Για σκοπούς εναρμόνισης με την πράξη της Ευρωπαϊκής Κοινότητας με τίτλο:
«Οδηγία 1999/93/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 13ης Δεκεμβρίου 1999, σχετικά με το κοινοτικό πλαίσιο για ηλεκτρονικές υπογραφές (ΕΕ L13 της 19/01/2000 σ. 12)»,
Η Βουλή των Αντιπροσώπων ψηφίζει ως ακολούθως-
1. Ο παρών Νόμος θα αναφέρεται ως ο περί του Νομικού Πλαισίου για τις Ηλεκτρονικές Υπογραφές καθώς και για Συναφή Θέματα Νόμος του 2004.
2. Στον παρόντα Νόμο, εκτός αν από το κείμενο προκύπτει διαφορετική έννοια-
«αναγνωρισμένο πιστοποιητικό» πιστοποιητικό που ανταποκρίνεται στις οριζόμενες στο Παράρτημα Ι απαιτήσεις και εκδίδεται από παροχέα υπηρεσιών πιστοποίησης ο οποίος πληροί τις οριζόμενες στο Παράρτημα ΙΙ απαιτήσεις.
«αναγνωρισμένα πρότυπα» σημαίνει τα πρότυπα, τα οποία εκδόθηκαν και τροποποιούνται ή αναθεωρούνται από το Ευρωπαϊκό Ινστιτούτο Τηλεπικοινωνιακών Προτύπων - Ηλεκτρονικές Υπόγραφες και Υποδομές [European Telecommunications Standards Institute (ETSI)- Electronic Signatures and Infrastructures (ESI)], τη Διεθνή Ένωση Τηλεπικοινωνιών [International Telecommunication Union (ITU)], το Διεθνή Οργανισμό Τυποποίησης [International Organization for Standardization (ISO)] και την Ευρωπαϊκή Επιτροπή Τυποποίησης [European Committee for Standardization (CEN)]·
«Απόφαση 2000/709/ΕΚ» [Διαγράφηκε]
«Αρμόδια Αρχή» σημαίνει το Διευθυντή του Τμήματος Ηλεκτρονικών Επικοινωνιών του Υπουργείου Συγκοινωνιών και Έργων·
«ασφαλής διάταξη δημιουργίας υπογραφής» σημαίνει τη διάταξη δημιουργίας υπογραφής που πληροί τις απαιτήσεις του Παραρτήματος ΙΙΙ.
«δεδομένα δημιουργίας υπογραφής» σημαίνει μονοσήμαντα δεδομένα όπως κώδικες ή ιδιωτικά κλειδιά κρυπτογραφίας, που χρησιμοποιούνται από τον υπογράφοντα για τη δημιουργία ηλεκτρονικής υπογραφής.
«δεδομένα επαλήθευσης υπογραφής» σημαίνει δεδομένα όπως κώδικες ή δημόσια κλειδιά κρυπτογραφίας, τα οποία χρησιμοποιούνται για την επαλήθευση της ηλεκτρονικής υπογραφής.
«Δημοκρατία» σημαίνει την Κυπριακή Δημοκρατία·
«Διάταγμα» σημαίνει διάταγμα που εκδίδεται από την Αρμόδια Αρχή δυνάμει του παρόντος Νόμου ή των Κανονισμών·
«διάταξη επαλήθευσης υπογραφής» [Διαγράφηκε]
«διάταξη δημιουργίας υπογραφής» σημαίνει το διατεταγμένο υλικό ή λογισμικό που χρησιμοποιείται για την εφαρμογή των δεδομένων δημιουργίας της υπογραφής.
«εθελοντική διαπίστευση» [Διαγράφηκε]
«εθελοντική εξουσιοδότηση» σημαίνει την εξουσιοδότηση στην οποία ορίζονται τα δικαιώματα και οι υποχρεώσεις που διέπουν την παροχή υπηρεσιών πιστοποίησης και η οποία χορηγείται κατόπιν αιτήσεως του ενδιαφερόμενου παροχέα υπηρεσιών στην Αρμόδια Αρχή, σύμφωνα με το άρθρο 8·
«εξουσιοδοτημένος παροχέας υπηρεσιών πιστοποίησης» σημαίνει τον παροχέα υπηρεσιών πιστοποίησης που κατέχει εθελοντική εξουσιοδότηση·
«Επιτροπή» σημαίνει την Επιτροπή της Ευρωπαϊκής Ένωσης.
«ηλεκτρονική υπογραφή» σημαίνει τα δεδομένα σε ηλεκτρονική μορφή τα οποία είναι συνημμένα σε, ή λογικά συσχετιζόμενα με, άλλα ηλεκτρονικά δεδομένα και τα οποία χρησιμεύουν ως μέθοδος απόδειξης της αυθεντικότητας.
«Κανονισμός» σημαίνει Κανονισμό που εκδίδεται από το Υπουργικό Συμβούλιο δυνάμει του παρόντος Νόμου·
«κράτος μέλος» σημαίνει κράτος μέλος της Ευρωπαϊκής Ένωσης.
«Οδηγία» σημαίνει την Οδηγία 1999/93/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 13ης Δεκεμβρίου 1999, σχετικά με το κοινοτικό πλαίσιο για ηλεκτρονικές υπογραφές , όπως τροποποιήθηκε τελευταία από τον Κανονισμό (ΕΚ) αριθ. 1137/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 22ας Οκτωβρίου 2008, και όπως εκάστοτε τροποποιείται ή αντικαθίσταται·».
«προηγμένη ηλεκτρονική υπογραφή» σημαίνει την ηλεκτρονική υπογραφή που ανταποκρίνεται στις εξής απαιτήσεις:
(α)Συνδέεται μονοσήμαντα με τον υπογράφοντα·
(β)είναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντα·
(γ)δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο, και
(δ)συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να δύναται να εντοπιστεί οποιαδήποτε επακόλουθη αλλοίωση των εν λόγω δεδομένων.
«πιστοποιητικό» σημαίνει την ηλεκτρονική βεβαίωση, η οποία συνδέει δεδομένα επαλήθευσης υπογραφής με ένα άτομο που επιβεβαιώνει την ταυτότητά του.
«παροχέας υπηρεσιών πιστοποίησης» σημαίνει φυσικό ή νομικό πρόσωπο ή τον φορέα που εκδίδει πιστοποιητικά ή παρέχει άλλες υπηρεσίες, συναφείς με τις ηλεκτρονικές υπογραφές.
«προϊόν ηλεκτρονικής υπογραφής» σημαίνει το υλικό ή λογισμικό ή συναφή συστατικά στοιχεία τους, που προορίζονται για χρήση από τον παροχέα υπηρεσιών πιστοποίησης για την προσφορά υπηρεσιών ηλεκτρονικής υπογραφής ή προορίζονται να χρησιμοποιηθούν για τη δημιουργία ή επαλήθευση ηλεκτρονικών υπογραφών.
«τρίτη χώρα» σημαίνει κάθε χώρα που δεν είναι κράτος μέλος.
«υπογράφων» σημαίνει το φυσικό ή νομικό πρόσωπο που κατέχει διάταξη δημιουργίας υπογραφής και ενεργεί είτε στο δικό του όνομα, είτε εξ ονόματος άλλου φυσικού ή νομικού προσώπου ή φορέα που αντιπροσωπεύει.
3.-(1) Ο παρών Νόμος θεσπίζει το νομικό πλαίσιο που διέπει τις ηλεκτρονικές υπογραφές και ορισμένες υπηρεσίες πιστοποίησης με στόχο τη διευκόλυνση της χρήσης των ηλεκτρονικών υπογραφών και τη νομική αναγνώρισή τους.
(2) Ο παρών Νόμος, δεν καλύπτει πτυχές που αφορούν τη σύναψη και την ισχύ συμβάσεων ή άλλων νομικών υποχρεώσεων που διέπονται από απαιτήσεις ως προς τον τύπο και δεν θίγει κανόνες και περιορισμούς σχετικά με τη χρήση εγγράφων οι οποίοι περιέχονται στην ισχύουσα νομοθεσία.
4.-(1) Η προηγμένη ηλεκτρονική υπογραφή, η οποία βασίζεται σε αναγνωρισμένο πιστοποιητικό, εκδόθηκε από εξουσιοδοτημένο παροχέα υπηρεσιών πιστοποίησης και δημιουργείται από ασφαλή διάταξη δημιουργίας υπογραφής, υπέχει θέση ιδιόχειρης υπογραφής τόσο στο ουσιαστικό όσο και στο δικονομικό δίκαιο και γίνεται δεκτή ως αποδεικτικό στοιχείο σε νομικές διαδικασίες:
(2) Δεν απορρίπτεται η ισχύς και το παραδεκτό μιας ηλεκτρονικής υπογραφής ως αποδεικτικού στοιχείου σε νομικές διαδικασίες μόνο εκ του γεγονότος ότι αυτή:
(α) Είναι υπό μορφή ηλεκτρονικών δεδομένων, ή
(β) δεν βασίζεται σε αναγνωρισμένο πιστοποιητικό, ή
(γ) δεν βασίζεται σε αναγνωρισμένο πιστοποιητικό που εξεδόθη από εξουσιοδοτημένο παροχέα υπηρεσιών πιστοποίησης, ή
(δ) δεν δημιουργείται από ασφαλή διάταξη δημιουργίας υπογραφής.
5.-(1) Η Αρμόδια Αρχή έχει αρμοδιότητες για όλα τα ζητήματα που αφορούν τις ηλεκτρονικές υπογραφές στη Δημοκρατία και μεριμνά για την αποτελεσματική εφαρμογή του παρόντος Νόμου.
(2) Η Αρμόδια Αρχή έχει τις ακόλουθες εξουσίες αναφορικά με την εφαρμογή του παρόντος Νόμου:
(α) Εποπτεύει και ελέγχει τους εγκατεστημένους στην Δημοκρατία παροχείς υπηρεσιών πιστοποίησης·
(β) ρυθμίζει την εθελοντική εξουσιοδότηση σύμφωνα με τις διατάξεις του άρθρου 8 και καθιερώνει κατάλληλο σύστημα που καθιστά δυνατή την επιτήρηση των εγκατεστημένων στη Δημοκρατία παροχέων υπηρεσιών πιστοποίησης οι οποίοι εκδίδουν αναγνωρισμένα πιστοποιητικά·
(γ) ελέγχει τη συμμόρφωση των υπογραφών με τις διατάξεις του Παραρτήματος ΙΙΙ και μεριμνά για την ανάπτυξη και τη χρήση των συστάσεων για την ασφαλή επαλήθευση της υπογραφής που προβλέπονται στο Παράρτημα ΙV·
(δ) εκδίδει Διατάγματα·
(ε) χρησιμοποιεί υπηρεσίες προσώπων, όπου αυτό είναι απαραίτητο, με σκοπό τη διασφάλιση της πλήρους εφαρμογής του παρόντος Νόμου·
(στ) απαιτεί από οποιοδήποτε πρόσωπο, κατά τα διαλαμβανόμενα στο άρθρο 7, την παραχώρηση οποιωνδήποτε πληροφοριών, αναγκαίων για την εκτέλεση των καθηκόντων και την άσκηση των αρμοδιοτήτων της·
(ζ) επιβάλλει διοικητικό πρόστιμο, κατά τον καθορισμένο στο άρθρο 13Β τρόπο, λόγω παράβασης ή μη συμμόρφωσης:
(i) Με διατάξεις του παρόντος Νόμου ή Κανονισμών ή Διαταγμάτων, ή
(ii) με διατάξεις Κανονισμών ή Αποφάσεων άμεσης εφαρμογής της Ευρωπαϊκής Ένωσης, οι οποίες διατάξεις αφορούν ηλεκτρονικές υπογραφές, ή
(iii) με τους όρους, τις προϋποθέσεις ή τους περιορισμούς οποιασδήποτε εξουσιοδότησης,
το οποίο δεν δύναται να υπερβαίνει τις δύο χιλιάδες ευρώ (€2.000) για κάθε παράβαση ή μη συμμόρφωση, που συντελείται ημερησίως.
(η) δημοσιοποιεί πληροφορίες μη εμπιστευτικού χαρακτήρα αναφορικά με τις ηλεκτρονικές υπογραφές, κατά τα διαλαμβανόμενα στο άρθρο 7·
(θ) συστήνει συμβουλευτικές επιτροπές για την άσκηση των εξουσιών και εκτέλεση των καθηκόντων που της χορηγεί και αναθέτει ο παρών Νόμος· και
(ι) αναλαμβάνει τέτοια άλλα καθήκοντα και ασκεί τέτοιες εξουσίες, όπως καθορίζονται στον παρόντα Νόμο και στους Κανονισμούς.
(3) Ειδικότερες αρμοδιότητες, εξουσίες, δραστηριότητες και καθήκοντα που συντελούν στην υλοποίηση των στόχων του παρόντος Νόμου δύνανται να ανατίθενται στην Αρμόδια Αρχή δυνάμει Κανονισμών που εκδίδονται δυνάμει αυτού.
5Α.-(1) Η Αρμόδια Αρχή δύναται να εκδίδει Διατάγματα, τα οποία συνιστούν ατομικές διοικητικές πράξεις και τα οποία είναι δεσμευτικά για τους εξουσιοδοτημένους παροχείς υπηρεσιών πιστοποίησης ή για τα πρόσωπα σε σχέση με τα οποία εφαρμόζεται ο παρών Νόμος ή κανονιστικές διοικητικές πράξεις που εκδίδονται δυνάμει αυτού.
(2) Τα αναφερόμενα στο εδάφιο (1) Διατάγματα δύνανται να εκδίδονται προς εφαρμογή:
(i) Του παρόντος Νόμου και των εκδιδόμενων δυνάμει αυτού κανονιστικών διοικητικών πράξεων και
(ii) Κανονισμών ή Αποφάσεων άμεσης εφαρμογής της Ευρωπαϊκής Ένωσης, που αφορούν θέματα ηλεκτρονικών υπογραφών.
(3) Η Αρμόδια Αρχή πριν την έκδοση Διατάγματος δυνάμει του παρόντος άρθρου, ειδοποιεί τα πρόσωπα που επηρεάζονται ή δυνατό, κατά την κρίση της, να επηρεαστούν από αυτό και παρέχει σ’ αυτά τη δυνατότητα να ακουστούν, δια της υποβολής γραπτών παραστάσεων εντός τριάντα ημερών από την πιο πάνω ειδοποίηση.
(4) Ανεξάρτητα από τις διατάξεις του εδαφίου (3), αν η Αρμόδια Αρχή κρίνει ότι συντρέχουν επείγοντες λόγοι, δύναται να εκδώσει Διάταγμα χωρίς να προβεί στην αναφερόμενη στο εδάφιο (3) ειδοποίηση ή να παρέχει τη δυνατότητα υποβολής παραστάσεων και στην περίπτωση αυτή, οποιοδήποτε επηρεαζόμενο πρόσωπο δικαιούται, εντός τριάντα ημερών από την κοινοποίηση του Διατάγματος σʼ αυτό, να ακουστεί από την Αρμόδια Αρχή διά της υποβολής γραπτών παραστάσεων.
(5) Η Αρμόδια Αρχή, μετά από μελέτη των υποβαλλόμενων δυνάμει του παρόντος άρθρου παραστάσεων, με αιτιολογημένη απόφασή της επιβεβαιώνει, τροποποιεί ή αποσύρει το Διάταγμα εντός εύλογου χρόνου.
6.-(1) Με την επιφύλαξη των διατάξεων του άρθρου 8, για την παροχή υπηρεσιών πιστοποίησης οποιασδήποτε μορφής δεν απαιτείται η χορήγηση εξουσιοδότησης στους παροχείς των υπηρεσιών αυτών.
(2) Παροχέας υπηρεσιών πιστοποίησης, ο οποίος δεν έχει αδειοδοτηθεί δυνάμει της διαδικασίας εθελοντικής εξουσιοδότησης που αναφέρεται στο άρθρο 8 ή διαδικασίας αντίστοιχης με αυτή σε άλλο κράτος μέλος, δύναται να εκδίδει αναγνωρισμένα πιστοποιητικά:
(3) Αναγνωρισμένο πιστοποιητικό, το οποίο εκδίδεται από παροχέα υπηρεσιών πιστοποίησης, ο οποίος έχει αδειοδοτηθεί από αρμόδια αρχή άλλου κράτους μέλους δυνάμει διαδικασίας αντίστοιχης με αυτή της εθελοντικής εξουσιοδότησης που αναφέρεται στο άρθρο 8, αναγνωρίζεται ως τέτοιο και από την Αρμόδια Αρχή.
(4) Παροχέας υπηρεσιών πιστοποίησης, ο οποίος έχει αδειοδοτηθεί από αρμόδια αρχή άλλου κράτους μέλους δυνάμει διαδικασίας αντίστοιχης με αυτή της εθελοντικής εξουσιοδότησης που αναφέρεται στο άρθρο 8 και ο οποίος εγκαθίσταται στη Δημοκρατία και κοινοποιεί στην Αρμόδια Αρχή το σχετικό πιστοποιητικό ή άδεια ή άλλο αποδεικτικό έγγραφο, το οποίο έχει εκδώσει η αρμόδια αρχή του εν λόγω κράτους μέλους, αναγνωρίζεται ότι κατέχει πιστοποιητικό ή άδεια ή άλλο αποδεικτικό έγγραφο, ανάλογα με την περίπτωση, το οποίο είναι ισοδύναμο της εθελοντικής εξουσιοδότησης που χορηγείται στη Δημοκρατία δυνάμει του άρθρου 8.
(5) Οι παροχείς υπηρεσιών πιστοποίησης οφείλουν να χρησιμοποιούν προϊόντα ηλεκτρονικής υπογραφής τα οποία συμμορφώνονται με αναγνωρισμένα πρότυπα που εκάστοτε δημοσιεύονται στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.
(6) Προϊόντα ηλεκτρονικής υπογραφής, τα οποία συμμορφώνονται με αναγνωρισμένα πρότυπα που εκάστοτε δημοσιεύονται στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης δύνανται να κυκλοφορούν ελεύθερα στην αγορά.
7.-(1) H Αρμόδια Αρχή δύναται να ζητά από οποιοδήποτε πρόσωπο την παροχή τέτοιων πληροφοριών, συμπεριλαμβανομένων πληροφοριών οικονομικής φύσης, τις οποίες κρίνει ως εύλογα αναγκαίες, για σκοπούς άσκησης των αρμοδιοτήτων της και εκτέλεσης των καθηκόντων της.
(2) Με την επιφύλαξη του εδαφίου (3), η Αρμόδια Αρχή δεν κοινοποιεί πληροφορίες που καλύπτονται από την υποχρέωση τήρησης του βιομηχανικού και επαγγελματικού απορρήτου, ιδίως πληροφορίες σχετικές με τις επιχειρήσεις, τις εμπορικές τους σχέσεις ή τα στοιχεία κόστους που τις αφορούν.
(3) H Αρμόδια Αρχή δύναται, κατά την κρίση της και εφόσον είναι αναγκαίο για την εκπλήρωση των καθηκόντων της, να προβαίνει σε κοινοποίηση πληροφοριών, νοουμένου ότι αυτή είναι ανάλογη προς τον επιδιωκόμενο σκοπό και εφόσον συνεκτιμηθούν τα έννομα συμφέροντα των επιχειρήσεων που παρέχουν τις πληροφορίες και η προστασία του βιομηχανικού και επαγγελμ ατικού τους απορρήτου.
(4) Το εδάφιο (2) δεν εμποδίζει τη δημοσίευση πληροφοριών αναφορικά με τις ηλεκτρονικές υπογραφές οι οποίες δεν περιλαμβάνουν πληροφορίες εμπιστευτικού χαρακτήρα.
8.-(1) Η Αρμόδια Αρχή παρέχει εθελοντική εξουσιοδότηση ύστερα από αίτηση του ενδιαφερόμενου παροχέα υπηρεσιών πιστοποίησης. Με την εθελοντική εξουσιοδότηση απονέμονται δικαιώματα και επιβάλλονται υποχρεώσεις, συμπεριλαμβανομένων τελών που καθορίζονται με Κανονισμούς, στον παροχέα υπηρεσιών πιστοποίησης.
(2) Οι διαδικασίες εθελοντικής εξουσιοδότησης καθορίζονται με Κανονισμούς και πρέπει να είναι αντικειμενικές, διαφανείς, ανάλογες με τον επιδιωκόμενο σκοπό και να μην οδηγούν σε διακρίσεις. Η Αρμόδια Αρχή δεν μπορεί να περιορίσει τον αριθμό των παρoχέων υπηρεσιών πιστοποίησης που επιθυμούν τη εξουσιοδότηση τους σύμφωνα με τις διατάξεις του παρόντος Νόμου.
9.-(1) Ο παροχέας υπηρεσιών πιστοποίησης, που εκδίδει αναγνωρισμένο πιστοποιητικό στο κοινό ή εγγυάται για την ακρίβεια τέτοιου πιστοποιητικού, ευθύνεται έναντι οποιουδήποτε φορέα ή φυσικού ή νομικού προσώπου, για την ζημία που προκλήθηκε σε βάρος του επειδή το πρόσωπο αυτό ευλόγα βασίσθηκε στο πιστοποιητικό, όσον αφορά:
(α) Την ακρίβεια, κατά τη στιγμή έκδοσής του, όλων των πληροφοριών που περιέχονται στο αναγνωρισμένο πιστοποιητικό, καθώς και την ύπαρξη στο πιστοποιητικό όλων των στοιχείων τα οποία απαιτούνται για ένα αναγνωρισμένο πιστοποιητικό.
(β) τη διαβεβαίωση ότι, κατά το χρόνο έκδοσης του πιστοποιητικού, ο υπογράφων, ο οποίος ταυτοποιείται στο αναγνωρισμένο πιστοποιητικό, ήταν κάτοχος των δεδομένων δημιουργίας υπογραφής που αντιστοιχούν στα δεδομένα επαλήθευσης υπογραφής που αναφέρονται στο πιστοποιητικό.
(γ) τη διαβεβαίωση ότι τόσο τα δεδομένα δημιουργίας υπογραφής όσο και τα δεδομένα επαλήθευσης υπογραφής μπορούν να χρησιμοποιηθούν συμπληρωματικά, εφόσον προέρχονται από τον παροχέα υπηρεσιών πιστοποίησης.
(2) Σε περίπτωση που ο παροχέας υπηρεσιών πιστοποίησης παραλείψει να καταγράψει σε μητρώο, όπως καθορίζεται σε Κανονισμούς, την ανάκληση του αναγνωρισμένου πιστοποιητικού, αυτός ευθύνεται επίσης για τη ζημία που προξενείται σε οποιονδήποτε φορέα ή φυσικό ή νομικό πρόσωπο, που ευλόγως βασίζεται στο εν λόγω πιστοποιητικό.
(3) Σε όλες τις παραπάνω περιπτώσεις που καθορίζονται στα εδάφια (1) και (2), ο παροχέας δεν ευθύνεται αν αποδείξει ότι δεν ενήργησε με αμέλεια.
(4)Στο αναγνωρισμένο πιστοποιητικό δύνανται να αναγράφονται, από τον παροχέα υπηρεσιών πιστοποίησης, περιορισμοί χρήσης αυτού, με την προϋπόθεση ότι οι περιορισμοί αυτοί τίθενται κατά τρόπο αναγνωρίσιμο από οποιονδήποτε τρίτο. Στην περίπτωση αυτή ο παροχέας υπηρεσιών πιστοποίησης δεν ευθύνεται για τη ζημία που προκαλείται από την υπέρβαση των αναφερόμενων περιορισμών κατά τη χρήση του αναγνωρισμένου πιστοποιητικού.
(5) Στο αναγνωρισμένο πιστοποιητικό δύνανται να αναγράφονται, από τον παροχέα υπηρεσιών πιστοποίησης, όρια για το ύψος των συναλλαγών για τις οποίες μπορεί να χρησιμοποιηθεί το σχετικό πιστοποιητικό, με την προϋπόθεση ότι τα όρια αυτά τίθενται κατά τρόπο αναγνωρίσιμο από οποιονδήποτε τρίτο. Στην περίπτωση αυτή ο παροχέας υπηρεσιών πιστοποίησης δεν ευθύνεται για τη ζημία που προκαλείται από την υπέρβαση των ορίων αυτών.
(6) Τα οριζόμενα στις διατάξεις των εδαφίων 1 έως 5, ισχύουν με την επιφύλαξη των διατάξεων του περί Καταχρηστικών Ρητρών σε Καταναλωτικές Συμβάσεις Νόμου, που αφορούν τις καταχρηστικές ρήτρες των συμβάσεων που συνάπτονται με καταναλωτές.
10.-(1) Η προσφορά υπηρεσιών πιστοποίησης εντός της επικράτειας της Δημοκρατίας, από παροχέα υπηρεσιών πιστοποίησης που είναι εγκατεστημένος στη Δημοκρατία, διέπεται από τον παρόντα Νόμο.
(2) [Διαγράφηκε].
(3) [Διαγράφηκε].
(4) Τα αναγνωρισμένα πιστοποιητικά, που εκδίδονται στο κοινό από παροχέα υπηρεσιών πιστοποίησης, ο οποίος είναι εγκατεστημένος σε τρίτη χώρα, είναι νομικώς ισοδύναμα με τα εκδιδόμενα από παροχέα υπηρεσιών πιστοποίησης εγκατεστημένο στην Ευρωπαϊκή Ένωση, εφόσον:
(α) Ο παροχέας υπηρεσιών πιστοποίησης πληροί τις απαιτήσεις που καθορίζονται στον παρόντα Νόμο και κατέχει εθελοντική εξουσιοδότηση δυνάμει του παρόντος Νόμου ή έχει αδειοδοτηθεί από άλλο κράτος μέλος δυνάμει διαδικασίας αντίστοιχης με αυτή της εθελοντικής εξουσιοδότησης που αναφέρεται στο άρθρο 8, ή
(β) για το συγκεκριμένο πιστοποιητικό έχει εγγυηθεί παροχέας υπηρεσιών πιστοποίησης, που είναι εγκατεστημένος σε κράτος μέλος και έχει αδειοδοτηθεί δυνάμει διαδικασίας αντίστοιχης με αυτή της εθελοντικής εξουσιοδότησης που αναφέρεται στο άρθρο 8, ή
(γ) το πιστοποιητικό παροχέα υπηρεσιών πιστοποίησης αναγνωρίζεται δυνάμει διμερούς ή πολυμερούς συμφωνίας μεταξύ της Ευρωπαϊκής Ένωσης και τρίτων χωρών ή διεθνών οργανισμών.
11.-(1) Χωρίς επηρεασμό της εφαρμογής των διατάξεων του περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) Νόμου, ο παροχέας υπηρεσιών πιστοποίησης που εκδίδει πιστοποιητικά στο κοινό δύναται να συγκεντρώνει δεδομένα προσωπικού χαρακτήρα μόνο απευθείας από το πρόσωπο το οποίο αφορούν ή κατόπιν ρητής συγκατάθεσής του και μόνο στο βαθμό που είναι απαραίτητο για την έκδοση και διατήρηση του πιστοποιητικού:
(2) Επιτρέπεται στους παροχείς υπηρεσιών πιστοποίησης να αναγράφουν στο πιστοποιητικό το ψευδώνυμο αντί του ονόματος του υπογράφοντος.
12. Η Αρμόδια Αρχή ενημερώνει την Επιτροπή και τα άλλα κράτη μέλη για τα ακόλουθα:
(α) Κοινοποιεί πληροφορίες σχετικά με τα συστήματα εθελοντικής εξουσιοδότηση, συμπεριλαμβανομένων όλων των ενδεχόμενων πρόσθετων απαιτήσεων σύμφωνα με το άρθρο 8.
(β) κοινοποιεί τα στοιχεία, τις ονομασίες και διευθύνσεις των εθνικών φορέων που είναι αρμόδιοι για εξουσιοδότηση και επίβλεψη.
(γ) κοινοποιεί τα στοιχεία, τις ονομασίες και διευθύνσεις όλων των εξουσιοδοτημένων εθνικών παροχέων υπηρεσιών πιστοποίησης.
(2) Η Αρμόδια Αρχή ανακοινώνει το ταχύτερο δυνατό στην Επιτροπή, τυχόν αλλαγές στις πιο πάνω πληροφορίες.
13.-(1) Οποιοσδήποτε παροχέας υπηρεσιών πιστοποίησης-
(α) ενεργεί ως εξουσιοδοτημένος παροχέας υπηρεσιών πιστοποίησης χωρίς να είναι τέτοιος, ή
(β) εκδίδει αναγνωρισμένα πιστοποιητικά χωρίς να συμμορφώνεται με τις προϋποθέσεις των Παραρτημάτων Ι και ΙΙ για την έκδοση τέτοιων πιστοποιητικών, ή
(γ) συγκεντρώνει δεδομένα προσωπικού χαρακτήρα με τρόπο που παραβιάζει τις διατάξεις του εδαφίου (1) του άρθρου 11,
είναι ένοχος αδικήματος και, σε περίπτωση καταδίκης του, υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει τους δώδεκα μήνες ή σε χρηματική ποινή που δεν υπερβαίνει τις πέντε χιλιάδες ευρώ (€5.000) ή και στις δύο αυτές ποινές.
(2) Οποιοσδήποτε παροχέας υπηρεσιών πιστοποίησης παραλείπει να συμμορφωθεί με Κανονισμούς, είναι ένοχος αδικήματος και σε περίπτωση καταδίκης του, υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει τους έξι μήνες ή σε χρηματική ποινή που δεν υπερβαίνει τις τρεις χιλιάδες ευρώ (€3.000) ή και στις δύο αυτές ποινές.
(3) Οποιοσδήποτε παροχέας υπηρεσιών πιστοποίησης δεν παρέχει την απαιτούμενη από αυτόν πληροφορία, κατά παράβαση ή παράλειψη συμμόρφωσης με το άρθρο 7, είναι ένοχος αδικήματος και σε περίπτωση καταδίκης του, υπόκειται σε χρηματική ποινή που δεν υπερβαίνει τις τρεις χιλιάδες ευρώ (€3.000).
13Α. Δεν ασκείται ποινική δίωξη δυνάμει των διατάξεων του παρόντος Νόμου χωρίς τη συναίνεση του Γενικού Εισαγγελέα της Δημοκρατίας.
13Β.-(1) Η Αρμόδια Αρχή δύναται, κατά τα προβλεπόμενα στην παράγραφο (ζ) του εδαφίου (2) του άρθρου 5, να επιβάλλει σε πρόσωπο διοικητικό πρόστιμο, ανάλογα με τη βαρύτητα της παράβασης, ανεξάρτητα από το αν συντρέχει περίπτωση ποινικής ευθύνης δυνάμει των διατάξεων του παρόντος Νόμου ή οποιουδήποτε άλλου νόμου.
(2) Η Αρμόδια Αρχή, προτού επιβάλει διοικητικό πρόστιμο, ειδοποιεί το επηρεαζόμενο πρόσωπο για την πρόθεσή της αυτή, ενημερώνοντάς το για τους λόγους για τους οποίους προτίθεται να πράξει τούτο και παρέχοντας σε αυτό το δικαίωμα υποβολής παραστάσεων, μέσα σε προθεσμία τριάντα ημερών από την ημέρα της ειδοποίησης.
(3) Η Αρμόδια Αρχή επιβάλλει διοικητικό πρόστιμο δυνάμει των διατάξεων του εδαφίου (1) με γραπτή και αιτιολογημένη απόφασή της, την οποία διαβιβάζει στο επηρεαζόμενο πρόσωπο. Η απόφαση αυτή -
(α) καθορίζει την παράβαση.
(β) πληροφορεί το επηρεαζόμενο πρόσωπο -
(i) περί του δικαιώματός του να προσβάλει την απόφαση με προσφυγή στο Ανώτατο Δικαστήριο, σύμφωνα με το Άρθρο 146 του Συντάγματος· και
(ii) περί της προθεσμίας εντός της οποίας δύναται να ασκηθεί το προαναφερόμενο δικαίωμα· και
(γ) καθίσταται εκτελεστή με την εν λόγω διαβίβασή της.
(4) Σε περίπτωση άρνησης ή/και παράλειψης προσώπου, στο οποίο επιβλήθηκε διοικητικό πρόστιμο δυνάμει των διατάξεων του παρόντος Νόμου, να καταβάλει στην Αρμόδια Αρχή τέτοιο πρόστιμο, η Αρμόδια Αρχή λαμβάνει δικαστικά μέτρα και εισπράττει το οφειλόμενο ποσό ως αστικό χρέος οφειλόμενο στη Δημοκρατία.
14.-(1) Το Υπουργικό Συμβούλιο έχει εξουσία να εκδίδει Κανονισμούς για τη ρύθμιση οποιουδήποτε θέματος χρήζει ή είναι δεκτικό καθορισμού με Κανονισμούς για την καλύτερη εφαρμογή των διατάξεων του παρόντος Νόμου.
(2) Χωρίς επηρεασμό της γενικότητας του εδαφίου (1), Κανονισμοί που εκδίδονται με βάση τον παρόντα Νόμο μπορούν να προβλέπουν ειδικότερα για:
(α) Ενδεχόμενες πρόσθετες απαιτήσεις που δύνανται να εξαρτούν τη χρήση των ηλεκτρονικών υπογραφών στο δημόσιο τομέα:
(β) τις λεπτομέρειες άσκησης των αρμοδιοτήτων, εξουσιών και υποχρεώσεων της Αρμόδιας Αρχής που αναφέρονται στο άρθρο 5.
(γ) τις διαδικασίες εθελοντικής εξουσιοδότησης δυνάμει του εδαφίου (2) του άρθρου 8 και την καθιέρωση κατάλληλου συστήματος που καθιστά δυνατή την επιτήρηση των εγκατεστημένων στη Δημοκρατία παροχέων υπηρεσιών πιστοποίησης οι οποίοι εκδίδουν αναγνωρισμένα πιστοποιητικά·
(δ) τον καθορισμό των τελών που οφείλουν να καταβάλλουν οι ενδιαφερόμενοι για εθελοντική εξουσιοδότηση και οι κάτοχοι τέτοιων εξουσιοδοτήσεων δυνάμει του εδαφίου (1) του άρθρου 8 και των τελών που οφείλουν να καταβάλλουν οι παροχείς υπηρεσιών πιστοποίησης που εκδίδουν αναγνωρισμένα πιστοποιητικά· και
(ε) οποιοδήποτε άλλο θέμα αφορά ηλεκτρονικές υπογραφές για σκοπούς εναρμόνισης με νομικά δεσμευτικές ή μη πράξεις, εξαιρουμένων πράξεων τεχνικού περιεχομένου, της Ευρωπαϊκής Ένωσης ή διεθνούς οργανισμού.
(3) Οι Κανονισμοί που εκδίδονται δυνάμει του παρόντος Νόμου τίθενται σε ισχύ κατά την ημερομηνία δημοσίευσής τους στην Επίσημη Εφημερίδα της Δημοκρατίας εκτός αν προβλέπεται σε αυτούς διαφορετικά.
15.–(1) Η Αρμόδια Αρχή έχει εξουσία να εκδίδει Διατάγματα που συνιστούν κανονιστικές διοικητικές πράξεις για:
(α) Τον καθορισμό και την τροποποίηση των τεχνικών προδιαγραφών που πρέπει να πληρούνται αναφορικά με τη δημιουργία και επαλήθευση ηλεκτρονικής υπογραφής.
(β) την τροποποίηση των Παραρτημάτων του παρόντος Νόμου και των Κανονισμών. και
(γ) οποιοδήποτε άλλο θέμα αφορά ηλεκτρονικές υπογραφές για σκοπούς εναρμόνισης με νομικά δεσμευτικές ή μη πράξεις τεχνικού περιεχομένου της Ευρωπαϊκής Ένωσης ή διεθνούς οργανισμού.
(2) Διατάγματα που εκδίδονται από την Αρμόδια Αρχή δυνάμει του παρόντος Νόμου ή των Κανονισμών, εξαιρουμένων των Διαταγμάτων που συνιστούν ατομικές διοικητικές πράξεις, δημοσιεύονται στην Επίσημη Εφημερίδα της Δημοκρατίας και τίθενται σε ισχύ από την ημερομηνία που καθορίζεται για το σκοπό αυτό σε κάθε σχετικό Διάταγμα, ή σε περίπτωση που δεν έχει καθοριστεί η ημερομηνία έναρξης της ισχύος τους, από την ημερομηνία της εν λόγω δημοσίευσης.
ΠΑΡΑΡΤΗΜΑ Ι
(άρθρα 2, 6 και 13)
Όροι ισχύοντες για αναγνωρισμένα πιστοποιητικά
Τα αναγνωρισμένα πιστοποιητικά πρέπει να περιλαμβάνουν:
(α) ένδειξη ότι το πιστοποιητικό εκδίδεται ως αναγνωρισμένο πιστοποιητικό·
(β) τα στοιχεία αναγνώρισης του παρόχου υπηρεσιών πιστοποίησης και το κράτος στο οποίο είναι εγκατεστημένο·
(γ) το όνομα του υπογράφοντος ή ψευδώνυμο που αναγνωρίζεται ως ψευδώνυμο·
(δ) πρόβλεψη ειδικού χαρακτηριστικού του υπογράφοντος, που θα περιληφθεί εφόσον είναι σημαντικό σε σχέση με τον σκοπό για τον οποίο προορίζεται το πιστοποιητικό·
(ε) δεδομένα επαλήθευσης υπογραφής που αντιστοιχούν σε δεδομένα δημιουργίας υπογραφής υπό τον έλεγχο του υπογράφοντος·
(στ) ένδειξη της έναρξης και τέλος της περιόδου ισχύος του πιστοποιητικού·
(ζ) τον κωδικό ταυτοποίησης του πιστοποιητικού·
(η) την προηγμένη ηλεκτρονική υπογραφή του παρόχου υπηρεσιών πιστοποίησης που το εκδίδει·
(θ) ενδεχομένως, περιορισμούς του πεδίου χρήσης του πιστοποιητικού, και
(ι) ενδεχομένως, όρια στο ύψος των συναλλαγών για τις οποίες το πιστοποιητικό μπορεί να χρησιμοποιηθεί.
ΠΑΡΑΡΤΗΜΑ ΙΙ
(άρθρα 2, 6 και 13)
Όροι ισχύοντες για παροχείς υπηρεσιών πιστοποίησης που εκδίδουν
αναγνωρισμένα πιστοποιητικά
Οι παροχείς υπηρεσιών πιστοποίησης πρέπει:
(α) Να αποδεικνύουν την απαραίτητη αξιοπιστία για την παροχή υπηρεσιών πιστοποίησης·
(β) να διασφαλίζουν την παροχή ασφαλών και άμεσων υπηρεσιών καταλόγου και ανάκλησης·
(γ) να διασφαλίζουν ότι η ημερομηνία και ο χρόνος έκδοσης ή ανάκλησης πιστοποιητικού μπορεί να προσδιοριστεί επακριβώς·
(δ) να προβαίνουν, με κατάλληλα μέσα και σύμφωνα με το εθνικό δίκαιο, σε επαλήθευση, της ταυτότητας και ενδεχομένως, τυχόν ειδικών χαρακτηριστικών του ατόμου στο όνομα του οποίου έχει εκδοθεί αναγνωρισμένο πιστοποιητικό·
(ε) να απασχολούν προσωπικό που διαθέτει την εμπειρογνωμοσύνη, την εμπειρία και τα προσόντα που είναι απαραίτητα για τις παρεχόμενες υπηρεσίες, ιδίως ικανότητα σε διαχειριστικό επίπεδο, εμπειρογνωμοσύνη στην τεχνολογία ηλεκτρονικών υπογραφών και εξοικείωση με τις κατάλληλες διαδικασίες ασφαλείας· πρέπει επίσης να χρησιμοποιούν κατάλληλες διοικητικές και διαχειριστικές διαδικασίες οι οποίες να αντιστοιχούν προς αναγνωρισμένα πρότυπα·
(στ) να χρησιμοποιούν αξιόπιστα συστήματα και προϊόντα ηλεκτρονικών υπογραφών τα οποία προστατεύονται έναντι τροποποίησης και διασφαλίζουν την τεχνική και κρυπτογραφική ασφάλεια των διεργασιών πιστοποίησης οι οποίες υποστηρίζονται από αυτά·
(ζ) να λαμβάνουν μέτρα έναντι της πλαστογράφησης πιστοποιητικών και, σε περίπτωση που ο πάροχος υπηρεσιών πιστοποίησης παράγει δεδομένα δημιουργίας υπογραφής, να εγγυώνται την τήρηση του απορρήτου κατά τη διάρκεια της διεργασίας παραγωγής των εν λόγω δεδομένων·
(η) να διαθέτουν επαρκείς χρηματικούς πόρους ώστε να λειτουργούν σύμφωνα με τις απαιτήσεις που καθορίζονται στην οδηγία, ιδίως για την ανάληψη της ευθύνης ζημιών, π.χ. με τη σύναψη κατάλληλης ασφάλισης·
(θ) να καταγράφουν το σύνολο των συναφών πληροφοριών που αφορούν ένα αναγνωρισμένο για κατάλληλη χρονική περίοδο, ιδίως για την παροχή αποδεικτικών στοιχείων πιστοποίησης σε νομικές διαδικασίες· η καταγραφή αυτή δύναται να πραγματοποιείται με ηλεκτρονικά μέσα·
(ι) να μην αποθηκεύουν δεδομένα δημιουργίας υπογραφής του ατόμου προς το οποίο ο παροχέας υπηρεσιών πιστοποίησης παρέσχε υπηρεσίες διαχείρισης κλειδιών·
(ια) προτού συνάψουν συμβατική σχέση με πρόσωπο που ζητά πιστοποιητικό από αυτούς για να κατοχυρώσει την ηλεκτρονική του υπογραφή, να το ενημερώνουν με ανθεκτικά μέσα επικοινωνίας σχετικά με τους ακριβείς όρους και προϋποθέσεις χρησιμοποίησης του πιστοποιητικού, της ύπαρξης μηχανισμού εθελοντικής διαπίστευσης και των διαδικασιών υποβολής παραπόνων και επίλυσης διαφορών. Οι πληροφορίες αυτές, οι οποίες δύνανται να διαβιβάζονται ηλεκτρονικώς, πρέπει να παρέχονται εγγράφως, σε εύκολα καταληπτή γλώσσα. Σχετικά αποσπάσματα των πληροφοριών αυτών καθίστανται επίσης προσιτά κατόπιν αιτήματος τρίτων οι οποίοι βασίζονται στο πιστοποιητικό αυτό·
(ιβ) να χρησιμοποιούν αξιόπιστα συστήματα για την αποθήκευση πιστοποιητικών σε επαληθεύσιμη μορφή, ούτως ώστε:
(i) μόνον αρμόδιοι να μπορούν να διενεργούν εισαγωγές και τροποποιήσεις,
(ii) να μπορεί να ελέγχεται η γνησιότητα των πληροφοριών,
(iii) να είναι δυνατή η κοινόχρηστη ανάκτηση πιστοποιητικών μόνον στις περιπτώσεις εκείνες για τις οποίες έχει δοθεί η συγκατάθεση του κατόχου, και
(iv) οι τυχόν τεχνικές αλλαγές που θέτουν σε κίνδυνο τις εν λόγω αιτήσεις ασφαλείας να γίνονται εμφανώς αντιληπτές από τον χειριστή.
ΠΑΡΑΡΤΗΜΑ ΙΙI
(άρθρα 2 και 5)
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας υπογραφής
1. Οι ασφαλείς διατάξεις δημιουργίας υπογραφής πρέπει, μέσω ενδεδειγμένων τεχνικών και διαδικαστικών μέσων, να διασφαλίζουν τουλάχιστον, ότι:
(α) Τα δεδομένα δημιουργίας υπογραφής που χρησιμοποιούνται προς παραγωγή υπογραφών από την ίδια ασφαλή διάταξη δημιουργίας υπογραφής, δημιουργούνται και χρησιμοποιούνται μόνο μια φορά και ότι το απόρρητο είναι διασφαλισμένο·
(β) τα δεδομένα δημιουργίας υπογραφής που χρησιμοποιούνται προς παραγωγή υπογραφών δεν μπορούν, με εύλογη βεβαιότητα, να αντληθούν από αλλού και ότι η υπογραφή προστατεύεται από πλαστογραφία με τα μέσα της σύγχρονης τεχνολογίας·
(γ) τα δεδομένα δημιουργίας υπογραφής που χρησιμοποιούνται προς παραγωγή υπογραφών μπορούν να προστατεύονται αποτελεσματικά από τον νόμιμο υπογράφοντα κατά της χρησιμοποίησης από τρίτους.
2. Οι ασφαλείς διατάξεις δημιουργίας υπογραφής δεν μεταβάλλουν τα προς υπογραφή δεδομένα ούτε εμποδίζουν την υποβολή των δεδομένων αυτών στον υπογράφοντα πριν από τη διαδικασία υπογραφής.
ΠΑΡΑΡΤΗΜΑ ΙV
(Άρθρο 5)
Συστάσεις για την ασφαλή επαλήθευση της υπογραφής
Κατά τη διαδικασία επαλήθευσης της υπογραφής θα πρέπει να διασφαλίζεται, με εύλογη βεβαιότητα, ότι:
(α) Τα δεδομένα που χρησιμοποιούνται προς επαλήθευση της υπογραφής αντιστοιχούν στα δεδομένα που εμφανίζονται στον επαληθεύοντα·
(β) η υπογραφή επαληθεύεται με αξιοπιστία και ότι το αποτέλεσμα της επαλήθευσης εμφανίζεται με τον ορθό τρόπο·
(γ) ο επαληθεύων μπορεί, ενδεχομένως, να ορίσει με βεβαιότητα τα περιεχόμενα των δεδομένων που υπογράφονται·
(δ) η γνησιότητα και η εγκυρότητα του πιστοποιητικού που απαιτείται κατά τη στιγμή της επαλήθευσης της υπογραφής έχουν ελεγχθεί με αξιοπιστία·
(ε) το αποτέλεσμα της επαλήθευσης όπως και η ταυτότητα του υπογράφοντος εμφανίζονται με τον ορθό τρόπο·
(στ) η χρησιμοποίηση ψευδωνύμου δηλώνεται εμφανώς, και
(ζ) μπορούν να εντοπιστούν τροποποιήσεις απτόμενες της ασφάλειας.
Οι περί του Νοιμικού Πλαισίου για τις Ηλεκτρονικές Υπογραφές καιθώς και για Συναφή Θέματα Νόμοι του 2004 έως 2012 καταργούνται [Σ.Σ.: δηλαδή ο Ν. 188(Ι)/2004].