Digital Signatures Act

Download
- PDF
- Text
- XML

Print
Help

Choose earlier wording
Entry into force:

Synchronize scrollbars

Issuer:	Riigikogu
Type:	act
In force from:	01.01.2011
In force until:	30.06.2014
Translation published:	30.10.2013

Chapter I GENERAL PROVISIONS

§ 1. Scope of application of Act

This Act provides the conditions necessary for using digital signatures and digital seals, and the procedure for exercising supervision over the provision of certification services and time-stamping services.
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~

§ 2. Digital signature

~~(1) A digital signature is a data unit, created using a system of technical and organisational means, which is used by a signatory to indicate his or her link to a document.~~

(2) A digital signature is created by using the data necessary for giving a signature contained in a secure signature creation device (hereinafter private key) to which the data needed for verification of the signature contained in a signature verification device (hereinafter public key) uniquely correspond.
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~

~~(3) A digital signature and the system of using the digital signature shall:~~
1) ~~enable unique identification of the person in whose name the signature is given;~~
2) ~~enable determination of the time when the signature is given;~~
3) ~~link the digital signature to data in such a manner as to preclude the possibility of changing the data or the meaning thereof undetectably after the signature is given.~~

§ 2¹. Digital seal

(1) A digital seal is a data unit created by a system of technical and organisational means which the holder of the digital seal certificate uses to certify the integrity of a digital document and to link the certificate holder to such document.

~~(2) A digital seal is created by a private key contained in a secure signature creation device to which the public key uniquely corresponds.~~

~~(3) A digital seal and the system of using the digital seal shall:~~
1) ~~enable unique identification of the certificate holder in whose name the digital seal is given;~~
2) ~~enable determination of the time when the digital seal is given;~~
3) ~~link the digital seal to the data in the document in such a manner as to preclude the possibility of changing the data or the meaning thereof undetectably after the seal is given.~~
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~

§ 3. Legal consequences of using digital signatures

(1) A digital signature has the same legal consequences as a hand-written signature if these consequences are not restricted by law and if the compliance of the signature with the requirements of subsection 2 (3) of this Act is proved.

(2) The compliance of a digital signature given according to the principles provided for in Chapters II–V of this Act with the requirements of subsection 2 (3) of this Act need not be proved separately if the data with the digital signature enable unique determination of the certificate containing the public key to which the private key, whereby the digital signature is given, corresponds.

(3) The giving of a digital signature does not have the consequences provided for in subsection (1) of this section if it is proved that the private key was used for giving the signature without the consent of the holder of the corresponding certificate.

(4) The giving of a digital signature without the consent of the holder of the corresponding certificate is deemed to be proved if the certificate holder proves the circumstances upon existence of which it may be presumed that the signature has been given without his or her consent.

(5) In the cases specified in subsection (3) of this section, the certificate holder shall compensate for damage caused to another person who erroneously presumed that the signature was given by the certificate holder, if the private key was used without the consent of the certificate holder due to the intent or gross negligence of the certificate holder.

§ 4. Use of digital signatures and digital seals

State and local government agencies, legal persons in public law, and persons in private law performing public law functions are required to provide access through a public data communication network to information concerning the possibilities and procedure for using digital signatures and digital seals in communication with such agencies and persons.
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~

§ 4¹. Application of Administrative Procedure Act

~~The provisions of the Administrative Procedure Act apply to administrative procedures prescribed in this Act, taking account of the specifications provided for in this Act.~~
~~[RT I 2002, 61, 375 - entry into force 01.08.2002]~~

Chapter II CERTIFICATES

Division 1 Certificates and Requirements for Certificates

§ 5. Certificates

(1) For the purposes of this Act, a certificate is a document which is issued in order to enable a digital signature or digital seal to be given and verified and in which a public key is uniquely linked to the certificate holder.
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~

~~(11) Several digital seal certificates may be issued to one person.~~
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~

~~(2) A certificate shall set out:~~
1) ~~the number of the certificate;~~
2) ~~the name of the certificate holder;~~
2¹) ~~the personal identification code or registry code of the certificate holder;~~
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~
3) ~~the public key of the certificate holder;~~
4) ~~the period of validity of the certificate;~~
5) ~~the issuer and registry code of the issuer;~~
6) ~~a description of the limitations on the scope of use of the certificate.~~

~~(3) The issuer of a certificate shall confirm each certificate issued by it.~~

§ 6. Certificate holder

For the purposes of this Act, a certificate holder is a natural person in the case of a digital signature and either a natural or a legal person in the case of a digital seal, to whose data the public key contained in the certificate is linked in the same certificate.
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~

Division 2 Application for and Issue of Certificates

§ 7. Creation of private and public keys

(1) A private key and a public key are created by an applicant for a certificate or, at his or her request and according to an agreement between the parties, by a certification service provider or another person or agency.

~~(2) Persons who create private and public keys for other persons shall not create copies of the keys for themselves or for third parties.~~

§ 8. Application for certificates

~~(1) A person wishing to obtain a certificate for giving and verifying a digital signature shall submit a written application to a certification service provider setting out:~~
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~
1) ~~the given name and surname of the applicant for the certificate;~~
2) ~~the personal identification code of the applicant for the certificate or, in the absence of a personal identification code, the day, month and year of birth of the applicant for the certificate;~~
3) ~~the public key of the applicant for the certificate if it exists or an authorisation to the certification service provider for the creation of a private and public key;~~
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~
4) ~~the contact details of the applicant for the certificate;~~
5) ~~the period of validity of the certificate applied for;~~
6) ~~a description of the limitations on the scope of use of the certificate;~~
7) ~~other data which the applicant requests to have added to the certificate.~~

(1¹~~) A person wishing to obtain a certificate for giving and verifying a digital seal shall submit a written application to a certification service provider setting out:~~
1) ~~the name of the applicant for the certificate;~~
2) ~~the personal identification code or the registry code and seat or residence of the applicant for the certificate;~~
3) ~~the public key of the applicant for the certificate or an application for the creation of a private and public key by the certification service provider;~~
4) ~~the contact details of the applicant for the certificate;~~
5) ~~the period of validity of the certificate applied for;~~
6) ~~other data which the applicant requests to have added to the certificate.~~
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~

~~(2) If the public key of an applicant for a certificate is set out in an application specified in subsection (1) or (1~~¹~~) of this section, the applicant for the certificate shall prove that the private key corresponding to the public key is in his or her possession.~~
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~

§ 9. Issuer of certificates

~~For the purposes of this Act, an issuer of a certificate is a person or agency that issues the certificate and is responsible for the accuracy of the data contained in the certificate.~~

§ 10. Issue of certificates

~~(1) The issuer of a certificate is required to verify that the application submitted for the certificate complies with this Act and that the data contained in the application are accurate.~~

(1¹) The issuer of a certificate has the right to verify the validity of an identity document on the basis of which a person is identified and the right of representation of a representative of the person.
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~

~~(2) A certificate is issued to a person promptly after entry of the corresponding data in the database of certificates which is maintained by the issuer of the certificate.~~

(3) The issuer of a certificate is required to notify the applicant for the certificate of the conditions of use of the certificate, the rights and obligations of the certificate holder, and other circumstances related to the use of the certificate.

Division 3 Period of Validity, and Suspension and Revocation of Certificates

§ 11. Period of validity of certificates

(1) A certificate is valid as of the beginning of the period of validity set out in the certificate but not before entry of the corresponding data in the database of certificates which is maintained by the issuer of the certificate.

~~(2) A certificate expires upon expiry of the period of validity set out in the certificate or upon revocation of the certificate.~~

§ 12. Suspension of certificates

(1) A certification service provider has the right to suspend a certificate if the certification service provider has a reasonable doubt that incorrect data have been entered in the certificate or that it is possible to use the private key corresponding to the public key contained in the certificate without the consent of the certificate holder.

~~(2) A certification service provider is required to suspend a certificate if this is requested by:~~
1) ~~the certificate holder;~~
2) the data protection supervision authority or the chief processor of the register of certification if there is a reasonable doubt that incorrect data have been entered in the certificate or that it is possible to use the private key corresponding to the public key contained in the certificate without the consent of the certificate holder;
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~
3) ~~a court, prosecutor’s office or a pre-trial investigation authority in criminal matters in order to combat criminal offences.~~

(3) After verification of the legality of the claim for suspension of a certificate, the certification service provider is required to promptly enter the data concerning suspension in the database of certificates which is maintained by it.

~~(4) The certification service provider shall notify the certificate holder promptly of suspension of the certificate.~~

~~(5) Certification service providers are required to maintain records of the time of and bases and applicants for suspension of certificates, and of termination of the suspension of certificates.~~

~~(6) Digital signatures or digital seals given during the period when a certificate is suspended are invalid.~~
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~

§ 13. Termination of suspension of certificates

(1) Suspension of a certificate is terminated on the basis of an application of the certificate holder or a person or agency requesting the suspension of the certificate by entry of the corresponding data in the database of certificates which is maintained by the certification service provider that issued the certificate.

~~(2) In the cases specified in clause 12 (2) 3) of this Act, the person who initiates the suspension may terminate the suspension of a certificate.~~

~~(3) A certification service provider shall notify the certificate holder promptly of termination of the suspension of the certificate.~~

§ 14. Revocation of certificates

~~(1) The following are the bases for revocation of a certificate:~~
1) ~~an application of the certificate holder;~~
2) ~~an opportunity for using the private key corresponding to the public key set out in the certificate without the consent of the certificate holder;~~
3) ~~divestment of the certificate holder of active legal capacity;~~
4) ~~declaration of the death of the certificate holder;~~
5) ~~the death of the certificate holder;~~
5¹) ~~deletion from the register of the certificate holder due to dissolution or release or removal from office of a certificate holder who is a holder of office in public law;~~
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~
6) ~~submission of false data to a certification service provider by the certificate holder in order to obtain the certificate;~~
7) ~~termination of the activities of the certification service provider;~~
8) ~~other cases provided by law.~~

~~(2) Certificate holders or other persons have the right to request revocation of a certificate by submission of a corresponding application.~~

(3) A certificate is revoked by a certification service provider who initiates the procedure for revocation promptly after receipt of a corresponding application or upon the existence of another basis provided for in subsection (1) of this section.

§ 15. Procedure for revocation of certificates

(1) If the cases set out in clauses 14 (1) 3) – 8) of this Act are the reasons for revocation of a certificate, the documents which certify the basis for revocation of the certificate shall be appended to the application.

~~(2) Certification service providers are required to verify the legality of applications and bases for revocation of certificates.~~

~~(3) A certificate expires as of entry of the corresponding data in the database of certificates which is maintained by the certification service provider.~~

(4) Certification service providers are required to preserve documents which certify the reasons for revocation of a certificate until the termination of their activities, unless another term is provided for by law.

§ 16. Consequences of suspension and revocation of certificates without legal basis

A person or agency that without legal basis, intentionally or due to gross negligence, causes suspension or revocation of a certificate is required to compensate for damage caused by the suspension or revocation of the certificate.

Chapter III CERTIFICATION SERVICES AND CERTIFICATION SERVICE PROVIDERS

§ 17. Certification services

(1) The issue of certificates necessary for giving digital signatures and digital seals, the enabling of verification of digital signatures and digital seals given on the basis of such certificates, and procedures for suspension, termination of suspension and revocation of such certificates are certification services.
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~

~~(2) Certification is an act as a result of which a certification service provider issues a certificate to an applicant for the certificate.~~

§ 18. Certification service providers

(1) The following agencies and persons that are entered in the register of certification as service providers and that are registered in the corresponding register in Estonia may be certification service providers:
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~
1) ~~public limited companies;~~
2) ~~private limited companies the share capital of which exceeds 25 000 euros;~~
~~[RT I 2010, 22, 108 - entry into force 01.01.2011]~~
3) ~~legal persons in public law if this is prescribed in an Act concerning the legal person in public law;~~
4) ~~state agencies determined by the Government of the Republic.~~

~~(2) [Repealed]~~

§ 19. Requirements for certification service providers

(1) Certification service providers shall comply with the requirements established by this Act and be capable of ensuring reliable certification services in accordance with laws and legislation issued on the basis of laws.

(2) Certification service providers are required to ensure the conduct of an annual information systems audit by the date of entry in the register of certification, and to submit the results of the audit to the authorised processor of the register of certification.
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~

(3) Certification service providers shall not have tax arrears or other arrears which compromise the provision of certification services in compliance with the principles provided for in Chapters II–V of this Act.

~~(4) Certification service providers are required to insure their activities pursuant to the procedure provided for in § 39 of this Act.~~

§ 20. Certification principles

(1) The descriptions of the organisational and technical means which comply with this Act and requirements established on the basis thereof and which are used in certification by certification service providers, and the descriptions of the requirements set for applicants for certificates by certification service providers are certification principles.

~~(2) The certification principles of a certification service provider shall set out the following:~~
1) ~~the name of the certification service provider;~~
2) ~~the address of the seat of the certification service provider;~~
3) ~~the procedure for proving the private key corresponding to the public key of the applicant for the certificate;~~
4) ~~a description of the technical means used to provide certification services;~~
5) ~~the procedure and terms for certification procedure;~~
6) ~~the procedure for review of applications for certificates;~~
7) ~~the procedure for issue of certificates;~~
8) ~~the mechanisms for description of limitations on the scope of use of certificates;~~
9) ~~the procedure for maintaining records of the issued certificates;~~
10) ~~the procedure for release of information concerning the validity of certificates;~~
11) ~~the procedure for generation and storage of keys and the description of the means prescribed for the storage of the personal key of the certification service provider;~~
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~
11¹) ~~the procedure for confirmation of the issued certificates;~~
12) ~~the procedure for suspension and revocation of certificates;~~
13) ~~an action plan in case it is possible to imitate the certification service provider or the activities thereof upon provision of services;~~
14) ~~the technical procedure for suspension, termination of suspension, and revocation of certificates issued by the certification service provider;~~
15) ~~the procedure for termination of the provision of certification services;~~
16) ~~other circumstances which the certification service provider deems necessary to have provided in the certification principles.~~

(3) The certification principles of a state agency which is determined by the Government of the Republic and which provides certification services, and the cost of the services provided by the state agency shall be approved by the head of the state agency.

§ 21. Restrictions on employees of certification service providers

~~Employees of certification service providers who are involved in providing certification services shall not have a criminal record for an intentionally committed criminal offence.~~

§ 22. Duties of certification service providers

~~Certification service providers are required to:~~
1) ~~publicise their certification principles and ensure accessibility thereto in a public data communication network;~~
2) ~~ensure maintenance of the confidentiality of information not subject to disclosure which becomes known to them upon the provision of certification services;~~
3) ~~maintain records of the certificates issued by them and the validity thereof;~~
4) ~~accept applications for the suspension of certificates twenty-four hours a day;~~
5) certify, at the request of an interested person, by the digital signature of their representative the validity of a digital signature given by a private key corresponding to the public key contained in a certificate issued by them;
6) ~~ensure that it is possible to verify the validity of certificates in a public data communication network twenty-four hours a day;~~
7) ~~preserve documentation related to certification until the termination of their activities;~~
8) ~~ensure the conduct of an annual information systems audit and submit the results of the audit to the authorised processor of the register of certification;~~
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~
9) ~~publicise the conditions of compulsory insurance contracts in a public data communication network;~~
10) ~~inform the authorised processor of the register of certification of any changes to a public key used for the provision of certification services.~~
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~

Chapter IV TIME-STAMPING SERVICES AND TIME-STAMPING SERVICE PROVIDERS

§ 23. Definition of time stamp

~~(1) A time stamp is a data unit created using a system of technical and organisational means which certifies the existence of a document at a given time.~~

~~(2) A time stamp shall be linked to data in such a manner as to preclude the possibility of changing the data undetectably after obtaining the time stamp.~~

~~(3) Time-stamping service providers shall confirm the time stamps issued by them.~~

§ 24. Time-stamping services

(1) Time-stamping services are the issue of time stamps necessary to prove the official time and temporal order of digital signatures and digital seals and the creation of conditions for verification of issued time stamps.
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~

(2) If it is impossible to determine the official time and temporal order of time stamps issued by different time-stamping service providers, the time stamps are deemed to have been issued simultaneously.

(3) Time-stamping service providers shall ensure that it is impossible to issue a correct time stamp for a time earlier or later than application therefore or change the order in which time stamps are issued.

§ 25. Time-stamping service providers

The following persons and agencies that are entered in the register of certification as corresponding service providers and that are registered in the corresponding register in Estonia may be time-stamping service providers:
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~
1) ~~public limited companies;~~
2) ~~private limited companies the share capital of which exceeds 25 000 euros;~~
~~[RT I 2010, 22, 108 - entry into force 01.01.2011]~~
3) ~~legal persons in public law if this is prescribed in an Act concerning the legal person in public law;~~
4) ~~state agencies determined by the Government of the Republic.~~

§ 26. Requirements for time-stamping service providers

(1) Time-stamping service providers shall comply with the requirements established by this Act and be capable of ensuring reliable time-stamping services in accordance with Acts and legislation issued on the basis of Acts.

(2) Time-stamping service providers are required to ensure the conduct of an annual information systems audit and submit the results of the audit to the authorised processor of the register of certification by the date of entry in the register of certification.
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~

(3) Time-stamping service providers shall not have tax arrears or other arrears which compromise the provision of time-stamping services in compliance with the principles provided for in Chapters II–V of this Act.

~~(4) Time-stamping service providers are required to insure their activities pursuant to the procedure provided for in § 39 of this Act.~~

§ 27. Time-stamping principles

(1) The descriptions of operations performed in order to issue and verify time stamps and the descriptions of the technical means used by the time-stamping service providers are time-stamping principles.

~~(2) The time-stamping principles of a time-stamping service provider shall set out the following:~~
1) ~~the name of the time-stamping service provider;~~
2) ~~a description of the technical means used to provide time-stamping services;~~
3) ~~the procedure for obtaining and verifying time stamps;~~
3¹) ~~the procedure for confirmation of the issued time stamps;~~
4) ~~the procedure for maintaining records of the issued time stamps;~~
5) ~~the procedure for release of information concerning the issued time stamps;~~
6) ~~the procedure for termination of the provision of time-stamping services;~~
7) ~~an action plan in case it is possible to imitate the time-stamping service provider or the activities thereof upon provision of services;~~
8) ~~other circumstances which the time-stamping service provider deems necessary to have provided in the certification principles.~~

§ 28. Duties of time-stamping service providers

~~Time-stamping service providers are required to:~~
1) ~~ensure correct indications of time in time stamps pursuant to the descriptions provided in the time-stamping principles;~~
2) ~~maintain records of issued time stamps;~~
3) ~~preserve documentation in order to verify issued time stamps;~~
4) ~~[repealed – RT I 2009, 1, 3 – entry into force 12.01.2009]~~
5) ~~ensure that it is possible to obtain and verify time stamps in the public data communication network;~~
6) ~~ensure the conduct of an annual information systems audit and submit the results of the audit to the authorised processor of the register of certification;~~
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~
7) ~~publicise the conditions of compulsory insurance contracts in a public data communication network;~~
8) ~~inform the authorised processor of the register of certification of any changes to a public key used for the provision of time-stamping services.~~
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~

§ 29. Restrictions on employees of time-stamping service providers

~~Employees of time-stamping service providers who are involved in providing time-stamping services shall not have a criminal record for an intentionally committed criminal offence.~~

Chapter V TERMINATION OF PROVISION OF CERTIFICATION SERVICES AND TIME-STAMPING SERVICES

§ 30. Termination of provision of certification services and time-stamping services

~~(1) The provision of certification services and time-stamping services (hereinafter services) is terminated:~~
1) ~~by a decision of the service provider;~~
2) ~~by a decision of the authority exercising supervision over the provision of services;~~
3) ~~by a court judgment;~~
4) ~~upon liquidation of the service provider or termination of the activities thereof;~~
5) ~~by a Government of the Republic resolution which terminates the provision of services by state agencies specified in clauses 18 (1) 4) and 25 4) of this Act.~~

(2) Upon termination of the provision of certification services and time-stamping services, the service provider shall transfer the documentation concerning provision of the service to the register of certification.
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~

§ 31. Notification of termination of provision of services

(1) A service provider is required to notify the authorised processor or the chief processor of the register of certification promptly of a decision to terminate provision of the service. If the person or agency notifies the authorised processor of the register of the decision to terminate the provision of services, the authorised processor is required to promptly notify the chief processor of the register thereof.
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~

~~(2) A service provider is required to notify users of its service of a decision to terminate provision of the service at least one month before termination of provision of the service.~~

(3) The chief processor of the register of certification shall notify the data protection supervision authority and the state information systems co-ordination authority of any decision to terminate provision of a service.
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~

Chapter VI REGISTER OF CERTIFICATION
[RT I 2009, 1, 3 - entry into force 12.01.2009]

§ 32. Register of certification
[RT I 2009, 1, 3 - entry into force 12.01.2009]

(1) The register of certification (hereinafter register) is a database established by the Government of the Republic which is established and introduced in order to maintain records of certification service providers and time-stamping service providers.
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~

~~(2) The chief processor of the register is the Ministry of Economic Affairs and Communications.~~

~~(3) The register comprises:~~
1) ~~a database of certification service providers;~~
2) ~~a database of time-stamping service providers;~~
3) ~~[repealed – RT I 2009, 1, 3 – entry into force 12.01.2009]~~
4) ~~the registry archives.~~

§ 33. Application for entry of service providers in register

~~(1) In order to be entered in the register, a person or agency shall submit the following:~~
1) an application for registration of the person or agency as a service provider, which is signed by a legal representative and which sets out the public key (public keys) which the person or agency will begin to use upon the provision of certification services or time-stamping services by the person or agency;
2) the same application in digital form, which is certified pursuant to the procedure for certification of the issued certificates and time stamps and which includes proof concerning possession of private keys used upon provision of certification services or time-stamping services;
3) ~~[repealed – RT I 2002, 61, 375 – entry into force 01.08.2002]~~
4) ~~the certification or time-stamping principles;~~
5) ~~[repealed – RT I 2002, 61, 375 – entry into force 01.08.2002]~~
6) ~~the results of the information systems audit;~~
7) ~~confirmation concerning the absence of arrears which compromise the provision of services in compliance with the principles provided for in Chapters II–V of this Act.~~

~~(2) An application for the entry of a service provider in the register shall set out the following:~~
1) ~~the name of the service provider;~~
2) ~~the address of the seat of the service provider;~~
3) ~~the registry code of the service provider;~~
4) ~~the name, title, personal identification code and contact details of the representative of the service provider;~~
5) ~~the telecommunications numbers and addresses of the service provider;~~
6) ~~the limitations established on provision of the service.~~

(3) The authorised processor of the register is required to verify the accuracy of the submitted data and the compliance of the service with the requirements of this Act. Additionally, the authorised processor of the register shall verify whether the applicant has paid the state fee, whether the person or agency which provides the service is registered and whether the person has any tax arrears to the Tax and Customs Board.
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~

(4) The authorised processor of the register has the right to make inquiries to all state agencies and state and local government databases in order to verify the accuracy of the data submitted by a person or agency.

(5) Before entry in the register, a person or agency is required to ensure the conduct of an information systems audit, the results of which shall be submitted to the authorised processor of the register. The cost of the information systems audit shall be incurred by the person or agency.

§ 34. Registration of service providers

(1) After verification of the documents, the authorised processor of the register shall decide on the registration of a person or agency in the register as a service provider within five working days after the date of receipt of the documents and data specified in subsections 33 (1) and (2) of this Act and shall communicate the decision to the person or agency.
~~[RT I 2002, 61, 375 - entry into force 01.08.2002]~~

(2) If the term provided for in subsection (1) of this section is not sufficient for verification of the submitted data and documents, the chief processor of the register may extend the term up to ten working days.

(3) After a decision is made to register a person or agency in the register, the person or agency shall submit a copy of an insurance policy which complies with the requirements of § 39 of this Act to the authorised processor after which the person or agency shall promptly be registered as a service provider.

~~(4) The authorised processor of the register shall grant a non-recurrent registry code to each service provider entered in the register.~~

~~(5) The authorised processor of the register shall approve the public keys of registered service providers set out in clause 33 (1) 1) of this Act.~~

(6) Upon termination of the provision of a service, a corresponding application shall be submitted to the authorised processor of the register who shall input data on the termination of provision of the service in the register.

§ 35. Refusal to register service providers

~~(1) The authorised processor of the register shall refuse to register a service provider if:~~
1) ~~the person or agency is not in compliance with the requirements provided for in this Act;~~
2) ~~the certification or time-stamping principles are not in compliance with the requirements provided for in this Act;~~
3) ~~[repealed – RT I 2002, 61, 375 – entry into force 01.08.2002]~~
4) ~~the person or agency submits incorrect data to the authorised processor of the register;~~
5) on the basis of the submitted results of the information systems audit, there is reason to believe that the person or agency is unable to ensure services which are in compliance with the requirements of this Act;
6) _{> ~~the person or agency has tax arrears, is not registered or has not paid the state fee;~~
7) ~~in other cases provided by law.~~

~~(2) The authorised processor of the register shall deliver a decision on refusal to register a service provider to the person or agency by post or by electronic means.~~
~~[RT I 2002, 61, 375 - entry into force 01.08.2002]~~

§ 36. Deletion of service providers from register

~~A service provider shall be deleted from the register if the service provider has terminated the provision of services pursuant to the provisions of Chapter V of this Act.~~

§ 37. Access to registered data

~~(1) Data entered in the register are public.~~

~~(2) The authorised processor of the register is required to ensure access to the data stored in the register concerning service providers, and the availability thereof twenty-four hours a day.~~
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~

Chapter VI¹ SECURE SIGNATURE CREATION DEVICES
[RT I 2009, 1, 3 - entry into force 12.01.2009]

§ 37¹. Requirements for secure signature creation devices

(1) A secure signature creation device is an adapted piece of software or hardware, for example a microchip card equipped with a security chip, which is used for the storage and application of a personal key.

~~(2) Secure signature creation devices shall, by appropriate technical and procedural means, ensure that:~~
1) ~~the personal key used for signature generation can practically occur only once and that its secrecy is reasonably assured;~~
2) ~~the personal key cannot be derived and the signature is protected against forgery using currently available technology;~~
3) ~~the personal key can be reliably protected by the legitimate signatory against the use of others.~~

~~(3) Secure signature creation devices shall not alter the data to be signed or prevent such data from being presented to the signatory prior to the signature process.~~
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~

Chapter VII PROPRIETARY LIABILITY OF SERVICE PROVIDERS AND INSURANCE

§ 38. Proprietary liability of service providers

~~(1) Service providers are liable for patrimonial damage which is caused as a result of violation of the obligations of the service provider.~~

~~(2) If a third person besides the service provider is liable for damage specified in subsection (1) of this section, they shall be solidarily liable.~~
~~[RT I 2002, 53, 336 - entry into force 01.07.2002]~~

§ 39. Compulsory insurance of service providers

~~(1) In order to ensure compensation for damage provided for in § 38 of this Act, service providers are required to enter into compulsory insurance contracts.~~

~~(2) Service providers are required to publicise the conditions of insurance contracts in a public data communication network.~~

Chapter VIII RECOGNITION OF CERTIFICATES ISSUED BY FOREIGN CERTIFICATION SERVICE PROVIDERS AND OF DIGITAL SIGNATURES AND DIGITAL SEALS CREATED ON BASIS THEREOF
[RT I 2009, 1, 3 - entry into force 12.01.2009]

§ 40. Recognition of foreign certificates

Certificates issued by a foreign certification service provider shall be recognised as equivalent to certificates issued by certification service providers acting on the basis of this Act if at least one of the following conditions is met:
1) according to the decision of the chief processor of the register, the foreign certification service provider complies with the requirements provided for in this Act and legislation established on the basis thereof;
2) the certificates of the foreign certification provider are guaranteed by a certification service provider acting on the basis of this Act who assumes responsibility for the accuracy of the data contained in the certificates;
3) ~~the certificates issued by the foreign certification service provider are recognised by an international agreement entered into by the Republic of Estonia.~~

Chapter IX SUPERVISION OF CERTIFICATION SERVICE PROVIDERS AND TIME-STAMPING SERVICE PROVIDERS

§ 41. Supervisory authorities

~~(1) The Ministry of Economic Affairs and Communications shall monitor observance of the requirements of this Act and legislation established on the basis thereof.~~

~~(2) The chief processor of the register shall exercise supervision over the maintenance of the register pursuant to the procedure prescribed in the Public Information Act.~~
~~[RT I 2007, 12, 66 - entry into force 01.01.2008]~~

(3) The authority exercising supervision over the administration of databases and the data protection supervision authority shall exercise supervision over the legality of maintenance of the register and over the protection of data pursuant to the procedure prescribed in the Public Information Act and the Personal Data Protection Act.
~~[RT I 2009, 1, 3 - entry into force 12.01.2009]~~

§ 42. Exercise of supervision

~~The Ministry of Economic Affairs and Communications, as the agency which monitors compliance with the requirements of this Act and legislation established on the basis thereof, has the right to:~~
~~[RT I 2003, 88, 594 - entry into force 08.01.2004]~~
1) ~~verify the accuracy of results of the information systems audit submitted to the register;~~
2) ~~enter premises which are used for the provision of services and examine documents concerning the provision of services in the presence of a representative of the service provider;~~
3) ~~make inquiries to state agencies and state and local government databases in order to obtain corresponding data;~~
4) issue a written caution to a service provider if the service provider fails, for the first time or due to negligence, to comply with the requirements of this Act or legislation issued on the basis thereof;
5) issue a precept for a specified term to a service provider if the service provider does not respond to a caution specified in clause 4) of this section or repeatedly or intentionally fails to implement this Act or observe legislation issued on the basis thereof;
6) impose penalty payments in the amount of up to 3200 euros pursuant to the procedure provided in the Substitute Enforcement and Penalty Payment Act upon failure to comply with a precept specified in clause 5) of this section;
~~[RT I 2010, 22, 108 - entry into force 01.01.2011]~~
7) ~~decide on the deletion of a service provider from the register and submit the decision to the authorised processor of the register in order to have a corresponding entry made.~~

Chapter X IMPLEMENTING PROVISIONS

§ 43. Implementation of digital signatures

~~(1) The Government of the Republic shall establish and introduce the register provided for in subsection 32 (1) of this Act by the time this Act enters into force.~~

(2) The Government of the Republic shall establish uniform bases for the document management procedures of state and local government agencies and legal persons in public law by 1 March 2001 and the bases shall also enable the use of digitally signed documents in the document management of the agencies.

(3) State and local government agencies and legal persons in public law shall reorganise the document management thereof pursuant to the document management procedures provided for in subsection (2) of this section by 1 June 2001.

~~(4) The Minister of Economic Affairs and Communications shall approve the procedure for the information systems audit of service providers by 1 October 2000.~~
~~[RT I 2003, 88, 594 - entry into force 08.01.2004]~~

§ 44. Approval of public keys of authorised processor of register and service providers and determination of scope of use of private keys corresponding thereto

(1) The Minister of Economic Affairs and Communications shall approve the public key of the authorised processor of the register, which is used for the approval of the public keys of certification service providers and time-stamping service providers set out in clause 33 (1) 1) of this Act, and shall determine the scope of use of the private key corresponding thereto.

(2) The authorised processor of the register shall approve the public key used for the provision of certification services or time-stamping services by certification service providers and time-stamping service providers, and the scope of use of the private key corresponding thereto.
~~[RT I 2003, 88, 594 - entry into force 08.01.2004]~~

§ 45. [Omitted from this text]

§ 46. [Omitted from this text]

§ 47. Entry into force of Act

~~This Act enters into force on 15 December 2000.~~

Väljaandja:	Riigikogu
Akti liik:	seadus
Teksti liik:	terviktekst
Redaktsiooni jõustumise kp:	01.01.2011
Redaktsiooni kehtivuse lõpp:	30.06.2014
Avaldamismärge:	RT I 2000, 26, 150

I. peatükk ÜLDSÄTTED

§ 1. Seaduse reguleerimisala

Käesolev seadus sätestab digitaalallkirja ja digitaalse templi kasutamiseks vajalikud tingimused ning sertifitseerimisteenuse ja ajatempliteenuse osutamise üle järelevalve teostamise korra.
[RT I 2009, 1, 3 - jõust. 12.01.2009]

§ 2. Digitaalallkiri

(1) Digitaalallkiri on tehniliste ja organisatsiooniliste vahendite süsteemi abil moodustatud andmete kogum, mida allkirja andja kasutab, märkimaks oma seost dokumendiga.

(2) Digitaalallkiri moodustatakse turvalises allkirja andmise vahendis sisalduvate allkirja andmiseks vajalike andmete (edaspidi isiklik võti) abil, millele vastavad üheselt allkirja kontrollimise vahendis sisalduvad allkirja kontrollimiseks vajalikud andmed (edaspidi avalik võti).
[RT I 2009, 1, 3 - jõust. 12.01.2009]

(3) Digitaalallkiri koos selle kasutamise süsteemiga peab:
1) võimaldama üheselt tuvastada isiku, kelle nimel allkiri on antud;
2) võimaldama kindlaks teha allkirja andmise aja;
3) siduma digitaalallkirja andmetega sellisel viisil, mis välistab võimaluse tuvastamatult muuta andmeid või nende tähendust pärast allkirja andmist.

§ 2¹. Digitaalne tempel

(1) Digitaalne tempel on tehniliste ja organisatsiooniliste vahendite süsteemi abil moodustatud andmete kogum, mida digitaalse templi sertifikaadi omanik kasutab tõendamaks digitaalse dokumendi terviklust ning oma seost sellise dokumendiga.

(2) Digitaalne tempel moodustatakse turvalises allkirja andmise vahendis oleva isikliku võtme abil, millele vastab üheselt avalik võti.

(3) Digitaalne tempel koos selle kasutamise süsteemiga peab:
1) võimaldama üheselt tuvastada sertifikaadi omaniku, kelle nimel digitaalne tempel on antud;
2) võimaldama kindlaks teha templi andmise aja;
3) siduma digitaalse templi dokumendi andmetega sellisel viisil, mis välistab võimaluse tuvastamatult muuta andmeid või nende tähendust pärast templi andmist.
[RT I 2009, 1, 3 - jõust. 12.01.2009]

§ 3. Digitaalallkirja kasutamise õiguslikud tagajärjed

(1) Digitaalallkirjal on samad õiguslikud tagajärjed nagu omakäelisel allkirjal, kui seadusega ei ole neid tagajärgi piiratud ning on tõendatud allkirja vastavus käesoleva seaduse § 2 lõike 3 nõuetele.

(2) Käesoleva seaduse II–V peatükis sätestatud põhimõtete kohaselt antud digitaalallkirja vastavus käesoleva seaduse § 2 lõike 3 nõuetele ei vaja eraldi tõendamist, kui andmed koos digitaalallkirjaga võimaldavad üheselt kindlaks teha sertifikaadi, milles sisalduvale avalikule võtmele vastava isikliku võtmega digitaalallkiri on antud.

(3) Digitaalallkirja andmine ei too kaasa käesoleva paragrahvi lõikes 1 sätestatud tagajärgi, kui on tõendatud, et isiklikku võtit on kasutatud allkirja andmiseks ilma vastava sertifikaadi omaniku nõusolekuta.

(4) Digitaalallkirja andmine ilma vastava sertifikaadi omaniku nõusolekuta loetakse tõendatuks, kui sertifikaadi omanik tõendab asjaolud, mille esinemisel võib eeldada, et allkiri anti tema nõusolekuta.

(5) Käesoleva paragrahvi lõikes 3 sätestatud juhtudel peab sertifikaadi omanik hüvitama kahju, mis tekkis teisele isikule, kes ekslikult pidas allkirja antuks sertifikaadi omaniku poolt, kui isikliku võtme kasutamine ilma sertifikaadi omaniku nõusolekuta oli toimunud sertifikaadi omaniku tahtluse või raske ettevaatamatuse tõttu.

§ 4. Digitaalallkirja ja digitaalse templi kasutamine

Riigi- ja kohaliku omavalitsuse asutused, avalik-õiguslikud juriidilised isikud ning avalik-õiguslikke ülesandeid täitvad eraõiguslikud isikud on kohustatud hoidma üldkasutatavas andmesidevõrgus kättesaadavana teavet digitaalallkirja ja digitaalse templi kasutamise võimaluste ja korra kohta nende asutuste ja isikutega suhtlemisel.
[RT I 2009, 1, 3 - jõust. 12.01.2009]

§ 4¹. Haldusmenetluse seaduse kohaldamine

Käesolevas seaduses ettenähtud haldusmenetlusele kohaldatakse haldusmenetluse seaduse sätteid, arvestades käesoleva seaduse erisusi.
[RT I 2002, 61, 375 - jõust. 01.08.2002]

II. peatükk SERTIFIKAAT

1. jagu Sertifikaat ja nõuded sertifikaadile

§ 5. Sertifikaat

(1) Sertifikaat käesoleva seaduse mõistes on dokument, mis on välja antud, võimaldamaks digitaalallkirja või digitaalse templi andmist ja kontrollimist ning milles avalik võti seotakse üheselt sertifikaadi omanikuga.
[RT I 2009, 1, 3 - jõust. 12.01.2009]

(1¹) Ühele isikule võib anda välja mitu digitaalse templi sertifikaati.
[RT I 2009, 1, 3 - jõust. 12.01.2009]

(2) Sertifikaadis peab sisalduma selle:
1) number;
2) omaniku nimi;
2¹) omaniku isiku- või registrikood;
[RT I 2009, 1, 3 - jõust. 12.01.2009]
3) omaniku avalik võti;
4) kehtivusaeg;
5) väljaandja ja registrikood;
6) kasutusvaldkonna piirangute kirjeldus.

(3) Sertifikaadi väljaandja kinnitab iga tema poolt väljaantud sertifikaadi.

§ 6. Sertifikaadi omanik

Sertifikaadi omanik käesoleva seaduse mõistes on digitaalallkirja puhul füüsiline isik ja digitaalse templi puhul füüsiline või juriidiline isik, kelle andmetega on sertifikaadis sisalduv avalik võti samas sertifikaadis seotud.
[RT I 2009, 1, 3 - jõust. 12.01.2009]

2. jagu Sertifikaadi taotlemine ja väljaandmine

§ 7. Isikliku ja avaliku võtme moodustamine

(1) Isikliku ja avaliku võtme moodustab sertifikaadi taotleja või vastavalt tema soovile ja pooltevahelisele kokkuleppele sertifitseerimisteenuse osutaja või muu isik või asutus.

(2) Teise isiku jaoks isikliku ja avaliku võtme moodustaja ei tohi moodustada endale ega kolmandatele isikutele koopiat nendest võtmetest.

§ 8. Sertifikaadi taotlemine

(1) Kui sertifikaati taotletakse digitaalallkirja andmiseks ja kontrollimiseks, esitatakse sertifitseerimisteenuse osutajale kirjalik avaldus, milles on:
[RT I 2009, 1, 3 - jõust. 12.01.2009]
1) sertifikaadi taotleja ees- ja perekonnanimi;
2) sertifikaadi taotleja isikukood, isikukoodi puudumisel sünni päev, kuu ja aasta;
3) sertifikaadi taotleja avalik võti juhul, kui see on olemas, või volitus sertifitseerimisteenuse osutajale isikliku ja avaliku võtme moodustamiseks;
[RT I 2009, 1, 3 - jõust. 12.01.2009]
4) sertifikaadi taotleja kontaktandmed;
5) taotletava sertifikaadi kehtivusaeg;
6) sertifikaadi kasutusvaldkonna piirangute kirjeldus;
7) muud andmed, mille lisamist sertifikaadile isik taotleb.

(1¹) Kui sertifikaati taotletakse digitaalse templi andmiseks ja kontrollimiseks, esitatakse sertifitseerimisteenuse osutajale kirjalik avaldus, milles märgitakse:
1) sertifikaadi taotleja nimetus või nimi;
2) sertifikaadi taotleja isiku- või registrikood ja asukoht või elukoht;
3) sertifikaadi taotleja avalik võti või taotlus sertifitseerimisteenuse osutajale isikliku ja avaliku võtme moodustamiseks;
4) sertifikaadi taotleja kontaktandmed;
5) taotletava sertifikaadi kehtivusaeg;
6) muud andmed, mille lisamist sertifikaadile isik taotleb.
[RT I 2009, 1, 3 - jõust. 12.01.2009]

(2) Kui käesoleva paragrahvi lõikes 1 või 1¹ nimetatud avalduses sisaldub sertifikaadi taotleja avalik võti, peab sertifikaadi taotleja tõendama, et sellele vastav isiklik võti on tema valduses.
[RT I 2009, 1, 3 - jõust. 12.01.2009]

§ 9. Sertifikaadi väljaandja

Sertifikaadi väljaandja käesoleva seaduse mõistes on isik või asutus, kes on sertifikaadi välja andnud ja vastutab sertifikaadis sisalduvate andmete tõesuse eest.

§ 10. Sertifikaadi väljaandmine

(1) Sertifikaadi väljaandja on kohustatud kontrollima sertifikaadi taotlemiseks esitatud avalduse vastavust käesolevale seadusele ja avalduses sisalduvate andmete tõesust.

(1¹) Sertifikaadi väljaandjal on õigus kontrollida identifitseerimise (isikusamasuse kontrollimise) aluseks oleva isikut tõendava dokumendi kehtivust ning isiku esindaja esindusõigust.
[RT I 2009, 1, 3 - jõust. 12.01.2009]

(2) Sertifikaat antakse isikule välja viivitamatult pärast vastavate andmete kandmist sertifikaadi väljaandja poolt peetavasse sertifikaatide andmebaasi.

(3) Sertifikaadi väljaandja on kohustatud sertifikaadi taotlejat teavitama sertifikaadi kasutamise tingimustest, sertifikaadi omaniku õigustest ja kohustustest ning teistest sertifikaadi kasutamisega seotud asjaoludest.

3. jagu Sertifikaadi kehtivusaeg, kehtivuse peatamine ja kehtetuks tunnistamine

§ 11. Sertifikaadi kehtivusaeg

(1) Sertifikaat hakkab kehtima sertifikaadis märgitud kehtivusaja algusest, kuid mitte enne vastavate andmete kandmist sertifikaadi väljaandja poolt peetavasse sertifikaatide andmebaasi.

(2) Sertifikaadi kehtivus lõpeb sertifikaati märgitud kehtivuse lõppemise tähtpäeva saabumisel või sertifikaadi kehtetuks tunnistamisel.

§ 12. Sertifikaadi kehtivuse peatamine

(1) Sertifitseerimisteenuse osutajal on õigus peatada sertifikaadi kehtivus, kui tal tekib põhjendatud kahtlus, et sertifikaati on kantud ebaõiged andmed või et sertifikaadis sisalduvat avalikule võtmele vastavat isiklikku võtit on võimalik kasutada sertifikaadi omaniku nõusolekuta.

(2) Sertifitseerimisteenuse osutaja on kohustatud sertifikaadi kehtivuse peatama, kui seda nõuab:
1) sertifikaadi omanik;
2) andmekaitse järelevalveasutus või sertifitseerimise registri vastutav töötleja, kui tal tekib põhjendatud kahtlus, et sertifikaati on kantud ebaõiged andmed või et sertifikaadis sisalduvale avalikule võtmele vastavat isiklikku võtit on võimalik kasutada sertifikaadi omaniku nõusolekuta;
[RT I 2009, 1, 3 - jõust. 12.01.2009]
3) kohus, prokuratuur või kriminaalasjas kohtueelset uurimist teostav asutus kuritegude tõkestamiseks.

(3) Sertifitseerimisteenuse osutaja on kohustatud pärast sertifikaadi kehtivuse peatamise nõude seaduslikkuse kontrollimist viivitamatult kandma andmed kehtivuse peatamise kohta tema poolt peetavasse sertifikaatide andmebaasi.

(4) Sertifitseerimisteenuse osutaja teavitab sertifikaadi kehtivuse peatamisest viivitamatult sertifikaadi omanikku.

(5) Sertifitseerimisteenuse osutaja on kohustatud pidama arvestust sertifikaadi kehtivuse peatamise aja, aluse, taotleja ja peatatuse lõpetamise kohta.

(6) Sertifikaadi kehtivuse peatatuse ajal antud digitaalallkiri või digitaalne tempel on kehtetu.
[RT I 2009, 1, 3 - jõust. 12.01.2009]

§ 13. Sertifikaadi kehtivuse peatatuse lõpetamine

(1) Sertifikaadi kehtivuse peatatus lõpetatakse sertifikaadi omaniku või sertifikaadi kehtivuse peatamist nõudnud isiku või asutuse avalduse alusel vastavate andmete kandmisega sertifikaadi väljaandnud sertifitseerimisteenuse osutaja poolt peetavasse sertifikaatide andmebaasi.

(2) Käesoleva seaduse § 12 lõike 2 punktis 3 nimetatud juhtudel saab sertifikaadi kehtivuse peatatuse lõpetada peatamise algataja.

(3) Sertifitseerimisteenuse osutaja teavitab sertifikaadi kehtivuse peatatuse lõpetamisest viivitamatult sertifikaadi omanikku.

§ 14. Sertifikaadi kehtetuks tunnistamine

(1) Sertifikaadi kehtetuks tunnistamise aluseks on:
1) sertifikaadi omaniku avaldus;
2) sertifikaadis toodud avalikule võtmele vastava isikliku võtme ilma sertifikaadi omaniku nõusolekuta kasutamise võimalus;
3) sertifikaadi omaniku teovõimetuks tunnistamine;
4) sertifikaadi omaniku surnuks tunnistamine;
5) sertifikaadi omaniku surm;
5¹) sertifikaadi omaniku lõpetamisega tema registrist kustutamine ning avalik-õigusliku ameti kandjast sertifikaadi omaniku puhul tema ametist vabastamine või tagandamine;
[RT I 2009, 1, 3 - jõust. 12.01.2009]
6) sertifikaadi omaniku poolt sertifikaadi saamiseks sertifitseerimisteenuse osutajale valeandmete esitamine;
7) sertifitseerimisteenuse osutaja tegevuse lõpetamine;
8) muud seaduses sätestatud juhud.

(2) Õigus taotleda vastava avalduse esitamisega sertifikaadi kehtetuks tunnistamist on sertifikaadi omanikul või muul isikul.

(3) Sertifikaadi tunnistab kehtetuks sertifitseerimisteenuse osutaja, kes algatab kehtetuks tunnistamise menetluse viivitamatult pärast vastava avalduse saamist või muu käesoleva paragrahvi lõikes 1 sätestatud aluse olemasolul.

§ 15. Sertifikaadi kehtetuks tunnistamise menetlus

(1) Kui sertifikaadi kehtetuks tunnistamise põhjuseks on käesoleva seaduse § 14 lõike 1 punktides 3 kuni 8 märgitud juhud, lisatakse avaldusele sertifikaadi kehtetuks tunnistamise alust tõendavad dokumendid.

(2) Sertifitseerimisteenuse osutaja on kohustatud kontrollima sertifikaadi kehtetuks tunnistamise taotlemise ja aluse seaduslikkust.

(3) Sertifikaadi kehtivus lõpeb vastavate andmete sertifitseerimisteenuse osutaja poolt peetavasse sertifikaatide andmebaasi kandmise hetkest.

(4) Sertifitseerimisteenuse osutaja on kohustatud säilitama sertifikaadi kehtetuks tunnistamise põhjust tõestavad dokumendid oma tegevusaja lõpuni, kui seaduses ei ole sätestatud teist tähtaega.

§ 16. Sertifikaadi kehtivuse seadusliku aluseta peatamise ja kehtetuks tunnistamise tagajärjed

Isik või asutus, kelle tahtluse või raske ettevaatamatuse tõttu on ilma seadusliku aluseta peatatud sertifikaadi kehtivus või tunnistatud sertifikaat kehtetuks, on kohustatud hüvitama sertifikaadi kehtivuse peatamise või kehtetuks tunnistamisega põhjustatud kahju.

III. peatükk SERTIFITSEERIMISTEENUS JA SERTIFITSEERIMISTEENUSE OSUTAJA

§ 17. Sertifitseerimisteenus

(1) Sertifitseerimisteenusena käsitatakse digitaalallkirja ja digitaalse templi andmiseks ja kontrollimiseks vajalike sertifikaatide väljaandmist, sertifikaatide alusel antud digitaalallkirjade ja digitaalsete templite kontrollimise võimaldamist ning sertifikaatide kehtivuse peatamise, kehtivuse peatatuse lõpetamise ja kehtetuks tunnistamise menetlemist.
[RT I 2009, 1, 3 - jõust. 12.01.2009]

(2) Sertifitseerimine on toiming, mille tulemusena sertifitseerimisteenuse osutaja annab sertifikaadi taotlejale välja sertifikaadi.

§ 18. Sertifitseerimisteenuse osutaja

(1) Sertifitseerimisteenuse osutajaks võib olla teenuse osutajana sertifitseerimise registrisse kantud ning Eesti vastavas registris registreeritud:
[RT I 2009, 1, 3 - jõust. 12.01.2009]
1) aktsiaselts;
2) osaühing, mille osakapital on suurem kui 25 000 eurot;
[RT I 2010, 22, 108 - jõust. 01.01.2011]
3) avalik-õiguslik juriidiline isik, kui see on ette nähtud tema kohta käivas seaduses;
4) Vabariigi Valitsuse määratud riigiasutus.

(2) [Kehtetu]

§ 19. Sertifitseerimisteenuse osutajale esitatavad nõuded

(1) Sertifitseerimisteenuse osutaja peab vastama käesoleva seadusega kehtestatud nõuetele ning olema suuteline tagama seadustele ja seaduste alusel antud õigusaktidele vastava usaldusväärse sertifitseerimisteenuse.

(2) Sertifitseerimisteenuse osutaja on kohustatud igal aastal sertifitseerimise registrisse kandmise kuupäevaks tagama infosüsteemi auditi teostamise ning esitama auditi tulemused sertifitseerimise registri volitatud töötlejale.
[RT I 2009, 1, 3 - jõust. 12.01.2009]

(3) Sertifitseerimisteenuse osutajal ei tohi olla maksuvõlga ega muid võlgnevusi, mis seavad ohtu käesoleva seaduse II–V peatükis sätestatud põhimõtetele vastava sertifitseerimisteenuse osutamise.

(4) Sertifitseerimisteenuse osutaja on kohustatud kindlustama oma tegevuse käesoleva seaduse §-s 39 sätestatud korras.

§ 20. Sertifitseerimispõhimõtted

(1) Sertifitseerimispõhimõtted on sertifitseerimisteenuse osutaja poolt käesoleva seadusega ja selle alusel kehtestatud nõuetele vastavad sertifitseerimisel kasutatavate organisatsiooniliste ja tehniliste vahendite ning sertifitseerimisteenuse osutaja poolt sertifikaadi taotlejale esitatavate nõuete kirjeldused.

(2) Sertifitseerimisteenuse osutaja sertifitseerimispõhimõtetes peavad sisalduma:
1) sertifitseerimisteenuse osutaja nimi või nimetus;
2) sertifitseerimisteenuse osutaja asukoha aadress;
3) sertifikaadi taotleja avalikule võtmele vastava isikliku võtme tõendamise kord;
4) sertifitseerimisteenuse osutamiseks kasutatavate tehniliste vahendite kirjeldus;
5) sertifitseerimismenetluse kord ja tähtajad;
6) sertifikaadi taotlemise avalduse läbivaatamise kord;
7) sertifikaadi väljaandmise kord;
8) sertifikaadi kasutusvaldkonna piirangute kirjeldamise mehhanismid;
9) väljaantud sertifikaatide üle arvestuse pidamise kord;
10) sertifikaatide kehtivuse kohta andmete väljastamise kord;
11) võtmete genereerimise ja säilitamise kord ning sertifitseerimisteenuse osutaja isikliku võtme hoidmiseks ette nähtud vahendi kirjeldus;
[RT I 2009, 1, 3 - jõust. 12.01.2009]
11¹) väljaantavate sertifikaatide kinnitamise kord;
12) sertifikaadi kehtivuse peatamise ja kehtetuks tunnistamise kord;
13) tegevuskava juhuks, kui on saanud võimalikuks sertifitseerimisteenuse osutaja või tema tegevuse jäljendamine teenuse osutamisel;
14) sertifitseerimisteenuse osutaja poolt väljaantud sertifikaatide kehtivuse peatamise, kehtivuse peatatuse lõpetamise ja kehtetuks tunnistamise tehniline kord;
15) sertifitseerimisteenuse osutamise lõpetamise kord;
16) muud asjaolud, mille sätestamist sertifitseerimispõhimõtetes peab vajalikuks sertifitseerimisteenuse osutaja.

(3) Vabariigi Valitsuse määratud sertifitseerimisteenust osutava riigiasutuse sertifitseerimispõhimõtted ja teenuse hinnad kinnitab riigiasutuse juht.

§ 21. Sertifitseerimisteenuse osutaja töötajale esitatav piirang

Sertifitseerimisteenuse osutaja töötajal, kes tegeleb sertifitseerimisteenuse osutamisega, ei tohi olla karistatust tahtlikult toimepandud kuriteo eest.

§ 22. Sertifitseerimisteenuse osutaja kohustused

Sertifitseerimisteenuse osutaja on kohustatud:
1) avalikustama oma sertifitseerimispõhimõtted ning tagama nende kättesaadavuse üldkasutatavas andmesidevõrgus;
2) tagama sertifitseerimisteenuse osutamisel teatavaks saanud avaldamisele mittekuuluva teabe saladuses hoidmise;
3) pidama arvestust enda poolt väljaantud sertifikaatide ja nende kehtivuse üle;
4) võtma ööpäevaringselt vastu avaldusi sertifikaatide kehtivuse peatamiseks;
5) tõendama huvitatud isiku nõudmisel oma esindaja digitaalallkirjaga enda poolt väljaantud sertifikaadis sisalduvale avalikule võtmele vastava isikliku võtmega antud digitaalallkirja kehtivust;
6) tagama ööpäevaringselt sertifikaatide kehtivuse kontrolli võimaluse üldkasutatavas andmesidevõrgus;
7) säilitama sertifitseerimisega seotud dokumentatsiooni oma tegevuse lõpuni;
8) tagama igal aastal infosüsteemi auditi teostamise ning esitama auditi tulemused sertifitseerimisteenuse registri volitatud töötlejale;
[RT I 2009, 1, 3 - jõust. 12.01.2009]
9) avalikustama kohustusliku kindlustuslepingu tingimused üldkasutatavas andmesidevõrgus;
10) teatama sertifitseerimise registri volitatud töötlejale sertifitseerimisteenuse osutamisel kasutatava avaliku võtme muutumisest.
[RT I 2009, 1, 3 - jõust. 12.01.2009]

IV. peatükk AJATEMPLITEENUS JA AJATEMPLITEENUSE OSUTAJAD

§ 23. Ajatempli mõiste

(1) Ajatempel on tehniliste ja organisatsiooniliste vahendite süsteemi abil moodustatud andmete kogum, mis tõendab dokumendi olemasolu kindlal ajahetkel.

(2) Ajatempel peab olema seotud andmetega sellisel viisil, mis välistab võimaluse tuvastamatult muuta andmeid pärast ajatempli võtmist.

(3) Ajatempliteenuse osutaja kinnitab tema poolt väljaantud ajatemplid.

§ 24. Ajatempliteenus

(1) Ajatempliteenus on digitaalallkirjade ja digitaalsete templite ajalise järgnevuse tõestamiseks vajalike ajatemplite väljaandmine ja väljaantud ajatemplite kontrollimiseks tingimuste loomine.
[RT I 2009, 1, 3 - jõust. 12.01.2009]

(2) Kui eri ajatempliteenuse osutajate poolt väljaantud ajatemplite ajalist järgnevust ei ole võimalik kindlaks teha, loetakse, et need ajatemplid on antud üheaegselt.

(3) Ajatempliteenuse osutaja peab tagama, et oleks välistatud korrektse ajatempli väljaandmine selle taotlemise hetkest varasemale või hilisemale ajale või väljaantud ajatemplite järgnevuse muutmine.

§ 25. Ajatempliteenuse osutaja

Ajatempliteenuse osutajaks võib olla vastava teenuse osutajana sertifitseerimise registrisse kantud ning Eesti vastavas registris registreeritud:
[RT I 2009, 1, 3 - jõust. 12.01.2009]
1) aktsiaselts;
2) osaühing, mille osakapital on suurem kui 25 000 eurot;
[RT I 2010, 22, 108 - jõust. 01.01.2011]
3) avalik-õiguslik juriidiline isik, kui see on ette nähtud tema kohta käivas seaduses;
4) Vabariigi Valitsuse määratud riigiasutus.

§ 26. Ajatempliteenuse osutajale esitatavad nõuded

(1) Ajatempliteenuse osutaja peab vastama käesoleva seadusega kehtestatud nõuetele ning olema suuteline tagama seadustele ja seaduste alusel antud õigusaktidele vastava usaldusväärse ajatempliteenuse.

(2) Ajatempliteenuse osutaja on kohustatud igal aastal sertifitseerimise registrisse kandmise kuupäevaks tagama infosüsteemi auditi teostamise ning esitama auditi tulemused sertifitseerimise registri volitatud töötlejale.
[RT I 2009, 1, 3 - jõust. 12.01.2009]

(3) Ajatempliteenuse osutajal ei tohi olla maksuvõlga ega muid võlgnevusi, mis seavad ohtu käesoleva seaduse II–V peatükis sätestatud põhimõtetele vastava ajatempliteenuse osutamise.

(4) Ajatempliteenuse osutaja on kohustatud kindlustama oma tegevuse käesoleva seaduse §-s 39 sätestatud korras.

§ 27. Ajatembelduspõhimõtted

(1) Ajatembelduspõhimõtted on ajatempliteenuse osutaja poolt ajatempli andmiseks ning kontrollimiseks sooritatavate toimingute ning kasutatavate tehniliste vahendite kirjeldused.

(2) Ajatempliteenuse osutaja ajatembelduspõhimõtetes peavad sisalduma:
1) ajatempliteenuse osutaja nimi või nimetus;
2) ajatempliteenuse osutamiseks kasutatavate tehniliste vahendite kirjeldus;
3) ajatempli võtmise ja kontrollimise kord;
3¹) väljaantavate ajatemplite kinnitamise kord;
4) väljaantud ajatemplite üle arvestuse pidamise kord;
5) väljaantud ajatemplite kohta andmete väljastamise kord;
6) ajatempliteenuse osutamise lõpetamise kord;
7) tegevuskava juhuks, kui on saanud võimalikuks ajatempliteenuse osutaja või tema tegevuse jäljendamine teenuse osutamisel;
8) muud asjaolud, mille sätestamist peab vajalikuks ajatempliteenuse osutaja.

§ 28. Ajatempliteenuse osutaja kohustused

Ajatempliteenuse osutaja on kohustatud:
1) tagama ajatemplites õiged ajanäidud vastavalt ajatembelduspõhimõtetes kirjeldatule;
2) pidama arvestust väljaantud ajatemplite üle;
3) säilitama dokumentatsiooni väljaantud ajatemplite kontrollimiseks;
4) [kehtetu - RT I 2009, 1, 3 - jõust. 12.01.2009]
5) tagama ajatemplite võtmise ja kontrolli võimaluse üldkasutatavas andmesidevõrgus;
6) tagama igal aastal infosüsteemi auditi teostamise ning esitama auditi tulemused sertifitseerimisteenuse registri volitatud töötlejale;
[RT I 2009, 1, 3 - jõust. 12.01.2009]
7) avalikustama kohustusliku kindlustuslepingu tingimused üldkasutatavas andmesidevõrgus;
8) teatama sertifitseerimise registri volitatud töötlejale ajatempliteenuse osutamisel kasutatava avaliku võtme muutumisest.
[RT I 2009, 1, 3 - jõust. 12.01.2009]

§ 29. Ajatempliteenuse osutaja töötajale esitatav piirang

Ajatempliteenuse osutaja töötajal, kes tegeleb ajatempliteenuse osutamisega, ei tohi olla karistatust tahtlikult toimepandud kuriteo eest.

V. peatükk SERTIFITSEERIMISTEENUSE JA AJATEMPLITEENUSE OSUTAMISE LÕPETAMINE

§ 30. Sertifitseerimisteenuse ja ajatempliteenuse osutamise lõpetamine

(1) Sertifitseerimisteenuse ja ajatempliteenuse (edaspidi teenus) osutamine lõpetatakse:
1) teenuse osutaja otsusega;
2) teenuse osutamise üle järelevalvet teostava asutuse otsusega;
3) kohtuotsusega;
4) teenuse osutaja likvideerimise või tegevuse lõpetamise korral;
5) Vabariigi Valitsuse otsusega, millega lõpetatakse käesoleva seaduse § 18 lõike 1 punktis 4 ja § 25 punktis 4 nimetatud riigiasutuse poolt teenuse osutamine.

(2) Sertifitseerimisteenuse ja ajatempliteenuse osutamise lõpetamisel annab teenuse osutaja teenuse osutamisega seotud dokumentatsiooni üle sertifitseerimise registrile.
[RT I 2009, 1, 3 - jõust. 12.01.2009]

§ 31. Teenuse osutamise lõpetamisest teatamine

(1) Teenuse osutaja on kohustatud teenuse osutamise lõpetamise otsusest viivitamatult teatama sertifitseerimise registri volitatud töötlejale või vastutavale töötlejale. Juhul kui isik või asutus teavitab teenuse osutamise lõpetamise otsusest registri volitatud töötlejat, on viimane kohustatud sellest viivitamatult teatama registri vastutavale töötlejale.
[RT I 2009, 1, 3 - jõust. 12.01.2009]

(2) Teenuse osutaja on kohustatud teenuse osutamise lõpetamise otsusest teatama oma teenuse kasutajatele vähemalt üks kuu enne teenuse osutamise lõpetamist.

(3) Sertifitseerimise registri vastutav töötleja teavitab teenuse osutamise lõpetamise otsusest andmekaitse järelevalveasutust ja riigi infosüsteemide alaseid töid koordineerivat asutust.
[RT I 2009, 1, 3 - jõust. 12.01.2009]

VI. peatükk SERTIFITSEERIMISE REGISTER
[RT I 2009, 1, 3 - jõust. 12.01.2009]

§ 32. Sertifitseerimise register
[RT I 2009, 1, 3 - jõust. 12.01.2009]

(1) Sertifitseerimise register (edaspidi register) on Vabariigi Valitsuse asutatud andmekogu, mille asutamise ja kasutusele võtmise eesmärk on pidada arvestust sertifitseerimisteenuse ja ajatempliteenuse osutajate üle.
[RT I 2009, 1, 3 - jõust. 12.01.2009]

(2) Registri vastutavaks töötlejaks on Majandus- ja Kommunikatsiooniministeerium.

(3) Registri koosseisu kuuluvad:
1) sertifitseerimisteenuse osutajate andmebaas;
2) ajatempliteenuse osutajate andmebaas;
3) [kehtetu - RT I 2009, 1, 3 - jõust. 12.01.2009]
4) registriarhiiv.

§ 33. Teenuse osutajate registrisse kandmise taotlemine

(1) Isik või asutus esitab registris registreerimiseks:
1) seadusliku esindaja poolt allkirjastatud isiku või asutuse teenuse osutajana registreerimise avalduse, kuhu on märgitud ka isiku või asutuse avalik võti (avalikud võtmed), mida isik või asutus hakkab sertifitseerimis- või ajatempliteenuse osutamisel kasutama;
2) sama avalduse digitaalsel kujul, mis on kinnitatud väljaantavate sertifikaatide ja ajatemplite kinnitamise korra kohaselt, millele on lisatud tõendus sertifitseerimis- või ajatempliteenuse osutamisel kasutatavate isiklike võtmete valdamise kohta;
3) [kehtetu - RT I 2002, 61, 375 - jõust. 01.08.2002]
4) sertifitseerimis- või ajatembelduspõhimõtted;
5) [kehtetu - RT I 2002, 61, 375 - jõust. 01.08.2002]
6) infosüsteemi auditi tulemused;
7) kinnituse selle kohta, et tal ei ole võlgnevusi, mis seavad ohtu käesoleva seaduse II–V peatükis sätestatud põhimõtetele vastava teenuse osutamise.

(2) Teenuse osutaja registrisse kandmise avalduses peavad sisalduma:
1) teenuse osutaja nimi või nimetus;
2) teenuse osutaja asukoha aadress;
3) teenuse osutaja registrikood;
4) teenuse osutaja esindaja nimi, ametinimetus, isikukood ja kontaktandmed;
5) teenuse osutaja sidevahendite numbrid või aadressid;
6) teenuse osutamiseks seatud piirangud.

(3) Registri volitatud töötleja on kohustatud kontrollima esitatud andmete õigsust ja teenuse vastavust käesolevas seaduses sätestatud nõuetele. Peale selle kontrollib registri volitatud töötleja, kas taotleja on tasunud riigilõivu, kas teenust osutav isik või asutus on registreeritud ning kas isikul ei esine Maksu- ja Tolliameti ees maksuvõlgnevusi.
[RT I 2009, 1, 3 - jõust. 12.01.2009]

(4) Registri volitatud töötlejal on õigus esitada isiku või asutuse esitatud andmete õigsuse kontrollimiseks päringuid ja järelepärimisi kõikidele riigiasutustele ning riigi ja kohaliku omavalitsuse andmekogudele.

(5) Isik või asutus on kohustatud enne registrisse kandmist tagama infosüsteemi auditi teostamise, mille tulemused esitatakse registri volitatud töötlejale. Infosüsteemi auditi kulud katab isik või asutus.

§ 34. Teenuse osutaja registreerimine

(1) Registri volitatud töötleja otsustab pärast dokumentide kontrollimist isiku või asutuse teenuse osutajana registris registreerimise viie tööpäeva jooksul, arvates käesoleva seaduse § 33 lõigetes 1 ja 2 nimetatud dokumentide ja andmete saamise päevast, tehes otsuse isikule või asutusele teatavaks.
[RT I 2002, 61, 375 - jõust. 01.08.2002]

(2) Kui käesoleva paragrahvi lõikes 1 sätestatud tähtajast esitatud andmete ja dokumentide kontrollimiseks ei piisa, võib registri vastutav töötleja pikendada tähtaega kuni 10 tööpäevani.

(3) Isik või asutus esitab pärast seda, kui teda on otsustatud registris registreerida, volitatud töötlejale käesoleva seaduse § 39 nõuetele vastava kindlustuspoliisi ärakirja, mille järel isik või asutus registreeritakse viivitamatult teenuse osutajana.

(4) Registri volitatud töötleja annab igale registrisse kantud teenuse osutajale kordumatu registrikoodi.

(5) Registri volitatud töötleja kinnitab registreeritud teenuse osutajate käesoleva seaduse § 33 lõike 1 punktis 1 märgitud avalikud võtmed.

(6) Teenuse osutamise lõpetamisel esitatakse sellekohane avaldus registri volitatud töötlejale, kes sisestab teenuse osutamise lõpetamise andmed registrisse.

§ 35. Teenuse osutaja registreerimisest keeldumine

(1) Registri volitatud töötleja keeldub teenuse osutaja registreerimisest, kui:
1) isik või asutus ei vasta käesolevas seaduses sätestatud nõuetele;
2) sertifitseerimis- või ajatembelduspõhimõtted ei vasta käesolevas seaduses sätestatud nõuetele;
3) [kehtetu - RT I 2002, 61, 375 - jõust. 01.08.2002]
4) isik või asutus on esitanud registri volitatud töötlejale ebaõigeid andmeid;
5) esitatud infosüsteemi auditi tulemuste alusel on põhjust arvata, et isik või asutus ei suuda tagada käesoleva seaduse nõuetele vastavat teenust;
6) isikul või asutusel on maksuvõlg, ta ei ole registreeritud või ta ei ole tasunud riigilõivu;
7) muudel seaduses sätestatud juhtudel.

(2) Registri volitatud töötleja toimetab isikule või asutusele teenuse osutaja registreerimisest keeldumisest otsuse posti teel või elektrooniliselt kätte.
[RT I 2002, 61, 375 - jõust. 01.08.2002]

§ 36. Teenuse osutaja kustutamine registrist

Teenuse osutaja kustutatakse registrist, kui ta on lõpetanud teenuse osutamise vastavalt käesoleva seaduse V peatüki sätetele.

§ 37. Juurdepääs registri andmetele

(1) Registrisse kantud andmed on avalikud.

(2) Registri volitatud töötleja on kohustatud tagama teenuse osutajate kohta registrisse kantud andmete avalikkuse ning ööpäevaringse kättesaadavuse.
[RT I 2009, 1, 3 - jõust. 12.01.2009]

VI¹. peatükk TURVALINE ALLKIRJA ANDMISE VAHEND
[RT I 2009, 1, 3 - jõust. 12.01.2009]

§ 37¹. Nõuded turvalisele allkirja andmise vahendile

(1) Turvaline allkirja andmise vahend on seadistatud tark- või riistvara, näiteks turvakiibiga varustatud kiipkaart, mida kasutatakse isikliku võtme hoidmiseks ja rakendamiseks.

(2) Turvaline allkirja andmise vahend peab asjakohase tehnika ja protseduuridega tagama, et:
1) allkirja andmiseks vajalik isiklik võti võib tegelikult esineda vaid üks kord ja selle salajasus on piisavalt kindlustatud;
2) isiklikku võtit ei saa tuletada ja allkiri on võltsimise eest kaitstud käesoleva aja tehnika tasemele vastavalt;
3) isiklikku võtit saab õiguspärane allakirjutaja piisavalt kaitsta, nii et teised isikud ei saaks seda kasutada.

(3) Turvaline allkirja andmise vahend ei tohi muuta allkirjastatavaid andmeid ega takistada nende andmete esitamist allakirjutajale enne allkirjastamist.
[RT I 2009, 1, 3 - jõust. 12.01.2009]

VII. peatükk TEENUSE OSUTAJA VARALINE VASTUTUS JA KINDLUSTAMINE

§ 38. Teenuse osutaja varaline vastutus

(1) Teenuse osutaja vastutab varalise kahju eest, mis on tekkinud tema kohustuste rikkumise tagajärjel.

(2) Kui käesoleva paragrahvi lõikes 1 nimetatud kahju tekitamise eest vastutab teenuse osutaja kõrval kolmas isik, siis vastutavad nad solidaarselt.
[RT I 2002, 53, 336 - jõust. 01.07.2002]

§ 39. Teenuse osutaja kohustuslik kindlustamine

(1) Käesoleva seaduse §-s 38 sätestatud kahju hüvitamise tagamiseks on teenuse osutaja kohustatud sõlmima kohustusliku kindlustuslepingu.

(2) Teenuse osutaja on kohustatud kindlustuslepingu tingimused avaldama üldkasutatavas andmesidevõrgus.

VIII. peatükk VÄLISMAISE SERTIFITSEERIMISTEENUSE OSUTAJA POOLT VÄLJAANTUD SERTIFIKAATIDE NING NENDE ALUSEL MOODUSTATUD DIGITAALALLKIRJADE JA DIGITAALSETE TEMPLITE TUNNUSTAMINE
[RT I 2009, 1, 3 - jõust. 12.01.2009]

§ 40. Välismaise sertifikaadi tunnustamine

Välismaise sertifitseerimisteenuse osutaja poolt väljaantud sertifikaate tunnustatakse võrdväärsetena käesoleva seaduse alusel tegutsevate sertifitseerimisteenuse osutajate poolt väljaantud sertifikaatidega, kui on täidetud vähemalt üks järgmistest tingimustest:
1) välismaine sertifitseerimisteenuse osutaja vastab registri vastutava töötleja otsuse kohaselt käesolevas seaduses ja selle alusel kehtestatud õigusaktides sätestatud nõuetele;
2) välismaise sertifitseerimisteenuse osutaja sertifikaate garanteerib mõni käesoleva seaduse alusel tegutsev sertifitseerimisteenuse osutaja, kes on sertifikaatides sisalduvate andmete tõesuse eest endale vastutuse võtnud;
3) välismaise sertifitseerimisteenuse osutaja poolt väljaantud sertifikaadid on tunnustatud Eesti Vabariigi välislepinguga.

IX. peatükk JÄRELEVALVE SERTIFITSEERIMISTEENUSE JA AJATEMPLITEENUSE OSUTAJATE ÜLE

§ 41. Järelevalve teostajad

(1) Käesoleva seaduse ja selle alusel kehtestatud õigusaktide nõuete järgimist kontrollib Majandus- ja Kommunikatsiooniministeerium.

(2) Järelevalvet registri pidamise üle teostab registri vastutav töötleja avaliku teabe seaduses ettenähtud korras.
[RT I 2007, 12, 66 - jõust. 01.01.2008]

(3) Järelevalvet registri pidamise seaduslikkuse ja andmete kaitse üle teostab andmekogude haldamise üle järelevalvet teostav asutus ning andmekaitse järelevalveasutus avaliku teabe seaduses ja isikuandmete kaitse seaduses ettenähtud korras.
[RT I 2009, 1, 3 - jõust. 12.01.2009]

§ 42. Järelevalve teostamine

Majandus- ja Kommunikatsiooniministeeriumil on käesoleva seaduse ja selle alusel antud õigusaktide nõuete järgimise kontrollijana õigus:
[RT I 2003, 88, 594 - jõust. 08.01.2004]
1) kontrollida registrile esitatud infosüsteemi auditi tulemuste vastavust tegelikkusele;
2) siseneda teenuse osutaja esindaja juuresolekul ruumidesse, mida kasutatakse teenuse osutamiseks, ning tutvuda teenuse osutamise dokumentidega;
3) esitada järelepärimisi ja päringuid riigiasutustele ning riigi ja kohaliku omavalitsuse andmekogudele vastavate andmete saamiseks;
4) teha teenuse osutajale kirjalik hoiatus, kui ta käesoleva seaduse ja selle alusel antud õigusaktide nõuded esmakordselt või ettevaatamatuse tõttu täitmata jätab;
5) teha teenuse osutajale tähtajaline ettekirjutus, kui ta käesoleva paragrahvi punktis 4 nimetatud hoiatusele ei reageeri või käesoleva seaduse ja selle alusel antud õigusaktid korduvalt või tahtlikult täitmata jätab;
6) käesoleva paragrahvi punktis 5 nimetatud ettekirjutuse täitmata jätmise korral määrata asendustäitmise ja sunniraha seaduses sätestatud korras sunniraha kuni 3200 eurot;
[RT I 2010, 22, 108 - jõust. 01.01.2011]
7) otsustada teenuse osutaja kustutamine registrist ning esitada otsus registri volitatud töötlejale vastava kande tegemiseks.

X. peatükk RAKENDUSSÄTTED

§ 43. Digitaalallkirja rakendamine

(1) Vabariigi Valitsus asutab ja võtab käesoleva seaduse § 32 lõikes 1 sätestatud registri kasutusele käesoleva seaduse jõustumise hetkeks.

(2) Vabariigi Valitsus kehtestab 2001. aasta 1. märtsiks riigi- ja kohaliku omavalitsuse asutuste ning avalik-õiguslike juriidiliste isikute asjaajamiskorra ühtsed alused, mis võimaldavad asutuste asjaajamises kasutada ka digitaalselt allkirjastatud dokumente.

(3) Riigi- ja kohaliku omavalitsuse asutused ning avalik-õiguslikud juriidilised isikud korraldavad oma asjaajamise 2001. aasta 1. juuniks ümber vastavalt käesoleva paragrahvi lõikes 2 sätestatud asjaajamiskorrale.

(4) Majandus- ja kommunikatsiooniminister kinnitab teenuse osutajate infosüsteemide auditeerimise korra 2000. aasta 1. oktoobriks.
[RT I 2003, 88, 594 - jõust. 08.01.2004]

§ 44. Registri volitatud töötleja ja teenuse osutajate avalike võtmete kinnitamine ning nendele vastavate isiklike võtmete kasutusala määramine

(1) Sertifitseerimisteenuse osutaja ja ajatempliteenuse osutaja käesoleva seaduse § 33 lõike 1 punktis 1 märgitud avaliku võtme kinnitamiseks kasutatava registri volitatud töötleja avaliku võtme kinnitab ja sellele vastava isikliku võtme kasutusala määrab majandus- ja kommunikatsiooniminister.

(2) Sertifitseerimisteenuse osutaja ja ajatempliteenuse osutaja poolt sertifitseerimis- ja ajatempliteenuse osutamiseks kasutatava avaliku võtme ja sellele vastava isikliku võtme kasutusala kinnitab registri volitatud töötleja.
[RT I 2003, 88, 594 - jõust. 08.01.2004]

§ 45. [Käesolevast tekstist välja jäetud.]

§ 46. [Käesolevast tekstist välja jäetud.]

§ 47. Seaduse jõustumine

Käesolev seadus jõustub 2000. aasta 15. detsembril.

My RT allows for: