Digitaalallkirja seadus
Vastu võetud 08.03.2000
Välja kuulutatud Vabariigi Presidendi 23. märtsi 2000. a otsusega nr 747 |
I peatükk
ÜLDSÄTTED
§ 1. Seaduse reguleerimisala
Käesolev seadus sätestab digitaalallkirja kasutamiseks vajalikud tingimused ning sertifitseerimisteenuse ja ajatempliteenuse osutamise üle järelevalve teostamise korra.
§ 2. Digitaalallkiri
(1) Digitaalallkiri on tehniliste ja organisatsiooniliste vahendite süsteemi abil moodustatud andmete kogum, mida allkirja andja kasutab, märkimaks oma seost dokumendiga.
(2) Digitaalallkiri moodustatakse allkirja andja poolt allkirja andmise vahendi (edaspidi isiklik võti) abil, millele vastab üheselt allkirja kontrollimise vahend (edaspidi avalik võti).
(3) Digitaalallkiri koos selle kasutamise süsteemiga peab:
1) võimaldama üheselt tuvastada isiku, kelle nimel allkiri on antud;
2) võimaldama kindlaks teha allkirja andmise aja;
3) siduma digitaalallkirja andmetega sellisel viisil, mis välistab võimaluse
tuvastamatult muuta andmeid või nende tähendust pärast allkirja andmist.
§ 3. Digitaalallkirja kasutamise õiguslikud tagajärjed
(1) Digitaalallkirjal on samad õiguslikud tagajärjed nagu omakäelisel allkirjal, kui seadusega ei ole neid tagajärgi piiratud ning on tõendatud allkirja vastavus käesoleva seaduse § 2 lõike 3 nõuetele.
(2) Käesoleva seaduse II–V peatükis sätestatud põhimõtete kohaselt antud digitaalallkirja vastavus käesoleva seaduse § 2 lõike 3 nõuetele ei vaja eraldi tõendamist, kui andmed koos digitaalallkirjaga võimaldavad üheselt kindlaks teha sertifikaadi, milles sisalduvale avalikule võtmele vastava isikliku võtmega digitaalallkiri on antud.
(3) Digitaalallkirja andmine ei too kaasa käesoleva paragrahvi lõikes 1 sätestatud tagajärgi, kui on tõendatud, et isiklikku võtit on kasutatud allkirja andmiseks ilma vastava sertifikaadi omaniku nõusolekuta.
(4) Digitaalallkirja andmine ilma vastava sertifikaadi omaniku nõusolekuta loetakse tõendatuks, kui sertifikaadi omanik tõendab asjaolud, mille esinemisel võib eeldada, et allkiri anti tema nõusolekuta.
(5) Käesoleva paragrahvi lõikes 3 sätestatud juhtudel peab sertifikaadi omanik hüvitama kahju, mis tekkis teisele isikule, kes ekslikult pidas allkirja antuks sertifikaadi omaniku poolt, kui isikliku võtme kasutamine ilma sertifikaadi omaniku nõusolekuta oli toimunud sertifikaadi omaniku tahtluse või raske ettevaatamatuse tõttu.
§ 4. Digitaalallkirja kasutamine
(1) Eraõiguslikes suhetes kasutatakse digitaalallkirja vastavalt poolte kokkuleppele.
(2) Avalik-õiguslikes suhetes kasutatakse digitaalallkirja vastavalt käesolevale seadusele ning selle alusel antud õigusaktidele.
(3) Riigi- ja kohaliku omavalitsuse asutused, avalik-õiguslikud juriidilised isikud ning avalik-õiguslikke ülesandeid täitvad eraõiguslikud isikud on kohustatud hoidma üldkasutatavas andmesidevõrgus kättesaadavana teavet digitaalallkirja kasutamise võimaluste ja korra kohta nende asutuste ja isikutega suhtlemisel.
II peatükk
SERTIFIKAAT
1. jagu
Sertifikaat ja nõuded sertifikaadile
§ 5. Sertifikaat
(1) Sertifikaat käesoleva seaduse mõistes on dokument, mis on välja antud, võimaldamaks digitaalallkirja andmist ja milles avalik võti seotakse üheselt füüsilise isikuga.
(2) Sertifikaadis peab sisalduma selle:
1) number;
2) omaniku nimi;
3) omaniku avalik võti;
4) kehtivusaeg;
5) väljaandja ja registrikood;
6) kasutusvaldkonna piirangute kirjeldus.
(3) Sertifikaadi väljaandja tõestab väljaantud sertifikaadi oma esindaja digitaalallkirjaga.
§ 6. Sertifikaadi omanik
Sertifikaadi omanik käesoleva seaduse mõistes on füüsiline isik, kelle andmetega on sertifikaadis sisalduv avalik võti samas sertifikaadis seotud.
2. jagu
Sertifikaadi taotlemine ja väljaandmine
§ 7. Isikliku ja avaliku võtme moodustamine
(1) Isikliku ja avaliku võtme moodustab sertifikaadi taotleja või vastavalt tema soovile ja pooltevahelisele kokkuleppele sertifitseerimisteenuse osutaja või muu isik või asutus.
(2) Teise isiku jaoks isikliku ja avaliku võtme moodustaja ei tohi moodustada endale ega kolmandatele isikutele koopiat nendest võtmetest.
§ 8. Sertifikaadi taotlemine
(1) Sertifikaadi saamiseks esitab isik (edaspidi sertifikaadi taotleja) sertifitseerimisteenuse
osutajale kirjaliku avalduse, milles on:
1) sertifikaadi taotleja ees- ja perekonnanimi;
2) sertifikaadi taotleja isikukood, isikukoodi puudumisel sünni päev, kuu
ja aasta;
3) sertifikaadi taotleja avalik võti;
4) sertifikaadi taotleja kontaktandmed;
5) taotletava sertifikaadi kehtivusaeg;
6) sertifikaadi kasutusvaldkonna piirangute kirjeldus;
7) muud andmed, mille lisamist sertifikaadile isik taotleb.
(2) Sertifikaadi taotleja tõendab, et käesoleva paragrahvi lõike 1 punktis 3 nimetatud avalikule võtmele vastav isiklik võti on tema valduses.
§ 9. Sertifikaadi väljaandja
Sertifikaadi väljaandja käesoleva seaduse mõistes on isik või asutus, kes on sertifikaadi välja andnud ja vastutab sertifikaadis sisalduvate andmete tõesuse eest.
§ 10. Sertifikaadi väljaandmine
(1) Sertifikaadi väljaandja on kohustatud kontrollima sertifikaadi taotlemiseks esitatud avalduse vastavust käesolevale seadusele ja avalduses sisalduvate andmete tõesust.
(2) Sertifikaat antakse isikule välja viivitamatult pärast vastavate andmete kandmist sertifikaadi väljaandja poolt peetavasse sertifikaatide andmebaasi.
(3) Sertifikaadi väljaandja on kohustatud sertifikaadi taotlejat teavitama sertifikaadi kasutamise tingimustest, sertifikaadi omaniku õigustest ja kohustustest ning teistest sertifikaadi kasutamisega seotud asjaoludest.
3. jagu
Sertifikaadi kehtivusaeg, kehtivuse peatamine ja kehtetuks tunnistamine
§ 11. Sertifikaadi kehtivusaeg
(1) Sertifikaat hakkab kehtima sertifikaadis märgitud kehtivusaja algusest, kuid mitte enne vastavate andmete kandmist sertifikaadi väljaandja poolt peetavasse sertifikaatide andmebaasi.
(2) Sertifikaadi kehtivus lõpeb sertifikaati märgitud kehtivuse lõppemise tähtpäeva saabumisel või sertifikaadi kehtetuks tunnistamisel.
§ 12. Sertifikaadi kehtivuse peatamine
(1) Sertifitseerimisteenuse osutajal on õigus peatada sertifikaadi kehtivus, kui tal tekib põhjendatud kahtlus, et sertifikaati on kantud ebaõiged andmed või et sertifikaadis sisalduvat avalikule võtmele vastavat isiklikku võtit on võimalik kasutada sertifikaadi omaniku nõusolekuta.
(2) Sertifitseerimisteenuse osutaja on kohustatud sertifikaadi kehtivuse peatama,
kui seda nõuab:
1) sertifikaadi omanik;
2) andmekaitse järelevalveasutus või sertifitseerimise riikliku registri vastutav
töötleja, kui tal tekib põhjendatud kahtlus, et sertifikaati on kantud
ebaõiged andmed või et sertifikaadis sisalduvale avalikule võtmele vastavat
isiklikku võtit on võimalik kasutada sertifikaadi omaniku nõusolekuta;
3) kohus, prokuratuur või kriminaalasjas kohtueelset uurimist teostav asutus
kuritegude tõkestamiseks.
(3) Sertifitseerimisteenuse osutaja on kohustatud pärast sertifikaadi kehtivuse peatamise nõude seaduslikkuse kontrollimist viivitamatult kandma andmed kehtivuse peatamise kohta tema poolt peetavasse sertifikaatide andmebaasi.
(4) Sertifitseerimisteenuse osutaja teavitab sertifikaadi kehtivuse peatamisest viivitamatult sertifikaadi omanikku.
(5) Sertifitseerimisteenuse osutaja on kohustatud pidama arvestust sertifikaadi kehtivuse peatamise aja, aluse, taotleja ja peatatuse lõpetamise kohta.
(6) Sertifikaadi kehtivuse peatatuse ajal antud digitaalallkiri on kehtetu.
§ 13. Sertifikaadi kehtivuse peatatuse lõpetamine
(1) Sertifikaadi kehtivuse peatatus lõpetatakse sertifikaadi omaniku või sertifikaadi kehtivuse peatamist nõudnud isiku või asutuse avalduse alusel vastavate andmete kandmisega sertifikaadi väljaandnud sertifitseerimisteenuse osutaja poolt peetavasse sertifikaatide andmebaasi.
(2) Käesoleva seaduse § 12 lõike 2 punktis 3 nimetatud juhtudel saab sertifikaadi kehtivuse peatatuse lõpetada peatamise algataja.
(3) Sertifitseerimisteenuse osutaja teavitab sertifikaadi kehtivuse peatatuse lõpetamisest viivitamatult sertifikaadi omanikku.
§ 14. Sertifikaadi kehtetuks tunnistamine
(1) Sertifikaadi kehtetuks tunnistamise aluseks on:
1) sertifikaadi omaniku avaldus;
2) sertifikaadis toodud avalikule võtmele vastava isikliku võtme ilma sertifikaadi
omaniku nõusolekuta kasutamise võimalus;
3) sertifikaadi omaniku teovõimetuks tunnistamine;
4) sertifikaadi omaniku surnuks tunnistamine;
5) sertifikaadi omaniku surm;
6) sertifikaadi omaniku poolt sertifikaadi saamiseks sertifitseerimisteenuse
osutajale valeandmete esitamine;
7) sertifitseerimisteenuse osutaja tegevuse lõpetamine;
8) muud seaduses sätestatud juhud.
(2) Õigus taotleda vastava avalduse esitamisega sertifikaadi kehtetuks tunnistamist on sertifikaadi omanikul või muul isikul.
(3) Sertifikaadi tunnistab kehtetuks sertifitseerimisteenuse osutaja, kes algatab kehtetuks tunnistamise menetluse viivitamatult pärast vastava avalduse saamist või muu käesoleva paragrahvi lõikes 1 sätestatud aluse olemasolul.
§ 15. Sertifikaadi kehtetuks tunnistamise menetlus
(1) Kui sertifikaadi kehtetuks tunnistamise põhjuseks on käesoleva seaduse § 14 lõike 1 punktides 3 kuni 8 märgitud juhud, lisatakse avaldusele sertifikaadi kehtetuks tunnistamise alust tõendavad dokumendid.
(2) Sertifitseerimisteenuse osutaja on kohustatud kontrollima sertifikaadi kehtetuks tunnistamise taotlemise ja aluse seaduslikkust.
(3) Sertifikaadi kehtivus lõpeb vastavate andmete sertifitseerimisteenuse osutaja poolt peetavasse sertifikaatide andmebaasi kandmise hetkest.
(4) Sertifitseerimisteenuse osutaja on kohustatud säilitama sertifikaadi kehtetuks tunnistamise põhjust tõestavad dokumendid oma tegevusaja lõpuni, kui seaduses ei ole sätestatud teist tähtaega.
§ 16. Sertifikaadi kehtivuse seadusliku aluseta peatamise ja kehtetuks tunnistamise tagajärjed
Isik või asutus, kelle tahtluse või raske ettevaatamatuse tõttu on ilma seadusliku aluseta peatatud sertifikaadi kehtivus või tunnistatud sertifikaat kehtetuks, on kohustatud hüvitama sertifikaadi kehtivuse peatamise või kehtetuks tunnistamisega põhjustatud kahju.
III peatükk
SERTIFITSEERIMISTEENUS JA SERTIFITSEERIMISTEENUSE OSUTAJA
§ 17. Sertifitseerimisteenus
(1) Sertifitseerimisteenusena käsitatakse digitaalallkirja andmiseks vajalike sertifikaatide väljaandmist, sertifikaatide alusel antud digitaalallkirjade kontrollimise võimaldamist ning sertifikaatide kehtivuse peatamise, kehtivuse peatatuse lõpetamise ja kehtetuks tunnistamise menetlemist.
(2) Sertifitseerimine on toiming, mille tulemusena sertifitseerimisteenuse osutaja annab sertifikaadi taotlejale välja sertifikaadi.
§ 18. Sertifitseerimisteenuse osutaja
(1) Sertifitseerimisteenuse osutajaks võib olla teenuse osutajana sertifitseerimise
riiklikku registrisse kantud ning Eesti vastavas registris registreeritud:
1) aktsiaselts;
2) osaühing, mille osakapital on suurem kui 400 000 krooni;
3) avalik-õiguslik juriidiline isik, kui see on ette nähtud tema kohta käivas
seaduses;
4) Vabariigi Valitsuse määratud riigiasutus.
(2) Vabariigi Valitsuse määratud riigiasutus võib sertifitseerimisteenuse osutajana välja anda sertifikaate kasutamiseks ainult avalik-õiguslikes suhetes.
§ 19. Sertifitseerimisteenuse osutajale esitatavad nõuded
(1) Sertifitseerimisteenuse osutaja peab vastama käesoleva seadusega kehtestatud nõuetele ning olema suuteline tagama seadustele ja seaduste alusel antud õigusaktidele vastava usaldusväärse sertifitseerimisteenuse.
(2) Sertifitseerimisteenuse osutaja on kohustatud igal aastal sertifitseerimise riiklikku registrisse kandmise kuupäevaks tagama infosüsteemi auditi teostamise ning esitama auditi tulemused sertifitseerimise riikliku registri volitatud töötlejale.
(3) Sertifitseerimisteenuse osutajal ei tohi olla maksuvõlga ega muid võlgnevusi, mis seavad ohtu käesoleva seaduse II–V peatükis sätestatud põhimõtetele vastava sertifitseerimisteenuse osutamise.
(4) Sertifitseerimisteenuse osutaja on kohustatud kindlustama oma tegevuse käesoleva seaduse §-s 39 sätestatud korras.
§ 20. Sertifitseerimispõhimõtted
(1) Sertifitseerimispõhimõtted on sertifitseerimisteenuse osutaja poolt käesoleva seadusega ja selle alusel kehtestatud nõuetele vastavad sertifitseerimisel kasutatavate organisatsiooniliste ja tehniliste vahendite ning sertifitseerimisteenuse osutaja poolt sertifikaadi taotlejale esitatavate nõuete kirjeldused.
(2) Sertifitseerimisteenuse osutaja sertifitseerimispõhimõtetes peavad sisalduma:
1) sertifitseerimisteenuse osutaja nimi või nimetus;
2) sertifitseerimisteenuse osutaja asukoha aadress;
3) sertifikaadi taotleja avalikule võtmele vastava isikliku võtme tõendamise
kord;
4) sertifitseerimisteenuse osutamiseks kasutatavate tehniliste vahendite kirjeldus;
5) sertifitseerimismenetluse kord ja tähtajad;
6) sertifikaadi taotlemise avalduse läbivaatamise kord;
7) sertifikaadi väljaandmise kord;
8) sertifikaadi kasutusvaldkonna piirangute kirjeldamise mehhanismid;
9) väljaantud sertifikaatide üle arvestuse pidamise kord;
10) sertifikaatide kehtivuse kohta andmete väljastamise kord;
11) võtmete genereerimise ja säilitamise kord;
12) sertifikaadi kehtivuse peatamise ja kehtetuks tunnistamise kord;
13) tegevuskava juhuks, kui sertifikaatide väljaandmisel kasutatavat sertifitseerimisteenuse
osutaja esindaja isiklikku võtit on võimalik kasutada tema nõusolekuta;
14) sertifitseerimisteenuse osutaja poolt väljaantud sertifikaatide kehtivuse
peatamise, kehtivuse peatatuse lõpetamise ja kehtetuks tunnistamise tehniline
kord;
15) sertifitseerimisteenuse osutamise lõpetamise kord;
16) muud asjaolud, mille sätestamist sertifitseerimispõhimõtetes peab vajalikuks
sertifitseerimisteenuse osutaja.
(3) Vabariigi Valitsuse määratud sertifitseerimisteenust osutava riigiasutuse sertifitseerimispõhimõtted ja teenuse hinnad kinnitab riigiasutuse juht.
§ 21. Sertifitseerimisteenuse osutaja töötajale esitatav piirang
Sertifitseerimisteenuse osutaja töötajal, kes tegeleb sertifitseerimisteenuse osutamisega, ei tohi olla karistatust tahtlikult toimepandud kuriteo eest.
§ 22. Sertifitseerimisteenuse osutaja kohustused
Sertifitseerimisteenuse osutaja on kohustatud:
1) avalikustama oma sertifitseerimispõhimõtted ning tagama nende kättesaadavuse
üldkasutatavas andmesidevõrgus;
2) tagama sertifitseerimisteenuse osutamisel teatavaks saanud avaldamisele
mittekuuluva teabe saladuses hoidmise;
3) pidama arvestust enda poolt väljaantud sertifikaatide ja nende kehtivuse
üle;
4) võtma ööpäevaringselt vastu avaldusi sertifikaatide kehtivuse peatamiseks;
5) tõendama huvitatud isiku nõudmisel oma esindaja digitaalallkirjaga enda
poolt väljaantud sertifikaadis sisalduvale avalikule võtmele vastava isikliku
võtmega antud digitaalallkirja kehtivust;
6) tagama ööpäevaringselt sertifikaatide kehtivuse kontrolli võimaluse üldkasutatavas
andmesidevõrgus;
7) säilitama sertifitseerimisega seotud dokumentatsiooni oma tegevuse lõpuni;
8) tagama igal aastal infosüsteemi auditi teostamise ning esitama auditi tulemused
sertifitseerimisteenuse riikliku registri volitatud töötlejale;
9) avalikustama kohustusliku kindlustuslepingu tingimused üldkasutatavas andmesidevõrgus.
IV peatükk
AJATEMPLITEENUS JA AJATEMPLITEENUSE OSUTAJAD
§ 23. Ajatempli mõiste
(1) Ajatempel on tehniliste ja organisatsiooniliste vahendite süsteemi abil moodustatud andmete kogum, mis tõendab dokumendi olemasolu kindlal ajahetkel.
(2) Ajatempel peab olema seotud andmetega sellisel viisil, mis välistab võimaluse tuvastamatult muuta andmeid pärast ajatempli võtmist.
(3) Ajatempli allkirjastab digitaalselt ajatempliteenuse osutaja esindaja.
§ 24. Ajatempliteenus
(1) Ajatempliteenus on digitaalallkirjade ajalise järgnevuse tõestamiseks vajalike ajatemplite väljaandmine ja väljaantud ajatemplite kontrollimiseks tingimuste loomine.
(2) Kui eri ajatempliteenuse osutajate poolt väljaantud ajatemplite ajalist järgnevust ei ole võimalik kindlaks teha, loetakse, et need ajatemplid on antud üheaegselt.
(3) Ajatempliteenuse osutaja peab tagama, et oleks välistatud korrektse ajatempli väljaandmine selle taotlemise hetkest varasemale või hilisemale ajale või väljaantud ajatemplite järgnevuse muutmine.
§ 25. Ajatempliteenuse osutaja
Ajatempliteenuse osutajaks võib olla vastava teenuse osutajana sertifitseerimise
riiklikku registrisse kantud ning Eesti vastavas registris registreeritud:
1) aktsiaselts;
2) osaühing, mille osakapital on suurem kui 400 000 krooni;
3) avalik-õiguslik juriidiline isik, kui see on ette nähtud tema kohta käivas
seaduses;
4) Vabariigi Valitsuse määratud riigiasutus.
§ 26. Ajatempliteenuse osutajale esitatavad nõuded
(1) Ajatempliteenuse osutaja peab vastama käesoleva seadusega kehtestatud nõuetele ning olema suuteline tagama seadustele ja seaduste alusel antud õigusaktidele vastava usaldusväärse ajatempliteenuse.
(2) Ajatempliteenuse osutaja on kohustatud igal aastal sertifitseerimise riiklikku registrisse kandmise kuupäevaks tagama infosüsteemi auditi teostamise ning esitama auditi tulemused sertifitseerimise riikliku registri volitatud töötlejale.
(3) Ajatempliteenuse osutajal ei tohi olla maksuvõlga ega muid võlgnevusi, mis seavad ohtu käesoleva seaduse II–V peatükis sätestatud põhimõtetele vastava ajatempliteenuse osutamise.
(4) Ajatempliteenuse osutaja on kohustatud kindlustama oma tegevuse käesoleva seaduse §-s 39 sätestatud korras.
§ 27. Ajatembelduspõhimõtted
(1) Ajatembelduspõhimõtted on ajatempliteenuse osutaja poolt ajatempli andmiseks ning kontrollimiseks sooritatavate toimingute ning kasutatavate tehniliste vahendite kirjeldused.
(2) Ajatempliteenuse osutaja ajatembelduspõhimõtetes peavad sisalduma:
1) ajatempliteenuse osutaja nimi või nimetus;
2) ajatempliteenuse osutamiseks kasutatavate tehniliste vahendite kirjeldus;
3) ajatempli võtmise ja kontrollimise kord;
4) väljaantud ajatemplite üle arvestuse pidamise kord;
5) väljaantud ajatemplite kohta andmete väljastamise kord;
6) ajatempliteenuse osutamise lõpetamise kord;
7) tegevuskava juhuks, kui ajatemplite väljaandmisel kasutatavat ajatempliteenuse
osutaja esindaja isiklikku võtit on võimalik kasutada tema nõusolekuta;
8) muud asjaolud, mille sätestamist peab vajalikuks ajatempliteenuse osutaja.
§ 28. Ajatempliteenuse osutaja kohustused
Ajatempliteenuse osutaja on kohustatud:
1) tagama ajatemplites õiged ajanäidud vastavalt ajatembelduspõhimõtetes kirjeldatule;
2) pidama arvestust väljaantud ajatemplite üle;
3) säilitama dokumentatsiooni väljaantud ajatemplite kontrollimiseks;
4) andma perioodiliselt ajatempleid sertifitseerimise riikliku registri ajatemplite
andmebaasi vastavalt seadusele ja sertifitseerimise riikliku registri pidamise
põhimäärusele;
5) tagama ajatemplite võtmise ja kontrolli võimaluse üldkasutatavas andmesidevõrgus;
6) tagama igal aastal infosüsteemi auditi teostamise ning esitama auditi tulemused
sertifitseerimisteenuse riikliku registri volitatud töötlejale;
7) avalikustama kohustusliku kindlustuslepingu tingimused üldkasutatavas andmesidevõrgus.
§ 29. Ajatempliteenuse osutaja töötajale esitatav piirang
Ajatempliteenuse osutaja töötajal, kes tegeleb ajatempliteenuse osutamisega, ei tohi olla karistatust tahtlikult toimepandud kuriteo eest.
V peatükk
SERTIFITSEERIMISTEENUSE JA AJATEMPLITEENUSE OSUTAMISE LÕPETAMINE
§ 30. Sertifitseerimisteenuse ja ajatempliteenuse osutamise lõpetamine
(1) Sertifitseerimisteenuse ja ajatempliteenuse (edaspidi teenus) osutamine
lõpetatakse:
1) teenuse osutaja otsusega;
2) teenuse osutamise üle järelevalvet teostava asutuse otsusega;
3) kohtuotsusega;
4) teenuse osutaja likvideerimise või tegevuse lõpetamise korral;
5) Vabariigi Valitsuse otsusega, millega lõpetatakse käesoleva seaduse § 18
lõike 1 punktis 4 ja § 25 punktis 4 nimetatud riigiasutuse poolt teenuse osutamine.
(2) Sertifitseerimisteenuse ja ajatempliteenuse osutamise lõpetamisel annab teenuse osutaja teenuse osutamisega seotud dokumentatsiooni üle sertifitseerimise riiklikule registrile.
§ 31. Teenuse osutamise lõpetamisest teatamine
(1) Teenuse osutaja on kohustatud teenuse osutamise lõpetamise otsusest viivitamatult teatama sertifitseerimise riikliku registri volitatud töötlejale või vastutavale töötlejale. Juhul kui isik või asutus teavitab teenuse osutamise lõpetamise otsusest registri volitatud töötlejat, on viimane kohustatud sellest viivitamatult teatama registri vastutavale töötlejale.
(2) Teenuse osutaja on kohustatud teenuse osutamise lõpetamise otsusest teatama oma teenuse kasutajatele vähemalt üks kuu enne teenuse osutamise lõpetamist.
(3) Sertifitseerimise riikliku registri vastutav töötleja teavitab teenuse osutamise lõpetamise otsusest andmekaitse järelevalveasutust ja riigi infosüsteemide alaseid töid koordineerivat asutust.
VI peatükk
SERTIFITSEERIMISE RIIKLIK REGISTER
§ 32. Sertifitseerimise riiklik register
(1) Sertifitseerimise riiklik register on Vabariigi Valitsuse asutatud riiklik register (edaspidi register), mille asutamise ja kasutusele võtmise eesmärk on pidada arvestust teenuse osutajate üle ning tagada ajatempliteenuse osutajate poolt väljaantavate ajatemplite ajalise järgnevuse võrreldavus registri vastutava töötleja kehtestatud täpsusega.
(2) Registri vastutavaks töötlejaks on Teede- ja Sideministeerium.
(3) Registri koosseisu kuuluvad:
1) sertifitseerimisteenuse osutajate andmebaas;
2) ajatempliteenuse osutajate andmebaas;
3) ajatemplite andmebaas;
4) registriarhiiv.
§ 33. Teenuse osutajate registrisse kandmise taotlemine
(1) Isik või asutus esitab registris registreerimiseks:
1) seadusliku esindaja poolt allkirjastatud isiku või asutuse teenuse osutajana
registreerimise avalduse, kuhu on märgitud ka isiku või asutuse seadusliku
esindaja (esindajate) avalik võti (avalikud võtmed), mida isik või asutus
hakkab teenuse osutamisel kasutama;
2) sama avalduse digitaalsel kujul allkirjastatuna avaldusse märgitud avalikule
võtmele (avalikele võtmetele) vastava isikliku võtmega (vastavate isiklike
võtmetega);
3) riigilõivu kviitungi;
4) sertifitseerimis- või ajatembelduspõhimõtted;
5) väljavõtte registrist, kus teenust osutav isik või asutus on registreeritud;
6) infosüsteemi auditi tulemused;
7) kinnituse selle kohta, et tal ei ole võlgnevusi, mis seavad ohtu käesoleva
seaduse II–V peatükis sätestatud põhimõtetele vastava teenuse osutamise,
ja Maksuameti tõendi maksuvõla puudumise kohta.
(2) Teenuse osutaja registrisse kandmise avalduses peavad sisalduma:
1) teenuse osutaja nimi või nimetus;
2) teenuse osutaja asukoha aadress;
3) teenuse osutaja registrikood;
4) teenuse osutaja esindaja nimi, ametinimetus, isikukood ja kontaktandmed;
5) teenuse osutaja sidevahendite numbrid või aadressid;
6) teenuse osutamiseks seatud piirangud.
(3) Registri volitatud töötleja on kohustatud kontrollima esitatud andmete õigsust.
(4) Registri volitatud töötlejal on õigus esitada isiku või asutuse esitatud andmete õigsuse kontrollimiseks päringuid ja järelepärimisi kõikidele riigiasutustele ning riigi ja kohaliku omavalitsuse andmekogudele.
(5) Isik või asutus on kohustatud enne registrisse kandmist tagama infosüsteemi auditi teostamise, mille tulemused esitatakse registri volitatud töötlejale. Infosüsteemi auditi kulud katab isik või asutus.
§ 34. Teenuse osutaja registreerimine
(1) Registri volitatud töötleja otsustab pärast dokumentide kontrollimist isiku või asutuse teenuse osutajana registris registreerimise viie tööpäeva jooksul, arvates käesoleva seaduse § 33 lõigetes 1 ja 2 nimetatud dokumentide ja andmete saamise päevast.
(2) Kui käesoleva paragrahvi lõikes 1 sätestatud tähtajast esitatud andmete ja dokumentide kontrollimiseks ei piisa, võib registri vastutav töötleja pikendada tähtaega kuni 10 tööpäevani.
(3) Isik või asutus esitab pärast seda, kui teda on otsustatud registris registreerida, volitatud töötlejale käesoleva seaduse § 39 nõuetele vastava kindlustuspoliisi ärakirja, mille järel isik või asutus registreeritakse viivitamatult teenuse osutajana.
(4) Registri volitatud töötleja annab igale registrisse kantud teenuse osutajale kordumatu registrikoodi.
(5) Registri volitatud töötleja väljastab igale registreeritud teenuse osutajale digitaalselt allkirjastatud tõendi tema registreerimise kohta registris.
(6) Teenuse osutamise lõpetamisel esitatakse sellekohane avaldus registri volitatud töötlejale, kes sisestab teenuse osutamise lõpetamise andmed registrisse.
§ 35. Teenuse osutaja registreerimisest keeldumine
(1) Registri volitatud töötleja keeldub teenuse osutaja registreerimisest,
kui:
1) isik või asutus ei vasta käesolevas seaduses sätestatud nõuetele;
2) sertifitseerimis- või ajatembelduspõhimõtted ei vasta käesolevas seaduses
sätestatud nõuetele;
3) registrile esitatud avaldus või sellele lisatud dokumendid ei vasta käesolevas
seaduses sätestatud nõuetele;
4) isik või asutus on esitanud registri volitatud töötlejale ebaõigeid andmeid;
5) esitatud infosüsteemi auditi tulemuste alusel on põhjust arvata, et isik
või asutus ei suuda tagada käesoleva seaduse nõuetele vastavat teenust;
6) isikul või asutusel on maksuvõlg;
7) muudel seaduses sätestatud juhtudel.
(2) Registri volitatud töötleja teatab isikule või asutusele teenuse osutaja registreerimisest keeldumisest kirjalikult pärast vastava otsuse tegemist. Otsuses peab sisalduma viide registreerimisest keeldumise põhjusele.
§ 36. Teenuse osutaja kustutamine registrist
Teenuse osutaja kustutatakse registrist, kui ta on lõpetanud teenuse osutamise vastavalt käesoleva seaduse V peatüki sätetele.
§ 37. Juurdepääs registri andmetele
(1) Registrisse kantud andmed on avalikud.
(2) Registri volitatud töötleja on kohustatud tagama teenuse osutajate ja väljaantud ajatemplite kohta säilitatavate andmete avalikkuse ning ööpäevaringse kättesaadavuse.
VII peatükk
TEENUSE OSUTAJA VARALINE VASTUTUS JA KINDLUSTAMINE
§ 38. Teenuse osutaja varaline vastutus
(1) Teenuse osutaja vastutab otsese varalise kahju eest, mis on tekkinud tema poolt teenuse osutamisel tahtlikult või raskest ettevaatamatusest toimepandud õigusvastaste tegude tagajärjel.
(2) Kui käesoleva paragrahvi lõikes 1 nimetatud kahju tekitamise eest vastutab teenuse osutaja kõrval kolmas isik, siis vastutavad nad solidaarselt.
§ 39. Teenuse osutaja kohustuslik kindlustamine
(1) Käesoleva seaduse §-s 38 sätestatud kahju hüvitamise tagamiseks on teenuse osutaja kohustatud sõlmima kohustusliku kindlustuslepingu.
(2) Teenuse osutaja on kohustatud kindlustuslepingu tingimused avaldama üldkasutatavas andmesidevõrgus.
VIII peatükk
VÄLISMAISE SERTIFITSEERIMISTEENUSE OSUTAJA POOLT VÄLJAANTUD SERTIFIKAATIDE
NING NENDE ALUSEL MOODUSTATUD DIGITAALALLKIRJADE TUNNUSTAMINE
§ 40. Välismaise sertifikaadi tunnustamine
Välismaise sertifitseerimisteenuse osutaja poolt väljaantud sertifikaate
tunnustatakse võrdväärsetena käesoleva seaduse alusel tegutsevate sertifitseerimisteenuse
osutajate poolt väljaantud sertifikaatidega, kui on täidetud vähemalt üks
järgmistest tingimustest:
1) välismaine sertifitseerimisteenuse osutaja vastab registri vastutava töötleja
otsuse kohaselt käesolevas seaduses ja selle alusel kehtestatud õigusaktides
sätestatud nõuetele;
2) välismaise sertifitseerimisteenuse osutaja sertifikaate garanteerib mõni
käesoleva seaduse alusel tegutsev sertifitseerimisteenuse osutaja, kes
on sertifikaatides sisalduvate andmete tõesuse eest endale vastutuse võtnud;
3) välismaise sertifitseerimisteenuse osutaja poolt väljaantud sertifikaadid
on tunnustatud Eesti Vabariigi välislepinguga.
IX peatükk
JÄRELEVALVE SERTIFITSEERIMISTEENUSE JA AJATEMPLITEENUSE OSUTAJATE ÜLE
§ 41. Järelevalve teostajad
(1) Käesoleva seaduse ja selle alusel kehtestatud õigusaktide nõuete järgimist kontrollib Teede- ja Sideministeerium.
(2) Järelevalvet registri pidamise üle teostab registri vastutav töötleja andmekogude seaduses (RT I 1997, 28, 423; 1998, 36/37, 552; 1999, 10, 155) ettenähtud korras.
(3) Järelevalvet registri pidamise seaduslikkuse ja andmete kaitse üle teostab andmekaitse järelevalveasutus andmekogude seaduses ja isikuandmete kaitse seaduses (RT I 1996, 48, 944; 1998, 59, 941; 111, 1833) ettenähtud korras.
§ 42. Järelevalve teostamine
Teede- ja Sideministeeriumil on käesoleva seaduse ja selle alusel antud
õigusaktide nõuete järgimise kontrollijana õigus:
1) kontrollida registrile esitatud infosüsteemi auditi tulemuste vastavust
tegelikkusele;
2) siseneda teenuse osutaja esindaja juuresolekul ruumidesse, mida kasutatakse
teenuse osutamiseks, ning tutvuda teenuse osutamise dokumentidega;
3) esitada järelepärimisi ja päringuid riigiasutustele ning riigi ja kohaliku
omavalitsuse andmekogudele vastavate andmete saamiseks;
4) teha teenuse osutajale kirjalik hoiatus, kui ta käesoleva seaduse ja selle
alusel antud õigusaktide nõuded esmakordselt või ettevaatamatuse tõttu
täitmata jätab;
5) teha teenuse osutajale tähtajaline ettekirjutus, kui ta käesoleva paragrahvi
punktis 4 nimetatud hoiatusele ei reageeri või käesoleva seaduse ja selle
alusel antud õigusaktid korduvalt või tahtlikult täitmata jätab;
6) algatada käesoleva paragrahvi punktis 5 nimetatud ettekirjutuse täitmata
jätmise korral haldusõiguserikkumise asi haldusõiguserikkumiste seadustikus
(RT 1992, 29, 396; RT I 1999, 41, 496; 45, õiend; 58, 608; 60, 616; 87, 792;
92, 825; 95, 843) ettenähtud korras;
7) otsustada teenuse osutaja kustutamine registrist ning esitada otsus registri
volitatud töötlejale vastava kande tegemiseks.
X peatükk
RAKENDUSSÄTTED
§ 43. Digitaalallkirja rakendamine
(1) Vabariigi Valitsus asutab ja võtab käesoleva seaduse § 32 lõikes 1 sätestatud registri kasutusele käesoleva seaduse jõustumise hetkeks.
(2) Vabariigi Valitsus kehtestab 2001. aasta 1. jaanuariks riigi- ja kohaliku omavalitsuse asutuste asjaajamiskorra ühtsed alused, mis võimaldavad asutuse asjaajamises kasutada ka digitaalselt allkirjastatud dokumente.
(3) Riigi- ja kohaliku omavalitsuse asutused korraldavad asutuste asjaajamise 2001. aasta 1. juuniks ümber vastavalt käesoleva paragrahvi lõikes 2 sätestatud asjaajamiskorrale.
(4) Teede- ja sideminister kinnitab teenuse osutajate infosüsteemide auditeerimise korra 2000. aasta 1. oktoobriks.
§ 44. Registri volitatud töötleja ja teenuse osutajate avalike võtmete kinnitamine ning nendele vastavate isiklike võtmete kasutusala määramine
(1) Käesoleva seaduse § 34 lõikes 5 nimetatud tõendeid väljaandva ning käesoleva paragrahvi lõikes 2 nimetatud võtmeid kinnitava registri volitatud töötleja vastava töötaja avaliku võtme kinnitab ja sellele vastava isikliku võtme kasutusala määrab teede- ja sideminister.
(2) Sertifitseerimisteenuse osutaja ja ajatempliteenuse osutaja teenuse osutamise eest vastutava isiku avaliku võtme kinnitab ja sellele vastava isikliku võtme kasutusala määrab registri volitatud töötleja.
§ 45. Riigilõivuseaduse täiendamine
Riigilõivuseaduses (RT I 1997, 80, 1344; 2000, 5, 32; 10, 58; 19, 117) tehakse järgmised täiendused:
1) paragrahvi 3 lõiget 2 täiendatakse punktiga 263 järgmises sõnastuses:
« 263) digitaalallkirja seaduse alusel teostatavad toimingud;»
2) seaduse 7. peatükki täiendatakse 182. jaoga järgmises sõnastuses:
«182. jagu
Digitaalallkirja seaduse alusel teostatavad toimingud
§ 1863. Sertifitseerimisteenuse osutaja ja ajatempliteenuse osutaja kande tegemine ning kande muutmine sertifitseerimise riiklikus registris
(1) Sertifitseerimisteenuse osutaja ja ajatempliteenuse osutaja registreerimise eest sertifitseerimise riiklikus registris tasutakse riigilõivu 10 000 krooni.
(2) Sertifitseerimise riiklikus registris olevates sertifitseerimisteenuse osutaja ja ajatempliteenuse osutaja andmetes muudatuse tegemise eest tasutakse riigilõivu 100 krooni.»
§ 46. Isikut tõendavate dokumentide seaduse täiendamine
Isikut tõendavate dokumentide seaduses (RT I 1999, 25, 365) tehakse järgmised täiendused:
1) paragrahvi 9 täiendatakse lõikega 5 järgmises sõnastuses:
« (5) Dokumenti võib kanda digitaalset tuvastamist ja allkirjastamist võimaldavat informatsiooni ning teisi digitaalseid andmeid, mille loetelu kehtestab Vabariigi Valitsus määrusega.»;
2) paragrahvi 15 täiendatakse lõikega 6 järgmises sõnastuses:
« (6) Dokumendi väljaandjal on kohustus tuvastada dokumendi taotleja isik. Tuvastamise korra kehtestab siseminister määrusega.»
§ 47. Seaduse jõustumine
Käesolev seadus jõustub 2000. aasta 15. detsembril.
Riigikogu esimees Toomas SAVI |