L 13/12 IS 19. 1. 2000 Stjórnartíðindi EB
TILSKIPUN EVRÓPUÞINGSINS OG RÁÐSINS 1999/93/EB frá 13. desember 1999 um ramma bandalagsins varðandi rafrænar undirskriftir
EVRÓPUÞINGIÐ OG RÁÐ EVRÓPUSAMBANDSINS HAFA, með hliðsjón af stofnsáttmála Evrópubandalagsins, einkum 2. mgr. 47. gr., 55 og 95. gr., með hliðsjón af tillögu framkvæmdastjórnarinnar (1), með hliðsjón af áliti efnahags- og félagsmálanefndarinnar (2), með hliðsjón af áliti svæðanefndarinnar (3), í samræmi við málsmeðferðina sem mælt er fyrir um í 251. gr. sáttmálans (4), og að teknu tilliti til eftirfarandi:
1) Hinn 16. apríl 1997 lagði framkvæmdastjórnin fyrir Evrópuþingið, ráðið, efnahags- og félagsmálanefndina og svæðanefndina orðsendingu um evrópskt framtaksverkefni á sviði rafrænnar verslunar.
2) Hinn 8. október 1997 lagði framkvæmdastjórnin fyrir Evrópuþingið, ráðið, efnahags- og félagsmálanefndina og svæðanefndina orðsendingu um að tryggja öryggi og tiltrú í rafrænum samskiptum — í þágu Evrópuramma fyrir stafrænar undirskriftir og dulkóðun.
3) Hinn 1. desember 1997 fór ráðið þess á leit við framkvæmdastjórnina að hún legði eins fljótt og unnt er fram tillögu að tilskipun Evrópuþingsins og ráðsins um rafrænar undirskriftir.
4) Rafræn samskipti og verslun útheimta rafrænar undirskriftir og tengda þjónustu sem gerir kleift að sanna uppruna upplýsinga. Mismunandi reglur í aðildarríkjunum um lagalega viðurkenningu rafrænna undirskrifta og faggildingu vottunaraðila kunna að torvelda notkun rafrænna samskipta og verslunar verulega. Á hinn bóginn mun skýr bandalagsrammi um þau skilyrði sem gilda um rafrænar undirskriftir auka tiltrú á þessari nýju tækni og stuðla að almennri viðurkenningu hennar. Löggjöf aðildarríkjanna ætti ekki að hindra frjálsa vöruflutninga og frjálsa þjónustustarfsemi á hinum innri markaði. ________________ (1) Stjtíð. EB C 325, 23.10.1998, bls. 5. (2) Stjtíð. EB C 40, 15.2.1999, bls. 29. (3) Stjtíð. EB C 93, 6.4.1999, bls. 33. (4) Álit Evrópuþingsins frá 13. janúar 1999 (Stjtíð. EB C 104, 14.4.1999, bls. 49), sameiginleg afstaða ráðsins frá 28. júní 1999 (Stjtíð. EB C 243, 27.8.1999, bls. 33) og ákvörðun Evrópuþingsins frá 27. október 1999 (hefur enn ekki verið birt í Stjórnartíðindum EB). Ákvörðun ráðsins frá 30. nóvember 1999.
5) Stuðla ber að rekstarsamhæfi vara til rafrænna undirskrifta. Í samræmi við 14. gr. sáttmálans myndar innri markaðurinn svæði án innri landamæra þar sem frjálsir vöruflutningar eru tryggðir. Uppfylla ber grunnkröfur sem gilda sérstaklega um vörur til rafrænna undirskrifta til þess að tryggja frjálsa flutninga innan innri markaðarins og skapa traust á rafrænum undirskriftum, með fyrirvara um reglugerð ráðsins (EB) nr. 3381/94 frá 19. desember 1994 um að koma á bandalagsskipan um eftirlit með útflutningi vara sem þjóna tvenns konar tilgangi (5) og ákvörðun ráðsins 94/942/CFSP frá 19. desember 1994 um sameiginlegar aðgerðir sem ráðið hefur samþykkt um eftirlit með útflutningi vara sem þjóna tvenns konar tilgangi (6).
6) Þessi tilskipun fjallar ekki um samhæfingu þjónustuveitingar með tilliti til upplýsingaleyndar ef innlend ákvæði, sem fjalla um allsherjarreglu eða almannaöryggi, gilda um slíka þjónustuveitingu.
7) Innri markaðurinn tryggir frjálsa fólksflutninga sem hefur í för með sér að borgarar í Evrópusambandinu og þeir sem eru búsettir þar þurfa í auknum mæli að eiga samskipti við yfirvöld í öðrum aðildarríkjum en því þar sem þeir hafa fasta búsetu. Framboð á rafrænum samskiptum gæti gert mikið gagn í þessu tilliti.
8) Hröð tækniþróun og hnattrænir eiginleikar Netsins útheimta nálgun sem býður heim margvíslegri tækni og þjónustu sem gerir kleift að sanna uppruna upplýsinga með rafrænum hætti.
9) Rafrænar undirskriftir verða notaðar við margháttaðar aðstæður og aðgerðir sem leiðir af sér margvíslega nýja þjónustu og vörur sem til rafrænna undirskrifta eða krefjast notkunar þeirra. Skilgreiningu slíkra vara og þjónustu ber ekki að einskorða við útgáfu skilríkja og umsýslu vegna þeirra, heldur ætti slík skilgreining einnig að ná til hvers kyns annarrar þjónustu og allra vara þar sem rafrænar undirskriftir eru notaðar eða sem eru þeim til eflingar, eins og skráningarþjónustu, tímastimplunar, upplýsingaþjónustu, þjónustu á sviði gagnameðferðar eða ráðgjafarþjónustu sem tengist rafrænum undirskriftum.
10) Innri markaðurinn gerir vottunaraðilum kleift að þróa starfsemi sína yfir landamæri í því skyni að auka samkeppnishæfni sína og að bjóða neytendum og fyrirtækjum þannig ný tækifæri til rafrænna upplýsingaskipta og viðskipta með öruggum hætti án tillits til landamæra. Í því augnamiði að efla vottunarþjónustu á opnum netum vítt og breitt í bandalaginu ætti vottunaraðilum að vera frjálst að bjóða fram þjónustu sína án heimildar sem er veitt fyrirfram. Með heimild, sem er veitt fyrirfram, er ekki aðeins átt við leyfi þar sem viðkomandi vottunaraðili skal útvega sér ákvörðun ________________ (5) Stjtíð. EB L 367, 31.12.1994, bls. 1. Reglugerðinni var breytt með reglugerð (EB) nr. 837/95 (Stjtíð. EB L 90, 21.4.1995, bls. 1). (6) Stjtíð. EB L 367, 31.12.1994, bls. 8. Reglugerðinni var síðast breytt með ákvörðun 99/193/CFSP (Stjtíð. EB L 73, 19.3.1999, bls. 1). 19. 1. 2000 IS L 13/13 Stjórnartíðindi EB innlendra yfirvalda áður en honum er heimilt að veita vottunarþjónustu, heldur og allar aðrar ráðstafanir sem hafa sömu áhrif.
11) Skipulag valfrjálsrar faggildingar, sem miðar að bættri þjónustuveitingu, gæti verið réttur grundvöllur fyrir vottunaraðila til þess að þróa enn frekar þjónustustarfsemi sína í því skyni að skapa það traust, öryggi og gæði sem hinn vaxandi markaður krefst. Fyrrnefnt skipulag ætti að stuðla að þróun ákjósanlegustu starfshátta vottunaraðila. Vottunaraðilum ætti að vera frjálst að vera þátttakendur í slíku faggildingarskipulagi og njóta góðs af því.
12) Opinberir aðilar, lögpersónur eða einstaklingar, sem eru viðurkenndir í samræmi við innlend lög, geta boðið fram vottunarþjónustu. Aðildarríkin ættu ekki að banna vottunaraðilum að starfa utan skipulags valfrjálsrar faggildingar. Tryggja ber að slíkt faggildingarskipulag dragi ekki úr samkeppni á vottunarþjónustu.
13) Aðildarríkjunum er heimilt að ákveða með hvaða hætti þau tryggja eftirlit með því að farið sé að ákvæðunum sem mælt er fyrir um í þessari tilskipun. Tilskipun þessi útilokar ekki að komið verði á fót einkareknum eftirlitskerfum. Vottunaraðilum er ekki skylt, samkvæmt þessari tilskipun, að sækja um að hlíta eftirliti samkvæmt faggildingarskipulagi.
14) Mikilvægt er að jafnvægi ríki milli þarfa neytenda og fyrirtækja.
15) Í III. viðauka er fjallað um kröfur sem eru gerðar til öruggs undirskriftarbúnaðar í því skyni að tryggja virkni þróaðra, rafrænna undirskrifta. Í fyrrnefndum viðauka er ekki fjallað um gervallt umhverfi þess kerfis sem slíkur búnaður vinnur í. Nauðsynlegt er, vegna starfsemi innri markaðarins, að framkvæmdastjórnin og aðildarríkin bregðist skjótt við til þess að unnt sé að tilnefna þá aðila sem er ætlað að meta hvort öruggur undirskriftarbúnaður sé í samræmi við III. viðauka. Samræmismat skal fara fram tímanlega og með skilvirkum hætti í því skyni að mæta þörfum markaðarins.
16) Tilskipun þessi stuðlar að notkun og lagalegri viðurkenningu rafrænna undirskrifta í bandalaginu. Rammaákvæða er ekki þörf vegna rafrænna undirskrifta sem eru einvörðungu notaðar innan kerfa sem eru grundvölluð á frjálsum samningum, samkvæmt einkamálarétti, milli tilgreinds fjölda þátttakenda. Virða ber frelsi aðila til að semja sín á milli um skilmála og skilyrði sem gildi um gögn, undirrituð með rafrænum hætti, sem þeir samþykkja, að því marki sem landslög leyfa. Viðurkenna ber lagalegt gildi rafrænna undirskrifta sem eru notaðar í slíkum kerfum og lögmæti þeirra við málarekstur.
17) Með þessari tilskipun er ekki stefnt að því að samræma innlendar reglur á sviði samningalaga, einkum um gerð og efndir samninga, eða önnur formsatriði sem lúta ekki að samningum og varða undirskriftir. Af þessum ástæðum skulu ákvæði um réttaráhrif rafrænna undirskrifta vera með fyrirvara um formkröfur, sem mælt er fyrir um í landslögum, með tilliti til samningagerðar eða reglna um það hvar samningsgerð fari fram.
18) Geymsla og afritun undirskriftargagna gæti teflt lögmæti rafrænna undirskrifta í hættu.
19) Rafrænar undirskriftir verða notaðar í opinbera geiranum í innlendri stjórnsýslu og stjórnsýslu bandalagsins og í samskiptum milli þeirra og við borgara og aðila í atvinnurekstri, til dæmis á vettvangi opinberra innkaupa, skattakerfisins, almannatrygginga og heilbrigðis- og réttarkerfisins.
20) Samræming viðmiðana, sem gilda um réttaráhrif rafrænna undirskrifta, mun gera kleift að viðhalda heildstæðum lagaramma hvarvetna innan bandalagsins. Landslög mæla fyrir um ólíkar kröfur um lögmæti eiginhandarundirskrifta. Unnt er að nota skilríki til þess að bera kennsl á einstakling sem undirritar með rafrænum hætti. Með þróuðum rafrænum undirskriftum, sem eru grundvallaðar á viðurkenndum skilríkjum, er stefnt að hærra öryggisstigi. Því aðeins er unnt að líta á þróaðar rafrænar undirskriftir, sem eru grundvallaðar á viðurkenndum skilríkjum og gerðar með öruggum undirskriftarbúnaði, sem jafngildar eiginhandarundirskriftum í lagalegu tilliti ef kröfum um eiginhandarundirskriftir er fullnægt.
21) Tryggja ber, í því skyni að stuðla að því að rafræn sönnun á uppruna hljóti almenna viðurkenningu, að unnt sé að nota rafrænar undirskriftir sem sönnunargögn í málarekstri í öllum aðildarríkjunum. Grundvalla ber viðurkenningu rafrænna undirskrifta í lagalegu tilliti á hlutlægum viðmiðunum, óháð leyfisveitingu til handa viðkomandi vottunaraðila. Landslög skera úr um það á hvaða lagasviðum er heimilt að nota rafræn skjöl og rafrænar undirskriftir. Tilskipun þessi er með fyrirvara um vald innlendra dómstóla til þess að fella úrskurð um hvort kröfum þessarar tilskipunar sé fullnægt og hefur ekki áhrif á innlend ákvæði um óháða umfjöllun dómstóla um sönnunargögn.
22) Innlend ákvæði um ábyrgð gilda um vottunaraðila sem veita almenningi þjónustu sína.
23) Þróun rafrænnar verslunar milli landa krefst ráðstafana sem ná yfir landamæri og til þriðju landa. Í því skyni að tryggja hnattrænt rekstrarsamhæfi gæti reynst hagkvæmt að gera samninga við þriðju lönd um marghliða reglur sem fjalla um gagnkvæma viðurkenningu vottunarþjónustu. L 13/14 IS 19. 1. 2000 Stjórnartíðindi EB
24) Til þess að auka tiltrú notenda á rafrænum samskiptum og rafrænni verslun verða vottunaraðilar að virða löggjöf um upplýsingavernd og friðhelgi einkalífsins.
25) Ákvæði um notkun dulnefna í skilríkjum ættu ekki að hindra aðildarríkin í því að krefjast þess að unnt sé að bera kennsl á einstaklinga samkvæmt bandalagslögum eða landslögum.
26) Samþykkja ber nauðsynlegar ráðstafanir til framkvæmdar þessari tilskipun í samræmi við ákvörðun ráðsins 1999/468/EB frá 28. júní 1999 um verklagsreglur um meðferð framkvæmdavalds sem framkvæmdastjórninni er falið (1).
27) Tveimur árum eftir að þessi tilskipun kemur til framkvæmda ber framkvæmdastjórninni að endurskoða hana, meðal annars í því skyni að tryggja að hvorki tækniframfarir né breytingar á lagaumhverfi komi í veg fyrir að markmiðum tilskipunarinnar verði náð. Henni ber að kanna áhrif tengdra tæknisviða og senda Evrópuþinginu og ráðinu skýrslu þar að lútandi.
28) Samkvæmt dreifræðisreglunni og meðalhófsreglunni, eins og kemur fram í 5. gr. sáttmálans, eru aðildarríkin ekki nógu vel í stakk búin til þess að ná því takmarki að skapa samræmdan lagaramma um framboð rafrænna undirskrifta og tengdrar þjónustu og því er bandalagið betur til þess fallið að ná því takmarki. Með tilskipun þessari er ekki gengið lengra en nauðsynlegt er til þess að ná fyrrnefndu takmarki.
SAMÞYKKT TILSKIPUN ÞESSA:
 
1. gr. Gildissvið Tilgangurinn með þessari tilskipun er að greiða fyrir notkun rafrænna undirskrifta og stuðla að lagalegri viðurkenningu þeirra. Með tilskipuninni er settur lagarammi um rafrænar undirskriftir og tiltekna vottunarþjónustu í því skyni að tryggja eðlilega starfsemi innri markaðarins. Tilskipunin fjallar hvorki um þætti sem varða gerð og gildi samninga eða aðrar lagaskyldur, þar sem fram koma kröfur með tilliti til forms sem mælt er fyrir um í landslögum eða lögum bandalagsins, né heldur hefur hún áhrif á reglur og skorður sem eru settar í landslögum eða lögum bandalagsins og stýra notkun skjala.
 
2. gr. Skilgreiningar Í tilskipun þessari er skilgreining eftirfarandi hugtaka sem hér segir:
rafræn undirskrift“: gögn í rafrænu formi sem fylgja eða tengjast öðrum rafrænum gögnum með rökrænum hætti og þjóna þeim tilgangi að staðfesta uppruna; ________________ (1) Stjtíð. EB L 184, 17.7.1999, bls. 23.
þróuð rafræn undirskrift“: rafræn undirskrift sem uppfyllir eftirtaldar kröfur:
a)      hún tengist undirritanda einum með ótvíræðum hætti;
b)      hún segir deili á undirritanda;
c)      hún er gerð með þeim hætti sem undirritandinn getur einn haft stjórn á; og
d)      hún tengist þeim gögnum sem hún vísar til með þeim hætti að unnt er að greina síðari breytingar á þeim;
„undirritandi“: einstaklingur sem ræður yfir undirskriftarbúnaði og kemur fram fyrir eigin hönd eða fyrir hönd annars einstaklings eða lögpersónu eða aðila sem hann er fulltrúi fyrir;
„undirskriftargögn“: sérstök gögn, t.d. kóðar eða einkadulkóðunarlyklar, sem undirritandi notar til rafrænnar undirskriftar;
undirskriftarbúnaður“: samskipaður hugbúnaður eða vélbúnaður til þess að gera undirskriftargögnin nothæf;
öruggur undirskriftarbúnaður“: undirskriftarbúnaður sem fullnægir kröfunum sem mælt er fyrir um í III. viðauka;
staðfestingargögn“: gögn, t.d. kóðar eða opinberir dulkóðunarlyklar, sem eru notuð til þess að staðfesta rafræna undirskrift;
staðfestingarbúnaður“: samskipaður hugbúnaður eða vélbúnaður til þess að gera staðfestingargögnin nothæf;
skilríki“: rafræn vottun sem tengir staðfestingargögn einstaklingi og staðfestir hver hann er;
viðurkennd skilríki“: skilríki sem fullnægja kröfunum sem mælt er fyrir um í I. viðauka og látin eru í té af vottunaraðila sem fullnægir kröfunum sem mælt er fyrir um í II. viðauka;
vottunaraðili“: aðili eða lögpersóna eða einstaklingur sem gefur út skilríki eða veitir aðra þjónustu sem tengist rafrænum undirskriftum;
vara til rafrænna undirskrifta“: vél- eða hugbúnaður eða viðeigandi íhlutir hans sem vottunaraðila er ætlað að nota í því skyni að veita þjónustu á sviði rafrænna undirskrifta eða eru ætluð til þess að staðfesta rafrænar undirskriftir;
valfrjáls faggilding“: leyfi sem mælir fyrir um réttindi og skyldur sem varða sérstaklega veitingu vottunarþjónustu og er veitt samkvæmt beiðni viðkomandi vottunaraðila af opinberri stofnun eða einkaaðila, sem er falið að sjá um útfærslu á slíkum réttindum og að slíkar skyldur séu uppfylltar, þegar vottunaraðili hefur ekki heimild til þess að njóta þeirra réttinda sem leiðir af leyfinu fyrr en hann hefur móttekið ákvörðun viðkomandi aðila. 19. 1. 2000 IS L 13/15 Stjórnartíðindi EB
 
3. gr. Markaðsaðgangur
Aðildarríkin skulu ekki gera það að skilyrði að veiting vottunarþjónustu sé háð fyrirframgefnu leyfi.
Aðildarríkjunum er heimilt, með fyrirvara um ákvæði 1. mgr., að samþykkja eða viðhalda skipulagi valfrjálsrar faggildingar sem miðar að bættri vottunarþjónustu. Öll skilyrði í tengslum við slíkar áætlanir skulu vera hlutlæg, gagnsæ, í réttu hlutfalli við tilefnið og án mismununar. Aðildarríkjunum er óheimilt að takmarka fjölda faggiltra vottunaraðila af ástæðum sem falla undir gildissvið þessarar tilskipunar.
Hvert og eitt aðildarríki skal ábyrgjast að komið sé á fót viðeigandi kerfi til að unnt sé að hafa eftirlit með vottunaraðilum sem hafa staðfestu á landsvæði þess og gefa út viðurkennd skilríki handa almenningi.
Til þess bærar opinberar stofnanir eða einkaaðilar(Nánar útskýrt í ákvörðun Evrópuráðsins frá 6 nóvember 2000 )  sem aðildarríkin tilnefna, skulu skera úr um það hvort öruggur undirskriftarbúnaður sé í samræmi við kröfurnar sem mælt er fyrir um í III. viðauka. Framkvæmdastjórninni ber, samkvæmt málsmeðferðinni sem mælt er fyrir um í 9. gr., að samþykkja viðmiðanir sem aðildarríkin fari eftir þegar ákveða skal hvort tilnefna beri tiltekinn aðila. Öll aðildarríkin skulu viðurkenna ákvarðanir sem stofnanir eða einkaaðilar, sem um getur í fyrstu undirgrein, taka um hvort kröfunum, sem mælt er fyrir um í III. viðauka, sé talið fullnægt.
Framkvæmdastjórninni er heimilt, í samræmi við málsmeðferðina sem mælt er fyrir um í 9. gr., að ákveða og birta í Stjórnartíðindum Evrópubandalaganna tilvísunarnúmer staðla sem eru almennt viðurkenndir fyrir vörur til rafrænna undirskrifta. Aðildarríkin skulu ganga út frá því að vörur til rafrænna undirskrifta uppfylli kröfurnar, sem mælt er fyrir um í f-lið II. viðauka og III. viðauka, ef þær eru í samræmi við fyrrnefnda staðla.
Aðildarríkin og framkvæmdastjórnin skulu í sameiningu stuðla að þróun og notkun staðfestingarbúnaðar með hliðsjón af tilmælum um örugga staðfestingu undirskrifta, sem mælt er fyrir um í IV. viðauka, og með tilliti til hagsmuna neytenda.
Aðildarríkin geta gert notkun rafrænna undirskrifta í opinbera geiranum háða hugsanlegum viðbótarkröfum. Slíkar kröfur skulu vera hlutlægar, gagnsæjar, í réttu hlutfalli við tilefnið og án mismununar og eiga eingöngu við um séreiginleika þeirrar notkunar sem um ræðir. Kröfurnar skulu ekki hindra þjónustustarfsemi yfir landamæri í þágu borgaranna.
 
4. gr. Meginreglur um innri markaðinn
Hvert og eitt aðildarríki skal beita innlendum ákvæðum, sem það samþykkir samkvæmt þessari tilskipun, gagnvart vottunaraðilum sem hafa staðfestu á landsvæði þess og þeirri þjónustu sem þeir láta í té. Aðildarríkjunum er óheimilt, á þeim sviðum sem þessi tilskipun fjallar um, að takmarka vottunarþjónustu sem á rætur að rekja til annars aðildarríkis.
Aðildarríkin skulu tryggja frjálsa dreifingu á innri markaðinum á vörum til rafrænna undirskrifta sem eru í samræmi við þessa tilskipun.
 
5. gr. Réttaráhrif rafrænna undirskrifta
Aðildarríkin skulu tryggja að þróaðar, rafrænar undirskriftir, sem eru byggðar á viðurkenndum skilríkjum og til verða með öruggum undirskriftarbúnaði:
a)      uppfylli lagakröfur um undirskrift í tengslum við rafræn gögn á sama hátt og eiginhandarundirskrift uppfyllir lagakröfur í tengslum við pappírsgögn; og
b)      séu viðurkenndar sem sönnunargögn í málarekstri.
Aðildarríkin skulu tryggja að því sé ekki hafnað að rafræn undirskrift fái réttaráhrif og sé viðurkennd sem sönnunargagn í málarekstri einungis af þeirri ástæðu að hún er: — á rafrænu formi, eða — ekki byggð á viðurkenndum skilríkjum, eða — ekki byggð á viðurkenndum skilríkjum sem faggiltur vottunaraðili gefur út, eða — ekki gerð með öruggum undirskriftarbúnaði.
 
6. gr. Skaðabótaábyrgð
Aðildarríkin skulu að minnsta kosti tryggja að samfara því að vottunaraðili gefur út skilríki sem eru ígildi viðurkenndra skilríkja handa almenningi eða ábyrgist slík skilríki gagnvart almenningi sé hann ábyrgur fyrir tjóni aðila, lögpersónu eða einstaklings sem reiðir sig á slík skilríki með eðlilegum hætti að því er varðar:
a)      nákvæma meðferð við útgáfu á öllum upplýsingum sem viðurkenndu skilríkin innihalda og að því er varðar að skilríkin innihaldi allar þær upplýsingar sem mælt er fyrir um að viðurkennd skilríki skuli gera;
b)      tryggingu fyrir því að við útgáfu skilríkjanna hafi undirritandinn, sem er auðkenndur í viðurkenndu skilríkjunum, haft undir höndum undirskriftargögnin sem svara til staðfestingargagnanna sem koma fram eða eru auðkennd í skilríkjunum;
c)      tryggingu fyrir því að unnt sé að nota undirskriftargögnin og staðfestingargögnin til gagnkvæmrar uppfyllingar þegar vottunaraðili annast gerð beggja; nema vottunaraðili færi sönnur á að hann hafi ekki gert sig sekan um vanrækslu. L 13/16 IS 19. 1. 2000 Stjórnartíðindi EB
Aðildarríkin skulu að minnsta kosti tryggja að vottunaraðili, sem hefur gefið út skilríki sem eru ígildi viðurkenndra skilríkja handa almenningi, sé ábyrgur fyrir tjóni aðila, lögpersónu eða einstaklings, sem reiðir sig á skilríkin með eðlilegum hætti, sem rekja má til þess að skráningu á afturköllun skilríkjanna hefur ekki verið sinnt, nema vottunaraðilinn færi sönnur á að hann hafi ekki gert sig sekan um vanrækslu.
Aðildarríkin skulu tryggja að vottunaraðila sé heimilt að gefa til kynna í viðurkenndum skilríkjum takmarkanir á notkun þeirra, að því tilskildu að þriðju aðilum séu slíkar takmarkanir ljósar. Vottunaraðili er ekki ábyrgur fyrir tjóni sem leiðir af notkun viðurkenndra skilríkja sem nær út fyrir þær takmarkanir sem hún miðast við.
Aðildarríkin skulu tryggja að vottunaraðila sé heimilt að gefa til kynna í viðurkenndum skilríkjum við hvaða mörk viðskiptafjárhæðar notkun skilríkjanna miðast, að því tilskildu að þriðju aðilum séu mörkin ljós. Vottunaraðili er ekki ábyrgur fyrir tjóni sem leiðir af því að farið sé yfir fyrrnefnt hámark. 5. Ákvæði 1. til 4. mgr. eru með fyrirvara um tilskipun ráðsins 93/13/EBE frá  5. apríl 1993 um óréttmæta skilmála í neytendasamningum (1).
 
7. gr. Alþjóðleg sjónarmið
Aðildarríkin skulu tryggja að viðurkennt sé að skilríki, sem vottunaraðili, sem hefur staðfestu í þriðja landi, gefur út sem viðurkennd skilríki handa almenningi, jafngildi skilríkjum sem vottunaraðili, sem hefur staðfestu í bandalaginu, gefur út, ef:
a)      viðkomandi vottunaraðili uppfyllir skilyrðin sem mælt er fyrir um í þessari tilskipun og hefur hlotið faggildingu samkvæmt skipulagi valfrjálsrar faggildingar sem hefur verið komið á í aðildarríki; eða
b)      vottunaraðili, sem hefur staðfestu í bandalaginu og uppfyllir skilyrðin sem mælt er fyrir um í þessari tilskipun, ábyrgist skilríkin; eða
c)      skilríkin eða viðkomandi vottunaraðili er viðurkenndur samkvæmt tvíhliða eða marghliða samningi milli bandalagsins og þriðju landa eða alþjóðastofnana.
Framkvæmdastjórnin skal, í því skyni að auðvelda vottunarþjónustu yfir landamæri við þriðju lönd og lagalega viðurkenningu þróaðra, rafrænna undirskrifta sem eru upprunnar í þriðju löndum, leggja fram tillögur, þar sem það á við, til þess að unnt sé að framkvæma á skilvirkan hátt staðla og milliríkjasamninga sem gilda um vottunarþjónustu. Hún skal, einkum og sér í lagi og ef nauðsyn krefur, senda ráðinu tillögur um viðeigandi umboð til viðræðna um tvíhliða og marghliða samninga við þriðju lönd og alþjóðastofnanir. Ráðið tekur ákvörðun með auknum meirihluta. ________________ (1) Stjtíð. EB L 95, 21.4.1993, bls. 29.
Í hvert sinn sem framkvæmdastjórninni er tilkynnt um vanda bandalagsfyrirtækja í tengslum við markaðsaðgang í þriðju löndum getur hún, ef nauðsyn krefur, sent ráðinu tillögur um viðeigandi umboð til viðræðna um sambærileg réttindi til handa bandalagsfyrirtækjum í viðkomandi þriðju löndum. Ráðið tekur ákvörðun með auknum meirihluta. Ráðstafanir, sem eru gerðar samkvæmt þessari málsgrein, eru með fyrirvara um skuldbindingar bandalagsins og aðildarríkjanna samkvæmt viðeigandi milliríkjasamningum.
 
8. gr. Gagnavernd
Aðildarríkin skulu tryggja að vottunaraðilar og innlendir aðilar sem annast faggildingu eða eftirlit uppfylli kröfurnar sem mælt er fyrir um í tilskipun Evrópuþingsins og ráðsins 95/46/EB frá 24. október 1995 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga (2).
Aðildarríkin skulu tryggja að vottunaraðilar, sem gefa út skilríki handa almenningi, hafi einungis heimild til að verða sér úti um persónuleg gögn beint frá þeim sem gögnin varða eða að fengnu fullu samþykki hans og aðeins að svo miklu leyti sem nauðsynlegt er í því skyni að gefa út skilríkin og viðhalda þeim. Óheimilt er að safna gögnunum eða meðhöndla þau í öðrum tilgangi án fulls samþykkis þess sem gögnin varða. 3. Aðildarríkin skulu ekki, með fyrirvara um réttaráhrif sem dulnefnum eru eignuð samkvæmt landslögum, hindra vottunaraðila í að gefa til kynna í skilríkjunum dulnefni í stað nafns undirritanda.
 
9. gr. Nefnd
Framkvæmdastjórnin skal njóta aðstoðar nefndar um rafrænar undirskriftir, hér á eftir kölluð „nefndin“.
Þegar fjallað er um þessa málsgrein gilda ákvæði 4. og 7. gr. ákvörðunar 1999/468/EB með hliðsjón af ákvæðum 8. gr. sömu ákvörðunar. Fresturinn, sem mælt er fyrir um í 3. mgr. 4. gr. ákvörðunar 1999/468/EB, skal vera þrír mánuðir. 3. Nefndin setur sér starfsreglur.
 
10. gr. Verkefni nefndarinnar
Nefndin skal, í samræmi við málsmeðferðina sem mælt er fyrir um í 2. mgr. 9. gr., skýra kröfurnar sem mælt er fyrir um í viðaukunum við þessa tilskipun, viðmiðanirnar sem um getur í 4. mgr. 3. gr. og almennt viðurkennda staðla fyrir vörur til rafrænna undirskrifta sem eru samþykktir og gefnir út samkvæmt 5. mgr. 3. gr. ________________ (2) Stjtíð. EB L 281, 23.11.1995, bls. 31. 19. 1. 2000 IS L 13/17 Stjórnartíðindi EB
 
11. gr. Tilkynning
Aðildarríkin skulu tilkynna framkvæmdastjórninni og hinum aðildarríkjunum um eftirfarandi:
a)      upplýsingar um innlent skipulag valfrjálsrar faggildingar, þar með taldar viðbótarkröfur samkvæmt 7. mgr. 3. gr.;
b)      nöfn og heimilisföng innlendra aðila sem annast faggildingu og umsjón og einnig þeirra aðila sem um getur í 4. mgr. 3. gr.;
c)      nöfn og heimilisföng allra innlendra vottunaraðila sem hafa öðlast faggildingu.
Aðildarríkin skulu, eins fljótt og auðið er, tilkynna um allar upplýsingar sem látnar eru í té samkvæmt 1. mgr. og um breytingar á þeim.
 
12. gr. Endurskoðun
Framkvæmdastjórnin skal leggja mat á framkvæmd þessarar tilskipunar og gefa Evrópuþinginu og ráðinu skýrslu um það eigi síðar en 19. júlí 2003.
Í matinu skal meðal annars fjallað um það hvort breyta beri gildissviði þessarar tilskipunar, að teknu tilliti til þróunar á sviði tæknimála, markaðsmála og réttarfars. Í skýrslunni skal sérstaklega koma fram mat á ýmsum hliðum samræmingar er byggist á fenginni reynslu. Skýrslunni skulu fylgja tillögur að fyrirmælum laga, ef við á.
 
13. gr.Framkvæmd
Aðildarríkin skulu samþykkja nauðsynleg lög og stjórnsýslufyrirmæli til að fara að tilskipun þessari fyrir 19. júlí 2001. Þau skulu tilkynna það framkvæmdastjórninni þegar í stað. Þegar aðildarríkin samþykkja þessar ráðstafanir skal vera í þeim tilvísun í þessa tilskipun eða þeim fylgja slík tilvísun þegar þær eru birtar opinberlega. Aðildarríkin skulu setja nánari reglur um slíka tilvísun.
Aðildarríkin skulu senda framkvæmdastjórninni helstu ákvæði úr landslögum sem þau samþykkja um málefni sem tilskipun þessi nær til.
 
14. gr. Gildistaka
Tilskipun þessi öðlast gildi á þeim degi sem hún birtist í Stjórnartíðindum Evrópubandalaganna.
 
15. gr. Viðtakendur
Tilskipun þessari er beint til aðildarríkjanna.
Gjört í Brussel 13. desember 1999. Fyrir hönd Evrópuþingsins, Fyrir hönd ráðsins, N. FONTAINE S. HASSI forseti. Forseti.
 
 ____ L 13/18 IS 19. 1. 2000 Stjórnartíðindi EB
I. VIÐAUKI
Kröfur viðvíkjandi viðurkenndum skilríkjum
Viðurkennd skilríki skulu innihalda:
a)      ábendingu þess efnis að skilríkin séu útgefin sem viðurkennd skilríki;
b)      deili á vottunaraðila og ríkinu þar sem hann hefur staðfestu;
c)      nafn undirritanda eða dulnefni sem skal vera auðkennt sem slíkt;
d)      sérstakar upplýsingar um undirritandann sem komi fram ef við á, eftir því í hvaða tilgangi nota á skilríkin;
e)      þau staðfestingargögn sem svara til þeirra undirskriftargagna sem undirritandinn ræður yfir;
f)        upplýsingar um upphaf og lok gildistíma skilríkjanna;
g)      kennikóða skilríkjanna;
h)      þróaða, rafræna undirskrift vottunaraðilans sem gefur þau út;
i)        takmarkanir á notkunarsviði skilríkjanna, ef við á; og
j)        mörk þeirrar viðskiptafjárhæðar sem notkun skilríkjanna miðast við, ef við á.
 
____ 19. 1. 2000 IS L 13/19 Stjórnartíðindi EB
II. VIÐAUKI
Kröfur viðvíkjandi vottunaraðilum sem gefa út viðurkennd skilríki
Vottunaraðilar skulu:
a)      sýna fram á nauðsynlegan trúverðugleika til þess að láta í té vottunarþjónustu;
b)      sjá til þess að veitt sé hraðvirk og örugg skráar- og afturköllunarþjónusta;
c)      tryggja að unnt sé að sjá nákvæmlega hvaða dag og hvenær dags skilríki eru gefin út eða afturkölluð;
d)      staðfesta, með viðeigandi hætti og í samræmi við landslög, deili á og sérstök einkenni, ef við á, þess einstaklings sem viðurkenndu skilríkin eru gefin út fyrir;
e)      ráða starfsmenn með sérþekkingu, reynslu og menntun og hæfi sem eru nauðsynleg vegna þeirrar þjónustu sem er veitt, einkum stjórnunarhæfni, sérþekkingu í tækni á sviði rafrænna undirskrifta og þekkingu á viðeigandi starfsháttum á sviði öryggismála; þeir skulu einnig viðhafa rétt stjórnsýslu- og stjórnunarvinnubrögð sem eru í samræmi við viðurkennda staðla;
f)        nota örugg kerfi og vörur sem ekki er unnt að breyta og tryggja tæknilegt öryggi og öryggi dulkóðunar að því er varðar það ferli sem er byggt á þeim;
g)      gera ráðstafanir til að koma í veg fyrir fölsun skilríkja og þegar vottunaraðilinn er höfundur undirskriftargagna, ábyrgjast að trúnaður sé virtur meðan slík gögn eru í vinnslu;
h)      ráða að staðaldri yfir nægilegu fjármagni til þess að geta haldið starfseminni gangandi í samræmi við kröfurnar sem mælt er fyrir um í þessari tilskipun, einkum að geta risið undir áhættu samfara skaðabótaábyrgð, til dæmis með því að útvega sér viðeigandi tryggingu;
i)        skrá allar upplýsingar, sem skipta máli um viðurkennd skilríki, í hæfilega langan tíma, einkum til þess að vera fær um að leggja fram sönnunargögn um vottun í málarekstri. Heimilt er að slík skráning fari fram með rafrænum hætti;
j)        ekki geyma eða afrita undirskriftargögn þess einstaklings sem vottunaraðilinn veitti lykilþjónustu á sviði umsýslu;
k)      áður en þeir gera samning við einstakling, sem sækist eftir að fá skilríki til að renna stoðum undir rafræna undirskrift sína, upplýsa viðkomandi einstakling, gegnum haldgóðan samskiptamiðil, um nákvæma skilmála og skilyrði sem gilda um notkun skilríkjanna, meðal annars um notkunartakmarkanir þeirra, tilvist skipulags valfrjálsrar faggildingar og um meðferð kærumála og lausn deilumála. Þessar upplýsingar, sem heimilt er að senda með rafrænum hætti, skulu vera skriflegar og á auðskiljanlegu máli. Viðeigandi hlutar þessara upplýsinga skulu einnig, samkvæmt beiðni, vera aðgengilegir þriðju aðilum sem reiða sig á skilríkin;
l)        nota örugg kerfi til þess að geyma skilríki í staðfestanlegu formi til þess að: — aðeins einstaklingar, sem til þess hafa heimild, geti framkvæmt færslur og gert breytingar, — unnt sé að ganga úr skugga um uppruna upplýsinga, — skilríki séu aðeins aðgengileg almenningi að fengnu samþykki handhafa skilríkja, og — sérhver tæknibreyting, sem er ógnar þessum öryggiskröfum, sé rekstraraðilanum augljós.
 
____ L 13/20 IS 19. 1. 2000 Stjórnartíðindi EB
III. VIÐAUKI
Kröfur viðvíkjandi öruggum undirskriftarbúnaði
1. Öruggur undirskriftarbúnaður skal, með viðeigandi tæknilegum aðferðum og verklagsreglum, tryggja, að minnsta kosti:
a)      að undirskriftargögnin, sem eru notuð við gerð undirskriftar, geti í raun aðeins komið fram einu sinni og að leynd þeirra sé tryggð á eðlilegan hátt;
b)      að öruggt sé, eins og eðlilegt má teljast, að ekki sé hægt að rekja undirskriftargögnin sem eru notuð við gerð undirskriftar og að nýjasta tækni komi í veg fyrir að unnt sé að falsa undirskriftina;
c)      að réttur undirritandi geti tryggilega verndað undirskriftargögnin, sem eru notuð við undirskrift, þannig að aðrir geti ekki notað þau.
2. Undirskriftargögnin mega ekki breyta gögnunum sem undirrita á eða hindra að slík gögn séu kynnt undirritandanum áður en til undirskriftar kemur.
 
 IV. VIÐAUKI
Tillögur um örugga staðfestingu undirskrifta
Um leið og staðfesting undirskrifta fer fram skal tryggja með eins miklu öryggi og frekast má:
a)      að gögnin, sem eru notuð til að staðfesta undirskriftina, svari til gagnanna sem þeim sem annast staðfestinguna eru sýnd;
b)      að undirskriftin sé tryggilega staðfest og niðurstöður þeirrar staðfestingar séu sýndar með réttum hætti;
c)      að sá sem annast staðfestinguna geti, eftir því sem nauðsyn krefur, staðfest með öruggum hætti innihald gagnanna sem hafa verið undirrituð;
d)      að áreiðanleiki og lögmæti skilríkjanna, sem eru nauðsynleg þegar staðfesting undirskriftar fer fram, séu staðfest með öruggum hætti;
e)      að niðurstöður staðfestingar og deili á undirritandanum séu sýnd með réttum hætti;
f)       að notkun dulnefnis komi skýrt fram; og g) að unnt sé að koma auga á allar breytingar sem varða öryggi.