INFORMACINĖS VISUOMENES PLETROS KOMITETAS PRIE LIETUVOS RESPUBLIKOS VYRIAUSYBĖS

Valstybės biudžetinė įstaiga, Vilniaus g.18, LT-01119 Vilnius, tel. (8 5) 266 5161 , faks. (8 5) 266 3980, el. p. info@jvpk.1t, www.iypk.lt.

Duomenys kaupiami ir saugomi Juridinių asmenų registre, kodas 188772433

UAB "Skaitmeninio sertifikavimo centras" 2009-05- O I? Nr. (7) S- 5 91 Į

DĖLELEKTRONINIOPARAŠOĮGYVENDIN~O

Informacinės visuomenės plėtros komitetas prie Lietuvos Respublikos Vyriausybės (toliau

vadinama- Komitetas) 2009 m. balandžio 15 d. gavo UAB "Skaitmeninio sertifikavimo centras" 2009 m. kovo 26 d. raštą, kurio 4 punkte prašoma pateikti infonnaciją dėl užsienio sertifikavimo

paslaugų teikėjų teisinės padėties Lietuvoje ir dėl valstybės įstaigų ir įmonių, teikiančią

sertifikavimo paslaugas, konkurencinių sąlygų. Komitetas savo kompetencijos ribose pateikia

atsakymą dėl užsienio sertifikavimo paslaugų teikėjų teisinės padėties Lietuvoje.

Vadovaujantis Europos Parlamento ir Tarybos direktyvos 1999/93/EB dėl Bendrijos elektroninių parašų reguliavimo sistemos 4 straipsnio 1 punktu, kiekviena valstybė narė jos

teritorijoje įsisteigusiems sertifikavimo paslaugų teikėjams (toliau - Paslaugų teikėjai) ir ją teikiamoms paslaugoms taiko nacionalines nuostatas, kurias ji priima vadovaudamasi šia direktyva.

V alstybės narės negali apriboti kitos valstybės kilmės sertifikavimo paslaugų teikimo srityse,

kuriose taikoma ši direktyva. Lietuvos sertifikavimo paslaugą teikėjams, kurie registruoja asmenis kvalifikuotiems sertifikatams gauti, taikoma Asmenų registravimo sertifikatams gauti ir

konsultavimo paslaugų teikimo tvarka (toliau vadinama - Paslaugą teikimo tvarka), patvirtinta Informacinės visuomenės plėtros komiteto prie Lietuvos Respublikos Vyriausybės direktoriaus 2003 m. sausio 29 d. įsakymu Nr. T-7 (Žin., 2003, Nr. 11-431).

Komitetas nenustatė, kad Paslaugų teikėjas, Lietuvoje teikiantis asmenų registravimo

paslaugas Estijos Respublikoje įregistruota Paslaugą teikėjo AS Sertifitseerirniskeskus sertifikatams gauti, pažeidžia Paslaugų teikimo tvarką. Komitetas ir toliau kaups informaciją apie visus Lietuvoje

veikiančius Paslaugų teikėjus ir ją teikiamas paslaugas. Jei UAB "Skaitmeninio sertifikavimo

centras" turi konkrečių duomenų apie tai, kad Lietuvoje veikiantys Paslaugų teikėjai nesilaiko teisės aktuose keliamų reikalavimų, prašome tokius duomenis pateikti.

Direktorius ~L Aurimas Matulis

I. Tumalovičiūtė, tel. (8 5) 266 3947, el. p. i.tumaloviciute@ivpk.lt V. Ramonas, tel. (8 5) 266 5186, el. p. v.ramonas@iypk.lt

VALSTYBINĖ DUOMENŲ APSAUGOS INSPEKCIJA

UAB "Omnitel" T. Ševčenkos g. 25, LT-03503 Vilnius (faksu 213 1313 ir registruotu laišku)

NURODYMAS DĖL ASMENS DUOMENŲ TVARKYMO

2009 m.lapk.ričio ~.t-d. Nr. 2R- djįf(2.14) Vilnius

Valstybinė duomenų apsaugos inspekcija (toliau- Inspekcija) atlikusi asmens duomenų tvarkymo teisėtumo patikrinimą UAB "Omnitel",

nustatė:

kad UAB "Omnitel" sudariusi Bendradarbiavimo sutarti su Estijos įmone AS Sertifitseerimiskeskus (toliau - CA). Šia sutartimi CA įgalioja UAB "Omnitel" CA vardu atlikti registracijos tarnybos funkcijas išduodant kvalifikuotus elektroninio parašo sertifikatus UAB "Omnitel" klientams, kaip saugią elektroninio parašo formavimo įrangą naudojant UAB "Omnitel" mobiliojo ryšio SIM kortelę. Asmens kodas yra renkamas užpildžius asmeniui Elektroninio parašo paslaugų teikimo sutarties Nr. EP užsakymo formą.

Lietuvos Respublikos elektroninio parašo įstatymo (Žin ., 2000, Nr. 61-1827) (toliau - EPĮ) 2 straipsnio 15 dalyje nustatyta, kad kvalifikuotas sertifikatas yra sertifikatas, kurį sudarė Vyriausybės ar jos įgaliotos institucijos nustatytus reikalavimus atitinkantis sertifikavimo paslaugų te ikėjas. Šiame sertifikate yra tokie duomenys:

1) užrašas, kad tai yra kvalifikuotas sertifikatas; 2) sertifikavimo paslaugų teikėjo ir jo buveinės šalies identifikatoriai; 3) pasirašančio asmens vardas ir pavardė arba slapyvardis; 4) pasirašančio asmens specialūs atributai, jei tai reikalinga atsižvelgiant numatomus

sertifikato naudojimo tikslus; 5) parašo tikrinimo duomenys, atitinkantys pasirašančio asmens turimus parašo formav imo

1uomenis; 6) sertifikato galioj imo pradžios ir pabaigos terminai; 7) sertifikato identifikatorius, suteiktas sertifikavimo paslaugų teikėjo; 8) sertifikavimo paslaugų teikėjo saugus elektroninis parašas; 9) sertifikato naudoj imo paskirties apribojimai, jei tai nustatyta; 1 O) leistina operacijų piniginė vertė, kada sertifikatas gali būti naudojamas, jei tai nustatyta. EPĮ 5 straipsnio I dalyje nustatyta, kad užsienio valstybių sertifikavimo paslaugų teikėjų

udaryti kvalifikuoti sertifikatai laikomi teisiškai ekvivalenčiai s Lietuvos Respublikos sertifikavimo 1aslaugų teikėjų sudaryti ems kvalifikuotiems sertifikatams, jei:

1) yra sudaryti sertifikavimo paslaugų teikėjo, akredituoto Lietuvos Respublikoje; 2) yra sudaryti sertifikavimo paslaugų teikėjo, akredituoto Europos Sąjungos valstybėje;

3) už sertifikatą laiduoja Lietuvos Respublikos sertifikavimo paslaugų teikėjas, atitinkantis .ietuvos Respublikos Vyriausybės ar jos įgaliotos institucijos nustatytus reikalavimus kvalifikuotus ~rtifikatus sudarantiems sertifikavimo paslaugų te ikėjams;

4) už sertifikatą laiduoja Europos Sąjungos valstybės sertifikavimo paslaugų teikėjas,

:itinkantis ekvivalentiškus Lietuvos Respublikos Vyriausybės ar jos įgaliotos institucijos nustatytus :ikalavimus kvalifikuotus sertifikatus sudarantiems sertifikavimo paslaugų teikėjams.

--·.~~~~~~~·;. - . \ \fc:.:lt~'.lln .. ~,.~,..\."I, .... ·~Gt- ~ •

... Q ·- · '"" ,,, l ! -.. ~ •} •.. ~_'·\ i~ ~.~· · ~ ~L

3

elektroninio parašo tikrumas nustatomas gavus patvirtinimą iš sertifikavimo pas laugų teikėjo, todėl nėra tikslo ir teisėto pagrindo naudoti asmens kodą elektroninio parašo sertifikate atv iru pavidalu.

Bendradarbiavimo sutarties 2. 1.11 punkte nustatyta RA (UAB "Omnitel") pareiga - galutinių naudotojų asmens duomenis tvarkyti vadovaujantis Lietuvos Respublikos įstatymais. Be to, Sutarties 3 priede Sertifikavimo paslaugos (Sertifikavimo tarnybos pareigos ir funkcijos) I .3 punkte numatyta, kad CA privalo užtikrinti, kad pagaminti sertifikatai atitiktų CP (pateikiamas 6 priede) ir Apibendrintus CPS (pateikiamus 7 priede) būtų juridiškai galiojantys vadovaujantis Lietuvos Respublikos teisine sistema.

Asmens duomenų tvarkymo reikalavimus reglamentuoja ADT AĮ 3 straipsnio 1 dal is. Šio straipsnio 1 dalies 4 punktas nustato, jog duomenų valdytojas privalo užtikrinti, kad asmens duomenys būtų tapatūs, tinkami ir tik tokios apimties, kuri būtina jiems rinkti ir toliau tvarkyti.

Atsižvelgiant į šias ADT AĮ nuostatas ir į aukščiau pateiktus argumentus, nustatyta, kad asmens kodo, kaip asmenį identifikuojančio duomens, naudojimą (tvarkymą) e-parašo sertifikate, įtvirtino nebūtina asmens duomens - asmens kodo naudojimą (tvarkymą) , kuris sudaro sąlygas tolesniems ADTAĮ pažeidimams, neužtikrinama, kad minėtame sertifikate būtų naudojami (tvarkomi) tik tokios apimties duomenys, kurie būtini jiems toliau tvarkyti, dė l ko minėtame

sertifikate yra tvarkomas perteklinis asmens duomuo - asmens kodas ir tuo pažeidžiamas ADTAĮ 3 straipsnio 1 dalies 4 punktas.

Atkreipiame Jūsų dėmesį, kad Inspekcija 2009-02-25 raštu Nr. 2R-436 (3.8) pateikė atsakymą į UAB "Omnitel" 2009-02-04 R. Sablinsko prašymą Dėl draudimo naudoti asmens kodą elektroninio parašo sertifikate. Inspekcija rašte pažymėjo, kad ADT AĮ 30 straipsnio I dalis numato, kad turi būti įgyvendintos tinkamos organizacinės ir techninės priemonės, skirtos apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo. Šios priemonės turi užtikrinti tokį saugumo lygį, kuris atitiktų saugotinų asmens duomenų pobūdį · ir jų tvarkymo keliamą riziką, todėl būtina užtikrinti tinkamą tiek kvalifikuotuose sertifikatuose naudojamo asmens kodo, tiek su asmens kodu susietų asmens duomenų apsaugą. Siekiant nesudaryti sąlygų neteisėtam asmens duomenų tvarkymui bei tinkamai įgyvendinti ADTAĮ 30 straipsnio reikalavimus, Inspekcija pažymėjo, kad elektroninio parašo kvalifikuotame sertifikate galėtų būti naudojamas tik kriptografiškai pakeistas asmens kodas.

Valstybinė duomenų apsaugos inspekcija, vadovaudamasi Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 40 straipsnio I dalies 4 punktu, taip pat Lietuvos Respublikos Vyriausybės 2001 m. rugsėjo 25 d. nutarimu Nr. 1 I 56 patvirtintų Valstybinės duomenų apsaugos inspekcijos nuostatų (Žin., 2001, Nr. 83-2890, Žin., 2008, Nr. 136-5319) 11.2 punktu, UAB

"Omnitel" nurodo:

Iki 2009 m. gruodžio 20 d. atsisakyti asmens kodo naudojimo elektroninio parašo kvalifikuotuose sertifikatuose arba įgyvendinti papildomas technines duomenų saugumo priemones užtikrinant, kad elektroninio parašo kvalifikuotuose sertifikatuose asmens kodas nebūtų naudojamas

atviru pavidalu.

; ·.rnnė ll!!:l'li'n; r.-ė

. n~~ AJ- A 7.. .

SERTIFIKAVIMO PASLAUGŲ TEIKĖJŲ TIKRINIMŲ DĖL ASMENS KODO NAUDOJIMOTEISĖTUMO TEIKIANT ELEKTRONINIO PARAŠO PASLAUGAS APIBENDRINIMAS

2009-11-25

Valstybinė duomenų apsaugos inspekcija (toliau – VDAI), siekdama išsiaiškinti asmenskodo tvarkymo teikiant elektroninio parašo paslaugas teisėtumą, atliko keturių elektroninio parašosertifikavimo paslaugų teikėjų asmens duomenų tvarkymo teisėtumo patikrinimus.

Atliekant tikrinimus nustatyta, kad tik vienas elektroninio parašo sertifikavimo paslaugųteikėjas buvo pranešęs VDAI apie asmens duomenų tvarkymą elektroninio parašo paslaugų teikimotikslu.

Atsižvelgiant į tai, kad du elektroninio parašo paslaugų sertifikavimo paslaugų teikėjai,teikdami elektroninio parašo paslaugas, nenaudoja asmens kodo elektroninio parašo sertifikate,Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804; http://www3.lrs.lt/pls/inter3/dokpaieska.showdoc_l?p_id=314801) (toliau –ADTAĮ) pažeidimų nenustatyta. Tikrinimo metu nustatyta, kad du sertifikavimo paslaugų teikėjaisertifikate atviru pavidalu naudoja pasirašiusiojo asmens kodą.

Vadovaujantis ADTAĮ, asmens duomenys gali būti tvarkomi tik esant bent vienam išADTAĮ 5 straipsnyje ir 7 straipsnyje įtvirtintam asmens duomenų teisėto tvarkymo kriterijui,laikantis ADTAĮ 3 straipsnyje nustatytų asmens duomenų tvarkymo reikalavimų ir įgyvendinustinkamas duomenų saugumo priemones pagal ADTAĮ 30 straipsnio 1 dalį.

Vadovaujantis Lietuvos Respublikos gyventojų registro įstatymo (Žin., 1992, Nr. 5-78;1999, Nr. 28-793) 8 straipsnio 3 dalies ir 4 straipsnio 9 dalies nuostatomis, fizinio asmens asmenskodas yra unikalus ir nekeičiamas identifikatorius, skirtas duomenims apie jį kaupti. Plintantasmens kodui, padidėja galimybė neteisėtai gauti prieigą prie asmens duomenų, tvarkomų valstybėsregistruose ir informacinėse sistemose, be to, asmens kodo paplitimas didina galimybę jungtiskirtingais tikslais tvarkomus asmens duomenis, o tai neatitiktų ADTAĮ 3 straipsnio 1 dalies 1punkto nuostatų ir galėtų sudaryti sąlygas asmenų teisės į privataus gyvenimo neliečiamumąpažeidimui bei neteisėtam asmens duomenų tvarkymui.

Asmens kodo naudojimas sertifikatuose, kurie skirti elektroniniams dokumentams irelektroniniams laiškams pasirašyti, sudaro galimybę tolesniam, pasirašiusio asmensnekontroliuojamam, asmens kodo platinimui, jei elektroniniu parašu pasirašytas elektroninisdokumentas būtų persiunčiamas kitiems gavėjams. Kyla rizika, kad asmens kodas taptų prieinamasasmenims, neturintiems teisės asmens kodą tvarkyti, t. y. asmenims, neturintiems teisėto tikslo irteisinio pagrindo asmens naudoti kodą. Taip būtų pažeistos ADTAĮ 3 ir 7 straipsnių nuostatos.

Pats elektroninio parašo turėtojas, norėdamas viešai paskelbti pasirašytą elektroninįdokumentą elektroninėje erdvėje (pvz., internete), elektroninėje erdvėje pasirašyti peticiją ar pan.bus priverstas viešai paskelbti ir savo asmens kodą. Viešai skelbiant elektroniniu parašu pasirašytądokumentą, būtų viešai skelbiamas ir asmens kodas, o tai prieštarautų ADTAĮ 7 straipsnio 4 daliai.

Asmeniui, kuriam siunčiamas elektroniniu parašu pasirašytas elektroninis dokumentas arbaelektroninis laiškas, jei jis nori patikrinti elektroninį dokumentą arba elektroninį laišką siuntusioasmens tapatybę ir jam iki elektroninio dokumento ar elektroninio laiško gavimo nebuvo žinomassiuntėjo asmens kodas, asmens kodo nurodymas elektroninio parašo sertifikate nepadės nustatytielektroninio parašo sertifikato turėtojo asmens tapatybės, kadangi nebus su kuo palygintielektroninio parašo sertifikate naudojamo asmens kodo.

Asmuo, kuriam yra adresuotas elektroniniu parašu pasirašytas dokumentas, nenaudoja gautoasmens kodo pasirašiusio asmens tapatybei nustatyti ir įsitikinti, kad gautasis dokumentas yrapasirašytas būtent pasirašiusiam asmeniui priklausančiu elektroniniu parašu, kadangi elektroninioparašo tikrumas nustatomas gavus patvirtinimą iš sertifikavimo paslaugų teikėjo, todėl nėra tikslo irteisėto pagrindo naudoti asmens kodą elektroninio parašo sertifikate atviru pavidalu. VadovaujantisADTAĮ 3 straipsnio 1 dalies 4 punktu, kuriame nustatyta, kad asmens duomenys turi būti tapatūs,

PATVIRTINTA Lietuvos Respublikos Vyriausybės 2002 m. gruodžio 31 d. nutarimu Nr. 2108 (Lietuvos Respublikos Vyriausybės 2011 m. sausio 17 d. nutarimo Nr. 31 redakcija)

KVALIFIKUOTUS SERTIFIKATUS SUDARANČIŲ SERTIFIKAVIMO PASLAUGŲ

TEIKĖJŲ REGISTRAVIMO TVARKOS APRAŠAS

I. BENDROSIOS NUOSTATOS

1. Šis Aprašas nustato kvalifikuotus sertifikatus (toliau vadinama – sertifikatas) sudarančių sertifikavimo paslaugų teikėjų (toliau vadinama – paslaugų teikėjas) registravimą įgyvendinant Lietuvos Respublikos elektroninio parašo įstatymo (Žin., 2000, Nr. 61-1827) 10 straipsnį.

2. Paslaugų teikėjų registracijos tikslas – kaupti informaciją apie paslaugų teikėjus elektroninio parašo (toliau vadinama – parašas) priežiūrai užtikrinti.

3. Paslaugų teikėjus registruoja Lietuvos Respublikos ryšių reguliavimo tarnyba (toliau vadinama – Ryšių reguliavimo tarnyba).

4. Pagrindinės Apraše vartojamos sąvokos: Sertifikato taisyklės – sertifikato sudarymo ir naudojimo taisyklės, nustatančios paslaugų

teikėjo, pasirašančio asmens, parašo naudotojo teises ir pareigas. Sertifikato taisykles renkasi parašo naudotojai. Jas tvirtina ir įgyvendina paslaugų teikėjas. Sertifikato taisyklės rengiamos parašo naudotojų grupės iniciatyva, paslaugų teikėjo arba pasirenkamos iš Lietuvos standarto LST ETSI TS 101 456 „Strateginiai reikalavimai, keliami kvalifikuotus sertifikatus išduodantiems sertifikavimo paslaugų teikėjams“.

Sertifikavimo veiklos nuostatai – paslaugų teikėjo patvirtintos pagrindinės veiklos taisyklės.

II. PRAŠYMO PATEIKIMAS

5. Paslaugų teikėjas, norėdamas užsiregistruoti, ne vėliau kaip prieš 30 kalendorinių dienų iki sertifikatų sudarymo paslaugų teikimo pradžios turi pateikti Ryšių reguliavimo tarnybai:

5.1. vadovo ar įgalioto asmens pasirašytą prašymą, kuriame turi būti nurodyta juridinio asmens pavadinimas, buveinės adresas, juridinio asmens kodas, vadovo vardas ir pavardė, pareigos, kontaktiniai duomenys, pridedamų dokumentų sąrašas;

5.2. juridinio asmens registracijos pažymėjimo kopiją; 5.3. steigimo dokumentų kopijas, sertifikavimo veiklos nuostatus; 5.4. civilinės atsakomybės draudimo poliso kopiją; 5.5. Valstybinės duomenų apsaugos inspekcijos pažymą apie paslaugų teikėjo įregistravimą

Asmens duomenų valdytojų valstybės registre; 5.6. paslaugų teikėjo naudojamos elektroninio parašo įrangos gamintojo deklaracijų arba

akredituotos institucijos išduotų liudijimų (sertifikatų), patvirtinančių įrangos atitiktį saugumo įvertinimo lygiui, kopijas;

5.7. paslaugų teikėjo juridinio asmens vadovo ar įgalioto asmens pasirašytą pažymą, kurioje nurodyti juridinio asmens darbuotojai, sudarantys ir tvarkantys sertifikatus, jų aukštąjį išsilavinimą, paslaugoms teikti reikiamas profesines žinias ir patirtį patvirtinančių dokumentų kopijas;

5.8. paslaugų teikėjo pasitvirtinto informacijos saugumo politikos dokumento arba akredituotos sertifikavimo įstaigos išduoto sertifikato, patvirtinančio, kad paslaugų teikėjas yra įsidiegęs informacijos saugumo valdymo sistemą, taikydamas Lietuvos standartą LST ISO/IEC 27001:2006 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai (tapatus ISO/IEC 27001:2005)“, patvirtintą kopiją.

ELEKTRONINIO PARAŠO PRIEŽIŪROS INSTITUCIJOS

LIETUVOS RESPUBLIKOS ELEKTRONINIO PARAŠO ĮSTATYMO

ĮGYVENDINIMO METINĖ ATASKAITA

Ataskaitos rengimo tikslas – įvykdyti Lietuvos Respublikos elektroninio parašo įstatymo

(toliau – Elektroninio parašo įstatymas) (Žin., 2000, Nr. 61-1827; 2002, Nr. 64-2572) 14 straipsnio

nuostatą – parengti kasmetines šio įstatymo įgyvendinimo ataskaitas ir jas pateikti Lietuvos

Respublikos Vyriausybei (toliau – Vyriausybei) ir Lietuvos Respublikos Seimui (toliau – Seimui).

Teisinė bazė

Informacinės visuomenės plėtros komitetas prie Lietuvos Respublikos Vyriausybės

(toliau - IVPK) vykdydamas Elektroninio parašo įstatymo ir kitų poįstatyminių teisės aktų

nuostatas 2002 m. parengė e. parašo infrastruktūrą reglamentuojančių teisės aktų bazę

(„Reikalavimus kvalifikuotus sertifikatus sudarantiems sertifikavimo paslaugų teikėjams“,

„Reikalavimus elektroninio parašo įrangai“, „Kvalifikuotus sertifikatus sudarančių sertifikavimo

paslaugų teikėjų registravimo tvarką“, „Elektroninio parašo priežiūros reglamentą“, „Laiko žymos

formavimo paslaugų teikimo tvarką“, "Sertifikavimo paslaugų teikėjų akreditavimo reikalavimus ir

tvarką“, „Reikalavimus elektroninio parašo tikrinimo procedūrai“ bei „Asmenų registravimo

sertifikatams gauti ir konsultavimo paslaugų teikimo tvarką“), kuri nesudaro kliūčių diegti ir

naudoti e. parašą (2003-12-12 valstybinio audito ataskaitos Nr. 2010-21 „Elektroninio parašo

diegimo vertinimas“ išvada, telekomunikacijų bendrovių, bankų bei suinteresuotų valstybės

institucijų vertinimas).

2004 m. IVPK parengė ir Lietuvos Respublikos Seimas priėmė Lietuvos Respublikos

administracinių teisės pažeidimų kodekso 2591 straipsnio pakeitimo ir kodekso papildymo 21424,

24710 straipsnių įstatymą (Žin., 2004, Nr. 115- 4275). Įstatymo pakeitimu nustatyta atsakomybė

kvalifikuotus sertifikatus sudarantiems sertifikavimo paslaugų teikėjams, jei pastarųjų veikla ar

neveikimas pažeidžia kvalifikuotus sertifikatus sudarančių sertifikavimo paslaugų teikėjų veiklą

reglamentuojančių teisės aktų nuostatas, taip pat siekiama užkirsti kelią galimai žalai dėl

netinkamos kvalifikuotus sertifikatus sudarančių sertifikavimo paslaugų teikėjų veiklos ar

neveikimo atsirasti.

AB Vilniaus bankas - internetinės bankininkystės sistemoje „VB internetas“,

asmeninio kompiuterio sistemoje „VB Telebankas“, savo reikmėms – nekvalifikuotų sertifikatų

paslaugomis. Bankas taip pat svarsto galimybę naudoti PKI technologijas mobilaus

autentifikavimo paslaugose;

Kiti bankai – e. bankininkystės sistemose (NORD/LB paslauga „INTERNETO

LINIJA“, Šiaulių banko „SB linija“, Ūkio banko „Eta bankas“, SAMPO „e-bankas“, Snoro

banko „Snoras online“, Medicinos banko internetine bankine sistema IBS).

Savo vidinėms reikmėms e. parašą naudoja ir telekomunikacijų bendrovės:

UAB „Bitė GSM“ – „mano.bite.lt“ abonentai gali matyti savo paslaugas, papildyti

išankstinio mokėjimo sąskaitas, užsakyti pageidaujamas paslaugas, PKI – įmonės vidiniuose

tinkluose;

UAB „Omnitel“ kartu su IVPK savo vidinėms reikmėms pradėjo bandymus naudoti

parašą mobiliuoju telefonu – m. parašą. Tai vienas iš pirmųjų praktinių taikymų Europoje ir

pirmasis taikymas Baltijos šalyse, kai saugaus e. parašo infrastruktūra yra naudojama

mobiliuosiuose telefonuose. Projekto tikslas – išbandyti mobiliojo e. parašo infrastruktūrą vienoje

valstybinėje institucijoje, vėliau ją pritaikant kitiems e. valdžios projektams. Ši sistema nėra

tradicinės e. parašo infrastruktūros pakaitalas – ji sukurta dirbti kartu ir papildyti egzistuojančias

fiksuotas sprendimus. Vartotojai patys gali pasirinkti jiems labiausiai patinkančius pasirašymo

įrankius – “Smart” kortelę ir skaitytuvą ar mobilųjį telefoną. Išskirtinis mobilaus e. parašo bruožas

– užtikrintas, lengvas, paprastas ir saugus naudojimas. Vartotojas gali pasirašinėti dokumentus

mobiliuoju telefonu net ir nebūdamas darbo vietoje, neturėdamas kompiuterio, arba būdamas

išvažiavęs į užsienį. Kadangi projekte naudojamos fiksuoto ir mobilaus e. parašo technologijos,

iškyla papildomų problemų – šiuo metu sprendžiami PKI Tolkit (SIM kortelių su e. parašo

galimybe) kortelių techninio suderinamumo su sertifikavimo paslaugų teikėjo (Estijos AS

„Sertifitseerimiskeskus“) sudarytais sertifikatais, klausimas.

Naudojantis identifikavimo sistemomis įdiegtomis bankuose, Valstybinė mokesčių

inspekcija (toliau – VMI) yra įdiegusi pajamų deklaravimo elektroniniu būdu sistemą – jau nuo

2004 m. priima elektronines gyventojų pajamų ir turto deklaracijas. 2004 m. sistema pradėjo veikti

likus 1 mėn. iki deklaravimo termino pabaigos, tačiau visgi e. būdu deklaravo daugiau nei 6

procentai visų deklaravusių gyventojų. Internetinės bankininkystės vartotojai deklaracijų teikimo

elektroniniu būdu sutartis pasirašyti internetu, o kitiems gyventojams sudaryta galimybė sutartį

pasirašyti VMI skyriuje, o vėliau elektronines deklaracijas užpildyti tinklalapyje

http://deklaravimas.vmi.lt. Šiuo metu pasirašyti sutartį internete bei teikti deklaracijas elektroniniu

būdu gali daugelio Lietuvos komercinių bankų internetinės bankininkystės paslaugos vartotojai.

4

Įstatymas netenka galios 2018-05-09: Lietuvos Respublikos Seimas, Įstatymas Nr. XIII-1120, 2018-04-26, paskelbta TAR 2018-05-08, i. k. 2018-07474 Lietuvos Respublikos elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų įstatymas Suvestinė redakcija nuo 2014-01-01 iki 2018-05-08 Įstatymas paskelbtas: Žin. 2000, Nr. 61-1827, i. k. 1001010ISTAIII-1822

LIETUVOS RESPUBLIKOS ELEKTRONINIO PARAŠO

Į S T A T Y M A S

2000 m. liepos 11 d. Nr. VIII-1822 Vilnius

PIRMASIS SKIRSNIS

BENDROSIOS NUOSTATOS 1 straipsnis. Įstatymo paskirtis 1. Šis įstatymas reglamentuoja elektroninio parašo kūrimą, tikrinimą, galiojimą, parašo

naudotojų teises ir atsakomybę, nustato sertifikavimo paslaugas ir reikalavimus jų teikėjams bei elektroninio parašo priežiūros institucijos teises ir funkcijas.

2. Šis įstatymas nereglamentuoja parašo formavimo ir tikrinimo duomenų bei elektroninio parašo įrangos naudojimo elektroninių duomenų konfidencialumui užtikrinti.

2 straipsnis. Pagrindinės šio įstatymo sąvokos 1. Asmuo – įmonė, neturinti juridinio asmens teisių, fizinis arba juridinis asmuo, įskaitant

ir užsienio asmenis. 2. Elektroniniai duomenys (toliau – duomenys) – visi duomenys, kurie tvarkomi

informacinių technologijų priemonėmis. 3. Duomenų tvarkymas – visos su duomenimis atliekamos operacijos: rinkimas,

užrašymas, klasifikavimas, grupavimas, kaupimas, saugojimas, keitimas, kopijavimas, sujungimas, atskleidimas, teikimas, naudojimas, naikinimas.

4. Elektroninis parašas (toliau – parašas) – duomenys, kurie įterpiami, prijungiami ar logiškai susiejami su kitais duomenimis pastarųjų autentiškumui patvirtinti ir (ar) pasirašančiam asmeniui identifikuoti.

5. Saugus elektroninis parašas – elektroninis parašas, kuris atitinka visus šioje dalyje nurodytus reikalavimus:

1) yra vienareikšmiškai susietas su pasirašančiu asmeniu; 2) leidžia identifikuoti pasirašantį asmenį; 3) yra sukurtas priemonėmis, kurias pasirašantis asmuo gali tvarkyti tik savo valia; 4) yra susijęs su pasirašytais duomenimis taip, kad bet koks šių duomenų pakeitimas yra

pastebimas. 6. Pasirašyti duomenys – duomenys, į kuriuos yra įterptas, prie kurių prijungtas ar su

kuriais logiškai susietas elektroninis parašas. 7. Pasirašantis asmuo – veiksnus fizinis asmuo, kuris turi parašo formavimo įrangą ir,

veikdamas savo valia ir savo arba kito asmens, kuriam jis atstovauja, vardu, sukuria elektroninį parašą.

8. Parašo naudotojai – asmenys, kurie savo veikloje naudoja elektroninį parašą arba iš kitų asmenų gauna pasirašytus duomenis.

9. Parašo formavimo duomenys – unikalūs duomenys, kuriuos pasirašantis asmuo naudoja kurdamas elektroninį parašą.

2

10. Parašo formavimo įranga – kompiuterių techninė ir (ar) programinė įranga, pritaikyta elektroniniam parašui sukurti.

11. Saugi parašo formavimo įranga – parašo formavimo įranga, kuri atitinka visus šioje dalyje nurodytus reikalavimus:

1) parašo formavimo duomenis, naudojamus elektroniniam parašui sukurti, praktiškai įmanoma gauti tik vienintelį kartą, ir užtikrinamas jų slaptumas;

2) parašo formavimo duomenų, naudojamų elektroniniam parašui sukurti, atkurti praktiškai neįmanoma, ir nuo elektroninio parašo klastočių apsaugo esamos technologijos;

3) parašo formavimo duomenis, naudojamus elektroniniam parašui sukurti, pasirašantis asmuo gali patikimai apsaugoti nuo kitų asmenų;

4) parašo formavimo įranga, kuriant elektroninį parašą, nekeičia pasirašomų duomenų ir netrukdo pasirašančiam asmeniui stebėti tuos duomenis prieš pasirašant.

12. Parašo tikrinimo duomenys – unikalūs duomenys, kurie naudojami elektroniniam parašui tikrinti.

13. Parašo tikrinimo įranga – kompiuterių techninė ir (ar) programinė įranga, pritaikyta elektroniniam parašui tikrinti.

14. Sertifikatas – elektroninis liudijimas, kuris susieja parašo tikrinimo duomenis su pasirašančiu asmeniu ir patvirtina arba leidžia nustatyti pasirašančio asmens tapatybę.

15. Kvalifikuotas sertifikatas – sertifikatas, kurį sudarė Vyriausybės ar jos įgaliotos institucijos nustatytus reikalavimus atitinkantis sertifikavimo paslaugų teikėjas. Šiame sertifikate yra tokie duomenys:

1) užrašas, kad tai yra kvalifikuotas sertifikatas; 2) sertifikavimo paslaugų teikėjo ir jo buveinės šalies identifikatoriai; 3) pasirašančio asmens vardas ir pavardė arba slapyvardis; 4) pasirašančio asmens specialūs atributai, įskaitant asmens kodą, kai tai reikalinga

atsižvelgiant į numatomus sertifikato naudojimo tikslus. Straipsnio punkto pakeitimai: Nr. XII-686, 2013-12-17, Žin., 2013, Nr. 140-7063 (2013-12-30); paskelbta TAR 2013-12-31, i. k. 2013-00364

5) parašo tikrinimo duomenys, atitinkantys pasirašančio asmens turimus parašo formavimo duomenis;

6) sertifikato galiojimo pradžios ir pabaigos terminai; 7) sertifikato identifikatorius, suteiktas sertifikavimo paslaugų teikėjo; 8) sertifikavimo paslaugų teikėjo saugus elektroninis parašas; 9) sertifikato naudojimo paskirties apribojimai, jei tai nustatyta; 10) leistina operacijų piniginė vertė, kada sertifikatas gali būti naudojamas, jei tai

nustatyta. 16. Sertifikavimo paslaugų teikėjas – įmonė, neturinti juridinio asmens teisių, arba

juridinis asmuo, sudarantis sertifikatus arba teikiantis kitas paslaugas, susijusias su elektroniniu parašu.

17. Elektroninio parašo įranga – kompiuterių techninė ir (ar) programinė įranga arba atitinkami jų komponentai, kuriuos sertifikavimo paslaugų teikėjai naudoja teikdami paslaugas, susijusias su elektroniniu parašu, arba kurie yra naudojami elektroniniam parašui kurti arba tikrinti.

ANTRASIS SKIRSNIS

PARAŠO KŪRIMAS, TIKRINIMAS, GALIOJIMAS, PARAŠO NAUDOTOJŲ TEISĖS IR ATSAKOMYBĖ

3 straipsnis. Parašo formavimo ir tikrinimo duomenų kūrimas

4

Nr. IX-934, 2002-06-06, Žin., 2002, Nr. 64-2572 (2002-06-26); Žin., 2002, Nr. 65-0 (2002-06-28), i. k. 1021010ISTA00IX-934

9) kitais įstatymų numatytais atvejais. Straipsnio punkto numeracijos pakeitimas: Nr. IX-934, 2002-06-06, Žin., 2002, Nr. 64-2572 (2002-06-26); Žin., 2002, Nr. 65-0 (2002-06-28), i. k. 1021010ISTA00IX-934

7. Pasirašantis asmuo privalo nedelsdamas kreiptis į jo sertifikatą sudariusį sertifikavimo paslaugų teikėją dėl sertifikato galiojimo nutraukimo, jeigu prarado sertifikatą atitinkančių parašo formavimo duomenų kontrolę.

8. Pasirašantis asmuo privalo nedelsdamas pranešti jo sertifikatą sudariusiam sertifikavimo paslaugų teikėjui apie duomenų, nurodytų sertifikate, pasikeitimus, pateikdamas tai patvirtinančius dokumentus. Duomenų pasikeitimą patvirtinančių dokumentų nereikia pateikti, jei pranešama apie teisių, nurodytų sertifikate, apimties sumažėjimą. Papildyta straipsnio dalimi: Nr. IX-934, 2002-06-06, Žin., 2002, Nr. 64-2572 (2002-06-26); Žin., 2002, Nr. 65-0 (2002-06-28), i. k. 1021010ISTA00IX-934

9. Žalą, padarytą neteisėtu sertifikato galiojimo sustabdymu ar nutraukimu, privalo atlyginti dėl to kalti asmenys Lietuvos Respublikos įstatymų nustatyta tvarka. Straipsnio dalies numeracijos pakeitimas: Nr. IX-934, 2002-06-06, Žin., 2002, Nr. 64-2572 (2002-06-26); Žin., 2002, Nr. 65-0 (2002-06-28), i. k. 1021010ISTA00IX-934

10. Asmens duomenys sertifikate tvarkomi vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu. Papildyta straipsnio dalimi: Nr. XII-686, 2013-12-17, Žin., 2013, Nr. 140-7063 (2013-12-30); paskelbta TAR 2013-12-31, i. k. 2013-00364

5 straipsnis. Užsienio valstybių sertifikatų galiojimas 1. Užsienio valstybių sertifikavimo paslaugų teikėjų sudaryti kvalifikuoti sertifikatai

laikomi teisiškai ekvivalenčiais Lietuvos Respublikos sertifikavimo paslaugų teikėjų sudarytiems kvalifikuotiems sertifikatams, jei:

1) yra sudaryti sertifikavimo paslaugų teikėjo, akredituoto Lietuvos Respublikoje; 2) yra sudaryti sertifikavimo paslaugų teikėjo, akredituoto Europos Sąjungos valstybėje; 3) už sertifikatą laiduoja Lietuvos Respublikos sertifikavimo paslaugų teikėjas,

atitinkantis Lietuvos Respublikos Vyriausybės ar jos įgaliotos institucijos nustatytus reikalavimus kvalifikuotus sertifikatus sudarantiems sertifikavimo paslaugų teikėjams;

4) už sertifikatą laiduoja Europos Sąjungos valstybės sertifikavimo paslaugų teikėjas, atitinkantis ekvivalentiškus Lietuvos Respublikos Vyriausybės ar jos įgaliotos institucijos nustatytus reikalavimus kvalifikuotus sertifikatus sudarantiems sertifikavimo paslaugų teikėjams.

2. Lietuvos Respublikoje taip pat pripažįstami tie užsienio valstybių sertifikavimo paslaugų teikėjai ir jų sudaryti sertifikatai, kurių pripažinimas paremtas Lietuvos Respublikos tarptautinėmis sutartimis.

6 straipsnis. Elektroninio parašo kūrimas 1. Pasirašantis asmuo kuria elektroninį parašą parašo formavimo įranga iš pasirašomų

duomenų ir tik jam priklausančių parašo formavimo duomenų. 2. Už parašo formavimo duomenų ir parašo formavimo įrangos saugojimą yra atsakingas

pasirašantis asmuo. 3. Pasirašantis asmuo neturi teisės perleisti parašo formavimo duomenų kitam fiziniam

asmeniui.

6

11 straipsnis. Sertifikavimo paslaugų teikėjų akreditavimas 1. Sertifikavimo paslaugų teikėjai gali savanoriškai akredituotis elektroninio parašo

priežiūros institucijoje. Akreditacija – tai sertifikavimo paslaugų teikėjo sugebėjimo atlikti funkcijas įvertinimas. Akreditacija nėra būtina sertifikavimo paslaugų teikėjų veiklos sąlyga.

2. Sertifikavimo paslaugų teikėjų savanoriškos akreditacijos reikalavimus ir akreditavimo tvarką nustato elektroninio parašo priežiūros institucija.

3. Norinčių akredituotis sertifikavimo paslaugų teikėjų skaičius neribojamas. 12 straipsnis. Sertifikavimo paslaugų teikėjo pareigos, teisės ir atsakomybė 1. Sertifikatui sudaryti pasirašantis asmuo sudaro sutartį su sertifikavimo paslaugų

teikėju. Sertifikavimo paslaugų teikėjas sudarant sutartį privalo: 1) informuoti pasirašantį asmenį apie jo vardo, pavardės, asmens kodo ir kitų asmens

duomenų tvarkymą sertifikate; Papildyta straipsnio punktu: Nr. XII-686, 2013-12-17, Žin., 2013, Nr. 140-7063 (2013-12-30); paskelbta TAR 2013-12-31, i. k. 2013-00364

2) informuoti pasirašantį asmenį apie sertifikato naudojimo tvarką, apribojimus, savanorišką sertifikavimo paslaugų teikėjo akreditavimąsi; Straipsnio punkto numeracijos pakeitimas: Nr. XII-686, 2013-12-17, Žin., 2013, Nr. 140-7063 (2013-12-30); paskelbta TAR 2013-12-31, i. k. 2013-00364

3) sudarydamas pasirašančio asmens sertifikatą, reikalauti iš asmens pateikti jo tapatybę patvirtinančius dokumentus; Straipsnio punkto numeracijos pakeitimas: Nr. XII-686, 2013-12-17, Žin., 2013, Nr. 140-7063 (2013-12-30); paskelbta TAR 2013-12-31, i. k. 2013-00364

4) užtikrinti asmens duomenų apsaugą, reglamentuojamą Asmens duomenų teisinės apsaugos ir kitų Lietuvos Respublikos įstatymų. Straipsnio punkto numeracijos pakeitimas: Nr. XII-686, 2013-12-17, Žin., 2013, Nr. 140-7063 (2013-12-30); paskelbta TAR 2013-12-31, i. k. 2013-00364

2. Sertifikavimo paslaugų teikėjas privalo: 1) bet kuriuo paros metu teikti sertifikatų duomenis parašo naudotojams elektroniniams

parašams tikrinti; 2) nedelsdamas sustabdyti arba nutraukti pasirašančio asmens sertifikato galiojimą 4

straipsnio 4 ir 6 dalyse numatytais atvejais; 3) nedelsdamas informuoti pasirašantį asmenį apie jo sertifikato galiojimo sustabdymą ar

nutraukimą; 4) nedelsdamas atšaukti sertifikato galiojimo sustabdymą, gavęs pasirašančio asmens

arba Vyriausybės nustatytos teisėsaugos institucijos, kurios prašymu sertifikato galiojimas buvo sustabdytas, prašymą.

3. Kvalifikuotus sertifikatus sudarantis sertifikavimo paslaugų teikėjas privalo: 1) rinkti Vyriausybės ar jos įgaliotos institucijos nustatytą informaciją, susijusią su

sertifikatų tvarkymu ir atsakymais į parašo naudotojų užklausas, saugoti ją nustatytą laiką; 2) apdrausti savo civilinę atsakomybę ne mažesne kaip elektroninio parašo priežiūros

institucijos nustatyta suma. 4. Kvalifikuotus sertifikatus sudarantis sertifikavimo paslaugų teikėjas turi teisę nustatyti

sertifikato naudojimo paskirties apribojimus, leistiną operacijų piniginę vertę, kada galima naudoti sertifikatą, ir neatsako už parašo naudotojų patirtą žalą, jeigu buvo pažeisti sertifikate nurodyti apribojimai.

5. Kvalifikuotus sertifikatus sudarantis sertifikavimo paslaugų teikėjas atsako už: 1) sudaryto sertifikato duomenų tikslumą;

31999L0093

2000 1 19EUROPOS BENDRIJŲ OFICIALUSIS LEIDINYSL 13/12

EUROPOS PARLAMENTO IR TARYBOS DIREKTYVA 1999/93/EB1999 m. gruodžio 13 d.

dėl Bendrijos elektroninių parašų reguliavimo sistemos

EUROPOS PARLAMENTAS IR EUROPOS SĄJUNGOS TARYBA,

atsižvelgdami į Europos bendrijos steigimo sutartį, ypač į jos47 straipsnio 2 dalį, 55 ir 95 straipsnius,

atsižvelgdami į Komisijos pasiūlymą (1),

atsižvelgdami į Ekonomikos ir socialinių reikalų komiteto nuo-monę (2),

atsižvelgdami į Regionų komiteto nuomonę (3),

laikydamiesi Sutarties 251 straipsnyje nustatytos tvarkos (4),

kadangi:

(1) 1997 m. balandžio 16 d. Europos Parlamentui, Tarybai,Ekonomikos ir socialinių reikalų komitetui bei Regionųkomitetui Komisija pristatė komunikatą dėl Europos inicia-tyvos elektroninės komercijos srityje;

(2) 1997 m. spalio 8 d. Europos Parlamentui, Tarybai, Ekono-mikos ir socialinių reikalų komitetui bei Regionų komite-tui Komisija pristatė komunikatą dėl elektroninio ryšiosaugumo ir pasitikėjimo užtikrinimo, kuriant skaitmeniniųparašų ir šifravimo reguliavimo sistemą Europoje;

(3) 1997 m. gruodžio 1 d. Taryba paprašė Komisiją kuo sku-biau pateikti pasiūlymą dėl Europos Parlamento ir Tarybosdirektyvos dėl skaitmeninių parašų;

(4) elektroniniam ryšiui ir elektroninei komercijai yra būtini„elektroniniai parašai“ ir atitinkamos paslaugos, leidžian-čios patvirtinti duomenų autentiškumą; skirtingostaisyklės, nustatančios teisinį elektroninių parašų pripaži-nimą ir sertifikavimo paslaugų teikėjų akreditavimą,valstybėse narėse gali sudaryti rimtų kliūčių naudojantiselektroniniais ryšiais bei elektronine komercija; kita vertus,aiški Bendrijos elektroninių parašų reguliavimo sistemasustiprins pasitikėjimą naujomis technologijomis ir apskri-tai padarys jas priimtinesnes; valstybių narių teisės aktaineturi kliudyti laisvam prekių ir paslaugų judėjimui vidausrinkoje;

(5) turi būti skatinama elektroninio parašo produktų sąveika;pagal Sutarties 14 straipsnį vidaus rinka apima teritoriją be

vidaus sienų, kurioje yra užtikrinamas laisvas prekiųjudėjimas; turi būti pripažįstami pagrindiniai elektroninioparašo produktams būdingi reikalavimai, siekiant užtik-rinti laisvą judėjimą vidaus rinkoje ir pasitikėjimą elektro-niniais parašais, nepažeidžiant 1994 m. gruodžio 19 d.Tarybos reglamento (EB) Nr. 3381/94, nustatančio dve-jopo naudojimo prekių eksporto kontrolės tvarką Bendri-joje (5), ir 1994 m. gruodžio 19 d. Tarybos sprendimo94/942/BUSP dėl bendrųjų veiksmų, kuriuos Tarybapatvirtino dėl dvejopo naudojimo prekių eksportokontrolės (6);

(6) ši direktyva nesuvienodina reikalavimų informacijos kon-fidencialumo užtikrinimo paslaugoms, jeigu šias paslaugasreglamentuoja nacionalinės nuostatos, susijusios su viešąjatvarka ir visuomenės saugumu;

(7) vidaus rinka užtikrina laisvą asmenų judėjimą, todėl Euro-pos Sąjungos piliečiams ir nuolatiniams gyventojams visdažniau tenka susidurti su kitų, ne savo gyvenamosios vie-tos valstybių narių valdžios institucijomis; galimybė nau-dotis elektroniniais ryšiais šiais atvejais galėtų būti labainaudinga;

(8) greita technologijų plėtra ir interneto paplitimas visamepasaulyje reikalauja plėtoti atvirą požiūrį į elektroninioduomenų autentiškumo patvirtinimo technologijas irpaslaugas;

(9) elektroniniai parašai bus naudojami labai įvairiomisaplinkybėmis ir atvejais, todėl atsiras daug naujų produktųir paslaugų, susijusių su elektroniniais parašais arba jų nau-dojimu; tokių produktų ir paslaugų apibrėžimas neturiapsiriboti sertifikatų išdavimu ir tvarkymu, o turi apimti irvisus kitus elektroninio parašo produktus ir paslaugas,įskaitant pagalbines, tokias kaip registravimas, laiko žymosformavimas, katalogo tvarkymas, skaičiavimas arba kon-sultavimas;

(10) sertifikavimo paslaugų teikėjams vidaus rinka leidžiaplėtoti tarpvalstybinę veiklą, siekiant padidinti jų konku-rencingumą ir taip sudaryti vartotojams bei įmonėmsnaujų galimybių saugiai keistis informacija ir prekiautielektroniniu būdu, nepaisant sienų; siekiant skatinti serti-fikavimo paslaugų teikimą visoje Bendrijoje naudojantatviruosius tinklus, sertifikavimo paslaugų teikėjams turibūti sudarytos galimybės teikti savo paslaugas be išanksti-nio leidimo; išankstinis leidimas reiškia ne tik nacionalinėsvaldžios išduodamą leidimą, kurį atitinkamas sertifikavimo

(1) OL C 325, 1998 10 23, p. 5.(2) OL C 40, 1999 2 15, p. 29.(3) OL C 93, 1999 4 6, p. 33.(4) 1999 m. sausio 13 d. Europos Parlamento nuomonė (OL C 104,1999 4 14, p. 49), 1999 m. birželio 28 d. Tarybos bendroji pozicija(OL C 243, 1999 8 27, p. 33) ir 1999 m. spalio 27 d. Europos Par-lamento sprendimas (dar nepaskelbta Oficialiajame leidinyje).1999 m. lapkričio 30 d. Tarybos sprendimas.

(5) OL L 367, 1994 12 31, p. 1. Reglamentas su pakeitimais, padarytaisReglamentu (EB) Nr. 837/95 (OL L 90, 1995 4 21, p. 1).

(6) OL L 367, 1994 12 31, p. 8. Sprendimas su paskutiniais pakeitimais,padarytais Sprendimu 99/193/BUSP (OL L 73, 1999 3 19, p. 1).

13/24 t. LT Europos Sąjungos oficialusis leidinys 239

2. Valstybės narės bent jau užtikrina, kad sertifikavimo paslaugųteikėjas, kuris išduoda kvalifikuotą sertifikatą visuomenei, būtųatsakingas už žalą, padarytą bet kuriam subjektui arba juridiniamar fiziniam asmeniui, pagrįstai pasitikinčiam sertifikatu, kuri atsi-rado dėl to, kad nebuvo užregistruotas sertifikato galiojimonutraukimas, nebent sertifikavimo paslaugų teikėjas įrodo, kadnesielgė neatsargiai.

3. Valstybės narės užtikrina, kad kvalifikuotame sertifikate serti-fikavimo paslaugų teikėjas galėtų nurodyti tam sertifikatui taiko-mus apribojimus, jeigu tuos apribojimus pripažįsta trečiosiosšalys. Sertifikavimo paslaugų teikėjas neatsako už žalą, patiriamądėl kvalifikuoto sertifikato naudojimo nepaisant nustatytų apri-bojimų.

4. Valstybės narės užtikrina, kad kvalifikuotame sertifikate serti-fikavimo paslaugų teikėjas galėtų nurodyti sandorių, kuriuose ser-tifikatas gali būti naudojamas, sumos ribą, jeigu šią ribą pripažįstatrečiosios šalys.

Sertifikavimo paslaugų teikėjas neatsako už žalą, atsirandančiąviršijus šią didžiausią nustatytą ribą.

5. 1–4 dalių nuostatos neprieštarauja 1993 m. balandžio 5 d.Tarybos direktyvai 93/13/EEB dėl nesąžiningų sąlygų vartotojųsutartyse (1).

7 straipsnis

Tarptautiniai aspektai

1. Valstybės narės užtikrina, kad būtų pripažįstama, jog trečio-joje šalyje įsisteigusio sertifikavimo paslaugų teikėjo visuomeneiišduoti kvalifikuoti sertifikatai būtų pripažinti teisiškai prilygstan-čiais Bendrijos teritorijoje įsisteigusio sertifikavimo paslaugųteikėjo išduotiems sertifikatams, jeigu:

a) sertifikavimo paslaugų teikėjas atitinka šioje direktyvoje nusta-tytus reikalavimus ir yra akredituotas pagal valstybėje narėjenustatytą savanoriškos akreditacijos sistemą; arba

b) Bendrijos teritorijoje įsisteigęs sertifikavimo paslaugų teikėjas,kuris atitinka šioje direktyvoje nustatytus reikalavimus, garan-tuoja sertifikatą; arba

c) sertifikatas arba sertifikavimo paslaugų teikėjas yrapripažįstamas pagal dvišalę arba daugiašalę sutartį tarp Bend-rijos ir trečiųjų šalių arba tarptautinių organizacijų.

2. Siekiant palengvinti tarpvalstybinių sertifikavimo paslaugų tei-kimą trečiosioms šalims ir teisinį trečiųjų šalių kilmės saugių elek-troninių parašų pripažinimą, tam tikrais atvejais Komisija teikiapasiūlymus, siekdama veiksmingo sertifikavimo paslaugoms tai-kytinų standartų ir tarptautinių sutarčių įgyvendinimo. Visųpirma, kai būtina, ji pateikia pasiūlymus Tarybai dėl tinkamų įga-liojimų derantis dėl dvišalių ir daugiašalių sutarčių su trečiosio-mis šalimis ir tarptautinėmis organizacijomis. Taryba priimasprendimą kvalifikuota balsų dauguma.

3. Kai Komisijai pranešama apie kokius nors sunkumus, sukuriais susiduria Bendrijos įmonės, norėdamos patekti į trečiųjųšalių rinką, ji gali, jeigu reikia, pateikti pasiūlymus Tarybai dėl tin-kamų mandatų derantis dėl Bendrijos įmonių panašių teisių šiosetrečiosiose šalyse. Taryba priima sprendimą kvalifikuota balsųdauguma.

Priemonės, kurių imamasi vadovaujantis šia dalimi, neturi pažeistiBendrijos bei valstybių narių įsipareigojimų pagal atitinkamastarptautines sutartis.

8 straipsnis

Duomenų apsauga

1. Valstybės narės užtikrina, kad sertifikavimo paslaugų teikėjai iruž akreditaciją arba priežiūrą atsakingos nacionalinės institucijoslaikytųsi reikalavimų, nustatytų 1995 m. spalio 24 d. EuroposParlamento ir Tarybos direktyvoje 95/46/EB dėl asmenų apsau-gos tvarkant asmens duomenis ir dėl laisvo tokių duomenųjudėjimo (2).

2. Valstybės narės užtikrina, kad sertifikavimo paslaugų teikėjas,kuris išduoda visuomenei sertifikatus, galėtų rinkti asmens duo-menis tik tiesiogiai iš subjekto, kuriam jie priklauso, arba gavęsoficialų šio subjekto sutikimą ir tik tiek, kiek reikia sertifikatuiišduoti bei jam tvarkyti. Duomenys negali būti renkami ar apdo-rojami jokiais kitais tikslais be oficialaus subjekto, kuriam jie pri-klauso, sutikimo.

3. Nepažeidžiant slapyvardžių teisinės galios pagal nacionalinęteisę, valstybės narės nedraudžia sertifikavimo paslaugų teikėjamsvietoj pasirašančio asmens vardo ir pavardės sertifikate nurodytislapyvardį.

9 straipsnis

Komitetas

1. Komisijai padeda Elektroninio parašo reikalų komitetas, toliau– Komitetas.

2. Darant nuorodą į šią dalį, yra taikomi Sprendimo1999/468/EB 4 ir 7 straipsniai, atsižvelgiant į šio sprendimo8 straipsnio nuostatas.

Sprendimo 1999/468/EB 4 straipsnio 3 dalyje nurodytas laiko-tarpis yra trys mėnesiai.

3. Komitetas priima savo darbo tvarkos taisykles.

10 straipsnis

Komiteto uždaviniai

Komitetas aiškina šios direktyvos prieduose nustatytusreikalavimus, 3 straipsnio 4 dalyje minimus kriterijus irelektroninio parašo produktų visuotinai pripažintus standartus,nustatytus ir paskelbtus vadovaujantis 3 straipsnio 5 dalyje bei9 straipsnio 2 dalyje nurodyta tvarka.

(1) OL L 95, 1993 4 21, p. 29. (2) OL L 281, 1995 11 23, p. 31.

13/24 t. LT Europos Sąjungos oficialusis leidinys 243