Elektronik İmzalar İçin Topluluk Çerçevesi konusunda 13 Aralık 1999 tarihli 1999/93/AT sayılı Avrupa Parlamentosu ve Konsey Direktifi ("Elektronik İmzalar İçin Topluluk Çerçevesi")

Topluluk Resmi Gazetesi No: L 013, 19.1.2000, s.0012-0020

AVRUPA PARLAMENTOSU VE AVRUPA BİRLİĞİ KONSEYİ,

Avrupa Topluluğunu kuran Antlaşmayı ve özellikle bu Antlaşmanın 47/2 , 55 ve 95. maddelerini,
Komisyon'un önerisini(1),
Ekonomik ve Sosyal Komite'nin görüşünü (2),
Bölgeler Komitesi'nin görüşünü (3),
Göz önünde bulundurarak,
Antlaşma'nın 251. maddesinde öngörülen prosedür (4) uyarınca hareket ederek,

Aşağıdaki konuları dikkate alarak :

(1) 16 Nisan 1997'de, Komisyon, Avrupa Parlamentosu'na, Konsey'e, Ekonomik ve Sosyal Komite'ye ve Bölgeler Komitesi'ne, Elektronik Ticaretle İlgili bir Avrupa Girişimi önerisi sunmuştur;

(2) 8 Ekim 1997'de, Komisyon, Avrupa Parlamentosu'na, Konsey'e, Ekonomik ve Sosyal Komite'ye ve Bölgeler Komitesi'ne elektronik iletişimde emniyet ve güvenin sağlanması-numaralandırma ve dijital imzalar konularında Avrupa çerçevesine doğru isimli bir öneri sunmuştur.

(3) 1 Aralık 1997'de, Konsey, Komisyon'u, mümkün olan en kısa sürede, Avrupa Parlamentosu ve Konsey'e sunmak üzere, sayısal imzalarla ilgili bir direktif önerisi hazırlamaya davet etmiştir.

(4) Elektronik iletişim ve ticaret, "elektronik imzaları" ve verilerin tasdik edilmesini sağlayacak ilgili hizmetleri gerekli kılmaktadır; elektronik imzaların hukuki olarak tanınmasına ilişkin kuralların farklılığı ve üye ülkelerde sertifikasyon hizmet yükümlülerinin akreditasyonu, elektronik iletişimin kullanılmasında ve elektronik ticarette ciddi bir engel oluşturabilmektedir; öte yandan elektronik imzalara uygulanabilecek koşullara ilişkin bir Topluluk çerçevesi oluşturulması, yeni teknolojilere olan güvenin güçlendirilmesi ve genel kabulünün sağlanmasına katkıda bulunacaktır; üye ülkelerdeki mevzuat değişiklikleri, malların ve hizmetlerin iç pazarda serbest dolaşımını engellememelidir.

(5) Elektronik imza ürünlerinin birlikte kullanılabilirliğinin geliştirilmesi gereklidir; işbu Antlaşmanın 14. maddesine uygun olarak, iç pazar, malların serbest dolaşımının sağlandığı bir ortamı içermelidir; elektronik imza ürünlerine özel esaslı şartların, Konsey'in 19 Aralık 1994 tarihli (AT) 3381/94 sayılı, çift kullanımlı malların ihracatının kontrolünü sağlayacak bir Topluluk rejimini oluşturan düzenlemesi (5) ve Konsey'in 19 Aralık 1994 tarihli, çift kullanımlı malların ihracatının kontrolüyle ilgili Konsey tarafından kabul edilen ortak eyleme ilişkin 94/942/CFSP sayılı kararına (6) halel getirmeksizin, iç pazarda serbest dolaşımın sağlanması ve elektronik imzalara olan güvenin yaratılması açısından yerine getirilmesi gereklidir.

(6) Bu Direktif, hizmetlerin sunulması çerçevesinde, ulusal mevzuatın, kamu düzeni veya kamu güvenliği tarafından düzenlenen bilginin gizliliği ile ilgili kısımlarını uyumlaştırmamaktadır.

(7) İç Pazar kişilerin serbest dolaşımını teminat altına almakta ve bu nedenle AB vatandaşları ile AB'de ikamet edenler, ikamet ettikleri ülkeden farklı üye ülke yetkilileri ile ilişki kurmak durumunda kalmaktadırlar; elektronik iletişimin mevcudiyeti bu durumda büyük yarar sağlayabilecektir.

(8) Hızlı teknolojik gelişme ve Internetin küresel niteliği, çeşitli teknolojilere açık bir yaklaşımı ve verilerin elektronik yoldan tasdikini sağlayacak hizmetleri gerektirmektedir.

(9) Elektronik imzalar, bu imzalarla ilgili ya da onları kullanan yeni ürün ve hizmetlerin ortaya çıkmasına yol açan çok çeşitli durum ve uygulamalarda kullanılacaktır; bu ürün ve hizmetlerin tanımı, sertifika verilmesi ve yönetimiyle sınırlı kalmamalı, aynı zamanda, elektronik imzaları kullanan ya da ilişkili olan, zaman damgalama hizmetleri, rehber hizmetleri, bilgisayar hizmetleri veya elektronik imzayla ilgili danışma şirketleri vs. gibi tüm hizmetleri, kapsamalıdır.

(10) İç Pazar, sertifikasyon hizmeti sunucularına, uluslararası faaliyetlerini geliştirerek rekabet güçlerini arttırma ve böylece tüketicilere ve firmalara yeni bilgi değişimi olanakları verme ve sınırlara tabi olmaksızın elektronik yolla serbestçe tamamen güvenli olarak ticaret yapma imkanını sağlamaktadır; açık şebekeler kanalıyla Topluluk çapında sertifikasyon hizmetlerinin sunulmasının geliştirilmesi için, sertifikasyon hizmeti sunucularının hizmetlerini önceden izin almaksızın sunmaları konusunda serbestiye sahip olmaları gereklidir; önceden izin alma, sadece sertifikasyon hizmeti vermeden önce ilgili hizmet sunucusunun ulusal yetkililerden sertifikasyon hizmetini sunabilmesi için onay almasını değil, aynı zamanda aynı etkiyi gösterecek diğer tüm önlemleri de kapsamaktadır;

(11) Daha iyi hizmet sağlamayı amaçlayan ihtiyari akreditasyon sistemleri, sertifikasyon hizmeti sunucularına, gelişmekte olan pazar için gerekli güven, emniyet ve kalite düzeyine erişebilme amacıyla hizmetlerini geliştirmelerini sağlayacak uygun çerçeveyi oluşturabilir; bu sistemlerin sertifikasyon hizmeti sunucuları arasında en iyi uygulamanın gelişimini desteklemesi gereklidir; sertifikasyon hizmeti sağlayıcıları bu akreditasyon sistemine katılmakta ve bundan yararlanmakta serbest olmalıdır.

(12) Sertifikasyon hizmeti, ulusal hukuka uygun olarak kurulması şartıyla bir kamu kuruluşu tarafından verilebileceği gibi gerçek ya da tüzel bir kişi tarafından da verilebilir; üye ülkeler sertifika sunucularının ihtiyari akreditasyon sistemleri dışında faaliyet göstermelerini yasaklamamalıdır; bu akreditasyon sistemlerinin sertifikasyon hizmeti alanında rekabeti kısıtlamamasının temin edilmesi gereklidir.

(13) Üye ülkeler bu Direktifte öngörülen düzenlemelere uyulmasının denetimini ne şekilde temin edeceklerini kendileri kararlaştırabilirler; bu Direktif, özel sektör nitelikli denetim sistemi uygulamalarının kurulmasına engel teşkil etmemektedir; bu Direktif, sertifikasyon hizmeti sunucularına, uygulanmakta olan herhangi bir akreditasyon sistemi çerçevesinde denetime başvurma zorunluluğu getirmemektedir.
(14) Tüketici ve iş dünyasının ihtiyaçları arasında bir denge kurulması önemlidir.

(15) Ek III, ileri elektronik imzaların işlevselliğini güvence altına almak için, güvenli imza oluşum araçlarıyla ilgili gerekleri içermektedir olup, bu araçların faaliyet gösterdiği tüm sistem alanını kapsamamaktadır; iç pazarın iyi işlemesi Komisyonun ve Üye Devletlerin Ek III'teki güvenli imzaların oluşturulması araçlarının uygunluk değerlendirmesi ile görevli kurumların oluşturulmasını sağlamak üzere hızla harekete geçmeleri gerekmektedir; pazar ihtiyaçlarını karşılayabilmek bakımından uygunluk denetiminin zamanında ve etkili biçimde gerçekleştirilmesi gereklidir;

(16) Bu direktif, Toplulukta elektronik imzaların hukuken tanınmasına katkı sağlamaktadır; özellikle münhasıran belirli sayıda katılımcı arasındaki ihtiyari özel hukuk anlaşmalarına dayalı sistemler içinde kullanılan elektronik imzalar için düzenleyici bir çerçeve gerekli değildir; tarafların aralarında imzalı elektronik verileri kabul etme kural ve koşullarını kararlaştırma serbestisine, ulusal hukuk tarafından belirlenen sınırlar içerisinde kalmak kaydıyla, saygı duyulmalıdır; bu tür sistemlerde kullanılan elektronik imzaların hukuki etkililiklerinin ve yargı süreçlerinde kanıt olarak kullanılabilmelerinin kabulü gereklidir.

(17) Bu direktif, sözleşme hukuku, özellikle sözleşmelerin yapılması ya da ifası ya da imzalarla ilgili sözleşme dışı nitelikteki diğer şekil şartları konusundaki ulusal kuralları uyumlaştırmayı amaçlamamaktadır; bu nedenle elektronik imzaların hukuki etkileri ile ilgili hükümlerin, ulusal hukukun sözleşmelerin yapılması ya da sözleşmelerin yapıldığı yer ile ilgili şartlarına halel getirmemesi gerekmektedir.

(18) İmza yaratım datasının saklanması ve kopyalanması, elektronik imzaların hukuken geçerliliğini tehlikeye düşürebilecek niteliktedir.

(19) Elektronik imzalar, kamu sektöründe ulusal ve Topluluk idareleri nezdinde ve bu idareler arasındaki iletişim çerçevesinde, ayrıca bu idareler ile vatandaşlar ve ekonomik faaliyetlerde bulunanlar arasında (örneğin kamu ihaleleri, vergilendirme, sosyal güvenlik, sağlık ve adli sistem alanlarında) kullanılacaktır.

(20) Elektronik imzaların hukuki etkileriyle ilgili uyumlaştırılmış kriterler, Topluluk çapındaki tutarlı hukuki çerçeveyi koruyacaktır; ulusal hukuklar, el ile atılmış imzaların hukuki geçerlilikleriyle ilgili farklı şartlar öngörmektedirler; bununla birlikte, sertifikalar elektronik olarak imza atan bir kişinin kimliğini doğrulamak için kullanılabilir; nitelikli (mevsuf, vasıflı) sertifikalara dayalı ileri elektronik imzalar, daha üst düzeyde güvenliği öngörmektedir; nitelikli sertifikalara dayalı ve güvenli imza yaratımı tertibatı ile oluşturulan ileri elektronik imzalar, ancak el ile imzanın koşulları yerine getirilmişse, el ile imzaya, hukuken denk tutulabilir.

(21) Elektronik tasdik sistemlerinin genel kabulüne katkı sağlanması açısından, tüm üye devletlerde hukuki süreçlerde kanıt olarak kullanılabilmelerinin temini gereklidir; elektronik imzaların hukuken tanınması objektif kriterlerle bağlanmalı ve ilgili sertifikasyon hizmeti sunucusunun onayı ile ilişkilendirilmemelidir; ulusal hukuk elektronik dokümanların ve elektronik imzaların kullanılabileceği hukuki alanları belirler; bu Direktif, ne ulusal mahkemelerin bu direktifin gereklerine uygunluk konusundaki kararlarına, ne de kanıtların serbest takdiri ile ilgili ulusal kurallara halel getirmez.

(22) Sertifikasyon hizmeti sunucuları, kamuya sertifikasyon hizmetleri sağladıklarında, sorumluluk, ilgili ulusal hukuka tabidir.

(23) Uluslararası elektronik ticaretin gelişimi üçüncü ülkeleri içine alan uluslararası anlaşmaları gerektirmektedir; küresel karşılıklı işlerliğini temin edebilmek için, sertifikasyon hizmetlerinin karşılıklı tanınması hususunda, üçüncü ülkelerle çok taraflı anlaşmalar imzalanması yararlı olabilir;

(24) İletişimde ve elektronik ticarette kullanıcıların güvenini arttırmak için, servis hizmeti sunucularının özel hayata ve veri koruma kanunlarına saygılı olmaları gereklidir.

(25) Sertifikalarda takma isim kullanılmasıyla ilgili düzenlemeler, üye ülkelerde Topluluk veya ulusal hukuka uygun olarak kişilerden kimlik istenmesini engellemez.

(26) Bu Direktifin uygulanmasıyla ilgili hukuki önlemler, Konseyin, Komisyonun yürütme yetkilerinin uygulanma koşullarını belirleyen, 28 Haziran 1999 tarih ve 1999/468/AT sayılı kararına (7) uygun olarak alınmalıdır.

(27) Uygulanmasının iki yıl ardından Komisyon, bu direktifi tekrar inceleyecek ve gelişen teknoloji ya da değişikliklerin yasal çerçevede bu direktifte belirlenen amaçlara erişilmesini engelleyip engellemediğini belirleyecektir; ilgili teknik alanlardaki etkilerin incelenerek Parlamento ve Konsey'e bu konuda bir rapor hazırlanması da gerekmektedir.

(28) Antlaşmanın 5. Maddesinde belirtilen, sübsidiarite (yetki ikamesi) ve orantılılık kurallarına uygun olarak, elektronik imzaların ve ilgili hizmetlerin sağlanmasına yönelik uyumlu bir hukuki çerçevenin oluşturulması hedefi üye devletlerce yeterli olarak gerçekleştirilemeyeceğinden, Topluluk tarafından gerçekleştirilmesi daha faydalı olacaktır; bu Direktif söz konusu hedefe ulaşılmasının gerektirdiğinin ötesine geçemez.

BU DİREKTİFİ KABUL ETMİŞTİR :

Madde 1
Uygulama alanı (kapsam)
Bu direktifin amacı elektronik imzaların kullanımını kolaylaştırmak ve hukuken tanınmalarına katkıda bulunmaktır. Direktif, elektronik imzalar ve bazı sertifikasyon hizmetleri için, iç pazarın iyi işlemesinin temini amacıyla, hukuki bir çerçeve çizmektedir.
Direktif, sözleşmelerin yapılmasına ve geçerliliğine veya ulusal ya da Topluluk mevzuatı tarafından öngörülen şekle ilişkin diğer şartları içermediği gibi, belgelerin kullanımıyla ilgili, ulusal ya da Topluluk hukukunda belirtilen, kural ve kısıtlamaları da etkilemez.

Madde 2
Tanımlar
Bu Direktifin amacı bakımından :
1) "elektronik imza", mantıken diğer elektronik verilere bağlı ya da bileşik olan ve bir tasdik yöntemi oluşturan elektronik formda bir veridir.
2) "ileri elektronik imza" aşağıdaki gerekleri yerine getiren bir elektronik imzadır:
a) sadece imzalayana bağlıdır;
b) imzalayanın kim olduğunu belirlemeye imkan verir;
c) sadece imzalayanın kontrolü altında tutabileceği araçların kullanımı ile yaratılır;ve
d) daha sonra verilerde yapılan tüm değişikliklerin bulunmasına imkan verir.
3) "İmzalayan", imzalama tertibatını elinde bulunduran ve ister kendi çıkarı için, isterse temsil ettiği herhangi bir kurum ya da tüzel veya özel bir kişi için hareket eden kişidir;
4) "imza yaratım verileri" özel kriptografik anahtarlar ya da şifreler gibi, imzalayanın elektronik bir imza yaratmak için kullandığı özel ve tek veri anlamına gelir.
5) "imza yaratım tertibatı", imza tanımlama verisinin uygulanması için kullanılan bir software ya da hardware konfigürasyonudur.
6) "güvenli imza yaratım tertibatı", Ek III'te belirtilen şartları yerine getiren bir imza yaratım tertibatıdır.
7) "imza doğrulama verisi", şifre ya da açık kriptografik anahtarlar gibi elektronik imzaların doğrulanması için kullanılan verilerdir.
8) "imza doğrulama tertibatı", imzanın doğrulanmasıyla ilgili verilerin uygulamaya konulması için kurulan bir software ya da hardware anlamına gelir.
9) "sertifika", imzanın doğrulanmasıyla verileri bir kişiye bağlayan ve ilgili kişinin kimliğini doğrulayan elektronik belgedir.
10) "nitelikli sertifika", Ek I'de öngörülen şartları yerine getiren ve Ek II'de öngörülen gerekleri yerine getiren bir sertifikasyon hizmeti sunucusu tarafından verilen bir sertifikadır.
11) "sertifikasyon hizmeti sunucusu", sertifika hazırlayan ya da elektronik imzalarla ilgili diğer hizmetleri sağlayan her tür kurum ya da özel ya da tüzel kişidir
12) "elektronik imza ürünü", elektronik hizmet sunucusu tarafından elektronik imza hizmetlerinin temini ya da elektronik imzaların yaratılması ya da doğrulanması amacıyla kullanılan, software ya da hardware ya da bunların ilgili bir bileşenidir.
13) "ihtiyari akreditasyon", sertifikasyon hizmeti ssunulmasıyla ilgili tüm hak ve yükümlülükleri belirleyen, ilgili sertifikasyon hizmeti sunucusunun isteği üzerine, bu hak ve yükümlülüklerin geliştirilmesi ve denetimi ile ilgili kamu ya da özel nitelikli kurum tarafından verilen ve sertifikasyon hizmeti sunucusunun bu izinden kaynaklanan haklarını kullanmasına, ilgili kararın kendisine ulaşmasına dek, engel olan her türlü izindir.

 

Madde 3
Pazara Giriş
1. Üye devletler sertifikasyon hizmetlerinin sunulmasını önceden izin alma şartına bağlayamazlar.
2. Paragraf 1'deki düzenlemeye halel getirmeksizin, üye devletler, sunulan sertifikasyon hizmetlerinin düzeyini yükseltmek amacıyla, ihtiyari akreditasyon sistemleri kurabilecek ya da mevcutları sürdürebileceklerdir. Bu sistemlerle ilgili tüm ölçütler objektif, saydam, orantılı ve ayrım gözetmeyen nitelikte olmalıdır. Üye devletler akreditasyon belgesi almış sertifikasyon hizmet sunucularının sayısını, bu direktifin kapsamı içine giren nedenlerle kısıtlayamazlar.
3. Her üye devlet, ülkelerinde kurulmuş kamuya nitelikli sertifika veren sertifikasyon hizmeti sunucularını denetlemek amacıyla uygun bir sistem kurulmasını temin edecektir.
4. Güvenli imza yaratımı tertibatının Ek III'te belirtilen kurallara uygunluğu, üye devletler tarafından, yetkili özel veya kamu nitelikli kurumlar aracılığıyla belirlenir. Komisyon, madde 9'da öngörülen usule uygun olarak, üye devletlerin bir kurumu belirlemekte kullanacağı kriterleri saptar.
İlk bentte atıfta bulunulan kurumlar tarafından Ek III'te belirlenen şartlara uygunluk konusunda yapılan bir saptama tüm üye devletler tarafından tanınacaktır.
5. Komisyon, madde 9'da öngörülen usul uyarınca, elektronik imza ürünleri için genel olarak kabul edilen standartların referans numaralarını belirleyip Avrupa Toplulukları Resmi Gazetesi'nde yayınlayabilir. Elektronik imza ürünlerinden biri bu standartlara uygun olduğunda, üye devletler, Ek II madde f ve Ek III'ün gereklerinin yerine getirilmiş olduğunu varsayarlar.
6. Üye devletler ve Komisyon, imzaların doğrulanmasında tertibatlarının gelişimi ve kullanımını arttırmak amacıyla güvenli imza doğrulaması için Ek IV'te yer verilen tavsiyeler ışığında ve tüketicinin çıkarı doğrultusunda birlikte çalışırlar.
7. Üye devletler, elektronik imzaların kamu sektöründe kullanımını bazı olası ek şartlara tabi tutabilirler. Bu şartlar, objektif, saydam, orantılı ve ayrımcılık içermeyen nitelikte olmalı ve sadece ilgili uygulamanın özel nitelikleri ile ilgili olmalıdır. Bu şartlar, vatandaşlar açısından sınırötesi hizmetlerin sunulmasına bir engel oluşturmamalıdır.

Madde 4
İç Pazar İlkeleri
1. Her üye devlet, bu Direktif uyarınca iç hukukta öngördüğü kuralları, ülkesi dahilindeki sertifikasyon hizmeti sunucularına ve onların sunduğu hizmetlere uygular. Üye devletler bu Direktif tarafından kapsanan alanlarda bir diğer üye devletten kaynaklanan sertifikasyon hizmeti sunumunu kısıtlayamazlar.
2. Üye devletler, bu direktife uygun olan elektronik imza ürünlerinin iç pazar içerisinde serbest dolaşımını temin ederler.

Madde 5
Elektronik imzaların hukuki etkileri
1. Üye devletler, nitelikli bir sertifikaya dayanan ve güvenli imza yaratımı tertibatı ile yaratılan ileri teknolojik imzaların aşağıdaki esaslara uygunluğunu temin ederler:
a) Elektronik imzanın elektronik formdaki veriye ilişkin hukuki şartlarının, el ile atılan imzaların kağıt temelli veriye ilişkin şartları yerine getirmesinde olduğu şekilde yerine gelmesini;
b) Hukuken kanıt olarak kullanılabilmesini.
2. üye devletler elektronik imzanın hukuki etki doğurmasının ve yargı süreçlerinde kanıt olarak kullanılabilmesinin sadece aşağıdaki gerekçelere dayanması sebebiyle reddedilmemesini temin ederler :
· imza elektronik olarak sunulmuşsa veya
· nitelikli bir sertifikası bulunmadığı gerekçesiyle, veya
· akreditasyon belgesi olan bir sertifikasyon hizmeti sunucusu tarafından verilmiş nitelikli bir sertifikaya dayanmadığı gerekçesiyle, veya
· güvenli imza yaratım tertibatı ile yaratılmadığı gerekçesiyle.

Madde 6
Sorumluluk
1. Üye devletler, asgari olarak, kamuya nitelikli sertifika veren ya da bu tür bir sertifikaya garanti veren sertifikasyon hizmeti sunucularının, kurumların ya da tüzel veya özel kişilerin bu sertifikaya aşağıda sayılan hususlar açısından makul bir biçimde dayanmalarından kaynaklanan zararlarından sorumlu tutulmalarını temin ederler:
a) verilmesi sırasında nitelikli sertifikanın içerdiği tüm bilgilerin doğruluğunu ve sertifikanın nitelikli sertifika için öngörülen tüm ayrıntıları içerdiğini;
b) sertifikanın verildiği sırada, nitelikli sertifikada belirtilen imzalayan kişinin, imzalama sırasında sertifikada verilen veya tanımlanan imza doğrulama verisine karşılık gelen imza yaratım verisine sahip olduğu konusundaki teminat hususunda;
c) sertifikasyon hizmeti sunucusunun ihmali bulunmadığını kanıtlaması durumu hariç, sertifikasyon hizmet sunucusu her ikisini de meydana getiriyorsa, imzalama yaratım verileri ve imza doğrulama verilerinin birbirlerini tamamlayıcı olarak kullanılabilmelerinin temini hususunda;
2. üye devletler, sertifikasyon hizmeti sunucusunun ihmali olmadığını kanıtlaması durumu dışında, asgari olarak, nitelikli sertifika veren bir sertifikasyon hizmeti sunucusunun, sertifikaların iptalini (geri alınmasını) kaydettirmemesine, makul bir biçimde dayanan bir kurum ya da tüzel veya özel kişinin göreceği zarardan sorumlu olmasını sağlarlar.
3. Üye devletler, sertifikasyon hizmeti sunucusunun nitelikli sertifikada sertifika kullanım sınırlamalarını, bu sınırlamaların üçüncü taraflarca da teşhis edilebilecek olması şartıyla belirleyebilmesini temin ederler. Sertifikasyon hizmeti sunucusu, sertifikanın bu sınırlamaları aşan nitelikteki kullanımından sorumlu tutulamaz.
4. Üye devletler, sertifikasyon hizmeti sunucusunun nitelikli sertifikada herhangi bir hukuki işleme ilişkin değer sınırlamaları belirleyebilmesiini, bu sınırların üçüncü kişilerce de teşhis edilmesinin mümkün olması şartıyla, temin eder.
Bu üst sınırın aşımından kaynaklanan zararlardan sertifikasyon hizmeti sunucusu sorumlu değildir.
5. 1 ila 4. Paragraftaki hükümler, Konseyin tüketici sözleşmelerinde hakkaniyete aykırı hükümlerle ilgili (8), 5 Nisan 1993 tarih ve 93/13/AET sayılı direktifine halel getirmez.

Madde 7
Uluslararası Veçheler
1. Üye devletler, üçüncü bir ülkedeki sertifikasyon hizmeti sunucusu tarafından verilen nitelikli sertifikaların, Topluluk içindeki bir sertifikasyon hizmeti sunucusuna verilen sertifikalarla hukuken denk sayılmasını aşağıdaki şartlarla temin ederler:
(a) sertifikasyon hizmeti sunucusunun bu direktifteki koşulları yerine getirmesi ve üye devletlerdeki ihtiyari akreditasyon sistemi çerçevesinde kurulmuş olması;
(b) Toplulukta bulunan ve bu direktifteki koşulları yerine getiren bir sertifikasyon hizmet sağlayıcısının sertifikaya garanti vermesi; veya
(c) Sertifika ya da sertifikasyon hizmeti sunucusunun Topluluk ile üçüncü ülkeler ya da uluslararası kuruluşlar arasında yapılan ikili ya da çok taraflı anlaşmalarca tanınmış olması.
2. Üçüncü ülkelerle, sınırötesi sertifikasyon hizmetlerinin ve üçüncü ülkelerden kaynaklanan ileri elektronik imzaların hukuken tanınmasının kolaylaştırılması amacıyla, Komisyon, uygun durumlarda, sertifikasyon hizmetlerini kapsayan uluslararası anlaşma ve standartların etkili uygulanmasını amaçlayan önerilerde bulunur. Bilhassa ve gerekli olduğu hallerde, Komisyon, üçüncü ülkeler ve uluslararası kuruluşlarla ikili ve çok taraflı anlaşma müzakereleri yürütmeye yönelik uygun vekalet için Konseye öneriler sunar. Konsey nitelikli çoğunlukla karar verir.
3. Komisyon, Topluluk firmalarının üçüncü ülke pazarlarına girişinde zorluklarla karşılaşıldığını öğrenirse, gerekli olduğu takdirde, Topluluk firmalarının bir üçüncü ülkede karşılık (karşılaştırılabilir) haklar elde etmesini temin etmek üzere uygun bir vekalet için Konseye önerilerde bulunabilir. Konsey nitelikli çoğunlukla karar verir.
Bu paragraftaki önlemler, Topluluk ve üye devletlerin ilgili uluslararası anlaşmalardan kaynaklanan yükümlülüklerine halel getirmez.

Madde 8
Verilerin korunması
1. Üye devletler, sertifikasyon hizmeti sunucuları ve akreditasyon ile denetimden sorumlu ulusal kurumların, Avrupa Parlamentosunun ve Konseyin 95/46/AT sayılı ve 24 Ekim 1995 tarihli, kişisel verilerin işlenmesi ve serbest dolaşımı konusunda bireylerin korunması (9) hakkındaki direktifindeki gerekleri yerine getirmelerini temin eder.
2. Üye devletler, sertifika veren sertifikasyon hizmeti sunucularının kişisel verileri sadece doğrudan veri konusu kişinin kendisinden, veya açık rızasının temininden sonra, ve ancak sertifikasyon verilmesi ya da sürdürülmesi için gerekli olduğu takdirde, toplamasını temin ederler. Veriler ilgili kişinin açık rızası olmaksızın bir başka amaçla toplanamaz veya işlenemez.
3. Ulusal hukukta takma adlara tanınan hukuki etkiye halel getirmeksizin, üye devletler sertifikasyon hizmeti sunucularının sertifikada imzalayanın ismi yerine takma adı belirtmelerini engelleyemezler.

Madde 9
Komite
1. Komisyon'a bundan sonra "komite" olarak adlandırılacak olan, "ekonomik imzalar komitesi" yardımcı olur.
2. Bu paragrafa atfta bulunulduğu durumlarda, 1999/468/AT sayılı Kararın 4 ve 7. Maddeleri madde 8'deki düzenlemelere uygun olarak uygulanır.
1999/468/AT sayılı Kararın 4. Madde 3. Paragrafında belirtilen süre 3 ay olarak belirlenmiştir.
3. Komite kendi usul ve işleyiş kurallarını (iç tüzüğünü) belirler.

Madde 10
Komitenin görevleri
Komite bu direktifin eklerinde öngörülen şartları, madde 3 (4)'te öngörülen kriterleri, madde 3(5) uyarınca tespit edilip yayınlanacak elektronik imza ürünlerine ilişkin genel olarak kabul edilen standartları, madde 9 paragraf 2'deki usullere uygun olarak belirler.

Madde 11
Bildirim
1. Üye devletler Komisyon ve diğer üye devletlere :
(a) Madde 3 paragraf 7'deki şartlar da dahil olmak üzere, ulusal düzeydeki ihtiyari akreditasyon sistemleriyle ilgili bilgileri;
(b) Madde 3 paragraf 4'te atıfta bulunulan kurumlarla, akreditasyon ve denetlemeden sorumlu ulusal kuruluşların adres ve isimlerini;
(c) Akredite edilmiş tüm ulusal sertifikasyon hizmet sunucularının isim ve adreslerini bildirirler.
2. Paragraf 1 uyarınca sağlanan tüm bilgiler ve bununla ilgili tüm değişiklikler, üye devletler tarafından en kısa sürede bildirilir.

Madde 12
Gözden Geçirme (inceleme)
1. Komisyon bu direktifin işleyişini inceleyecek ve Avrupa Parlamentosu ile Konseye en geç 19 Temmuz 2003'e kadar bu hususta rapor sunacaktır.
2. Bu inceleme, diğer hususların yanı sıra, bu Direktifin kapsamının (uygulama alanının), teknolojik, pazara ilişkin ve hukuki alandaki gelişmeler dikkate alınarak değiştirilmesi gerekip gerekmediğini ele alacaktır. Rapor, özellikle, kazanılan deneyimlere dayanarak, uyumlaştırmanın veçheleri hakkında bir değerlendirme içerecektir. Rapor, uygun olması durumunda, yasama önerilerini de içerebilecektir.

Madde 13
İç Hukuka Geçirme
1. Üye devletler 19 Temmuz 2001 tarihinden önce bu direktife uyum sağlamak üzere gerekli kanun, düzenleme ve idari hükümleri yürürlüğe koyacaklardır. Üye devletler bu hususta Komisyonu haberdar edeceklerdir.
2. Üye devletler, 1. Paragrafta belirtilen önlemleri aldıklarında, bu düzenlemeler bu direktife bir gönderme içerecek veya resmi yayımları sırasında böyle bir göndermeye yer verecektir. Bu göndermenin yapılma yöntemleri üye devletler tarafından belirlenecektir.

Madde 14
Yürürlüğe giriş
Bu Direktif, Avrupa Toplulukları Resmi Gazetesinde yayımlandığı gün yürürlüğe girer.

Madde 15
Muhataplar
Bu Direktif üye devletleri muhatap alır.

13 Aralık 1999 tarihinde Brüksel'de hazırlanmıştır.

Avrupa Parlamentosu adına
Başkan
N. Fontaine
Konsey adına
Başkan
S. HASSI

(1) RG C 325, 23.10.1998, s.5.
(2) RG C 40, 15.2.1999, s. 29.
(3) RG C 93, 6.4.1999, s. 33.
(4) Avrupa Parlamentosunun 13 Ocak 1999 tarihli görüşü (RG C 104, 14.4.1999, s.49), Konsey'in 28 Haziran 1999 tarihli Ortak Tutumu, (RG C 243, 27.8.1999, s. 33) ve Avrupa Parlamentosu'nun 27 Ekim 1999 tarihli kararı (henüz Resmi Gazetede yayınlanmamış), 30 Kasım 1999 tarihli Konsey kararı.
(5) RG L 367, 31.12.1994, s.1, (AT) No 837/95 sayılı Tüzük ile değişik Tüzük (RG L 90, 21.4.1995, s.1)
(6) RG L 367, 31.12.1994, s. 8, son olarak 1999/193/CFSP Kararı ile değişik Karar (RG L 73, 19.3.1999, s.1)
(7) RG L 184, 17.7.1999, s.23.
(8) RG L 95, 21.4.1993, s.29.
(9) RG L 281, 23.11.1995, s.31.

EK I
Nitelikli sertifikaların tabi olduğu şartlar
Tüm nitelikli sertifikalar aşağıdaki hususları içermelidir:
(a) Sertifikanın nitelikli sertifika olarak verildiğine dair bir ibare;
(b) Sertifikasyon hizmeti sunucusunun ve bulunduğu ülkenin adı;
(c) İmzalayanın ismi ya da bu şekilde tanımlanacak takma adı;
(d) Sertifikanın veriliş amacına bağlı olarak, gerektiğinde imzalayanın özel bir niteliğinin belirtilmesi;
(e) İmzalayanın kontrolü altında, imza yaratımı için gerekli verilere karşılık gelen imza doğrulama verileri;
(f) Sertifikanın geçerlilik süresinin başlangıç ve bitiş tarihine ilişkin bir ibare;
(g) Sertifikanın kimlik kodu;
(h) Nitelikli sertifikayı veren sertifikasyon hizmeti sunucusunun ileri elektronik imzası;
(i) Gerektiği takdirde, sertifikanın kullanımının kapsamına ilişkin sınırlamalar;
(j) Gerektiği takdirde, sertifikanın kullanılabileceği hukuki işlemlerin değerlerinin sınırları.

EK II
Nitelikli sertifika veren sertifikasyon hizmet sağlayıcıları ile ilgili şartlar
Sertifikasyon hizmeti sunucularının aşağıdaki şartları yerine getirmesi gerekir:
(a) sertifikasyon hizmeti sunmak için yeterli güvenilirlikte olduklarını göstermek;
(b) hızlı ve güvenli bir rehber (başvuru) hizmeti ile güvenli ve çabuk bir iptal hizmetinin işleyişini temin etmek;
(c) sertifikaların verildiği veya iptal edildiği tarih ve saatin kesin olarak belirlenebilmesini temin etmek;
(d) ulusal hukuk çerçevesinde uygun vasıtalarla, nitelikli sertifikanın verildiği kişinin kimliğini ve gerektiğinde, özel niteliklerini doğrulamak;
(e) uzmanlık bilgisine, deneyime ve hizmetlerin sunumunda gerekli niteliklere, özellikle yönetsel seviyede yeterliliğe, elektronik imza teknolojisi konusunda özel bilgilere ve uygun güvenlik prosedürleri alanında deneyime sahip personel çalıştırılması; personelin aynı zamanda kabul edilmiş standartlar çerçevesinde yeterli ve bunları karşılayacak yönetsel prosedürleri de uygulayabilmeleri gereklidir;
(f) değiştirmeye karşı korumalı güvenilir sistem ve ürünlerin kullanımı ile bunlar tarafından desteklenecek işlemin teknik ve kriptografik güvenliğinin temin edilmesi;
(g) sertifikanın taklidine karşı önlemler alınması,ve sertifikasyon hizmeti sunucusunun imza yaratımını da meydana getirmesi halinde, ilgili verilerin meydana getirilmesi işlemi sırasında gizliliğin temini;
(h) direktifte öngörülen şartlara uygun olarak faaliyet gösterilmesi açısından, özellikle zararın tazmini sorumluluğunun üstlenilebilmesi için, örneğin uygun bir sigorta sözleşmesi yapma yoluyla, yeterli mali kaynakların bulundurulması,
(i) özellikle yargısal süreçlerde sertifikanın kanıtlanması amacıyla kullanılabilmesi amacıyla, nitelikli sertifikaya ilişkin tüm kayıtların uygun bir süre boyunca saklanması; bu kayıtlar elektronik yollarla yapılması mümkündür;
(j) Sertifikasyon hizmeti sunucusunun önemli (esaslı) yönetim hizmeti verdiği kişiyle ilgili verileri kopyalamaması ya da saklamaması;
(k) elektronik imza destekli bir sertifika isteyen kişiyle sözleşmeye dayalı ilişki kurulmadan önce, kalıcı iletişim yollarıyla, sertifika kullanımına ilişkin, kullanımdaki kısıtlamalar da dahil olmak üzere, kesin kural ve koşulların, ihtiyari bir akreditasyon hizmet sisteminin varlığı, şikayet usulleri ve uyuşmazlıkların çözümü prosedürleri konusunda kişiyi bilgilendirmesi. Elektronik yolla da iletilebilecek bu bilgi, yazılı olarak ve kolayca anlaşılabilir bir dille yapılmalıdır. İlgili bilgiler bu sertifikaya dayanan üçüncü kişilere de isteğe bağlı olarak sunulabilmelidir;
(l) Sertifikaları doğrulanabilir bir şekilde saklamak üzere güvenilir sistemler kullanmak ve böylece :
· Sadece yetkili kişilerin verileri alabilmesini ve değiştirebilmesini,
· Bilgilerin doğruluğunun kontrol edilebilmesini,
· Sadece sertifikasyon sahibinin rızasının alındığı durumlarda sertifikaların tekrar kullanılabilir olmasının teminini,
· Bu güvenlik sistemlerini tehlikeye sokabilecek tüm teknik değişikliklerin işletici tarafından fark edilmesinin mümkün olmasını
Sağlamak.

EK III
Güvenli imza yaratım tertibatları ile ilgili şartlar:
1. Güvenli imza yaratım tertibatları, uygun teknik ve prosedürel araçlarla, asgari olarak aşağıdaki hususları temin etmelidir:
(a) imza yaratımı için kullanılan veriler, uygulamada bir kere kullanılabilmelidir ve gizlilikleri makul biçimde garanti altına alınmalıdır;
(b) imza yaratımı için kullanılan veriler, makul garanti ile, elde edilememeli ve imza tüm güncel teknolojinin kullanılmasıyla sahteciliğe karşı korunmalıdır;
(c) imza yaratımı için kullanılan veriler, meşru imzalayan tarafından, başkalarının kullanımını engellemek amacıyla korunabilmelidir.
2. Güvenli imza yaratım tertibatları, imzalanacak verileri değiştirmemeli ve imza süreci öncesinde imzalayan kişiye sunulmasını engellememelidir.

EK IV
Güvenli imza doğrulaması ile ilgili tavsiyeler
İmza doğrulaması süreci sırasında, makul ölçüde bir kesinlikle güvenlik içinde aşağıdaki hususlar temin edilmelidir:
(a) imzanın doğrulanması için kullanılan veriler, doğrulayıcıya gösterilen verilerle aynı olmalıdır;
(b) İmza güvenilir bir şekilde doğrulanmalı ve bu doğrulama doğru biçimde açıklanmalıdır;
(c) Doğrulayıcı, gerektiğinde, imzalı verilerin içeriğini doğrulayabilmelidir;
(d) İmzanın doğrulanması sırasında istenen sertifikanın gerçekliği ve geçerliliği güvenilir şekilde doğrulanmalıdır;
(e) Doğrulamanın sonuçları ve imzalayanın kimliği doğru şekilde belirtilmelidir;
(f) Takma ad kullanımı açıkça belirtilmelidir; ve
(g) Güvenliği etkileyen tüm değişiklikler bulunabilmelidir. (anlaşılabilmelidir).