31999L0093Uradni list L 013 , 19/01/2000 str. 0012 - 0020


Direktiva Evropskega parlamenta In Sveta 1999/93/ES

z dne 13. decembra 1999

o okviru Skupnosti za elektronski podpis

EVROPSKI PARLAMENT IN SVET EVROPSKE UNIJE STA –

ob upoštevanju Pogodbe o ustanovitvi Evropske skupnosti, zlasti členov 47 (2), 55 in 95 Pogodbe,

ob upoštevanju predloga Komisije [1],

ob upoštevanju mnenja Ekonomsko-socialnega odbora [2],

ob upoštevanju mnenja Odbora regij [3],

v skladu s postopkom iz člena 251 Pogodbe [4],

ob upoštevanju naslednjega:

(1) Komisija je 16. aprila 1997 Evropskemu parlamentu, Svetu, Ekonomsko-socialnemu odboru in Odboru regij predložila Sporočilo o evropski pobudi na področju elektronskega poslovanja;

(2) Komisija je 8. oktobra 1997 Evropskemu parlamentu, Svetu, Ekonomsko-socialnemu odboru in Odboru regij predložila Sporočilo o zagotavljanju varnosti in zaupanja v elektronsko komuniciranje — oblikovanju evropskega okvira za digitalne podpise in šifriranje naproti;

(3) Svet je Komisijo 1. decembra 1997 zaprosil, da čim prej predloži predlog za direktivo Evropskega parlamenta in Sveta o digitalnih podpisih;

(4) elektronsko komuniciranje in poslovanje zahtevata elektronsko podpisovanje in ustrezne storitve za ugotavljanje verodostojnosti podatkov; različna pravila o pravnem priznavanju elektronskih podpisov in akreditaciji overiteljev v državah članicah bi lahko resno ovirala uporabo elektronskih komunikacij in elektronsko poslovanje; nasprotno bo oblikovanje jasnega okvira Skupnosti o pogojih za elektronsko podpisovanje prispevalo h krepitvi zaupanja v nove tehnologije in omogočilo, da bodo splošno sprejete; različni pravni predpisi držav članic ne bi smeli ovirati prostega pretoka blaga in storitev na notranjem trgu;

(5) pospeševati je treba interoperabilnost izdelkov za elektronsko podpisovanje; v skladu s členom 14 Pogodbe notranji trg zajema območje brez notranjih meja, v katerem je zagotovljen prost pretok blaga; spoštovati se morajo bistvene zahteve, ki veljajo posebej za izdelke za elektronsko podpisovanje, zato da se zagotovi prost pretok na notranjem trgu in spodbudi zaupanje v elektronski podpis, brez vpliva na Uredbo Sveta (ES) št. 3381/94 z dne 19. decembra 1994 o vzpostavitvi režima Skupnosti za nadzor izvoza blaga z dvojno rabo [5] in Sklep Sveta 94/942/SZVP z dne 19. decembra 1994 o skupnem ukrepu Sveta za nadzor izvoza blaga z dvojno rabo [6];

(6) ta direktiva ne usklajuje opravljanja storitev na področju zaupnosti informacij, če te storitve urejajo predpisi držav članic o javnem redu ali javni varnosti;

(7) notranji trg zagotavlja prost pretok oseb, zato imajo državljani in osebe s stalnim prebivališčem v Evropski uniji vedno pogosteje opraviti z organi v drugih državah članicah; možnost elektronskega komuniciranja bi bila lahko v tem pogledu zelo koristna;

(8) zaradi hitrega tehničnega napredka in svetovnega pomena interneta je treba uvesti pristop, ki upošteva različne tehnologije in storitve za elektronsko preverjanje pristnosti podatkov;

(9) elektronski podpis se bo uporabljal v zelo različnih okoliščinah in aplikacijah, zaradi česar se bo pojavila cela vrsta novih storitev in izdelkov v povezavi z elektronskim podpisom ali njegovo uporabo; opredelitev takšnih izdelkov in storitev ne bi smela biti omejena na izdajanje in upravljanje potrdil, temveč bi morala zajemati tudi vse druge storitve in izdelke, ki uporabljajo elektronski podpis ali so z njim povezani, kot so na primer storitve registriranja, časovnega žigosanja, imeniške storitve, računalniške ali svetovalne storitve v zvezi z elektronskim podpisom;

(10) notranji trg omogoča overiteljem razvoj njihovih čezmejnih dejavnosti, zato da bi se povečala njihova konkurenčnost in bi se porabnikom in podjetjem odprle nove možnosti za varno izmenjavo informacij in elektronsko poslovanje ne glede na meje; za spodbujanje opravljanja storitev overjanja prek odprtih omrežij na ravni Skupnosti je treba overiteljem omogočiti, da te storitve zagotavljajo neovirano brez predhodnega dovoljenja;predhodnodovoljenje ni samo dovoljenje, ki gamora overitelj pridobiti na podlagi odločbe organov v državah članicah, preden sme opravljati storitve overjanja, temveč tudi vsak drug ukrep z enakim učinkom;

(11) prostovoljne sheme akreditacije za zagotavljanje kakovostnejših storitev lahko ponudijo overiteljem ustrezen okvir za izboljšanje svojih storitev, zato da bi dosegli stopnjo zaupanja, varnosti in kakovosti, ki jo zahteva razvijajoči se trg; te sheme morajo spodbuditi razvoj najboljše prakse med overitelji; overitelji morajo imeti možnost izbire pri vključevanju v akreditacijske sheme in njihovi uporabi;

(12) storitve overjanja lahko opravlja javni subjekt, pravna ali fizična oseba, če posluje skladno s predpisi posamezne države članice; države članice overiteljem ne bi smele prepovedati delovanja zunaj prostovoljnih shem akreditacije; zagotoviti je treba, da taka akreditacijska shema ne bo omejevala konkurence na področju storitev overjanja;

(13) države članice lahko določijo način zagotavljanja nadzora v zvezi s spoštovanjem določb te direktive; ta direktiva ne izključuje uvajanja nadzornih sistemov iz zasebnega sektorja; ta direktiva ne zavezuje overiteljev, da zaprosijo za nadzor po katerikoli veljavni akreditacijski shemi;

(14) pomembno je najti ravnotežje med potrebami porabnikov in podjetij;

(15) Priloga III zajema zahteve v zvezi z napravami za varno tvorjenje podpisa zaradi zagotavljanja funkcionalnosti naprednega elektronskega podpisa; Priloga ne zajema celotnega sistemskega okolja, v katerem delujejo take naprave; zaradi ustreznega delovanja notranjega trga morajo Komisija in države članice hitro ukrepati in tako omogočiti imenovanje organov, ki bodo pristojni za ocenjevanje skladnosti naprav za varno tvorjenje podpisa s Prilogo III; zaradi potreb trga je nujno, da se ocenjevanje skladnosti izvaja pravočasno in učinkovito;

(16) ta direktiva prispeva k uporabi in pravnemu priznanju elektronskega podpisa v Skupnosti; ureditvenega okvira ni treba predvideti za elektronski podpis, ki se uporablja izključno znotraj sistemov, temelječih na prostovoljnih zasebnopravnih dogovorih med določenim številom udeležencev; glede dogovora o določilih in pogojih za sprejemanje elektronsko podpisanih podatkov je treba spoštovati svobodo strank v mejah, ki jih dovoljuje zakonodaja držav članic; treba je priznati pravno veljavnost elektronskega podpisa, ki se uporablja v teh sistemih, in njegovo sprejemljivost kot dokazno sredstvo v sodnih postopkih;

(17) namen te direktive ni usklajevanje pravil držav članic na področju pogodbenega prava, predvsem o sklenitvi in izvajanju pogodb ali drugih nepogodbenih formalnosti, ki se nanašajo na podpisovanje; zaradi tega določbe o pravni veljavnosti elektronskih podpisov ne smejo posegati v obveznosti o obliki, ki jih določa pravo držav članic v zvezi s sklenitvijo pogodb, kakor tudi ne v pravila v zvezi z določitvijo kraja sklenitve pogodbe;

(18) shranjevanje in kopiranje podatkov o oblikovanju podpisa lahko ogrozi pravno veljavnost elektronskega podpisa;

(19) elektronski podpisi se bodo uporabljali v javnem sektorju znotraj uprav držav članic in uprav Skupnosti in pri komuniciranju med upravami ter med njimi, državljani in gospodarskimi subjekti, na primer na področju javnih naročil, davkov, socialne varnosti, zdravstva in sodstva;

(20) usklajena merila o pravni veljavnosti elektronskega podpisa bodo zagotavljala usklajen pravni okvir v Skupnosti; pravni predpisi držav članic določajo različne zahteve glede pravne veljavnosti lastnoročnega podpisa; potrdila se lahko uporabljajo za potrjevanje istovetnosti elektronskega podpisnika; namen varnega elektronskega podpisa, ki temelji na kvalificiranih potrdilih, je zagotavljanje višje stopnje varnosti; napredni elektronski podpisi, ki temeljijo na kvalificiranih potrdilih in so oblikovani z napravo za varno tvorjenje podpisa, se v primerjavi z lastnoročnim podpisom lahko štejejo za pravno enakovredne samo pod pogojem, če so bile izpolnjene zahteve, ki veljajo za lastnoročno podpisovanje;

(21) da bi prispevali k splošni sprejemljivosti metod za preverjanje verodostojnosti, je treba zagotoviti, da se elektronski podpis lahko uporablja kot dokaz v sodnih postopkih v vseh državah članicah; pravno priznanje elektronskih podpisov mora temeljiti na objektivnih merilih in ne sme biti povezano z dovoljenjem overitelja; zakonodaja držav članic ureja pravna področja, na katerih se lahko uporabljajo elektronski dokumenti in elektronski podpisi; ta direktiva v ničemer ne posega v možnost sodne prakse posameznih držav članic, da odločijo o skladnosti z zahtevami te direktive, in tudi ne v pravila posameznih držav članic o svobodni sodni presoji dokazov;

(22) za overitelje, ki storitve overjanja opravljajo za javnost, velja zakonodaja posamezne države članice glede odgovornosti;

(23) razvoj mednarodnega elektronskega poslovanja zahteva sklenitev čezmejnih sporazumov, ki vključujejo tretje države; zaradi zagotavljanja globalne medsebojne interoperabilnosti bi bilo lahko koristno skleniti sporazume s tretjimi državami o večstranskih pravilih glede medsebojnega priznavanja overjanja;

(24) zaradi povečanja zaupanja uporabnikov v elektronsko komuniciranje in poslovanje morajo overitelji spoštovati zakonodajo o varstvu podatkov in zasebnost posameznika;

(25) določbe o uporabi psevdonimov v potrdilih ne bi smele ovirati držav članic pri zahtevi za identifikacijo oseb skladno s pravom Skupnosti ali države članice;

(26) ukrepi, potrebni za izvajanje te direktive, se sprejmejo skladno s Sklepom Sveta 1999/468/ES z dne 28. junija 1999 o določitvi postopkov za izvrševanje Komisiji podeljenih izvedbenih pooblastil [7];

(27) dve leti po njeni uveljavitvi bo Komisija to direktivo ponovno proučila, da bi med drugim zagotovila, da tehnološki razvoj ali spremembe pravnega okvira niso ustvarile ovir pri uresničevanju ciljev, določenih v tej direktivi; Komisija mora proučiti posledice za sorodna tehnična področja in o tem predložiti poročilo Evropskemu parlamentu in Svetu;

(28) skladno z načelom subsidiarnosti in sorazmernosti iz člena 5 Pogodbe, države članice cilja oblikovanja usklajenega pravnega okvira za zagotavljanje elektronskega podpisovanja in sorodnih storitev ne morejo zadovoljivo doseči same in ga zato laže uresniči Skupnost; ta direktiva ne presega tistega, kar je potrebno za dosego tega cilja –

SPREJELA NASLEDNJO DIREKTIVO:

Člen 1

Področje uporabe

Cilj te direktive je olajšati uporabo elektronskega podpisa in prispevati k njegovemu pravnemu priznanju. Direktiva oblikuje pravni okvir za elektronski podpis in nekatere storitve overjanja, da bi bilo zagotovljeno primerno delovanje notranjega trga.

Direktiva ne zajema vidikov, povezanih s sklenitvijo in veljavnostjo pogodb ali drugih pravnih obveznosti, če zahteve v zvezi z obliko predpisuje zakonodaja držav članic ali zakonodaja Skupnosti; prav tako ne posega v pravila in omejitve, ki urejajo uporabo dokumentov, predvidenih v zakonodaji držav članic ali zakonodaji Skupnosti.

Člen 2

Opredelitve

Za namene te direktive:

1. "elektronski podpis" pomeni podatek v elektronski obliki, ki je dodan k drugim elektronskim podatkom ali logično povezan z njimi in je namenjen preverjanju verodostojnosti;

2. "napreden elektronski podpis" je elektronski podpis, ki izpolnjuje naslednje zahteve:

(a) povezan je izključno s podpisnikom;

(b) iz njega je mogoče identificirati podpisnika;

(c) ustvarjen je s sredstvi, ki so izključno pod podpisnikovim nadzorom; in

(d) je tako povezan s podatki, na katere se nanaša, da je opazna vsaka kasnejša sprememba teh podatkov;

3. "podpisnik" je vsaka oseba, ki ima napravo za tvorjenje podpisa in deluje na svoj račun ali na račun fizične ali pravne osebe ali subjekta, ki ga zastopa;

4. "podatki za tvorjenje podpisa" so edinstveni podatki, kot so šifre ali zasebni šifrirni ključi, ki jih podpisnik uporablja za tvorjenje elektronskega podpisa;

5. "naprava za tvorjenje podpisa" je oblikovana programska ali strojna oprema za uporabo podatkov v zvezi z tvorjenjem podpisa;

6. "naprava za varno tvorjenje podpisa" je naprava za tvorjenje podpisa, ki izpolnjuje zahteve iz Priloge III;

7. "podatki za preverjanje podpisa" so podatki, kot so šifre ali javni šifrirni ključi, ki se uporabljajo za preverjanje elektronskega podpisa;

8. "naprava za preverjanje podpisa" je nastavljena programska ali strojna oprema za uporabo podatkov v zvezi s preverjanjem podpisa;

9. "potrdilo" je potrdilo v elektronski obliki, ki povezuje podatke za preverjanje podpisa z določeno osebo in potrjuje njeno istovetnost;

10. "kvalificirano potrdilo" je potrdilo, ki izpolnjuje zahteve iz Priloge I in ga zagotovi overitelj, ki izpolnjuje zahteve iz Priloge II;

(11) "overitelj" je subjekt, fizična ali pravna oseba, ki izdaja potrdila ali opravlja druge storitve v zvezi z elektronskim podpisom;

12. "izdelek za elektronsko podpisovanje" je strojna ali programska oprema ali njene specifične sestavine, ki jih overitelj uporablja za opravljanje storitev v zvezi z elektronskim podpisom ali se uporabljajo za tvorjenje ali preverjanje elektronskih podpisov;

13. "prostovoljna akreditacija" je vsako dovoljenje, ki določa pravice in obveznosti v zvezi z opravljanjem overjanja, ki ga na zahtevo zadevnega overitelja izda javni ali zasebni organ, pristojen za določanje pravic in obveznosti in za nadzor njihovega spoštovanja, če overitelj pravic, ki izhajajo iz dovoljenja, teh ne sme izvajati tako dolgo, dokler ne prejme odločbe organa.

Člen 3

Dostop na trg

1. Države članice opravljanja storitev overjanja ne smejo pogojevati z nobenim predhodnim dovoljenjem.

2. Brez vpliva na odstavek 1 lahko države članice uvedejo ali obdržijo prostovoljne akreditacijske sheme za zvišanje ravni overjanja. Vse zahteve v zvezi s temi shemami morajo biti nepristranske, pregledne, sorazmerne in nediskriminacijske. Države članice ne smejo omejiti števila akreditiranih overiteljev zaradi razlogov, ki spadajo v področje te direktive.

3. Vsaka država članica poskrbi za zagotovitev ustreznega sistema za nadzor overiteljev, ki imajo sedež na njenem ozemlju in izdajajo kvalificirana potrdila javnosti.

4. Skladnost naprav za varno elektronsko podpisovanje z zahtevami iz Priloge III ugotavljajo pristojni javni ali zasebni organi, ki jih imenujejo države članice. Komisija skladno s postopkom iz člena 9 določi merila, ki jih morajo države članice upoštevati pri imenovanju organov.

Skladnost z zahtevami iz Priloge III, ki so jo potrdili organi iz prvega pododstavka, priznajo vse države članice.

5. Komisija lahko skladno s postopkom iz člena 9 določi referenčne številke splošno priznanih standardov za opremo za elektronsko podpisovanje in jih objavi v Uradnem listu Evropskih skupnosti. Države članice štejejo, da oprema za elektronsko podpisovanje izpolnjuje zahteve iz Priloge II točke (f) in Priloge III, če je skladna s temi standardi.

6. Države članice in Komisija ob upoštevanju priporočil za varno preverjanje podpisa iz Priloge IV in v interesu porabnika sodelujejo pri pospeševanju razvijanja in uporabe naprav za preverjanje podpisa.

7. Države članice lahko pogojujejo uporabo elektronskega podpisa v javnem sektorju z morebitnimi dodatnimi zahtevami. Te zahteve morajo biti nepristranske, pregledne, sorazmerne in nediskriminacijske ter se morajo nanašati samo na posebne značilnosti zadevne uporabe. Te zahteve ne smejo ovirati čezmejnih storitev za državljane.

Člen 4

Načela notranjega trga

1. Vsaka država članica uporablja za overitelje, ki imajo sedež na njenem ozemlju, in za storitve, ki jih opravljajo, svoje določbe, sprejete skladno s to direktivo. Države članice ne morejo omejiti overjanja, ki se opravlja v drugi državi članici, na področjih, ki jih zajema ta direktiva.

2. Države članice na notranjem trgu zagotovijo prosti pretok izdelkov za elektronsko podpisovanje, ki so skladni s to direktivo,

Člen 5

Pravni učinki elektronskega podpisa

1. Države članice zagotovijo, da napredni elektronski podpisi, ki temeljijo na kvalificiranem potrdilu in so ustvarjeni z napravo za varno tvorjenje podpisa:

(a) izpolnjujejo pravne zahteve za podpis v zvezi s podatki v elektronski obliki na enak način kot izpolnjuje lastnoročni podpis zahteve v zvezi s podatki na papirju,

(b) so sprejemljivi v sodnih postopkih kot dokaz.

2. Države članice zagotovijo, da se pravni učinki elektronskega podpisa in njegova sprejemljivost kot dokazno sredstvo v sodnih postopkih ne spodbijajo samo zato, ker:

- je podpis v elektronski obliki ali

- ne temelji na kvalificiranem potrdilu ali

- ne temelji na kvalificiranem potrdilu, ki ga izda akreditirani overitelj ali

- ni oblikovan z napravo za varno tvorjenje podpisa.

Člen 6

Odgovornost

1. Države članice najmanj zagotovijo, da je overitelj s tem, da javno izda kvalificirano potrdilo ali zanj javno jamči, odgovoren za škodo, povzročeno kateremu koli subjektu, fizični ali pravni osebi, ki se zanaša da potrdilo:

(a) v času izdaje kvalificiranega potrdila vsebuje pravilne podatke in vse podrobnosti, ki so predpisane za kvalificirano potrdilo;

(b) zagotavlja, da je imel podpisnik, naveden v kvalificiranem potrdilu, v času izdaje potrdila na voljo podatke za elektronsko podpisovanje, ki ustrezajo podatkom za preverjanje elektronskega podpisa, navedene ali označene v potrdilu;

(c) zagotavlja, da se lahko uporabijo podatki za tvorjenje podpisa in podatki za preverjanje elektronskega podpisa dopolnjujoče v primerih, ko overitelj oblikuje oboje podatke,

razen če overitelj dokaže, da ni deloval malomarno.

2. Države članice zagotovijo vsaj, da je overitelj, ki je javno izdal potrdilo kot kvalificirano potrdilo, odgovoren za škodo, povzročeno organu, fizični ali pravni osebi, ki se upravičeno zanaša na potrdilo, zaradi opustitve vpisa preklica potrdila v register, razen če overitelj dokaže, da ni deloval malomarno.

3. Države članice zagotovijo, da lahko overitelj v kvalificiranem potrdilu navede omejitve njegove uporabe, če so omejitve prepoznavne tretjim osebam. Overitelj ne odgovarja za škodo, če uporaba kvalificiranega potrdila presega omejitve, določene za njegovo uporabo.

4. Države članice zagotovijo, da lahko overitelj v kvalificiranem potrdilu navede najvišje transakcijske vrednosti za njegovo uporabo, če je ta omejitev prepoznavna tretjim osebam.

Overitelj ne odgovarja za škodo, povzročeno zaradi prekoračitve te najvišje omejitve.

5. Določbe odstavkov od 1 do 4 se uporabljajo brez vpliva na Direktivo Sveta 93/13/EGS z dne 5. aprila 1993 o nepoštenih pogojih v potrošniških pogodbah [8].

Člen 7

Mednarodni vidiki

1. Države članice zagotovijo, da so potrdila, ki jih kot kvalificirana potrdila za javnost izda overitelj s sedežem v tretji državi, pravno enakovredna potrdilom, ki jih izda overitelj s sedežem v Skupnosti, če

(a) overitelj izpolnjuje pogoje iz te direktive in je akreditiran po prostovoljni shemi za akreditacijo v eni izmed držav članic ali

(b) overitelj s sedežem v Skupnosti, ki izpolnjuje pogoje iz te direktive, jamči za to potrdilo ali

(c) je potrdilo ali overitelj priznan v okviru dvostranskega ali večstranskega sporazuma med Skupnostjo in tretjimi državami ali mednarodnimi organizacijami.

2. Komisija po potrebi izdela predloge za učinkovito izvajanje standardov in mednarodnih sporazumov o overjanju, da bi olajšala čezmejno overjanje s tretjimi državami in pravno priznanje varnega elektronskega podpisa, ki izvira iz tretjih držav. Komisija predvsem, če je to potrebno, Svetu predstavi predloge v zvezi z ustreznimi pooblastili za pogajanja o dvo- in večstranskih sporazumih s tretjimi državami in mednarodnimi organizacijami. Svet odloča s kvalificirano večino.

3. Če je Komisija obveščena o težavah, s katerimi se srečujejo podjetja v Skupnosti pri dostopu na trg tretjih držav, lahko po potrebi Svet seznani s predlogi za dodelitev pooblastila, ki ga potrebuje za pogajanja o primerljivih pravicah za podjetja iz Skupnosti v teh tretjih državah. Svet odloča s kvalificirano večino.

Ukrepi, ki se sprejmejo skladno s tem odstavkom, ne posegajo v obveznosti Skupnosti in držav članic, ki izhajajo iz ustreznih mednarodnih sporazumov.

Člen 8

Varstvo podatkov

1. Države članice zagotovijo, da overitelji in nacionalni organi, ki so odgovorni za akreditacijo ali nadzor, izpolnjujejo zahteve iz Direktive Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov [9].

2. Države članice zagotovijo, da lahko overitelj, ki javno izdaja potrdila, osebne podatke pridobi samo neposredno od zadevne osebe ali z njeno izrecno privolitvijo in samo takrat, ko je to potrebno za izdajo in hrambo potrdila. Podatki se ne smejo zbirati in obdelovati v druge namene brez izrecne privolitve zadevne osebe.

3. Države članice brez vpliva na pravno veljavnost psevdonimov v zakonodajah držav članic overitelju ne morejo preprečiti, da v potrdilu navede psevdonim namesto imena podpisnika.

Člen 9

Odbor

1. Komisiji pomaga "odbor za elektronski podpis", v nadaljevanju "odbor".

2. Pri sklicevanju na ta odstavek se uporabljata člena 4 in 7 Sklepa 1999/468/ES ob upoštevanju določb člena 8 istega sklepa.

Obdobje iz člena 4 (3) Sklepa 1999/468/ES je določeno na tri mesece.

3. Odbor sprejme svoj poslovnik.

Člen 10

Naloge odbora

Odbor skladno s postopkom iz člena 9(2) pojasni zahteve iz prilog te direktive, merila iz člena 3(4) in splošno priznane standarde za opremo za elektronsko podpisovanje, ki so določeni in objavljeni v skladu s členom 3(5).

Člen 11

Notifikacija

1. Države članice uradno sporočijo Komisiji in drugim državam članicam:

(a) informacije o nacionalnih prostovoljnih shemah za akreditacijo in vse dodatne zahteve skladno s členom 3(7);

(b) imena in naslove nacionalnih organov, odgovornih za akreditacijo in nadzor, in tudi organov iz člena 3(4);

(c) imena in naslove vseh akreditiranih nacionalnih overiteljev.

2. Države članice morajo vse informacije iz odstavka 1 in z njimi povezane spremembe uradno sporočiti čim prej.

Člen 12

Preverjanje

1. Komisija preverja izvajanje te direktive in o tem najpozneje do 19. julija 2003 poroča Evropskemu parlamentu in Svetu.

2. To preverjanje mora med drugim ugotoviti, ali je treba zaradi tehnološkega razvoja, razvoja trga in pravnega razvoja spremeniti področje uporabe te direktive. Poročilo mora vsebovati predvsem oceno uskladitvenih vidikov na podlagi pridobljenih izkušenj. K poročilu se po potrebi dodajo predlogi pravnih predpisov.

Člen 13

Izvajanje

1. Države članice sprejmejo zakone in druge predpise, potrebne za uskladitev s to direktivo, do 19. julija 2001. O tem nemudoma obvestijo Komisijo.

Države članice se pri sprejemanju teh predpisov sklicujejo na to direktivo ali sklic nanjo navedejo ob njihovi uradni objavi. Način sklicevanja določijo države članice.

2. Države članice sporočijo Komisiji besedilo temeljnih predpisov domačega prava, sprejetih na področju, ki ga ureja ta direktiva.

Člen 14

Uveljavitev

Ta direktiva začne veljati na dan objave v Uradnem listu Evropskih skupnosti.

Člen 15

Naslovniki

Ta direktiva je naslovljena na države članice.

V Bruslju, 13. decembra 1999

Za Evropski parlament

Predsednica

N. Fontaine

Za Svet

Predsednik

S. Hassi

[1] UL C 325, 23.10.1998, str. 5.

[2] UL C 40, 15.2.1999, str. 29.

[3] UL C 93, 6.4.1999, str. 33.

[4] Mnenje Evropskega parlamenta z dne 13. januarja 1999 (UL C 104, 14.4.1999, str. 49), Skupno stališče Sveta z dne 28. junija 1999 (UL C 243, 27.8.1999, str. 33) in Sklep Evropskega parlamenta z dne 27. oktobra 1999 (še neobjavljen v Uradnem listu). Sklep Sveta z dne 30. novembra 1999.

[5] UL L 367, 31.12.1994, str. 1. Uredba, spremenjena z Uredbo (ES) št. 837/95 (UL L 90, 21.4.1995, str. 1).

[6] UL L 367, 31.12.1994, str. 8. Sklep, nazadnje spremenjen s Sklepom 99/193/SZVP (UL L 73, 19.3.1999, str. 1).

[7] UL L 184, 17.7.1999, str. 23.

[8] UL L 95, 21.4.1993, str. 29.

[9] UL L 281, 23.11.1995, str. 31.

--------------------------------------------------

PRILOGA I

Zahteve za kvalificirana potrdila

Kvalificirana potrdila morajo vsebovati:

(a) navedbo, da je bilo potrdilo izdano kot kvalificirano potrdilo;

(b) identifikacijo overitelja in državo, v kateri ima sedež;

(c) ime podpisnika ali psevdonim, ki je kot takšen prepoznaven;

(d) prostor za posebne podatke o podpisniku potrdila, ki se po potrebi vključijo glede na uporabo, za katero je potrdilo namenjeno;

(e) podatke za preverjanje elektronskega podpisa, ki ustrezajo podatkom za tvorjenje podpisa pod nadzorom podpisnika potrdila;

(f) navedbo začetka in konca veljavnosti potrdila;

(g) identifikacijsko šifro potrdila;

(h) napredni elektronski podpis overitelja, ki potrdilo izdaja;

(i) morebitne omejitve obsega uporabe potrdila in

(j) morebitne omejitve transakcijskih vrednosti, za katere se potrdilo lahko uporablja.

--------------------------------------------------

PRILOGA II

Zahteve za overitelje, ki izdajajo kvalificirana potrdila

Overitelji morajo:

(a) dokazati, da so dovolj zanesljivi za opravljanje storitev overjanja;

(b) zagotoviti takojšnjo in varno vodenje registra ter izvajanje varnega in takojšnjega preklica kvalificiranega potrdila;

(c) zagotoviti možnost natančne določitve datuma in časa izdaje ali preklica potrdila;

(d) z ustreznimi sredstvi in skladno z nacionalno zakonodajo preveriti istovetnost in po potrebi druge posebne lastnosti osebe, kateri se izdaja potrdilo;

(e) zaposlovati osebje s potrebnim strokovnim znanjem, izkušnjami in usposobljenostjo za storitve, ki jih opravlja, še posebej s pristojnostmi na ravni upravljanja in poznavanja tehnologije elektronskega podpisovanja in ustreznih varnostnih postopkov; uporabljati morajo tudi ustrezne upravne in upravljalske postopke, skladne s priznanimi standardi;

(f) uporabljati zanesljive sisteme in opremo, ki so zaščiteni pred spreminjanjem in zagotavljajo tehnično in kriptografsko varnost postopkov, v katerih se uporabljajo;

(g) izvajati ukrepe zoper ponarejanje potrdil in v primerih, ko overitelj oblikuje podatke za elektronsko podpisovanje, zagotavljati zaupnost podatkov ves čas postopka oblikovanja takih podatkov;

(h) ohranjati zadostna finančna sredstva, ki jim omogočajo delovanje skladno s to direktivo, zlasti prevzemanje škodne odgovornosti, na primer s sklenitvijo ustreznega zavarovanja;

(i) v določenem časovnem obdobju zapisovati vse ustrezne podatke o kvalificiranem potrdilu, še posebej zaradi dokazovanja overitev v sodnem postopku. Zapisovanje je lahko elektronsko;

(j) ne shranjevati ali kopirati podatkov za elektronsko podpisovanje o osebi, ki ji je overitelj zagotovil storitve upravljanja ključev;

(k) osebo, ki zahteva potrdilo za podporo elektronskega podpisovanja, pred sklenitvijo pogodbe prek trajnega komunikacijskega sredstva obvestiti o natančnih postopkih in pogojih za uporabo potrdila, skupaj z vsemi omejitvami njegove uporabe, obstojem prostovoljne sheme za akreditacijo in postopki v zvezi z reševanjem pritožb in sporov. To obvestilo, ki se lahko posreduje na elektronski način, mora biti zapisano in biti v razumljivem jeziku. Ustrezni deli obvestila morajo biti na zahtevo dostopni tudi tretjim osebam, ki se zanašajo na to potrdilo;

(l) uporabljati zanesljive sisteme za shranjevanje potrdil v preverljivi obliki, tako da

- lahko samo pooblaščene osebe vnašajo in spreminjajo podatke,

- se lahko preveri pristnost podatka,

- potrdila ne smejo biti javno dostopna brez privolitve imetnika potrdila, in

- morajo biti vse tehnične spremembe, ki bi ogrozile varnostne zahteve, razvidne izvajalcu sprememb.

--------------------------------------------------

PRILOGA III

Zahteve glede naprav za varno tvorjenje podpisa

1. Naprave za varno tvorjenje podpisa morajo z ustrezno tehnologijo in postopki zagotavljati vsaj, da:

(a) se lahko podatki za tvorjenje podpisa, uporabljeni za tvorbo elektronskega podpisa, dejansko pojavijo le enkrat in je njihova tajnost ustrezno zagotovljena;

(b) podatkov za tvorjenje podpisa, uporabljenih za tvorbo elektronskega podpisa, ni mogoče pridobiti z razumno stopnjo zanesljivosti in da je elektronski podpis z uporabo trenutno dostopne tehnologije zaščiten pred ponarejanjem;

(c) lahko zakoniti podpisnik zanesljivo varuje podatke za elektronsko podpisovanje, uporabljene za tvorbo elektronskega podpisa, pred njihovo uporabo s strani drugih.

2. Naprave za varno tvorjenje podpisa ne smejo spreminjati podatkov, namenjenih podpisovanju, ali preprečiti prikaza teh podatkov podpisniku pred podpisom.

--------------------------------------------------

PRILOGA IV

Priporočila za varno preverjanje podpisa

Med postopkom preverjanja podpisa je treba dovolj zanesljivo zagotoviti, da:

(a) podatki, ki se uporabljajo za preverjanje podpisa, ustrezajo podatkom, ki so prikazani overitelju;

(b) je podpis zanesljivo preverjen in rezultat preverjanja pravilno prikazan;

(c) lahko overitelj po potrebi zanesljivo določi vsebino podpisanih podatkov;

(d) sta pristnost in veljavnost potrdila, zahtevanega med preverjanjem podpisa, zanesljivo preverjeni;

(e) sta rezultat preverjanja in istovetnost podpisnika pravilno prikazana;

(f) je raba psevdonima jasno označena, in

(g) se lahko odkrijejo vse spremembe, ki kakorkoli vplivajo na varnost elektronskega podpisa.

--------------------------------------------------