Lagasafn.  Íslensk lög 12. apríl 2024.  Útgáfa 154b.  Prenta í tveimur dálkum.

Lög um rafræna auðkenningu og traustþjónustu fyrir rafræn viðskipti

2019 nr. 55 21. júní

Ferill málsins á Alþingi.   Frumvarp til laga.

Tóku gildi 1. janúar 2020. EES-samningurinn: XI. viðauki reglugerð 910/2014. Breytt með: L. 18/2021 (tóku gildi 1. okt. 2021). L. 75/2021 (tóku gildi 1. júlí 2021).

Ef í lögum þessum er getið um ráðherra eða ráðuneyti án þess að málefnasvið sé tilgreint sérstaklega eða til þess vísað, er átt við háskóla-, iðnaðar- og nýsköpunarráðherra eða háskóla-, iðnaðar- og nýsköpunarráðuneyti sem fer með lög þessi. Upplýsingar um málefnasvið ráðuneyta skv. forsetaúrskurði er að finna hér.

1. gr. Markmið.
Markmið laga þessara er að tryggja að örugg rafræn auðkenning og sannvottun sé möguleg til aðgangs að nettengdri þjónustu yfir landamæri sem aðildarríki á Evrópska efnahagssvæðinu bjóða einstaklingum og lögaðilum. Markmið laganna er einnig að auka traust í rafrænum viðskiptum með því að kveða á um réttaráhrif og kröfur til rafrænna auðkenningarleiða og traustþjónustu.
2. gr. Lögfesting.
Ákvæði reglugerðar Evrópuþingsins og ráðsins (ESB) nr. 910/2014 frá 23. júlí 2014 um rafræna auðkenningu og traustþjónustu fyrir rafræn viðskipti á innri markaðinum og um niðurfellingu á tilskipun 1999/93/EB, sem birt er í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 14 frá 8. mars 2018, bls. 241–282, skulu hafa lagagildi hér á landi með þeim aðlögunum sem leiðir af ákvörðun sameiginlegu EES-nefndarinnar nr. 22/2018, frá 9. febrúar 2018, sbr. einnig bókun 1 um altæka aðlögun við samninginn um Evrópska efnahagssvæðið, sbr. lög um Evrópska efnahagssvæðið, nr. 2/1993, þar sem bókunin er lögfest.
3. gr. Orðskýringar.
Merking orða í lögum þessum er sem hér segir:
   1. Fullgildur rafrænn innsiglisbúnaður er rafrænn innsiglisbúnaður sem, að breyttu breytanda, uppfyllir kröfurnar sem mælt er fyrir um í II. viðauka reglugerðar Evrópuþingsins og ráðsins (ESB) nr. 910/2014.
   2. Fullgildur rafrænn undirskriftarbúnaður er rafrænn undirskriftarbúnaður sem uppfyllir kröfurnar sem mælt er fyrir um í II. viðauka reglugerðar Evrópuþingsins og ráðsins (ESB) nr. 910/2014.
   3. Rafræn auðkenning er sú aðferð að nota auðkenningargögn aðila á rafrænu formi sem standa með einkvæmum hætti fyrir einstakling eða lögaðila eða einstakling sem er fulltrúi lögaðila.
   4. Rafræn auðkenningarleið er efnisleg og/eða óefnisleg eining sem inniheldur auðkenningargögn aðila og er notuð til sannvottunar vegna nettengdrar þjónustu.
   5. Rafræn auðkenningarskipan er fyrirkomulag fyrir rafræna auðkenningu sem rafrænar auðkenningarleiðir eru gefnar út undir, til handa einstaklingum eða lögaðilum eða einstaklingum sem eru fulltrúar lögaðila.
   6. Rafrænt innsigli eru gögn á rafrænu formi sem eru tengd við eða rökrænt vensluð við önnur gögn á rafrænu formi til að tryggja uppruna og heilleika hinna síðarnefndu.
   7. Sannvottun er rafrænt ferli sem gerir mögulegt að staðfesta rafræna auðkenningu á einstaklingi eða lögaðila eða uppruna og heilleika gagna á rafrænu formi.
   8. Traustþjónusta er rafræn þjónusta sem að öllu jöfnu er veitt gegn þóknun og felst í myndun, sannprófun og staðfestingu rafrænna undirskrifta, rafrænna innsigla eða rafrænna tímastimpla, rekjanlegrar rafrænnar afhendingarþjónustu og vottorða sem tengjast þessum þjónustum eða myndun, sannprófun og staðfestingu vottorða fyrir sannvottun vefsetra eða varðveislu rafrænna undirskrifta, innsigla eða vottorða sem tengjast þessum þjónustum.
   9. Traustþjónustuveitandi er einstaklingur eða lögaðili sem veitir eina eða fleiri tegundir traustþjónustu, annaðhvort sem fullgildur traustþjónustuveitandi eða traustþjónustuveitandi sem hefur ekki fullgildingu.
   10. Útfærð rafræn undirskrift er rafræn undirskrift sem uppfyllir kröfurnar sem settar eru fram í 26. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) nr. 910/2014.
   11. Útfært rafrænt innsigli er rafrænt innsigli sem uppfyllir kröfurnar sem settar eru fram í 36. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) nr. 910/2014.
4. gr. Eftirlit.
[Fjarskiptastofa]1) annast framkvæmd eftirlits samkvæmt reglugerð Evrópuþingsins og ráðsins (ESB) nr. 910/2014. [Fjarskiptastofa],1) undir yfirstjórn ráðherra, fer með eftirlit samkvæmt lögum þessum og reglum settum samkvæmt þeim.
[Fjarskiptastofa]1) getur mælt fyrir um nauðsynlegar aðgerðir eða lagt bann við háttsemi eftir því sem við getur átt hverju sinni gagnvart þeim sem brjóta gegn ákvæðum laga þessara eða reglna settra samkvæmt þeim.
[Fjarskiptastofa]1) getur krafið eftirlitsskylda aðila um upplýsingar og gögn sem nauðsynleg eru í þágu eftirlitsins. Skulu upplýsingar og gögn afhent innan hæfilegs frests sem stofnunin setur eða með reglubundnum hætti samkvæmt fyrirmælum stofnunarinnar.
[Fjarskiptastofa]1) getur í þágu eftirlits krafist upplýsinga og gagna frá öðrum stjórnvöldum óháð þagnarskyldu þeirra.
[Fjarskiptastofu]1) er án dómsúrskurðar heimill aðgangur í eftirlitsstörfum sínum að starfsstöð, búnaði og gögnum eftirlitsskyldra aðila. Skulu þeir veita upplýsingar og með öðrum hætti aðstoða stofnunina við framkvæmd eftirlitsins. [Fjarskiptastofa]1) getur óskað liðveislu lögreglu ef tilraun er gerð til að hindra hana í eftirlitsstörfum sínum.
Heimild [Fjarskiptastofu]1) til þess að krefjast aðgangs að starfsstöð, búnaði, upplýsingum og gögnum verður ekki takmörkuð með vísan til reglna um þagnarskyldu.
Starfsmenn [Fjarskiptastofu]1) eru bundnir þagnarskyldu. Þeir mega ekki að viðlagðri ábyrgð samkvæmt ákvæðum almennra hegningarlaga skýra óviðkomandi frá því sem þeir komast að í starfi sínu og leynt á að fara um viðskipti og rekstur traustþjónustuveitenda, tengdra aðila eða annarra, nema dómari úrskurði að upplýsingar sé skylt að veita fyrir dómi eða lögreglu eða skylda sé að veita upplýsingar lögum samkvæmt. Sama gildir um sérfræðinga sem starfa fyrir [Fjarskiptastofu]1) að eftirliti samkvæmt lögum þessum. Þagnarskyldan helst þótt látið sé af starfi.
   1)L. 18/2021, 20. gr., sbr. l. 75/2021, 32. gr.
5. gr. Málsmeðferð.
[Fjarskiptastofa]1) getur að eigin frumkvæði eða eftir ábendingu eða kvörtun tekið mál til meðferðar er varðar ákvæði laga þessara og heyrir undir eftirlit stofnunarinnar. [Fjarskiptastofa]1) tekur ákvörðun um hvort erindi sem berst stofnuninni gefi nægar ástæður til rannsóknar.
2)
Ákvarðanir [Fjarskiptastofu]1) um að leggja á sektir og dagsektir eru aðfararhæfar og renna sektirnar til ríkissjóðs að frádregnum kostnaði við innheimtuna.
   1)L. 18/2021, 20. gr., sbr. l. 75/2021, 32. gr. 2)L. 18/2021, 21. gr.
6. gr. Dagsektir.
[Fjarskiptastofa]1) getur lagt dagsektir á traustþjónustuveitanda að liðnum tilteknum fresti veiti hann ekki umbeðnar upplýsingar eða gögn, fari ekki að kröfum stofnunarinnar um úrbætur eða sinni ekki kröfum eftirlitsins að öðru leyti.
Fjárhæð dagsekta skal ákvörðuð með hliðsjón af eðli brotsins. Dagsektir geta numið frá 50 þús. kr. til 500 þús. kr. á dag og greiðast þar til farið hefur verið að kröfum [Fjarskiptastofu]1) skv. 1. mgr.
Ákvörðun um dagsektir má skjóta til [úrskurðarnefndar fjarskipta- og póstmála]2) innan fjórtán daga frá því að hún er kynnt þeim sem hún beinist að. Dagsektir reiknast ekki fyrr en frestur er liðinn. Ef ákvörðun er skotið til [úrskurðarnefndar fjarskipta- og póstmála]2) falla dagsektir ekki á fyrr en niðurstaða hennar liggur fyrir.
   1)L. 18/2021, 20. gr., sbr. l. 75/2021, 32. gr. 2)L. 18/2021, 22. gr.
7. gr. Viðurlög.
[Fjarskiptastofu]1) er heimilt að leggja stjórnvaldssektir á þá sem:
   a. koma fram sem fullgildir traustþjónustuveitendur án þess að vera skráðir sem slíkir samkvæmt því sem mælt er fyrir um í lögum þessum og reglugerð Evrópuþingsins og ráðsins (ESB) nr. 910/2014,
   b. neita að veita upplýsingar eða gögn skv. 4. gr. eða
   c. gefa rangar eða villandi upplýsingar til [Fjarskiptastofu].1)
Sektir skv. 1. mgr. geta numið allt að 10 millj. kr. Við ákvörðun á fjárhæð sekta skal hafa hliðsjón af eðli og umfangi brota, hvað brot hafa staðið lengi og hvort um ítrekað brot er að ræða. Falla má frá sektarákvörðun teljist brot óverulegt eða af öðrum ástæðum sé ekki talin þörf á slíkum sektum til að framfylgja lögunum. Ákvörðun [Fjarskiptastofu]1) um sektir má skjóta til [úrskurðarnefndar fjarskipta- og póstmála].2)
Sektir renna til ríkissjóðs að frádregnum kostnaði við innheimtu.
Málskot til [úrskurðarnefndar fjarskipta- og póstmála]2) frestar aðför.
   1)L. 18/2021, 20. gr., sbr. l. 75/2021, 32. gr. 2)L. 18/2021, 22. gr.
8. gr. Reglugerðarheimildir.
Ráðherra er heimilt að setja í reglugerð1) nánari ákvæði um framkvæmd laga þessara, þar á meðal um:
   a. samstarf stofnana,
   b. stofnun sameiginlegs traustmerkis,
   c. ákvörðun fullvissustigs,
   d. stofnun umgjarðar um innlendar rafrænar auðkenningarskipanir og tilkynningu þeirra,
   e. traustlista,
   f. faggildingu samræmismatsstofa, útfærslu samræmismatsskýrslna og reglur fyrir framkvæmd samræmismats,
   g. kröfur til og vottun á fullgildum rafrænum undirskriftar- og innsiglisbúnaði,
   h. kröfur til faggiltrar sannprófunarþjónustu fyrir rafræna undirritun og rafræn innsigli og um tilvísunarform fyrir útfærða rafræna undirskrift og útfærð rafræn innsigli í opinbera geiranum.
Ráðherra er heimilt að setja í reglugerð nánari fyrirmæli um tilhögun eftirlits og önnur verkefni [Fjarskiptastofu]2) samkvæmt lögum þessum.
Ráðherra getur með reglugerð falið [Fjarskiptastofu]2) að:
   a. annast tilkynningar til Eftirlitsstofnunar EFTA samkvæmt reglugerð Evrópuþingsins og ráðsins (ESB) nr. 910/2014, þar á meðal um rafræna auðkenningarskipan sem ráðherra ákveður að tilkynna,
   b. koma á, viðhalda og birta traustlista og
   c. birta og uppfæra á vefsíðu sinni tilvísunarnúmer staðla sem gilda um nánari framkvæmd reglugerðar Evrópuþingsins og ráðsins (ESB) nr. 910/2014.
Ráðherra er heimilt að setja í reglugerð ákvæði um gjald, fjárhæð þess og greiðslu sem fullgildur traustþjónustuveitandi þarf að greiða vegna úttektar [Fjarskiptastofu]2) í þeim tilgangi að staðfesta að hann og fullgilda traustþjónustan sem hann veitir uppfylli kröfur laga þessara.
   1)Rg. 100/2020, sbr. 310/2020, 314/2020 og 582/2023. 2)L. 18/2021, 20. gr., sbr. l. 75/2021, 32. gr.
9. gr. Gildistaka.
Lög þessi öðlast gildi 1. janúar 2020.

10. gr. Breytingar á öðrum lögum.
Ákvæði til bráðabirgða.
Vottunaraðili sem gefur út fullgild vottorð samkvæmt lögum um rafrænar undirskriftir, nr. 28/2001, við gildistöku laga þessara skal leggja fram samræmismatsskýrslu hjá Neytendastofu eins fljótt og kostur er og eigi síðar en 1. september 2020. Slíkur vottunaraðili skal teljast fullgildur traustþjónustuveitandi samkvæmt lögum þessum þar til samræmismatsskýrsla hefur verið lögð fram og Neytendastofa lokið mati sínu.