Text size:

Electronic Identification and Trust Services for Electronic Transactions Act

Issuer:Riigikogu
Type:act
In force from:25.10.2021
In force until:12.03.2023
Translation published:18.10.2021

Chapter 1 General Provisions 

§ 1.  Scope of regulation and application of Act

 (1) This Act regulates electronic identification and trust services for electronic transactions, and organisation of state supervision to the extent that these are not regulated by Regulation (EU) No. 910/2014 of the European Parliament and of the Council on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC (OJ L 257, 28.08.2014, pp. 73–114).

 (2) This Act and other national legislation apply to electronic identification and trust services for electronic transactions if pursuant to Regulation (EU) No. 910/2014 of the European Parliament and of the Council, national law is to apply or if the Regulation permits the governing of national law in certain areas.

 (3) The Administrative Procedure Act applies to administrative procedures provided for in this Act, taking account of the specifications provided for in this Act.

 (4) The General Part of the Economic Activities Code Act applies to the commencement, pursuit and termination of the economic activities of an undertaking regulated by this Act, taking account of the specifications deriving from this Act and in Regulation (EU) No. 910/2014 of the European Parliament and of the Council.

 (5) The requirements for, terms and conditions of and procedure for evaluation of assurance level of electronic identification schemes provided for in this Act shall not be applied to the electronic identification schemes which are based on identity documents issued under the Identity Documents Act.
[RT I, 15.10.2021, 1 – entry into force 25.10.2021]

§ 2.  Competent authority

  [RT I, 15.10.2021, 1 – entry into force 25.10.2021]
The tasks specified in point (f) of Article 7 and in Articles 9 and 12 of Regulation (EU) No. 910/2014 of the European Parliament and of the Council shall be performed by the Information System Authority (hereinafter competent authority).
[RT I, 15.10.2021, 1 – entry into force 25.10.2021]

Chapter 2 Trust Service and Trust Service Provider  

§ 3.  Trusted list and trust infrastructure

 (1) The competent authority shall maintain a trusted list in accordance with Article 22 of Regulation (EU) No. 910/2014 of the European Parliament and of the Council (hereinafter trusted list).

 (2) The competent authority may organise the establishing, maintaining and updating of a trust infrastructure in accordance with Article 17 (5) of Regulation (EU) No. 910/2014 of the European Parliament and of the Council.
[RT I, 12.12.2018, 3 – entry into force 01.01.2019]

 (3) The requirements and procedure for establishing, maintaining and updating of a trust infrastructure may be established by a regulation of the minister responsible for the area.

§ 4.  Obligation of notifying of security incidents

  Trust service providers shall, without undue delay but in any event within 24 hours after having become aware of it, notify the competent authority of any security incident in accordance with Article 19 (2) of Regulation (EU) No. 910/2014 of the European Parliament and of the Council.
[RT I, 12.12.2018, 3 – entry into force 01.01.2019]

§ 5.  Requirements for qualified trust service providers and for provision of trust services

 (1) Qualified trust service providers and trust services shall comply with the requirements provided for in Regulation (EU) No. 910/2014 of the European Parliament and of the Council and in this Act, and the publicly approved and available specifications describing the trust service.

 (2) To ensure compensation for damage as provided for in Article 13 (1) and (2) of Regulation (EU) No. 910/2014 of the European Parliament and of the Council, qualified trust service providers shall enter into a liability insurance contract, with the sum insured at least in the amount of one million euros annually per each single insured event, and at least one million euros per all events in total. Qualified trust service provider shall make information on the existence of liability insurance and insurance coverage available to the public.

 (3) Qualified trust service providers shall record the procedures performed upon provision of trust services, and shall maintain the respective activity record for ten years after creating the records.

 (4) Qualified trust service providers shall have an up-to-date termination plan to ensure continuity of service, and the plan shall contain at least the following:
 1) procedure for notification of clients, contractual partners and other interested parties, and for termination of contracts related to provision of trust services;
 2) procedure for storage of the data set out in subsections (3) and (7) of this section;
 3) procedure for destruction of private keys, backup copies or keys withdrawn from use in such a manner that these cannot be retrieved;
 4) procedure for destruction or reinitialization of hardware depending on the security regulations.

 (5) Before issuing a qualified certificate, a qualified trust service provider shall identify, verify identification on the basis of the document provided for in subsection 2 (2) of the Identity Documents Act, a valid travel document issued abroad or another document conforming to the requirements provided in subsection 4 (1) of the Identity Documents Act, and verify the reliability of the submitted data. A qualified trust service provider shall verify also the existence of the right of representation when issuing a certificate to a legal person.

 (6) Qualified trust service providers shall refuse to provide services if there is doubt in respect of the accuracy of submitted data or authenticity of a submitted document upon verification of information submitted for identification or establishment of the right of representation.

 (7) Qualified trust service providers shall store the evidence regarding identification for ten years after the end of validity of qualified certificates.

 (8) If a qualified trust service provider ceases to provide a trust service but continues economic activities, the qualified trust service provider shall store the data set out in subsections (3) and (7) of this section during the term specified in these subsections, and enable verification of the authenticity of the procedures performed via the trust service on the basis of these data.

 (9) Employees of qualified trust service providers who engage in the provision of trust services shall not have a valid criminal record for an intentionally committed criminal offence.

§ 6.  Authorisation obligation of qualified trust service providers and entry into trusted list

 (1) To provide a qualified trust service, a person and the trust service provided by the person shall have a qualified status pursuant to Article 21 (2) of Regulation (EU) No. 910/2014 of the European Parliament and of the Council, evidenced by a relevant authorisation.

 (2) The authorisation is valid for two years.

 (3) Qualified trust service providers and trust services are entered in the trusted list for the term of the authorisation.

§ 7.  Applying for authorisation

 (1) An application for the grant of authorisation shall be decided by a competent authority.

 (2) A competent authority shall decide on an application after receipt of required data and documents:
 1) within 80 days in case of an application for an initial authorisation;
 2) within 50 days in case of an application for a repeated authorisation.

 (3) In addition to the data provided in subsection 19 (2) of the General Part of the Code of Economic Activities Act, the application for authorisation shall set out the following:
 1) name and description of the trust service, principles of providing the trust service, certificate and conformity assessment report;
 2) certificate of the absence of arrears of state taxes and local taxes of the place of residence or seat of the applicant if these data are not available in a database established on the basis of law.

 (4) The principles of providing a trusted service set out in subsection (3) of this section shall be described exhaustively. An exhaustive description is presumed if the principles have been laid out in a format that is in compliance with the standards related to principles of providing trust services published by the European Telecommunications Standard Institute, or requirements of any other equivalent publicly approved and available specification.

 (5) In the course of processing an application, the competent authority may request that the applicant would submit specifying information in respect of submitted data which is necessary for processing the application, and make inquiries to state authorities and local governments to verify the submitted data.

 (6) A state fee in the amount provided in the States Fees Act shall be paid for the review of an application for an initial and repeated authorisation.

§ 8.  Subject of review of authorisation

  The competent authority grants an authorisation if:
 1) the applicant and the trust service comply with the requirements provided in Article 24 (2) points (e), (f), (g) and (k) of Regulation (EU) No. 910/2014 of the European Parliament and of the Council and in subsections 5 (2), 5 (4) and 5 (9) of this Act;
 2) the applicant has passed the conformity assessment set out in Article 20 of Regulation (EU) No. 910/2014 of the European Parliament and of the Council;
 3) the applicant has no arrears of state taxes or local taxes of the place of residence or seat of the applicant.

§ 9.  Refusal to grant authorisation and revocation of authorisation

 (1) In addition to the cases set out in subsection 25 (1) of the General Part of the Economic Activities Code Act, the granting of an authorisation may be refused if at least one of the following circumstances exist:
 1) on the basis of the submitted application and results of conformity assessment, the applicant for the authorisation for a trust service or the trust service does not comply with the requirements of Regulation (EU) No. 910/2014 of the European Parliament and of the Council or of this Act;
 2) the applicant has arrears of state taxes or local taxes of the place or residence or seat of the applicant;
 3) the applicant refuses to submit supplementary or significant information requested on the basis of Regulation (EU) No. 910/2014 of the European Parliament and of the Council, and on the basis of this Act.

 (2) The competent authority revokes an authorisation if:
 1) the trust service provider applies for revocation;
 2) it appears after the grant of an authorisation that the trust service provider or the trust service provided by him or her does not comply with the requirements of Regulation (EU) No. 910/2014 of the European Parliament and of the Council or of this Act, and the trust service provider has not brought his or her activities into conformity with the requirements within a term provided by the competent authority;
 3) the trust service provider has ceased to provide trust services.

 (3) Before ceasing to provide trust services, the provider of the trust services shall inform the competent authority of an intention to cease, and shall apply for revocation of the authorisation.

 (4) A trust service provider and trust service shall be deleted from the trusted list upon revocation of the authorisation.

§ 10.  Entry of non-qualified trust service providers and trust services in trusted list

 (1) Non-qualified trust service providers and trust services may also be entered in the trusted list. To enter them in the trusted list, the competent authority shall make a decision on the entry in the trusted list.

 (2) The provisions of §§ 7 and 9 of this Act shall apply to the application for the entry of non-qualified trust service providers and trust services in the trusted list, refusal to enter them in the trusted list, and their deletion from the trusted list.

 (3) Non-qualified trust service providers and trust services are entered in the trusted list for two years.

 (4) A state fee in the amount provided for in the States Fees Act shall be paid for the review of an application for the entry of a non-qualified trust service provider and trust service in the trusted list, for the review of an application for a repeated entry, and for an application for amendment of data.

§ 11.  Requirements for non-qualified trust service providers and trust services entered in trusted list

 (1) To be entered in the trusted list, non-qualified trust service providers and trust services shall comply with the requirements provided for in Regulation (EU) No. 910/2014 of the European Parliament and of the Council and in this Act, and the publicly approved and available specifications describing the trust service.

 (2) A non-qualified trust service provider shall have no arrears of state taxes or local taxes of the service provider’s place of residence or seat.

 (3) For assessment of conformity to the requirements provided in subsection (1) of this section, non-qualified trust service providers shall pass conformity assessment carried out by a conformity assessment authority in compliance with Article 3 (18) of Regulation (EU) No. 910/2014 of the European Parliament and of the Council, before initiating trust services, and at least every two years thereafter.

§ 12.  Advisory guidelines and conformity assessment procedure

 (1) The minister responsible for the area or the competent authority may issue advisory guidelines for adhering to the requirements provided in §§ 5 and 11 of this Act.

 (2) The minister responsible for the area shall establish, by a regulation, the procedure for conformity assessment of trust service providers and trust services.

 (3) The minister responsible for the area may, by an order, designate a relevant authority or enter into an administrative contract with a person that certifies the conformity of qualified electronic signature creation devices to the requirements of Regulation (EU) No. 910/2014 of the European Parliament and of the Council.

 (4) The Ministry of Economic Affairs and Communications shall exercise administrative supervision over the performance of the duty upon entry into an administrative contract set out in subsection (3) of this section. If an administrative contract is terminated unilaterally or if there is another reason preventing continuance of performance of the duty, the further performance of the duty shall be organised by the Ministry of Economic Affairs and Communications.

§ 13.  Notification of changes in circumstances related to provision of trust services

 (1) A trust service provider shall immediately notify the competent authority of any changes in the data set out in an application for authorisation and application for entry in the trusted list.

 (2) Upon change in the data pertaining to a trust service provider as recorded in the trusted list change, the trust service provider shall submit an application for amending the data, and the competent authority shall amend the trusted list within 14 days without the procedure set out in § 7 of this Act.

 (3) If the contents of the trust service change, the competent authority has the right to request resubmission of the application set out in § 7 of this Act.

 (4) A state fee in the amount provided for in the States Fees Act shall be paid for the review of an application for amending the data recorded in the trusted list.

§ 14.  Time limit for entering trust service providers and trust services in trusted list

  The competent authority shall enter a trust service provider and trust service in the trusted list within ten days after the grant of the authorisation pursuant to subsection 6 (1) of this Act or making the decision pursuant to subsection 10 (1) of this Act.

§ 15.  Publication and securing of trusted list

 (1) The competent authority shall publish a list of trust service providers and trust services on its website.

 (2) The competent authority shall secure the trusted list by a public key and the corresponding private key.

 (3) The minister responsible for the area shall organise, by an order, the creation of a public key used for certification of the trusted list, and the corresponding private key.

 (4) The minister responsible for the area shall establish, by a regulation, the public key used for securing the trusted list, and designate the scope of use of the corresponding private key.

§ 16.  Certificate of electronic signature and electronic seal and their period of validity

 (1) The requirements for qualified certificates for electronic signatures are provided for in Article 28 of Regulation (EU) No. 910/2014 of the European Parliament and of the Council.

 (2) The requirements for qualified certificates for electronic seals are provided for in Article 38 of Regulation (EU) No. 910/2014 of the European Parliament and of the Council.

 (3) The provisions of this section and §§ 17–21 apply to the certificates of the users of trust services entered in the trusted list.

 (4) A certificate is valid from the beginning of the period of validity set out in the certificate but not before the data of the certificate are entered in a certificate database kept by the issuer of the certificate.

 (5) The validity of a certificate ends on the validity end date set out in the certificate or upon revocation of the certificate.

§ 17.  Suspension of certificates

 (1) A trust service provider has the right to suspend a certificate if there is a suspicion that incorrect data have been entered in the certificate or that it is possible to use the private key corresponding to the public key contained in the certificate without the consent of the certificate holder.

 (2) A trust service provider is required to suspend a certificate if this is requested by:
 1) the certificate holder;
 2) the competent authority or the Estonian Data Protection Inspectorate;
[RT I, 12.12.2018, 3 – entry into force 01.01.2019]
 3) a court, the Prosecutor’s Office or a pre-trial investigation authority in a criminal matter to prevent an offence.

 (3) Immediately after suspending a certificate, the trust service provider shall enter the information pertaining to the suspension of the certificate in the certificate database kept by the trust service provider in respect thereof, and shall keep records of the time and bases of suspension of the certificates, and applicants for suspension, and bases for ending the suspension.

 (4) The trust service provider shall notify the certificate holder promptly of suspension of the certificate.

 (5) E-signatures or e-seals given during the period when a certificate is suspended are invalid.

 (6) Trust service provider providing trust services that do not enable suspension of the certificate, shall apply the provisions of §§ 19 and 20 of this Act.

§ 18.  Restoration of validity of suspended certificate

 (1) A trust service provider shall restore the validity of a suspended certificate at the request of the certificate holder or a person or authority that applied for the suspension, by entering the information on restoration of validity in the certificate database kept by the trust service provider.

 (2) While restoring the validity of the certificate suspended on the basis of clause 17 (2) 1) of this Act, the qualified trust service provider that issued the certificate shall verify the identity pursuant to subsection 5 (5) of this Act.

 (3) In the cases specified in clauses 17 (2) 2) and 3) of this Act, the person who initiated the suspension may apply for restoration of the validity of the certificate.

 (4) A trust service provider shall notify the certificate holder promptly of restoration of the validity of the certificate.

§ 19.  Revocation of certificates

 (1) A trust service provider revokes a certificate based on an application or on its own initiative.

 (2) A trust service provider revokes a certificate if it is requested by:
 1) the certificate holder;
 2) the competent authority or the Estonian Data Protection Inspectorate;
[RT I, 12.12.2018, 3 – entry into force 01.01.2019]
 3) a court, the Prosecutor’s Office or a pre-trial investigation authority in a criminal matter.

 (3) If a certificate holder has a suspicion that it is possible to use the private key corresponding to a public key contained in the certificate without his or her consent, the certificate holder shall request revocation of the certificate.

 (4) The following are the bases for revocation of a certificate:
 1) request of the certificate holder;
 2) a possibility of using the private key corresponding to a public key contained in the certificate without the consent of the certificate holder;
 3) appointment of a guardian to the certificate holder to an extent that precludes the use of the certificate;
 4) death of the certificate holder or declaration of death of the certificate holder;
 5) deletion of the certificate holder from the register due to termination of the activities of the certificate holder;
 6) release or removal from office of the certificate holder that is a public office holder;
 7) submission of false data to a trust service service provider by the certificate holder in order to obtain the certificate;
 8) termination of provision of trust services;
 9) loss of reliability of such a private key of the trust service provider that was used for issuing the certificate;
 10) violation of a material obligation set out in the terms of use of the trust service by the certificate holder;
 11) appearance of a circumstance related to revocation of the certificate that is set out in the principles of providing the trust service;
 12) appearance of an error in the certificate or in the data entered in the certificate;
 13) request of a court, the Prosecutor’s Office or a pre-trial investigation authority in a criminal matter;
 14) expiry or termination of a contract on the basis whereof the certificate is held;
 15) other cases provided by law.

 (5) A certificate entered in a document set out in subsection 2 (2) of the Identity Documents Act shall be revoked on the basis of the provisions of the Identity Documents Act.

§ 20.  Procedure for revocation of certificates

 (1) A trust service provider shall initiate a procedure for revocation of a certificate based on an application or upon appearance of the basis set out in subsection 19 (4) of this Act.

 (2) Documents certifying the basis for revocation shall be appended to an application for revocation of a certificate on the basis of subsection 19 (4) of this Act.

 (3) A trust service provider shall verify the existence of the legal basis for applying for revocation of a certificate, and enter the revocation promptly in the certificate database kept by the trust service provider.

 (4) The validity of a certificate ends upon entry of the data on revocation of the certificate in the certificate database kept by a trust service provider.

 (5) A trust service provider shall inform the certificate holder promptly of revocation of the certificate. In the case specified in clause 19 (4) 4) of this Act, a trust service provider shall inform a successor or the interested person who applied for declaration of death about the revocation of the certificate.

 (6) Trust service providers shall preserve the documents evidencing the cause for revocation of certificates during the term set out in subsection 5 (3) of this Act.

§ 21.  Consequences of suspension and revocation of certificates without legal basis

  A person or authority that without legal basis, intentionally or due to gross negligence, causes suspension or revocation of a certificate is required to compensate for damage caused by the suspension or revocation of the certificate.

Chapter 21 Electronic Identification System 
[RT I, 15.10.2021, 1 - entry into force 25.10.2021]

§ 211.  Evaluation of equivalence of assurance level of electronic identification scheme

 (1) The electronic identification service provider shall file an application and documents regarding the assurance level of the electronic identification scheme with the competent authority for the purpose of evaluation of the equivalence of the assurance level of the electronic identification scheme with the assurance level specified in points (b) or (c) of Article 8 (2) of Regulation (EU) No. 910/2014 of the European Parliament and of the Council.

 (2) If the information submitted by the electronic identification service provider indicates that the assurance level of the electronic identification scheme is equivalent with the assurance level specified in point (b) or (c) of Article 8 (2) of Regulation (EU) No. 910/2014 of the European Parliament and of the Council as indicated by the electronic identification service provider, the competent authority shall make a decision on the equivalence of the assurance level of the electronic identification scheme.

 (3) If the information submitted by the electronic identification service provider does not indicate the equivalence specified in subsection (2) of this section, the competent authority shall make a decision to refrain from providing an evaluation of the assurance level of the electronic identification scheme.

 (4) The competent authority shall resolve the application filed for evaluation of the equivalence of the assurance level of an electronic identification scheme, and make a decision specified in subsection (2) or (3) of this section within 80 days after receipt of the proper data and documents.

 (5) The competent authority shall set a term of validity of up to three years for the decision referred to in subsection (2) of this section.

 (6) Specified terms and conditions of and procedure for the evaluation of the equivalence of the assurance level of electronic identification schemes shall be established by a regulation of the minister in charge of the policy sector.

 (7) A state fee in the amount provided for in the States Fees Act shall be paid by the applicant for the review of an application for evaluation of the equivalence of the assurance level of an electronic identification scheme.
[RT I, 15.10.2021, 1 – entry into force 25.10.2021]

§ 212.  Notification of changes to electronic identification scheme and revocation of decision on equivalence of assurance level of electronic identification scheme

 (1) The electronic identification service provider shall inform the competent authority immediately but not later than 30 days before implementation of changes which may affect the assurance level of the electronic identification system, in a format which can be reproduced in writing.

 (2) If notification of changes is not possible before implementation thereof, the electronic identification service provider shall inform the competent authority about the changes not later than on the day following the implementation of the changes.

 (3) The competent authority may revoke the decision specified in subsection 211 (2) of this Act if at least one of the following circumstances occurs:
 1) the electronic identification service provider does not comply with the notification obligation specified in subsection (1) of this section;
 2) in the opinion of the competent authority, the change specified in subsection (1) of this section will cause the assurance level of the electronic identification scheme to drop;
 3) the competent authority becomes aware of any circumstances which would have caused them to refrain from making the decision specified in subsection 211 (2) of this Act;
 4) the competent authority becomes aware of any circumstances regarding the electronic identification service provider or the electronic identification scheme which endangers public order or national security.

 (4) The competent authority may inform the public about revocation of a decision made under subsection 211 (2) of this Act, after having first informed also the electronic identification service provider.
[RT I, 15.10.2021, 1 – entry into force 25.10.2021]

Chapter 3 Supervision 

§ 22.  State and administrative supervision

  [RT I, 15.10.2021, 1 – entry into force 25.10.2021]
The competent authority shall exercise state and administrative supervision over compliance with the requirements of Regulation (EU) No. 910/2014 of the European Parliament and of the Council, and of this Act.
[RT I, 15.10.2021, 1 – entry into force 25.10.2021]

§ 23.  Specific measures and specifications of state supervision

 (1) A law enforcement authority may, for the purpose of exercising the state supervision provided for in this Act, take special measures of state supervision provided for in §§ 30–32 and 49–52 of the Law Enforcement Act on the grounds and in accordance with the procedure provided for in the Law Enforcement Act.

 (2) The measures provided for in §§ 49–50 of the Law Enforcement Act may be applied only upon entry into premises which are used for the provision of services, in the presence of a representative of the trust service provider.

Chapter 4 Implementing Provisions 

§ 24.  Digital signature and digital seal

 (1) A digital signature shall be deemed an electronic signature that conforms to the requirements for a qualified electronic signature set out in Article 3 (12) of Regulation (EU) No. 910/2014 of the European Parliament and of the Council.

 (2) A digital seal shall be deemed an electronic seal that conforms to the requirements for a qualified electronic seal set out in Article 3 (27) of Regulation (EU) No. 910/2014 of the European Parliament and of the Council.

§ 25.  Digital signatures and digital seals given and certification service providers entered in register before entry into force of this Act

 (1) A digital signature given on the basis of the Digital Signatures Act before the entry into force of this Act continues to be valid and has an equivalent legal effect with a qualified electronic signature that conforms to the requirements set out in of Regulation (EU) No. 910/2014 of the European Parliament and of the Council and in this Act, if it complies with all the following conditions:
 1) it is a data unit, created using a system of technical and organisational means, which is used by a signatory to indicate his or her link to a document;
 2) it is created by using a private key contained in a secure signature creation device to which the public key uniquely corresponds;
 3) with the system of using the digital signature it enables unique identification of the person in whose name the signature is given, determination of the time when the signature is given, and link the digital signature to data in such a manner as to preclude the possibility of changing the signed data or the meaning thereof undetectably after the signature is given;
 4) it has been given by using a trust service certificate entered in the register of certification in compliance with the Digital Signatures Act.

 (2) The certificate of a digital seal issued on the basis of the Digital Signatures Act before the entry into force of this Act continues to be valid and the electronic seal given thereby has an equivalent legal effect with a qualified electronic seal that conforms to the requirements set out in Regulation (EU) No. 910/2014 of the European Parliament and of the Council and in this Act, if it complies with all the following conditions:
 1) it is a data unit created by a system of technical and organisational means which the certificate holder uses to certify the integrity of a digital document and to link the certificate holder to such document;
 2) it is created by a private key contained in a secure signature creation device to which the public key uniquely corresponds;
 3) with the system of using the digital seal it enables unique identification of the person in whose name the seal is given, determination of the time when the seal is given, and link the digital seal to data in such a manner as to preclude the possibility of changing the sealed data or the meaning thereof undetectably after the seal is given;
 4) it has been given by using a trust service certificate entered in the register of certification in compliance with the Digital Signatures Act.

 (3) The certrification service providers entered in the register of certification as at the moment of entry into force of this Act are deemed qualified trust service providers, taking account of the special condition set out in Article 51 (3) of Regulation (EU) No. 910/2014 of the European Parliament and of the Council.

§ 26.  Repeal of Digital Signatures Act

  The Digital Signatures Act is repealed.

§ 27.  – § 40. Omitted from this translation

§ 41.  Entry into force of Act

  This Act enters into force on the day following the date of publication in the Riigi Teataja.

Väljaandja:Riigikogu
Akti liik:seadus
Teksti liik:terviktekst
Redaktsiooni jõustumise kp:25.10.2021
Redaktsiooni kehtivuse lõpp:12.03.2023
Avaldamismärge:RT I, 15.10.2021, 2

1. peatükk Üldsätted 

§ 1.  Seaduse reguleerimis- ja kohaldamisala

  (1) Käesolev seadus reguleerib e-identimist ja e-tehinguteks vajalikke usaldusteenuseid ning riikliku järelevalve korraldust ulatuses, milles need ei ole reguleeritud Euroopa Parlamendi ja nõukogu määruses (EL) nr 910/2014 e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul ja millega tunnistatakse kehtetuks direktiiv 1999/93/EÜ (ELT L 257, 28.08.2014, lk 73–114).

  (2) E-identimisele ja e-tehinguteks vajalikele usaldusteenustele kohaldatakse käesolevat seadust ja muid riigisiseseid õigusakte, kui Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 järgi tuleb lähtuda riigisisesest õigusest või kui määrus annab võimaluse reguleerida teatavaid valdkondi riigisisese õigusega.

  (3) Käesolevas seaduses sätestatud haldusmenetlusele kohaldatakse haldusmenetluse seadust, arvestades käesoleva seaduse erisusi.

  (4) Käesolevas seaduses reguleeritud ettevõtja majandustegevuse alustamisele, teostamisele ja lõppemisele kohaldatakse majandustegevuse seadustiku üldosa seadust, võttes arvesse käesolevast seadusest ning Euroopa Parlamendi ja nõukogu määrusest (EL) nr 910/2014 tulenevaid erisusi.

  (5) Käesolevas seaduses sätestatud e-identimise süsteemide usaldusväärsuse taseme hindamise nõudeid, tingimusi ja korda ei rakendata isikut tõendavate dokumentide seaduse alusel välja antud isikut tõendavatel dokumentidel põhinevate e-identimise süsteemide suhtes.
[RT I, 15.10.2021, 1 - jõust. 25.10.2021]

§ 2.  Pädev asutus
[RT I, 15.10.2021, 1 - jõust. 25.10.2021]

  Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 artikli 7 punktis f ning artiklites 9 ja 12 sätestatud ülesandeid täidab Riigi Infosüsteemi Amet (edaspidi pädev asutus).
[RT I, 15.10.2021, 1 - jõust. 25.10.2021]

2. peatükk Usaldusteenus ja usaldusteenuse osutaja 

§ 3.  Usaldusnimekiri ja usaldusteenuse infrastruktuur

  (1) Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 artikli 22 kohast usaldusnimekirja (edaspidi usaldusnimekiri) peab pädev asutus.

  (2) Pädev asutus võib korraldada usaldusteenuse infrastruktuuri loomise, haldamise ja ajakohastamise vastavalt Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 artikli 17 lõikele 5.
[RT I, 12.12.2018, 3 - jõust. 01.01.2019]

  (3) Usaldusteenuse infrastruktuuri loomise, haldamise ja ajakohastamise nõuded ning korra võib kehtestada valdkonna eest vastutav minister määrusega.

§ 4.  Turvaintsidentidest teavitamise kohustus

  Usaldusteenuse osutaja teavitab pädevat asutust Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 artikli 19 lõike 2 kohasest turvaintsidendist viivitamata, kuid mitte hiljem kui 24 tunni jooksul pärast sellest teadasaamist.
[RT I, 12.12.2018, 3 - jõust. 01.01.2019]

§ 5.  Nõuded kvalifitseeritud usaldusteenuse osutajale ja usaldusteenuse osutamisele

  (1) Kvalifitseeritud usaldusteenuse osutaja ja usaldusteenus peavad vastama Euroopa Parlamendi ja nõukogu määruses (EL) nr 910/2014 ning käesolevas seaduses sätestatud nõuetele ning usaldusteenust kirjeldavatele avalikult heakskiidetud ja kättesaadavatele spetsifikatsioonidele.

  (2) Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 artikli 13 lõigetes 1 ja 2 sätestatud kahju hüvitamise tagamiseks on kvalifitseeritud usaldusteenuse osutaja kohustatud sõlmima vastutuskindlustuse lepingu, mille kindlustussumma aastas on vähemalt üks miljon eurot iga üksiku kindlustusjuhtumi kohta ja vähemalt üks miljon eurot kõigi juhtumite kohta kokku. Kvalifitseeritud usaldusteenuse osutaja teeb avalikkusele kättesaadavaks andmed kehtiva vastutuskindlustuse olemasolu ja kindlustuskatte kohta.

  (3) Kvalifitseeritud usaldusteenuse osutaja dokumenteerib usaldusteenuse osutamisel tehtud toimingud ning säilitab sellekohast tegevuslogi kümme aastat kirje loomisest arvates.

  (4) Kvalifitseeritud usaldusteenuse osutajal peab olema teenuse järjepidevuse tagamiseks ajakohane tegevuse lõpetamise kava, mis sisaldab vähemalt järgmist:
  1) kliendi, lepingupartneri ja teise huvitatud osapoole teavitamise ning usaldusteenuse osutamisega seotud lepingu lõpetamise kord;
  2) käesoleva paragrahvi lõigetes 3 ja 7 nimetatud andmete säilitamise kord;
  3) kord teenuse osutamisega seotud privaatvõtmete, varukoopiate või kasutusest eemaldatud võtmete hävitamise kohta viisil, et neid ei oleks võimalik taastada;
  4) riistvara hävitamise või lähtestamise kord sõltuvalt konkreetsetest turvalisusnõuetest.

  (5) Kvalifitseeritud usaldusteenuse osutaja tuvastab enne kvalifitseeritud sertifikaadi väljastamist isikusamasuse, kontrollib seda isikut tõendavate dokumentide seaduse § 2 lõikes 2 nimetatud dokumendi, välisriigis väljastatud kehtiva reisidokumendi või isikut tõendavate dokumentide seaduse § 4 lõikes 1 sätestatud tingimustele vastava muu dokumendi alusel ning kontrollib esitatud teabe usaldusväärsust. Juriidilisele isikule sertifikaadi väljastamisel kontrollib usaldusteenuse osutaja lisaks esindusõiguse olemasolu.

  (6) Kvalifitseeritud usaldusteenuse osutaja keeldub teenuse osutamisest, kui isikusamasuse või esindusõiguse tuvastamisel esitatud teabe kontrollimisel tekib kahtlus esitatud andmete õigsuses või dokumendi ehtsuses.

  (7) Kvalifitseeritud usaldusteenuse osutaja säilitab tõendit isikusamasuse tuvastamise kohta kümme aastat kvalifitseeritud sertifikaadi kehtivusaja lõpust arvates.

  (8) Kui kvalifitseeritud usaldusteenuse osutaja lõpetab mõne usaldusteenuse osutamise, kuid jätkab majandustegevust, on ta kohustatud säilitama käesoleva paragrahvi lõigetes 3 ja 7 nimetatud andmeid samades lõigetes nimetatud tähtaja jooksul ning võimaldama usaldusteenuse vahendusel tehtud toimingute õigsuse kontrolli nende alusel.

  (9) Kvalifitseeritud usaldusteenuse osutaja töötajal, kes tegeleb usaldusteenuse osutamisega, ei tohi olla kehtivat karistust tahtlikult toimepandud kuriteo eest.

§ 6.  Kvalifitseeritud usaldusteenuse osutaja loakohustus ja usaldusnimekirja kandmine

  (1) Kvalifitseeritud usaldusteenuse osutamiseks peab isikul ja tema osutataval usaldusteenusel olema Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 artikli 21 lõike 2 kohane kvalifitseeritud staatus, mida tõendab asjaomane luba.

  (2) Luba kehtib kaks aastat.

  (3) Kvalifitseeritud usaldusteenuse osutaja ja usaldusteenus kantakse usaldusnimekirja loa kehtivusajaks.

§ 7.  Loa taotlemine

  (1) Loa andmise taotluse lahendab pädev asutus.

  (2) Pädev asutus lahendab taotluse pärast nõuetekohaste andmete ja dokumentide saamist:
  1) esmakordse loa taotluse korral 80 päeva jooksul;
  2) korduva loa taotluse korral 50 päeva jooksul.

  (3) Taotluses esitatakse lisaks majandustegevuse seadustiku üldosa seaduse § 19 lõikes 2 sätestatule:
  1) usaldusteenuse nimetus, kirjeldus, osutamise põhimõtted, sertifikaat ning vastavushindamise aruanne;
  2) tõend riiklike ja taotleja elu- või asukoha kohalike maksude võla puudumise kohta, kui need andmed ei ole kättesaadavad seaduse alusel asutatud andmekogust.

  (4) Käesoleva paragrahvi lõikes 3 nimetatud usaldusteenuse osutamise põhimõtted tuleb esitada ammendavalt kirjeldatult. Ammendavat kirjeldatust eeldatakse, kui need on esitatud kujul, mis on kooskõlas Euroopa Telekommunikatsiooni Standardite Instituudi avaldatud usaldusteenuse osutamise põhimõtteid käsitlevate standardite või muu samaväärse avalikult heakskiidetud ja kättesaadava spetsifikatsiooni nõuetega.

  (5) Pädev asutus võib taotluse menetlemise käigus nõuda taotluse esitajalt esitatud andmete kohta täpsustavat teavet, mis on vajalik taotluse menetlemiseks, ning teha esitatud andmete kontrollimiseks päringuid riigiasutusele ning kohaliku omavalitsuse üksusele.

  (6) Esmakordse ja korduva loa taotluse läbivaatamise eest tasutakse riigilõivu riigilõivuseaduses sätestatud määras.

§ 8.  Loa kontrolliese

  Pädev asutus annab loa, kui:
  1) taotleja ja usaldusteenus vastavad Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 artikli 24 lõike 2 punktides e, f, g ja k ning käesoleva seaduse § 5 lõigetes 2, 4 ja 9 sätestatud nõuetele;
  2) taotleja on läbinud Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 artiklis 20 nimetatud vastavushindamise;
  3) taotlejal puudub riiklike ja tema elu- või asukoha kohalike maksude võlg.

§ 9.  Loa andmisest keeldumine ja loa kehtetuks tunnistamine

  (1) Lisaks majandustegevuse seadustiku üldosa seaduse § 25 lõikes 1 sätestatule võib loa andmisest keelduda, kui esineb vähemalt üks järgmistest asjaoludest:
  1) esitatud taotluse ja vastavushindamise tulemuse alusel ei vasta usaldusteenuse loa taotluse esitaja või usaldusteenus Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 või käesoleva seaduse nõuetele;
  2) taotlejal on riiklike või taotleja elu- või asukoha kohalike maksude võlg;
  3) taotleja keeldub andmast Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 ja käesoleva seaduse alusel nõutud täiendavat või olulist teavet.

  (2) Pädev asutus tunnistab loa kehtetuks, kui:
  1) kehtetuks tunnistamist taotleb usaldusteenuse osutaja;
  2) pärast loa andmist selgub, et usaldusteenuse osutaja või tema pakutav usaldusteenus ei vasta Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 või käesoleva seaduse nõuetele ja usaldusteenuse osutaja ei ole pädeva asutuse antud tähtaja jooksul viinud oma tegevust nõuetega kooskõlla;
  3) usaldusteenuse osutaja on lõpetanud usaldusteenuse osutamise.

  (3) Enne usaldusteenuse osutamise lõpetamist teavitab selle osutaja pädevat asutust lõpetamise kavatsusest ning taotleb loa kehtetuks tunnistamist.

  (4) Loa kehtetuks tunnistamisel kustutatakse usaldusteenuse osutaja ja usaldusteenus usaldusnimekirjast.

§ 10.  Kvalifitseerimata usaldusteenuse osutaja ja usaldusteenuse usaldusnimekirja kandmine

  (1) Usaldusnimekirja võib kanda ka kvalifitseerimata usaldusteenuse osutaja ja usaldusteenuse. Usaldusnimekirja kandmiseks teeb pädev asutus usaldusnimekirja kandmise otsuse.

  (2) Kvalifitseerimata usaldusteenuse osutaja ja usaldusteenuse nimekirja kandmise taotlemisele, usaldusnimekirja kandmisest keeldumisele ja usaldusnimekirjast kustutamisele kohaldatakse käesoleva seaduse §-des 7 ja 9 sätestatut.

  (3) Kvalifitseerimata usaldusteenuse osutaja ja usaldusteenus kantakse nimekirja kaheks aastaks.

  (4) Kvalifitseerimata usaldusteenuse osutaja ja usaldusteenuse usaldusnimekirja kandmise taotluse läbivaatamise eest, korduva kandmise taotluse läbivaatamise eest ja andmete muutmise taotluse eest tasutakse riigilõivu riigilõivuseaduses sätestatud määras.

§ 11.  Nõuded usaldusnimekirja kantud kvalifitseerimata usaldusteenuse osutajale ja usaldusteenusele

  (1) Kvalifitseerimata usaldusteenuse osutaja ja usaldusteenus peavad usaldusnimekirja kandmiseks vastama Euroopa Parlamendi ja nõukogu määruses (EL) nr 910/2014 ja käesolevas seaduses sätestatud nõuetele ning usaldusteenust kirjeldavatele avalikult heakskiidetud ja kättesaadavatele spetsifikatsioonidele.

  (2) Kvalifitseerimata usaldusteenuse osutajal ei tohi olla riiklike ega tema elu- või asukoha kohalike maksude võlga.

  (3) Käesoleva paragrahvi lõikes 1 sätestatud nõuetele vastavuse hindamiseks peab kvalifitseerimata usaldusteenuse osutaja läbima Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 artikli 3 punkti 18 kohase vastavushindamisasutuse teostatava usaldusteenuse vastavushindamise enne usaldusteenuse alustamist ja edaspidi vähemalt iga kahe aasta järel.

§ 12.  Soovituslikud juhendid ja vastavushindamise kord

  (1) Valdkonna eest vastutav minister või pädev asutus võib anda käesoleva seaduse §-des 5 ja 11 sätestatud nõuete järgimiseks soovituslikke juhendeid.

  (2) Valdkonna eest vastutav minister kehtestab määrusega usaldusteenuse osutaja ja usaldusteenuse vastavushindamise korra.

  (3) Valdkonna eest vastutav minister võib käskkirjaga nimetada asjakohase asutuse või sõlmida halduslepingu isikuga, kes sertifitseerib kvalifitseeritud e-allkirja andmise vahendite vastavust Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 nõuetele.

  (4) Käesoleva paragrahvi lõikes 3 nimetatud halduslepingu sõlmimisel teeb ülesande täitmise üle haldusjärelevalvet Majandus- ja Kommunikatsiooniministeerium. Kui haldusleping lõpetatakse ühepoolselt või esineb muu põhjus, mis takistab ülesande täitmise jätkamist, korraldab selle edasise täitmise Majandus- ja Kommunikatsiooniministeerium.

§ 13.  Usaldusteenuse osutamisega seotud asjaolude muutumisest teatamine

  (1) Usaldusteenuse osutaja teavitab viivitamata pädevat asutust loa taotluses ja usaldusnimekirja kandmise taotluses esitatud andmete muutumisest.

  (2) Kui usaldusteenuse osutaja usaldusnimekirjas kajastatud andmed muutuvad, esitab usaldusteenuse osutaja andmete muutmise taotluse ning pädev asutus teeb muudatuse usaldusnimekirjas 14 päeva jooksul käesoleva seaduse §-s 7 nimetatud menetluseta.

  (3) Kui muutub usaldusteenuse sisu, on pädeval asutusel õigus nõuda käesoleva seaduse §-s 7 nimetatud taotluse uuesti esitamist.

  (4) Usaldusnimekirjas kajastatud andmete muutmise taotluse läbivaatamise eest tasutakse riigilõivu riigilõivuseaduses sätestatud määras.

§ 14.  Usaldusteenuse osutaja ja usaldusteenuse usaldusnimekirja kandmise tähtaeg

  Pädev asutus kannab usaldusteenuse osutaja ja usaldusteenuse usaldusnimekirja kümne päeva jooksul käesoleva seaduse § 6 lõike 1 kohase loa andmisest või § 10 lõike 1 kohase otsuse tegemisest arvates.

§ 15.  Usaldusnimekirja avaldamine ja kinnitamine

  (1) Pädev asutus avaldab usaldusteenuse osutajate ja usaldusteenuste loetelu oma veebilehel.

  (2) Pädev asutus kinnitab usaldusnimekirja avaliku võtme ja sellele vastava privaatvõtmega.

  (3) Usaldusnimekirja kinnitamiseks kasutatava avaliku võtme ja sellele vastava privaatvõtme loomise korraldab valdkonna eest vastutav minister käskkirjaga.

  (4) Usaldusnimekirja kinnitamiseks kasutatava avaliku võtme kehtestab ja sellele vastava privaatvõtme kasutusala määrab valdkonna eest vastutav minister määrusega.

§ 16.  E-allkirja ja e-templi sertifikaat ning nende kehtivusaeg

  (1) E-allkirja kvalifitseeritud sertifikaadi nõuded on sätestatud Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 artiklis 28.

  (2) E-templi kvalifitseeritud sertifikaadi nõuded on sätestatud Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 artiklis 38.

  (3) Käesolevas paragrahvis ja §-des 17–21 sätestatut kohaldatakse usaldusnimekirja kantud usaldusteenuse kasutaja sertifikaadile.

  (4) Sertifikaat hakkab kehtima selles märgitud kehtivusaja algusest, kuid mitte enne sertifikaadi andmete kandmist selle väljaandja peetavasse sertifikaatide andmebaasi.

  (5) Sertifikaadi kehtivus lõpeb sertifikaadis märgitud kehtivuse lõppemise tähtpäeval või sertifikaadi kehtetuks tunnistamisel.

§ 17.  Sertifikaadi kehtivuse peatamine

  (1) Usaldusteenuse osutajal on õigus peatada usaldusteenuse sertifikaadi kehtivus, kui tekib kahtlus, et sertifikaati on kantud valeandmed või sertifikaadis sisalduvale avalikule võtmele vastavat privaatvõtit on võimalik kasutada sertifikaadi omaja nõusolekuta.

  (2) Usaldusteenuse osutaja on kohustatud sertifikaadi kehtivuse peatama, kui seda taotleb:
  1) sertifikaadi omaja;
  2) pädev asutus või Andmekaitse Inspektsioon;
[RT I, 12.12.2018, 3 - jõust. 01.01.2019]
  3) kohus, prokuratuur või kriminaalasjas kohtueelne uurimisasutus süüteo tõkestamiseks.

  (3) Usaldusteenuse osutaja kannab pärast sertifikaadi kehtivuse peatamist viivitamata andmed kehtivuse peatamise kohta enda peetavasse sertifikaatide andmebaasi ning peab arvestust sertifikaadi kehtivuse peatamise aja, aluse ja taotleja ning peatatuse lõpetamise kohta.

  (4) Usaldusteenuse osutaja teavitab sertifikaadi kehtivuse peatamisest viivitamata sertifikaadi omajat.

  (5) Sertifikaadi kehtivuse peatatuse ajal antud e-allkiri või e-tempel on kehtetu.

  (6) Usaldusteenuse osutaja, kelle pakutav usaldusteenus ei võimalda sertifikaadi peatamist, rakendab käesoleva seaduse §-des 19 ja 20 sätestatut.

§ 18.  Peatatud sertifikaadi kehtivuse taastamine

  (1) Usaldusteenuse osutaja taastab peatatud sertifikaadi kehtivuse sertifikaadi omaja või peatamist nõudnud isiku või asutuse taotluse alusel kehtivuse taastamise andmete kandmisega usaldusteenuse osutaja peetavasse sertifikaatide andmebaasi.

  (2) Käesoleva seaduse § 17 lõike 2 punkti 1 alusel peatatud sertifikaadi kehtivuse taastamisel kontrollib sertifikaadi väljastanud kvalifitseeritud usaldusteenuse osutaja isikusamasust käesoleva seaduse § 5 lõike 5 kohaselt.

  (3) Käesoleva seaduse § 17 lõike 2 punktides 2 ja 3 nimetatud juhtudel saab sertifikaadi kehtivuse taastamist taotleda peatamise algataja.

  (4) Usaldusteenuse osutaja teavitab peatatud sertifikaadi kehtivuse taastamisest viivitamata sertifikaadi omajat.

§ 19.  Sertifikaadi kehtetuks tunnistamine

  (1) Usaldusteenuse osutaja tunnistab sertifikaadi kehtetuks taotluse alusel või omal algatusel.

  (2) Usaldusteenuse osutaja tunnistab sertifikaadi kehtetuks, kui seda taotleb:
  1) sertifikaadi omaja;
  2) pädev asutus või Andmekaitse Inspektsioon;
[RT I, 12.12.2018, 3 - jõust. 01.01.2019]
  3) kohus, prokuratuur või kriminaalasjas kohtueelne uurimisasutus.

  (3) Kui sertifikaadi omajal on kahtlus, et sertifikaadis sisalduvale avalikule võtmele vastavat privaatvõtit on võimalik kasutada tema nõusolekuta, peab ta taotlema sertifikaadi kehtetuks tunnistamist.

  (4) Sertifikaadi kehtetuks tunnistamise aluseks on:
  1) sertifikaadi omaja taotlus;
  2) sertifikaadis nimetatud avalikule võtmele vastava privaatvõtme kasutamise võimalus ilma sertifikaadi omaja nõusolekuta;
  3) sertifikaadi omajale eestkostja määramine ulatuses, mis välistab sertifikaadi kasutamise;
  4) sertifikaadi omaja surm või surnuks tunnistamine;
  5) sertifikaadi omaja tegevuse lõpetamise tõttu tema registrist kustutamine;
  6) avalik-õigusliku ameti kandjast sertifikaadi omaja ametist vabastamine või tagandamine;
  7) sertifikaadi omaja poolt sertifikaadi saamiseks usaldusteenuse osutajale valeandmete esitamine;
  8) usaldusteenuse osutamise lõpetamine;
  9) usaldusteenuse osutaja sellise privaatvõtme usaldusväärsuse kadu, mida kasutati sertifikaadi väljastamiseks;
  10) sertifikaadi omaja poolt usaldusteenuse kasutustingimustes nimetatud olulise kohustuse rikkumine;
  11) usaldusteenuse osutamise põhimõtetes nimetatud sertifikaadi kehtetuks tunnistamist käsitleva asjaolu ilmnemine;
  12) sertifikaati kantud andmetes või sertifikaadis vea ilmnemine;
  13) kohtu, prokuratuuri või kriminaalasjas kohtueelse uurimisasutuse taotlus;
  14) sertifikaadi omamise aluseks oleva lepingu lõppemine või lõpetamine;
  15) muud seaduses sätestatud juhud.

  (5) Isikut tõendavate dokumentide seaduse § 2 lõikes 2 nimetatud dokumendile kantud sertifikaadi kehtetuks tunnistamisel lähtutakse isikut tõendavate dokumentide seaduses sätestatust.

§ 20.  Sertifikaadi kehtetuks tunnistamise menetlus

  (1) Usaldusteenuse osutaja algatab sertifikaadi kehtetuks tunnistamise menetluse taotluse alusel või käesoleva seaduse § 19 lõikes 4 sätestatud aluse ilmnemisel.

  (2) Käesoleva seaduse § 19 lõike 4 alusel sertifikaadi kehtetuks tunnistamise taotlusele lisatakse kehtetuks tunnistamise alust tõendavad dokumendid.

  (3) Usaldusteenuse osutaja on kohustatud kontrollima sertifikaadi kehtetuks tunnistamise taotlemise seadusliku aluse olemasolu ning kandma kehtetuks tunnistamise viivitamata enda peetavasse sertifikaatide andmebaasi.

  (4) Sertifikaadi kehtivus lõpeb sertifikaadi kehtetuks tunnistamise andmete kandmisel usaldusteenuse osutaja peetavasse sertifikaatide andmebaasi.

  (5) Usaldusteenuse osutaja teavitab sertifikaadi kehtetuks tunnistamisest viivitamata sertifikaadi omajat. Käesoleva seaduse § 19 lõike 4 punktis 4 nimetatud juhul teavitab usaldusteenuse osutaja sertifikaadi kehtetuks tunnistamisest pärijat või surnuks tunnistamist taotlenud huvitatud isikut.

  (6) Usaldusteenuse osutaja on kohustatud säilitama sertifikaadi kehtetuks tunnistamise põhjust tõendavaid dokumente käesoleva seaduse § 5 lõikes 3 sätestatud tähtaja jooksul.

§ 21.  Sertifikaadi kehtivuse seadusliku aluseta peatamise ja kehtetuks tunnistamise tagajärg

  Isik või asutus, kelle tahtluse või raske hooletuse tõttu on ilma seadusliku aluseta peatatud sertifikaadi kehtivus või tunnistatud sertifikaat kehtetuks, on kohustatud hüvitama sertifikaadi kehtivuse peatamise või kehtetuks tunnistamisega põhjustatud kahju.

21. peatükk E-identimise süsteem 
[RT I, 15.10.2021, 1 - jõust. 25.10.2021]

§ 211.  E-identimise süsteemi usaldusväärsuse taseme samaväärsuse hindamine

  (1) E-identimise süsteemi usaldusväärsuse taseme samaväärsuse hindamiseks Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 artikli 8 lõike 2 punktides b ja c sätestatud usaldusväärsuse tasemega esitab e-identimise teenuse osutaja pädevale asutusele taotluse ja e-identimise süsteemi usaldusväärsuse taset käsitlevad dokumendid.

  (2) Kui e-identimise teenuse osutaja esitatud teabest nähtub, et e-identimise süsteemi usaldusväärsuse tase on samaväärne e-identimise teenuse osutaja märgitud Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 artikli 8 lõike 2 punktis b või c sätestatud usaldusväärsuse tasemega, teeb pädev asutus otsuse e-identimise süsteemi usaldusväärsuse taseme samaväärsuse kohta.

  (3) Kui e-identimise teenuse osutaja esitatud teabest ei nähtu käesoleva paragrahvi lõikes 2 nimetatud samaväärsust, teeb pädev asutus otsuse e-identimise süsteemi usaldusväärsuse tasemele hinnangu andmata jätmise kohta.

  (4) Pädev asutus lahendab e-identimise süsteemi usaldusväärsuse taseme samaväärsuse hindamiseks esitatud taotluse ja teeb käesoleva paragrahvi lõikes 2 või 3 nimetatud otsuse 80 päeva jooksul pärast nõuetekohaste andmete ja dokumentide saamist.

  (5) Pädev asutus seab käesoleva paragrahvi lõikes 2 nimetatud otsusele kuni kolmeaastase kehtivusaja.

  (6) E-identimise süsteemi usaldusväärsuse taseme samaväärsuse hindamise täpsemad tingimused ja korra kehtestab valdkonna eest vastutav minister määrusega.

  (7) E-identimise süsteemi usaldusväärsuse taseme samaväärsuse hindamise taotluse läbivaatamise eest tasub taotleja riigilõivu riigilõivuseaduses sätestatud määras.
[RT I, 15.10.2021, 1 - jõust. 25.10.2021]

§ 212.  E-identimise süsteemi muudatustest teavitamine ja usaldusväärsuse taseme samaväärsuse otsuse kehtetuks tunnistamine

  (1) E-identimise teenuse osutaja teavitab kirjalikku taasesitamist võimaldavas vormis pädevat asutust viivitamata, kuid hiljemalt 30 päeva enne e-identimise süsteemi usaldusväärsuse taset mõjutada võivate muudatuste jõustamist.

  (2) Kui muudatusest teavitamine ei ole enne selle jõustamist võimalik, teavitab e-identimise teenuse osutaja pädevat asutust muudatusest hiljemalt muudatuse jõustamisele järgneval päeval.

  (3) Pädev asutus võib käesoleva seaduse § 211 lõikes 2 nimetatud otsuse kehtetuks tunnistada, kui esineb vähemalt üks järgmistest asjaoludest:
  1) e-identimise teenuse osutaja ei täida käesoleva paragrahvi lõikes 1 sätestatud teavitamiskohustust;
  2) käesoleva paragrahvi lõikes 1 nimetatud muudatus põhjustab pädeva asutuse hinnangul e-identimise süsteemi usaldusväärsuse taseme languse;
  3) pädevale asutusele saab teatavaks asjaolu, mis oleks põhjustanud käesoleva seaduse § 211 lõikes 2 nimetatud otsuse tegemata jätmise;
  4) pädevale asutusele saab e-identimise teenuse osutaja või e-identimise süsteemi kohta teatavaks asjaolu, mis kujutab ohtu avalikule korrale või riigi julgeolekule.

  (4) Pädev asutus võib käesoleva seaduse § 211 lõike 2 alusel tehtud otsuse kehtetuks tunnistamisest teavitada avalikkust, informeerides enne seda ka e-identimise teenuse osutajat.
[RT I, 15.10.2021, 1 - jõust. 25.10.2021]

3. peatükk Järelevalve 

§ 22.  Riiklik ja haldusjärelevalve
[RT I, 15.10.2021, 1 - jõust. 25.10.2021]

  Riiklikku ja haldusjärelevalvet Euroopa Parlamendi ja nõukogu määruses (EL) nr 910/2014 ning käesolevas seaduses sätestatud nõuete täitmise üle teeb pädev asutus.
[RT I, 15.10.2021, 1 - jõust. 25.10.2021]

§ 23.  Riikliku järelevalve erimeetmed ja erisused

  (1) Korrakaitseorgan võib käesolevas seaduses sätestatud riikliku järelevalve tegemiseks kohaldada korrakaitseseaduse §-des 30–32 ja 49–52 sätestatud riikliku järelevalve erimeetmeid korrakaitseseaduses sätestatud alusel ja korras.

  (2) Korrakaitseseaduse §-des 49–52 sätestatud meetmeid võib kohaldada üksnes sisenemisel usaldusteenuse osutaja esindaja juuresolekul ruumi, mida kasutatakse teenuse osutamiseks.

4. peatükk Rakendussätted 

§ 24.  Digitaalallkiri ja digitaalne tempel

  (1) Digitaalallkirja loetakse e-allkirjaks, mis vastab Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 artikli 3 punktis 12 sätestatud kvalifitseeritud e-allkirja nõuetele.

  (2) Digitaalset templit loetakse e-templiks, mis vastab Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 artikli 3 punktis 27 sätestatud kvalifitseeritud e-templi nõuetele.

§ 25.  Enne käesoleva seaduse jõustumist antud digitaalallkiri ja digitaalne tempel ning registrisse kantud sertifitseerimisteenuse osutaja

  (1) Enne käesoleva seaduse jõustumist digitaalallkirja seaduse alusel antud digitaalallkiri kehtib edasi ja on õiguslikult tähenduselt samaväärne Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 ning käesoleva seaduse nõuetele vastava kvalifitseeritud e-allkirjaga, kui see vastab kõikidele järgmistele tingimustele:
  1) see on tehniliste ja organisatsiooniliste vahendite süsteemi abil moodustatud andmete kogum, mida allkirjastaja kasutab, märkimaks oma seost dokumendiga;
  2) see moodustatakse turvalises allkirjastamise vahendis sisalduva privaatvõtme abil, millele vastab üheselt avalik võti;
  3) koos selle kasutamise süsteemiga võimaldab see üheselt tuvastada isikut, kelle nimel allkiri on antud, kindlaks teha allkirja andmise aega ja siduda digitaalallkirja andmetega viisil, mis välistab võimaluse tuvastamatult muuta allkirjastatud andmeid või nende tähendust pärast allkirja andmist;
  4) see on antud digitaalallkirja seaduse kohasesse sertifitseerimise registrisse kantud usaldusteenuse sertifikaati kasutades.

  (2) Enne käesoleva seaduse jõustumist digitaalallkirja seaduse alusel väljastatud digitaalse templi sertifikaat kehtib edasi ja sellega antud e-tempel on õiguslikult tähenduselt samaväärne Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 ning käesoleva seaduse nõuetele vastava kvalifitseeritud e-templiga, kui see vastab kõikidele järgmistele tingimustele:
  1) see on tehniliste ja organisatsiooniliste vahendite süsteemi abil moodustatud andmete kogum, mida sertifikaadi omaja kasutab, tõendamaks digitaalse dokumendi terviklust ning oma seost dokumendiga;
  2) see moodustatakse turvalises allkirjastamise vahendis sisalduva privaatvõtme abil, millele vastab üheselt avalik võti;
  3) koos selle kasutamise süsteemiga võimaldab see üheselt tuvastada isikut, kelle nimel tempel on antud, kindlaks teha templi andmise aega ja siduda dokumendi andmetega viisil, mis välistab võimaluse tuvastamatult muuta tembeldatud andmeid või nende tähendust pärast templi andmist;
  4) see on antud digitaalallkirja seaduse kohasesse sertifitseerimise registrisse kantud usaldusteenuse sertifikaati kasutades.

  (3) Käesoleva seaduse jõustumise hetkel sertifitseerimise registrisse kantud sertifitseerimisteenuse osutaja loetakse kvalifitseeritud usaldusteenuse osutajaks Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 artikli 51 lõikes 3 sätestatud eritingimust arvestades.

§ 26. – § 40. [Käesolevast tekstist välja jäetud.]

§ 41.  Seaduse jõustumine

  Käesolev seadus jõustub järgmisel päeval pärast Riigi Teatajas avaldamist.

https://www.riigiteataja.ee/otsingu_soovitused.json