgaliojimais tvarką [7]; (27) praėjus dvejiems metams po įgyvendinimo, Komisija šią direktyvą peržiūri, kad, be kita ko, užtikrintų, jog technologijų pažanga arba teisinės aplinkos pokyčiai nėra sudarę kliūčių siekti šioje direktyvoje nustatytų tikslų; Komisija turi ištirti susijusių techninių sričių reikšmę ir pateikti ataskaitą apie tai Europos Parlamentui bei Tarybai; (28) vadovaujantis Sutarties 5 straipsnyje apibrėžtais subsidiarumo ir proporcingumo principais, valstybės narės negali sukurti pakankamai suderintos elektroninių parašų naudojimo ir atitinkamų paslaugų teikimo teisinės reguliavimo sistemos, todėl geriau šio tikslo siekti Bendrijai; ši direktyva nenustato jokių priemonių, kurios nėra būtinos siekiant šio tikslo, PRIĖMĖ ŠIĄ DIREKTYVĄ: 1 straipsnis Taikymo sritis Šia direktyva siekiama palengvinti elektroninių parašų naudojimą ir prisidėti siekiant jų teisinio pripažinimo. Ji nustato elektroninių parašų ir tam tikrų sertifikavimo paslaugų teisino reguliavimo sistemas, kad būtų užtikrintas tinkamas vidaus rinkos funkcionavimas. Ji nereglamentuoja su sutarčių sudarymu ir galiojimu arba kitomis teisinėmis prievolėmis susijusių aspektų, jeigu esama nacionalinės arba Bendrijos teisės nustatytų formos reikalavimų, ir neturi įtakos taisyklėms bei apribojimams, nustatytiems nacionaliniuose arba Bendrijos teisės aktuose, reglamentuojančiuose dokumentų naudojimą. 2 straipsnis Sąvokų apibrėžimai Šioje direktyvoje: 1) "elektroninis parašas" – elektronine forma pateikti duomenys, kurie yra prijungti prie kitų elektroninių duomenų arba yra logiškai susieti su jais ir kurie yra naudojami kaip autentiškumo patvirtinimo būdas; 2) "saugus elektroninis parašas" – elektroninis parašas, atitinkantis šiuos reikalavimus: a) vienareikšmiškai susijęs su pasirašančiu asmeniu; b) leidžia nustatyti pasirašančio asmens tapatybę; c) sukurtas priemonėmis, kurias pasirašantis asmuo gali kontroliuoti tik savo valia; d) susijęs su pasirašytais duomenimis taip, kad bet koks šių duomenų pakeitimas yra pastebimas; 3) "pasirašantis asmuo" – asmuo, kuris turi parašo formavimo įrangą ir veikia savo arba atstovaujamojo fizinio ar juridinio asmens arba subjekto vardu; 4) "parašo formavimo duomenys" – unikalūs duomenys, kaip antai kodai arba privatieji šifravimo raktai, kuriuos pasirašantis asmuo naudoja kurdamas elektroninį parašą; 5) "parašo formavimo įranga" – programinė arba techninė kompiuterio įranga, pritaikyta parašo formavimo duomenims laikyti ir naudoti; 6) "saugi parašo formavimo įranga" – parašo formavimo įranga, atitinkanti III priede nurodytus reikalavimus; 7) "parašo tikrinimo duomenys" – duomenys, tokie kaip kodai arba viešieji šifro raktai, kurie yra naudojami elektroniniam parašui tikrinti; 8) "parašo tikrinimo įranga" – programinė arba techninė kompiuterio įranga, pritaikyta parašo tikrinimo duomenims laikyti ir naudoti; 9) "sertifikatas" – elektroninis liudijimas, kuris susieja parašo tikrinimo duomenis su asmeniu ir patvirtina to asmens tapatybę; 10) "kvalifikuotas sertifikatas" – sertifikatas, atitinkantis I priede nurodytus reikalavimus ir išduotas II priede nustatytus reikalavimus atitinkančio sertifikavimo paslaugų teikėjo; 11) "sertifikavimo paslaugų teikėjas" – subjektas arba juridinis ar fizinis asmuo, kuris išduoda sertifikatus arba teikia kitas paslaugas, susijusias su elektroniniais parašais; 12) "elektroninio parašo produktas" – programinė ar techninė kompiuterio įranga arba atitinkami jų komponentai, kuriuos sertifikavimo paslaugų teikėjai naudoja teikdami su elektroniniu parašu susijusias paslaugas arba kurie yra naudojami elektroniniams parašams kurti arba tikrinti; 13) "savanoriška akreditacija" – bet koks leidimas, nustatantis teises ir pareigas, susijusias tik su sertifikavimo paslaugų teikimu, kurį atitinkamam sertifikavimo paslaugų teikėjui jo prašymu suteikia valstybės arba privati institucija, atsakinga už tokių teisių ir pareigų sukūrimą, jų laikymosi priežiūrą, jeigu sertifikavimo paslaugų teikėjas neturi teisės naudotis iš leidimo atsirandančiomis teisėmis tol, kol minėta institucija nepriima dėl jo sprendimo. 3 straipsnis Patekimas į rinką 1. Valstybės narės nenustatys reikalavimo, jog norint teikti sertifikavimo paslaugas reikia gauti leidimą. 2. Nepažeisdamos 1 dalies nuostatų, valstybės narės gali įdiegti arba išlaikyti savanoriškos akreditacijos sistemas, kurių tikslas yra geresnė sertifikavimo paslaugų teikimo kokybė. Visos su tokiomis sistemomis susijusios sąlygos turi būti objektyvios, skaidrios, proporcingos ir nediskriminacinės. Valstybės narės negali apriboti akredituotų sertifikavimo paslaugų teikėjų skaičiaus dėl su šia direktyva susijusių priežasčių. 3. Kiekviena valstybė narė užtikrina, kad būtų sukurta tinkama sistema, leidžianti prižiūrėti jos teritorijoje įsisteigusius sertifikavimo paslaugų teikėjus, išduodančius kvalifikuotus sertifikatus visuomenei. 4. Valstybių narių paskirtos atitinkamos valstybės ar privačios institucijos nustato, ar saugi parašo formavimo įranga atitinka III priede nurodytus reikalavimus. Vadovaudamasi 9 straipsnyje nurodyta tvarka, Komisija nustato kriterijus, kurių pagrindu valstybės narės skiria institucijas. Visos valstybės narės pripažįsta pirmoje pastraipoje nurodytų institucijų atliktą atitikties įvertinimą III priede nustatytiems reikalavimams. 5. Vadovaudamasi 9 straipsnyje nurodyta tvarka, Komisija gali nustatyti elektroninio parašo produktų visuotinai pripažintų standartų žymenis ir paskelbti juos Europos Bendrijų oficialiajame leidinyje. Valstybės narės daro prielaidą, kad jeigu elektroninio parašo produktas atitinka tuos standartus, tai jis atitinka II priedo f punkte ir III priede nurodytus reikalavimus. 6. Valstybės narės ir Komisija bendradarbiauja skatinant parašo tikrinimo įrangos kūrimą ir naudojimą, atsižvelgdamos į IV priede pateiktas rekomendacijas dėl saugaus parašo tikrinimo bei vartotojo interesus. 7. Valstybės narės valstybės sektoriuje gali naudoti elektroninius parašus, kuriems šiuo atveju gali būti nustatyta papildomų reikalavimų. Tokie reikalavimai turi būti objektyvūs, skaidrūs, proporcingi ir nediskriminaciniai ir turi būti susiję tik su konkrečiomis atitinkamos taikomosios programos charakteristikomis. Tokie reikalavimai negali sudaryti kliūčių teikti piliečiams tarpvalstybines paslaugas. 4 straipsnis Vidaus rinkos principai 1. Kiekviena valstybė narė jos teritorijoje įsisteigusiems sertifikavimo paslaugų teikėjams ir jų teikiamoms paslaugoms taiko nacionalines nuostatas, kurias ji priima vadovaudamasi šia direktyva. Valstybės narės negali apriboti kitos valstybės kilmės sertifikavimo paslaugų teikimo srityse, kuriose taikoma ši direktyva. 2. Valstybės narės užtikrina, kad šios direktyvos reikalavimus atitinkantiems elektroninio parašo produktams būtų leista laisvai cirkuliuoti vidaus rinkoje. 5 straipsnis Elektroninio parašo teisinė galia 1. Valstybės narės užtikrina, kad saugūs elektroniniai parašai, paremti kvalifikuotu sertifikatu ir sukurti saugia parašo formavimo įranga: a) atitiktų parašo teisinius reikalavimus dėl elektronine forma pateiktų duomenų taip pat, kaip rašytiniai parašai atitinka tokius reikalavimus dėl duomenų popieriuje; ir b) būtų leistini kaip įrodymas teisme. 2. Valstybės narės užtikrina, kad nebūtų panaikinta elektroninio parašo teisinė galia ir jo, kaip įrodymo, leistinumas teisme vien tik dėl to, kad jis: - yra elektroninės formos arba - nėra paremtas kvalifikuotu sertifikatu, arba - nėra paremtas akredituoto sertifikavimo paslaugų teikėjo išduotu kvalifikuotu sertifikatu, arba - nėra sukurtas naudojant saugią parašo formavimo įrangą. 6 straipsnis Atsakomybė 1. Valstybės narės bent jau užtikrina, kad išduodamas arba garantuodamas kvalifikuotą sertifikatą visuomenei, sertifikavimo paslaugų teikėjas būtų atsakingas už žalą, padarytą bet kuriam subjektui arba juridiniam ar fiziniam asmeniui, kuris pagrįstai pasitiki tuo sertifikatu, tai yra būtų atsakingas už: a) visos išdavimo metu turėtos informacijos, kuri nurodyta kvalifikuotame sertifikate, tikslumą bei už tai, kad sertifikate būtų pateikta visa išsami informacija, kuri turi būti kvalifikuotame sertifikate; b) tai, kad būtų užtikrinta, jog sertifikato išdavimo metu kvalifikuotame sertifikate nurodytas pasirašantis asmuo turėjo parašo formavimo duomenis, atitinkančius parašo tikrinimo duomenis, pateiktus arba nurodytus sertifikate; c) tai, kad būtų užtikrinta, jog parašo formavimo duomenys ir parašo tikrinimo duomenys galėtų būti naudojami kaip vienas kitą papildantys tais atvejais, kai sertifikavimo paslaugų teikėjas pateikia abu; nebent sertifikavimo paslaugų teikėjas įrodo, kad jis nesielgė neatsargiai. 2. Valstybės narės bent jau užtikrina, kad sertifikavimo paslaugų teikėjas, kuris išduoda kvalifikuotą sertifikatą visuomenei, būtų atsakingas už žalą, padarytą bet kuriam subjektui arba juridiniam ar fiziniam asmeniui, pagrįstai pasitikinčiam sertifikatu, kuri atsirado dėl to, kad nebuvo užregistruotas sertifikato galiojimo nutraukimas, nebent sertifikavimo paslaugų teikėjas įrodo, kad nesielgė neatsargiai. 3. Valstybės narės užtikrina, kad kvalifikuotame sertifikate sertifikavimo paslaugų teikėjas galėtų nurodyti tam sertifikatui taikomus apribojimus, jeigu tuos apribojimus pripažįsta trečiosios šalys. Sertifikavimo paslaugų teikėjas neatsako už žalą, patiriamą dėl kvalifikuoto sertifikato naudojimo nepaisant nustatytų apribojimų. 4. Valstybės narės užtikrina, kad kvalifikuotame sertifikate sertifikavimo paslaugų teikėjas galėtų nurodyti sandorių, kuriuose sertifikatas gali būti naudojamas, sumos ribą, jeigu šią ribą pripažįsta trečiosios šalys. Sertifikavimo paslaugų teikėjas neatsako už žalą, atsirandančią viršijus šią didžiausią nustatytą ribą. 5. 1–4 dalių nuostatos neprieštarauja 1993 m. balandžio 5 d. Tarybos direktyvai 93/13/EEB dėl nesąžiningų sąlygų vartotojų sutartyse [8]. 7 straipsnis Tarptautiniai aspektai 1. Valstybės narės užtikrina, kad būtų pripažįstama, jog trečiojoje šalyje įsisteigusio sertifikavimo paslaugų teikėjo visuomenei išduoti kvalifikuoti sertifikatai būtų pripažinti teisiškai prilygstančiais Bendrijos teritorijoje įsisteigusio sertifikavimo paslaugų teikėjo išduotiems sertifikatams, jeigu: a) sertifikavimo paslaugų teikėjas atitinka šioje direktyvoje nustatytus reikalavimus ir yra akredituotas pagal valstybėje narėje nustatytą savanoriškos akreditacijos sistemą; arba b) Bendrijos teritorijoje įsisteigęs sertifikavimo paslaugų teikėjas, kuris atitinka šioje direktyvoje nustatytus reikalavimus, garantuoja sertifikatą; arba c) sertifikatas arba sertifikavimo paslaugų teikėjas yra pripažįstamas pagal dvišalę arba daugiašalę sutartį tarp Bendrijos ir trečiųjų šalių arba tarptautinių organizacijų. 2. Siekiant palengvinti tarpvalstybinių sertifikavimo paslaugų teikimą trečiosioms šalims ir teisinį trečiųjų šalių kilmės saugių elektroninių parašų pripažinimą, tam tikrais atvejais Komisija teikia pasiūlymus, siekdama veiksmingo sertifikavimo paslaugoms taikytinų standartų ir tarptautinių sutarčių įgyvendinimo. Visų pirma, kai būtina, ji pateikia pasiūlymus Tarybai dėl tinkamų įgaliojimų derantis dėl dvišalių ir daugiašalių sutarčių su trečiosiomis šalimis ir tarptautinėmis organizacijomis. Taryba priima sprendimą kvalifikuota balsų dauguma. 3. Kai Komisijai pranešama apie kokius nors sunkumus, su kuriais susiduria Bendrijos įmonės, norėdamos patekti į trečiųjų šalių rinką, ji gali, jeigu reikia, pateikti pasiūlymus Tarybai dėl tinkamų mandatų derantis dėl Bendrijos įmonių panašių teisių šiose trečiosiose šalyse. Taryba priima sprendimą kvalifikuota balsų dauguma. Priemonės, kurių imamasi vadovaujantis šia dalimi, neturi pažeisti Bendrijos bei valstybių narių įsipareigojimų pagal atitinkamas tarptautines sutartis. 8 straipsnis Duomenų apsauga 1. Valstybės narės užtikrina, kad sertifikavimo paslaugų teikėjai ir už akreditaciją arba priežiūrą atsakingos nacionalinės institucijos laikytųsi reikalavimų, nustatytų 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvoje 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo [9]. 2. Valstybės narės užtikrina, kad sertifikavimo paslaugų teikėjas, kuris išduoda visuomenei sertifikatus, galėtų rinkti asmens duomenis tik tiesiogiai iš subjekto, kuriam jie priklauso, arba gavęs oficialų šio subjekto sutikimą ir tik tiek, kiek reikia sertifikatui išduoti bei jam tvarkyti. Duomenys negali būti renkami ar apdorojami jokiais kitais tikslais be oficialaus subjekto, kuriam jie priklauso, sutikimo. 3. Nepažeidžiant slapyvardžių teisinės galios pagal nacionalinę teisę, valstybės narės nedraudžia sertifikavimo paslaugų teikėjams vietoj pasirašančio asmens vardo ir pavardės sertifikate nurodyti slapyvardį. 9 straipsnis Komitetas 1. Komisijai padeda Elektroninio parašo reikalų komitetas, toliau – Komitetas. 2. Darant nuorodą į šią dalį, yra taikomi Sprendimo 1999/468/EB 4 ir 7 straipsniai, atsižvelgiant į šio sprendimo 8 straipsnio nuostatas. Sprendimo 1999/468/EB 4 straipsnio 3 dalyje nurodytas laikotarpis yra trys mėnesiai. 3. Komitetas priima savo darbo tvarkos taisykles. 10 straipsnis Komiteto uždaviniai Komitetas aiškina šios direktyvos prieduose nustatytus reikalavimus, 3 straipsnio 4 dalyje minimus kriterijus ir elektroninio parašo produktų visuotinai pripažintus standartus, nustatytus ir paskelbtus vadovaujantis 3 straipsnio 5 dalyje bei 9 straipsnio 2 dalyje nurodyta tvarka. 11 straipsnis Pranešimai 1. Valstybės narės praneša Komisijai ir kitoms valstybėms narėms: a) informaciją apie nacionalines savanoriškos akreditacijos sistemas, įskaitant visus papildomus reikalavimus pagal 3 straipsnio 7 dalį; b) nacionalinių institucijų, atsakingų už akreditaciją ir priežiūrą, bei 3 straipsnio 4 dalyje nurodytų institucijų pavadinimus ir adresus; c) visų akredituotų sertifikavimo paslaugų teikėjų pavadinimus ir adresus. 2. Valstybės narės visą pirmoje dalyje minimą informaciją pateikia ir apie tos informacijos pasikeitimus praneša kaip galima greičiau. 12 straipsnis Persvarstymas 1. Komisija persvarsto, kaip veikia ši direktyva, ir apie tai praneša Europos Parlamentui bei Tarybai vėliausiai iki 2003 m. liepos 19 d. 2. Persvarstant, inter alia, įvertinama, ar dėl technologinių, rinkos ir teisinių pokyčių nereikia keisti šios direktyvos taikymo srities. Visų pirma pranešime pateikiamas suderinimo aspektų įvertinimas, remiantis įgyta patirtimi. Prireikus prie pranešimų pridedami siūlomi teisės aktų projektai. 13 straipsnis Įgyvendinimas 1. Valstybės narės priima įstatymus ir kitus teisės aktus, kurie, įsigalioję iki 2001 m. liepos 19 d., įgyvendina šią direktyvą. Apie tai jos nedelsdamos praneša Komisijai. Valstybės narės, tvirtindamos šias priemones, daro jose nuorodą į šią direktyvą arba tokia nuoroda daroma jas oficialiai skelbiant. Nuorodos darymo tvarką nustato valstybės narės. 2. Valstybės narės pateikia Komisijai šios direktyvos taikymo srityje priimtų pagrindinių vidaus teisės nuostatų tekstus. 14 straipsnis Įsigaliojimas Ši direktyva įsigalioja jos paskelbimo Europos Bendrijų oficialiajame leidinyje dieną. 15 straipsnis Adresatai Ši direktyva skirta valstybėms narėms. Priimta Briuselyje, 1999 m. gruodžio 13 d. Europos Parlamento vardu Pirmininkė N. Fontaine Tarybos vardu Pirmininkas S. Hassi [1] OL C 325, 1998 10 23, p. 5. [2] OL C 40, 1999 2 15, p. 29. [3] OL C 93, 1999 4 6, p. 33. [4] 1999 m. sausio 13 d. Europos Parlamento nuomonė (OL C 104, 1999 4 14, p. 49), 1999 m. birželio 28 d. Tarybos bendroji pozicija (OL C 243, 1999 8 27, p. 33) ir 1999 m. spalio 27 d. Europos Parlamento sprendimas (dar nepaskelbta Oficialiajame leidinyje). 1999 m. lapkričio 30 d. Tarybos sprendimas. [5] OL L 367, 1994 12 31, p. 1. Reglamentas su pakeitimais, padarytais Reglamentu (EB) Nr. 837/95 (OL L 90, 1995 4 21, p. 1). [6] OL L 367, 1994 12 31, p. 8. Sprendimas su paskutiniais pakeitimais, padarytais Sprendimu 99/193/BUSP (OL L 73, 1999 3 19, p. 1). [7] OL L 184, 1999 7 17, p. 23. [8] OL L 95, 1993 4 21, p. 29. [9] OL L 281, 1995 11 23, p. 31. -------------------------------------------------- I PRIEDAS Kvalifikuotų sertifikatų reikalavimai Kvalifikuotame sertifikate turi būti nurodyta: a) kad sertifikatas yra kvalifikuotas; b) sertifikavimo paslaugų teikėjo tapatybė ir valstybė, kurioje jis įsisteigęs; c) pasirašančio asmens vardas ir pavardė arba slapyvardis; pastarojo atveju nurodoma, kad tai slapyvardis; d) pasirašančio asmens specifinis požymis, jei tai reikalinga, atsižvelgiant į sertifikato naudojimo tikslą; e) parašo tikrinimo duomenys, atitinkantys parašo formavimo duomenis, kuriuos kontroliuoja pasirašantis asmuo; f) sertifikato galiojimo pradžia ir pabaiga; g) sertifikato identifikacinis kodas; h) sertifikavimo paslaugų teikėjo, kuris jį išduoda, saugus elektroninis parašas; i) sertifikato taikymo apribojimai, jei tokių yra; ir j) sandorių vertės, kurios negalima viršyti naudojant sertifikatą, apribojimai, jei tokių yra. -------------------------------------------------- II PRIEDAS Reikalavimai sertifikavimo paslaugų tiekėjams, išduodantiems kvalifikuotus sertifikatus Sertifikavimo paslaugų teikėjai turi: a) įrodyti patikimumą, būtiną teikiant sertifikavimo paslaugas; b) užtikrinti greito ir saugaus katalogo veikimą bei saugią ir skubią sertifikatų galiojimo panaikinimo paslaugą; c) užtikrinti, kad būtų galima tiksliai nustatyti sertifikato išdavimo arba jo galiojimo panaikinimo datą ir laiką; d) atitinkamomis priemonėmis ir laikydamiesi nacionalinių įstatymų patikrinti tapatybę ir visus asmens, kuriam išduodamas kvalifikuotas sertifikatas, specifinius požymius, jei jie naudojami; e) samdyti darbuotojus, kurie turi šioms paslaugoms teikti reikalingų profesinių žinių, patirties ir kvalifikaciją, ypač yra kompetentingi vadybos srityje, gerai išmano elektroninio parašo technologiją ir yra susipažinę su atitinkamomis saugumo procedūromis; jie taip pat privalo taikyti tinkamas administracines ir valdymo procedūras, kurios atitinka pripažintus standartus; f) naudoti patikimas sistemas ir produktus, kurie yra apsaugoti, kad nebūtų galima daryti pakeitimų, ir užtikrinti proceso, kuriame jie naudojami, techninį bei šifravimo saugumą; g) imtis priemonių, kad sertifikatų nebūtų įmanoma suklastoti, o tais atvejais, kai sertifikavimo paslaugų teikėjas sukuria parašo formavimo duomenis, užtikrinti jų konfidencialumą sukūrimo metu; h) visada turėti pakankamai finansinių išteklių, kad būtų dirbama laikantis šioje direktyvoje nurodytų reikalavimų, ypač kad būtų galima prisiimti atsakomybės už žalą riziką, pavyzdžiui, įsigyjant atitinkamą draudimą; i) tam tikrą laikotarpį registruoti visą su kvalifikuotu sertifikatu susijusią informaciją, ypač dėl to, kad būtų galima pateikti sertifikavimo įrodymus teismo proceso metu. Toks registravimas gali būti atliekamas elektroniniu būdu; j) nelaikyti ir nekopijuoti asmens, kuriam sertifikavimo paslaugų teikėjas suteikė šifravimo raktų tvarkymo paslaugas, parašo formavimo duomenų; k) prieš sudarydami sutartinius santykius su asmeniu, norinčiu gauti sertifikatą, reikalingą savo elektroniniam parašui naudoti, tvariomis ryšio priemonėmis pranešti tam asmeniui tikslias sertifikato naudojimo sąlygas, įskaitant jo naudojimo apribojimus, savanoriškos akreditacijos sistemos egzistavimą ir skundų nagrinėjimo bei ginčų sprendimo tvarką. Tokia informacija, kuri gali būti perduodama elektroniniu būdu, turi būti rašytinė ir lengvai suprantama. Atitinkamos šios informacijos dalys taip pat turi būti pateikiamos tuo sertifikatu pasitikinčioms trečiosioms šalims, joms to paprašius; l) sertifikatų laikymui patikrinimui tinkama forma naudoti patikimas sistemas, kad: - tik įgalioti asmenys galėtų ten patekti ir daryti pakeitimus, - būtų galima patikrinti informacijos autentiškumą, - sertifikatai būtų viešai prieinami tik tais atvejais, kai yra gautas sertifikato turėtojo sutikimas, - operatoriui būtų matomi bet kokie techniniai pakeitimai, pažeidžiantys šiuos saugumo reikalavimus. -------------------------------------------------- III PRIEDAS Saugios parašo formavimo įrangos reikalavimai 1. Saugi parašo formavimo įranga atitinkamomis techninėmis ir procedūrinėmis priemonėmis privalo užtikrinti, kad: a) parašui sukurti naudojami parašo formavimo duomenys praktiškai negalėtų pasikartoti ir kad jų slaptumas būtų tinkamai užtikrintas; b) būtų patikima garantija, kad parašui sukurti naudojamų parašo formavimo duomenų nebūtų galima atkurti, o nuo klastojimo parašas būtų apsaugomas naudojant tuo metu turimas technologijas; c) parašui sukurti naudojamus parašo formavimo duomenis teisėtas pasirašantis asmuo galėtų patikimai apsaugoti, kad jais negalėtų naudotis kiti. 2. Saugi parašo formavimo įranga turi nekeisti duomenų, kuriuos ketinama pasirašyti, ir netrukdyti tokius duomenis pateikti pasirašančiam asmeniui prieš pasirašymą. -------------------------------------------------- IV PRIEDAS Rekomendacijos dėl saugaus parašo tikrinimo Tikrinant parašą, turi būti patikimai užtikrinta, kad: a) parašui tikrinti naudojami duomenys atitinka tikrintojui pateiktus duomenis; b) parašas patikimai patikrintas ir teisingai pateiktas to patikrinimo rezultatas; c) esant reikalui, tikrintojas gali patikimai nustatyti pasirašytų duomenų turinį; d) sertifikato, kuris yra reikalingas tikrinant parašą, autentiškumas ir galiojimas yra patikimai patikrinti; e) pateiktas teisingas patikrinimo rezultatas ir teisinga pasirašančio asmens tapatybė; f) aiškiai nurodyta, kad vartojamas slapyvardis; g) galėtų būti nustatyti su saugumu susiję pakeitimai. --------------------------------------------------