Ferill 634. máls. Aðrar útgáfur af skjalinu: PDF - Microsoft Word.


149. löggjafarþing 2018–2019.
Þingskjal 1039  —  634. mál.
Stjórnarfrumvarp.



Frumvarp til laga


um rafræna auðkenningu og traustþjónustu fyrir rafræn viðskipti.

Frá ferðamála-, iðnaðar- og nýsköpunarráðherra.


1. gr.
Markmið.

    Markmið laga þessara er að tryggja að örugg rafræn auðkenning og sannvottun sé möguleg til aðgangs að nettengdri þjónustu yfir landamæri sem aðildarríki á Evrópska efnahagssvæðinu bjóða einstaklingum og lögaðilum. Markmið laganna er einnig að auka traust í rafrænum viðskiptum með því að kveða á um réttaráhrif og kröfur til rafrænna auðkenningarleiða og traustþjónustu.

2. gr.
Lögfesting.

    Ákvæði reglugerðar Evrópuþingsins og ráðsins (ESB) nr. 910/2014 frá 23. júlí 2014 um rafræna auðkenningu og traustþjónustu fyrir rafræn viðskipti á innri markaðinum og um niðurfellingu á tilskipun 1999/93/EB, sem birt er í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 14 frá 8. mars 2018, bls. 241, skulu hafa lagagildi hér á landi með þeim aðlögunum sem leiðir af ákvörðun sameiginlegu EES-nefndarinnar nr. 22/2018, frá 9. febrúar 2018, sbr. einnig bókun 1 um altæka aðlögun við samninginn um Evrópska efnahagssvæðið, sbr. lög um Evrópska efnahagssvæðið, nr. 2/1993, þar sem bókunin er lögfest.

3. gr.
Orðskýringar.

    Merking orða í lögum þessum er sem hér segir:
     1.      Fullgildur rafrænn innsiglisbúnaður er rafrænn innsiglisbúnaður sem, að breyttu breytanda, uppfyllir kröfurnar sem mælt er fyrir um í II. viðauka reglugerðar Evrópuþingsins og ráðsins (ESB) nr. 910/2014.
     2.      Fullgildur rafrænn undirskriftarbúnaður er rafrænn undirskriftarbúnaður sem uppfyllir kröfurnar sem mælt er fyrir um í II. viðauka reglugerðar Evrópuþingsins og ráðsins (ESB) nr. 910/2014.
     3.      Rafræn auðkenning er sú aðferð að nota auðkenningargögn aðila á rafrænu formi sem standa með einkvæmum hætti fyrir einstakling eða lögaðila eða einstakling sem er fulltrúi lögaðila.
     4.      Rafræn auðkenningarleið er efnisleg og/eða óefnisleg eining sem inniheldur auðkenningargögn aðila og er notuð til sannvottunar vegna nettengdrar þjónustu.
     5.      Rafræn auðkenningarskipan er fyrirkomulag fyrir rafræna auðkenningu sem rafrænar auðkenningarleiðir eru gefnar út undir, til handa einstaklingum eða lögaðilum eða einstaklingum sem eru fulltrúar lögaðila.
     6.      Rafrænt innsigli eru gögn á rafrænu formi sem eru tengd við eða rökrænt vensluð við önnur gögn á rafrænu formi til að tryggja uppruna og heilleika hinna síðarnefndu.
     7.      Sannvottun er rafrænt ferli sem gerir mögulegt að staðfesta rafræna auðkenningu á einstaklingi eða lögaðila eða uppruna og heilleika gagna á rafrænu formi.
     8.      Traustþjónusta er rafræn þjónusta sem að öllu jöfnu er veitt gegn þóknun og felst í myndun, sannprófun og staðfestingu rafrænna undirskrifta, rafrænna innsigla eða rafrænna tímastimpla, rekjanlegrar rafrænnar afhendingarþjónustu og vottorða sem tengjast þessum þjónustum eða myndun, sannprófun og staðfestingu vottorða fyrir sannvottun vefsetra eða varðveislu rafrænna undirskrifta, innsigla eða vottorða sem tengjast þessum þjónustum.
     9.      Traustþjónustuveitandi er einstaklingur eða lögaðili sem veitir eina eða fleiri tegundir traustþjónustu, annað hvort sem fullgildur traustþjónustuveitandi eða traustþjónustuveitandi sem hefur ekki fullgildingu.
     10.      Útfært rafrænt innsigli er rafrænt innsigli sem uppfyllir kröfurnar sem settar eru fram í 36. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) nr. 910/2014.
     11.      Útfærð rafræn undirskrift er rafræn undirskrift sem uppfyllir kröfurnar sem settar eru fram í 26. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) nr. 910/2014.

4. gr.
Eftirlit.

    Neytendastofa annast framkvæmd eftirlits samkvæmt reglugerð Evrópuþingsins og ráðsins nr. 910/2014. Neytendastofa, undir yfirstjórn ráðherra, hefur eftirlit með lögum þessum og reglum settum samkvæmt þeim.
    Neytendastofa getur mælt fyrir um nauðsynlegar aðgerðir eða lagt bann við háttsemi eftir því sem við getur átt hverju sinni gagnvart þeim sem brjóta gegn ákvæðum laganna eða reglna settum samkvæmt þeim.
    Neytendastofa getur krafið eftirlitsskylda aðila um upplýsingar og gögn sem nauðsynleg eru í þágu eftirlitsins. Skulu upplýsingar og gögn afhent innan hæfilegs frests sem stofnunin setur eða með reglubundnum hætti samkvæmt fyrirmælum stofnunarinnar.
    Neytendastofa getur í þágu eftirlits krafist upplýsinga og gagna frá öðrum stjórnvöldum óháð þagnarskyldu þeirra.
    Neytendastofu er án dómsúrskurðar heimill aðgangur í eftirlitsstörfum sínum að starfsstöð, búnaði og gögnum eftirlitsskylds aðila. Skulu þeir veita upplýsingar og með öðrum hætti aðstoða stofnunina við framkvæmd eftirlitsins. Neytendastofa getur óskað liðveislu lögreglu ef tilraun er gerð til að hindra hana í eftirlitsstörfum sínum.
    Heimild Neytendastofu til þess að krefjast aðgangs að starfsstöð, búnaði, upplýsingum og gögnum verður ekki takmörkuð með vísan til reglna um þagnarskyldu.
    Starfsmenn Neytendastofu eru bundnir þagnarskyldu. Þeir mega ekki að viðlagðri ábyrgð samkvæmt ákvæðum almennra hegningarlaga skýra óviðkomandi frá því er þeir komast að í starfi sínu og leynt á að fara um viðskipti og rekstur traustþjónustuveitenda, tengdra aðila eða annarra, nema dómari úrskurði að upplýsingar sé skylt að veita fyrir dómi eða lögreglu eða skylda sé að veita upplýsingar lögum samkvæmt. Sama gildir um sérfræðinga sem starfa fyrir Neytendastofu að eftirliti samkvæmt lögunum. Þagnarskyldan helst þótt látið sé af starfi.

5. gr.
Málsmeðferð.

    Neytendastofa getur að eigin frumkvæði, eftir ábendingu eða kvörtun tekið mál til meðferðar er varðar ákvæði laga þessara og heyrir undir eftirlit stofnunarinnar. Neytendastofa tekur ákvörðun um hvort erindi sem berst stofnuninni gefi nægar ástæður til rannsóknar.
    Ákvörðunum sem teknar eru á grundvelli laga þessara má skjóta til áfrýjunarnefndar neytendamála sem starfar á grundvelli 4. gr. laga nr. 62/2005 um Neytendastofu.
    Ákvörðun Neytendastofu verður ekki borin undir dómstóla fyrr en úrskurður áfrýjunarnefndar neytendamála liggur fyrir.
    Nú vill aðili máls ekki una úrskurði áfrýjunarnefndar neytendamála og getur hann þá höfðað mál til ógildingar fyrir dómstólum. Mál skal höfðað innan sex mánaða frá því að aðili fékk vitneskju um úrskurð áfrýjunarnefndar. Málshöfðun frestar ekki gildistöku úrskurðar áfrýjunarnefndar.
    Ákvarðanir Neytendastofu um að leggja á sektir og dagsektir eru aðfararhæfar og renna til ríkissjóðs að frádregnum kostnaði við innheimtuna.

6. gr.
Dagsektir.

    Neytendastofa getur lagt dagsektir á traustþjónustuveitanda að liðnum tilteknum fresti veiti hann ekki umbeðnar upplýsingar eða gögn, fari ekki að kröfum stofnunarinnar um úrbætur eða sinni ekki kröfum eftirlitsins að öðru leyti.
    Fjárhæð dagsekta skal ákvörðuð með hliðsjón af eðli brotsins. Dagsektir geta numið frá 50.000 kr. til 500 þús. kr. á dag og greiðast þar til farið hefur verið að kröfum Neytendastofu skv. 1. mgr.
    Ákvörðun um dagsektir má skjóta til áfrýjunarnefndar neytendamála innan fjórtán daga frá því að hún er kynnt þeim sem hún beinist að. Dagsektir reiknast ekki fyrr en frestur er liðinn. Ef ákvörðun er skotið til áfrýjunarnefndar neytendamála falla dagsektir ekki á fyrr en niðurstaða hennar liggur fyrir.

7. gr.
Viðurlög.

    Neytendastofu er heimilt að leggja stjórnvaldssektir á þá sem:
     a.      koma fram sem fullgildir traustþjónustuveitandur án þess að vera skráðir sem slíkir samkvæmt því sem mælt er fyrir um í lögum þessum og reglugerð Evrópuþingsins og ráðsins nr. 910/2014,
     b.      neita að veita upplýsingar eða gögn skv. 3. gr. eða
     c.      gefa rangar eða villandi upplýsingar til Neytendastofu.
    Sektir skv. 1. mgr. geta numið allt að 10 millj. króna. Við ákvörðun á fjárhæð sekta skal hafa hliðsjón af eðli og umfangi brota, hvað brot hafa staðið lengi og hvort um ítrekað brot er að ræða. Falla má frá sektarákvörðun teljist brot óverulegt eða af öðrum ástæðum sé ekki talin þörf á slíkum sektum til að framfylgja lögunum. Ákvörðun Neytendastofu um sektir má skjóta til áfrýjunarnefndar neytendamála.
    Sektir renna til ríkissjóðs að frádregnum kostnaði við innheimtu.
    Málskot til áfrýjunarnefndar neytendamála frestar aðför.

8. gr.
Reglugerðarheimildir.

    Ráðherra er heimilt að setja í reglugerð nánari ákvæði um framkvæmd laga þessara, þar á meðal um:
     a.      samstarf stofnana,
     b.      stofnun sameiginlegs traustmerkis,
     c.      ákvörðun fullvissustiga,
     d.      stofnun umgjarðar um innlendar rafrænar auðkenningarskipanir og tilkynningu þeirra,
     e.      traustlista,
     f.      faggildingu samræmismatsstofa, útfærslu samræmismatsskýrslna og reglur fyrir framkvæmd samræmismats,
     g.      kröfur til og vottun á fullgildum rafrænum undirskriftar- og innsiglisbúnaði,
     h.      kröfur til faggiltrar sannprófunarþjónustu fyrir rafræna undirritun og rafræn innsigli og um tilvísunarform fyrir útfærða rafræna undirskrift og útfærð rafræn innsigli í opinbera geiranum.
    Ráðherra er heimilt að setja í reglugerð nánari fyrirmæli um tilhögun eftirlits og önnur verkefni Neytendastofu samkvæmt lögunum.
    Ráðherra getur með reglugerð falið Neytendastofu að:
     a.      annast tilkynningar til Eftirlitsstofnunar EFTA samkvæmt reglugerð Evrópuþingsins og ráðsins nr. 910/2014, þar á meðal um rafræna auðkenningarskipan sem ráðherra ákveður að tilkynna,
     b.      koma á, viðhalda og birta traustlista og
     c.      birta og uppfæra á vefsíðu sinni tilvísunarnúmer staðla sem gilda um nánari framkvæmd reglugerðar Evrópuþingsins og ráðsins nr. 910/2014.
    Ráðherra er heimilt að setja í reglugerð ákvæði um gjald, fjárhæð þess og greiðslu sem fullgildur traustþjónustuveitandi þarf að greiða vegna úttektar Neytendastofu í þeim tilgangi að staðfesta að hann og fullgilda traustþjónustan sem hann veitir uppfylli kröfur laganna.

9. gr.
Gildistaka.

    Lög þessi öðlast gildi 1. janúar 2020.
    Við gildistöku laga þessara falla úr gildi lög um rafrænar undirskriftir, nr. 28/2001.

10. gr.
Breytingar á öðrum lögum.

    Við gildistöku laga þessara verða eftirfarandi breytingar á öðrum lögum:
     1.      Lög um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka, nr. 140/2018: 2. málsl. 18. tölul. 3. gr. laganna orðast svo: Til gildra persónuskilríkja teljast vegabréf, ökuskírteini, nafnskírteini gefin út af Þjóðskrá Íslands og rafræn skilríki sem innihalda fullgild rafræn vottorð sem varðveitt eru á fullgildum undirskriftarbúnaði.
     2.      Stjórnsýslulög, nr. 37/1993: Orðin ,,samkvæmt lögum um rafrænar undirskriftir“ í 2. málsl. 1. mgr. 38. gr. laganna falla brott.
     3.      Lög um opinber innkaup, nr. 120/2016: C-liður 8. mgr. 22. gr. laganna orðast svo: þegar gerð er krafa um fullgilda rafræna undirskrift skal kaupandi styðja við þau snið sem útfærð eru fyrir viðurkenndar rafrænar undirskriftir og gera nauðsynlegar tæknilegar ráðstafanir til að taka á móti undirskriftum; þegar tilboð er undirritað með fullgildri rafrænni undirskrift skal ekki gera viðbótarkröfur sem gætu hindrað notkun bjóðanda á slíkum undirskriftum.

Greinargerð.

1. Inngangur.
    Frumvarp þetta er samið í atvinnuvega- og nýsköpunarráðuneytinu með aðstoð starfshóps sem skipaður var hinn 10. nóvember 2014. Hópnum var falið undirbúa innleiðingu reglugerðar Evrópuþingsins og ráðsins (ESB) nr. 910/2014 frá 23. júlí 2014 um rafræna auðkenningu og traustþjónustu fyrir rafræn viðskipti á innri markaðinum og um niðurfellingu á tilskipun 1999/93/EB. Í starfshópnum sátu fulltrúar frá atvinnuvega- og nýsköpunarráðuneytinu, innanríkisráðuneytinu, fjármála- og efnahagsráðuneytinu, Neytendastofu, Fagstaðlaráði í upplýsingatækni, Samtökum fjármálafyrirtækja og Samtökum atvinnulífsins. Starfshópurinn lauk störfum vorið 2018. Vinna við innleiðingu reglugerðarinnar hófst í innanríkisráðuneytinu en með forsetaúrskurði um skiptingu stjórnarmálefna milli ráðuneyta í Stjórnarráði Íslands, nr. 1/2017, frá 11. janúar 2017, voru neytendamál færð frá innanríkisráðuneyti til atvinnuvega- og nýsköpunarráðuneytisins.

2. Tilefni og nauðsyn lagasetningar.
2.1. Almennt.
    Samræmdar reglur um rafrænar undirskriftir hafa gilt í Evrópusambandinu frá árinu 2000. Hinn 19. janúar árið 2000 tók gildi tilskipun Evrópuþingsins og ráðsins 1999/93/EB frá 13. desember 1999, um ramma bandalagsins varðandi rafrænar undirskriftir. Tilskipunin var tekin upp í EES-samninginn með ákvörðun sameiginlegu EES-nefndarinnar nr. 66/2000, frá 2. ágúst 2000. Tilskipunin var innleidd í íslenskan rétt með lögum um rafrænar undirskriftir, nr. 28/2001 sem enn eru í gildi. Á grundvelli laganna hefur verið sett reglugerð um rafrænar undirskriftir, nr. 780/2011.
    Reglugerð Evrópuþingsins og ráðsins (ESB) nr. 910/2014 frá 23. júlí 2014 um rafræna auðkenningu og traustþjónustu fyrir rafræn viðskipti á innri markaðinum og um niðurfellingu á tilskipun 1999/93/EB kemur í stað reglna um rafrænar undirskriftir í tilskipun 1999/93/EB. Reglugerðin styrkir og víkkar út réttarreglur tilskipunarinnar og hefur auk þess rýmra gildissvið. Reglugerðin nær þannig til fleiri tegunda traustþjónustu en áður auk þess að fjalla um rafræna auðkenningu og skjöl og gagnkvæma auðkenningu á rafrænum auðkenningarleiðum yfir landamæri. Reglugerðin var samþykkt á vegum Evrópusambandsins 23. júlí 2014 og kom til framkvæmda 1. júlí 2016 að undanskildum ákvæðum sem talin eru upp í liðum a–c í 2. mgr. 52. gr. reglugerðarinnar. Reglugerðin var tekin upp í EES-samninginn með ákvörðun sameiginlegu EES-nefndarinnar nr. 22/2018, frá 9. febrúar 2018, um breytingu á XI. viðauka EES-samningsins.
    Með frumvarpi þessu er lagt til að innleiða reglugerð Evrópuþingsins og ráðsins (ESB) nr. 910/2014 í íslenskan rétt. Frumvarpið hefur í för með sér að fella verður úr gildi lög um rafrænar undirskriftir nr. 28/2001 og reglugerð um rafrænar undirskriftir nr. 780/2011. Ástæða þess er að tilskipun 1999/93/EB er felld úr gildi skv. 50. gr. reglugerðarinnar og er tilskipunin jafnframt felld brott úr EES-samningnum með ákvörðun sameiginlegu EES-nefndarinnar nr. 22/2018, frá 9. febrúar 2018.
    Með frumvarpinu er einnig lagt til að fela Neytendastofu hlutverk eftirlitsstofnunar með nauðsynlegum valdheimildum og fullnægjandi bolmagni til að inna af hendi verkefni sín í samræmi við 17. gr. reglugerðarinnar. Auk þess er lagt til að veita ráðherra heimild til að setja reglugerðir til að innleiða framkvæmdargerðir og framseldar gerðir framkvæmdastjórnar Evrópusambandsins sem byggja á reglugerðinni og teknar verða upp í EES-samninginn.
    Markmið lagasetningarinnar er að sjá til þess að kröfur reglugerðarinnar til rafrænnar auðkenningar og traustþjónustu fyrir rafræn viðskipti á innri markaðnum séu uppfylltar í íslenskum rétti.

2.2. Mat á leið til innleiðingar.
    Við mat á færum leiðum til að innleiða reglugerð Evrópuþingsins og ráðsins (ESB) nr. 910/2014 var ákveðið að setja ný heildarlög um rafræna auðkenningu og traustþjónustu fyrir rafræn viðskipti. Ástæða þess er að efni reglugerðarinnar er talsvert frábrugðið efni tilskipunarinnar auk þess sem tilskipunin hefur verið felld úr gildi og felld úr EES-samningnum. Þá var litið til þess að átta framkvæmdargerðir hafa verið gefnar út af fram-kvæmdastjórninni með heimild í reglugerðinni. Þótti því rétt að fela ráðherra heimild í lögunum til að innleiða gerðir af því tagi í íslenskan rétt með reglugerðarheimild.
    Við matið var einnig litið til þess að um er að ræða reglugerð Evrópusambandsins. Reglugerðir skal sem slíkar taka upp í landsrétt samningsaðila EES-samningsins í samræmi við a-lið 7. gr. EES-samningsins. Reglugerðin veitir lítið svigrúm við innleiðingu og er hún því innleidd með tilvísunaraðferð. Í því felst að reglugerðinni er veitt lagagildi með því að vísa til efnis hennar í EES-viðbæti Stjórnartíðinda Evrópusambandsins með þeim aðlögunum sem leiðir af ákvörðun sameiginlegu EES-nefndarinnar. Helsta svigrúmið við innleiðingu reglugerðarinnar er við útfærslu á viðurlögum skv. 16. gr. hennar og valdheimildum eftirlitsstofnunar skv. 17. gr. Í 1. mgr. 17. gr. reglugerðarinnar segir ein-göngu að eftirlitsstofnanir skuli fá nauðsynlegar valdheimildir og fullnægjandi bolmagn til að inna af hendi verkefni sín. Þá segir í 16. gr. að setja skuli reglur um viðurlög við brotum á ákvæðum reglugerðarinnar sem skuli vera skilvirk, í réttu hlutfalli við brotið og hafa varnaðaráhrif. Viðurlög og valdheimildir eftirlitsstofnunarinnar eru útfærð í 4.-8. gr. frumvarpsins og vísast til athugasemda við þær greinar.

3. Meginefni frumvarpsins.
3.1. Reglugerð Evrópuþingsins og ráðsins (ESB) nr. 910/2014.
Almenn ákvæði.

    Helsta markmið reglugerðar Evrópuþingsins og ráðsins (ESB) nr. 910/2014 er að tryggja eðlilega starfsemi innri markaðarins jafnframt því að stefna að fullnægjandi öryggisstigi rafrænna auðkenningarleiða og traustþjónustu, sbr. 1. gr. reglugerðarinnar. Til að ná markmiðinu er í fyrsta lagi mælt fyrir um það með hvaða skilyrðum aðildarríkin skuli viðurkenna rafrænar auðkenningarleiðir einstaklinga og lögaðila sem falla undir tilkynnta, rafræna auðkenningarskipan í öðru aðildarríki. Í öðru lagi er mælt fyrir um reglur fyrir traustþjónustu, einkum fyrir rafræn viðskipti. Í þriðja lagi er komið á lagaramma fyrir rafrænar undirskriftir, rafræn innsigli, rafræna tímastimpla, rafræn skjöl, rekjanlega rafræna afhendingarþjónustu og vottunarþjónustu fyrir sannvottun vefsetra.
    Í 2. gr. reglugerðarinnar er fjallað um gildissvið hennar. Reglugerðin gildir um rafrænar auðkenningarskipanir sem aðildarríki hefur tilkynnt um og um traustþjónustuveitendur sem hafa staðfestu í Evrópusambandinu. Um traustþjónustu og traustþjónustuveitendur vísast til kaflans um traustþjónustu í greinargerðarinni. Reglugerðin gildir ekki um veitingu traustþjónustu sem er eingöngu notuð innan lokaðra kerfa samkvæmt landslögum eða samningum á milli fyrir fram ákveðinna þátttakenda. Með þessu er átt við veitta þjónustu sem er eingöngu notuð innan lokaðra kerfa á milli fyrirframákveðinna þátttakenda og hefur engin áhrif á þriðju aðila. Sem dæmi má nefna að kerfi sem fyrirtæki eða opinber stjórnsýsla setja upp til að stjórna innri ferlum og sem nota traustþjónustu eiga ekki að falla undir kröfur þessarar reglugerðar. Aðeins traustþjónustu sem veitt er almenningi og hefur áhrif á þriðju aðila ber að uppfylla kröfurnar sem mælt er fyrir um í reglugerðinni. Reglugerðin hefur ekki áhrif á innlendar réttarreglur sem varða gerð og gildi samninga eða aðrar laga- eða málsmeðferðarskyldur með tilliti til forms.
    Í 4. gr. reglugerðarinnar er að finna meginreglu um innri markaðinn. Meginreglan felur í sér að traustþjónustuveitendum er heimilt að dreifa óhindrað vörum og traustþjónustu í öðrum aðildarríkjum ef þær eru í samræmi við ákvæði reglugerðarinnar. Meginreglan á við á EES-svæðinu.
    Í 1. mgr. 5. gr. reglugerðarinnar segir að vinnsla persónuupplýsinga skuli fara í samræmi við tilskipun 95/46/EB. Almenna persónuverndarreglugerðin nr. 2016/679 frá 27. apríl 2016 kom í stað tilskipunarinnar. Skv. 2. mgr. 94. gr. þeirrar reglugerðar ber að líta á tilvísanir í niðurfelldu tilskipunina sem tilvísanir í reglugerðina. Almenna persónuverndar-reglugerðin var innleidd í íslenskan rétt með lögum um persónuvernd og vinnslu persónu-upplýsinga, nr. 90/2018. Í 2. mgr. 5. gr. reglugerðarinnar segir að ekki skuli banna notkun gervinafna í rafrænum viðskiptum.

Rafræn auðkenning.
    Í II. kafla reglugerðarinnar er fjallað um rafræna auðkenningu. Reglugerðinni er ætlað að tryggja að einstaklingar og lögaðilar geti notað rafræna auðkenningarskipan í eigin ríki til þess að auðkenna sig gagnvart nettengdri þjónustu opinbers aðila í öðru ríki þar sem krafist er rafrænnar auðkenningar og sannvottunar. Með rafrænni auðkenningarskipan er átt við fyrirkomulag fyrir rafræna auðkenningu sem rafrænar auðkenningarleiðir eru gefnar út undir, til handa einstaklingum eða lögaðilum eða einstaklingum sem eru fulltrúar lögaðila. Rafræn auðkenningarleið er efnisleg og/eða óefnisleg eining sem inniheldur auðkenningargögn aðila og er notuð til sannvottunar vegna nettengdrar þjónustu, sbr. 2. og 4. tölul. 3. gr. reglugerðarinnar.
    Til þess að geta notað rafrænar auðkenningarleiðir í nettengdri þjónustu yfir landamæri þurfa auðkenningarleiðirnar að tilheyra auðkenningarskipan sem hefur verið tilkynnt til framkvæmdastjórnar ESB og birt í skrá framkvæmdastjórnarinnar um tilkynntar auðkenningaskipanir. Í 6. gr. reglugerðarinnar er kveðið á um gagnkvæma viðurkenningu á rafrænum auðkenningarleiðum yfir landamæri til að fá aðgang að þjónustu opinbers aðila. Í ákvæðinu felst skylda aðildarríkis til þess að viðurkenna rafræna auðkenningarleið sem gefin er út undir rafrænni auðkenningarskipan í öðru aðildarríki að ákveðnum skilyrðum uppfylltum. Í fyrsta lagi þarf auðkenningarleiðin að vera gefin út undir rafrænni auðkenningarskipan sem er tilgreind í skrá sem framkvæmdastjórn Evrópusambandsins gefur út skv. 9. gr. reglugerðarinnar. Í öðru lagi þarf fullvissustig auðkenningarleiðarinnar að samsvara eða vera hærra en það fullvissustig sem viðkomandi opinber aðili krefst til aðgangs að þessari nettengdu þjónustu í fyrrnefnda aðildarríkinu, að því tilskildu að fullvissustig rafrænu auðkenningarleiðarinnar samsvari fullvissustiginu „verulegt“ eða „hátt“. Í þriðja lagi þarf viðkomandi opinber aðili notar fullvissustigið „verulegt“ eða „hátt“ í tengslum við aðgang að hinni nettengdu þjónustu. Fullvissustigin eru þrjú, lágt, verulegt og hátt og er nánar fjallað um þau í 8. gr. reglugerðarinnar og í framkvæmdarreglugerð framkvæmdastjórnarinnar (ESB) nr. 2015/1502.
    Nánar er fjallað um tilkynningu aðildarríkis á rafrænni auðkenningarskipan til framkvæmdastjórnar Evrópusambandsins í 7.–9. gr. reglugerðarinnar. Þar er kveðið á um hvernig unnt er að tilkynna kerfið og hvaða kröfur eru gerðar til tilkynningarinnar og tilkynntra kerfa. Í 10. gr. reglugerðarinnar er að finna ákvæði um skyldur aðildarríkis og tilkynningar til framkvæmdastjórnar Evrópusambandsins ef öryggisrof verður á tilkynntri rafrænni auðkenningarskipan eða sannvottun. Í 11. gr. er að finna ákvæði um bótaábyrgð aðildarríkis sem tilkynnt hefur rafræna auðkenningarskipan vegna tjóns sem einstaklingar eða lögaðilar verða fyrir og valdið er af ásetningi eða gáleysi og rekja má til þess að aðildarríkið hefur ekki uppfyllt skuldbindingar sínar samkvæmt nánar tilgreindum ákvæðum reglugerðarinnar. Til að tryggja samvirkni milli tilkynntrar rafrænnar auðkenningarskipanar á milli aðildarríkja er í 12. gr. reglugerðarinnar lagður grundvöllur að samstarfi um auðkenningu milli landa. Í framkvæmdargerðum sem framkvæmdastjórn Evrópusambandsins hefur sett og byggja á reglugerðinni er samvirkni milli auðkenningarskipanar og samvinna aðildarríkja nánar útfærð.
    Í frumvarpinu er gert ráð fyrir að ráðherra ákveði um tilkynningu rafrænnar auðkenningarskipanar skv. II. kafla reglugerðarinnar. Gert er ráð fyrir að ráðherra geti með reglugerð falið Neytendastofu að tilkynna um rafræna auðkenningarskipan sem ráðherra ákveður að tilkynna. Vísast til nánari umfjöllunar um ákvæði 4. og 8. gr. í greinargerð með frumvarpinu.

Traustþjónusta.
    Í III. kafla reglugerðarinnar er fjallað um traustþjónustu. Skv. 16. tölul. 3. gr. reglugerðarinnar er traustþjónusta skilgreind sem rafræn þjónusta sem að öllu jöfnu er veitt gegn þóknun og felst í eftirfarandi: myndun, sannprófun og staðfestingu rafrænna undirskrifta, rafrænna innsigla eða rafrænna tímastimpla, rekjanlegrar rafrænnar afhendingarþjónustu og vottorða sem tengjast þessum þjónustum; myndun, sannprófun og staðfestingu vottorða fyrir sannvottun vefsetra; varðveislu rafrænna undirskrifta, innsigla eða vottorða sem tengjast þessum þjónustum.
    Reglugerðin gerir greinarmun á rafrænum undirskriftum skv. 25.–34. gr. og rafrænum innsiglum skv. 35.–40. gr. Þar er kveðið nánar á um réttaráhrif rafrænna undirskrifta og rafrænna innsigla og kröfur til fullgildra rafrænna undirskrifta og fullgildra rafrænna innsigla. Samkvæmt 28.–34. gr. og 37.–38. gr. getur framkvæmdastjórn Evrópusambandsins sett framkvæmdargerðir þar sem ákveðið er tilvísunarnúmer staðla fyrir fullgildar rafrænar undirskriftir og fullgild rafrænna innsigli. Skv. 10. tölul. 3. gr. reglugerðarinnar er rafræn undirskrift gögn á rafrænu formi sem eru tengd við eða rökrænt vensluð við önnur gögn á rafrænu formi og undirritandi notar til að undirrita. Skv. 25. tölul. 3. gr. reglugerðarinnar telst rafrænt innsigli gögn á rafrænu formi sem eru tengd við eða rökrænt vensluð við önnur gögn á rafrænu formi til að tryggja uppruna og heilleika hinna síðarnefndu. Rafrænar undirskriftir taka til einstaklinga en rafræn innsigli til lögaðila. Þannig segir í 58. lið aðfararorða reglugerðarinnar að þegar fullgilds rafræns innsiglis lögaðila er krafist í viðskiptum ætti fullgild rafræn undirskrift frá viðurkenndum fulltrúa lögaðilans að vera jafngild. Í 59. lið aðfararorðanna segir að rafræn innsigli ættu að vera til sönnunar á að rafrænt skjal hafi verið gefið út af lögaðila og tryggja fullvissu um uppruna skjalsins og heilleika þess.
    Samkvæmt 33. tölul. 3. gr. reglugerðarinnar telst rafrænn tímastimpill vera gögn á rafrænu formi sem binda önnur gögn á rafrænu formi við tiltekinn tíma til að sanna að síðarnefndu gögnin voru til á þeim tíma. Kveðið er á um réttaráhrif rafrænna tímastimpla og kröfur til fullgildra rafrænna tímastimpla í 41.–42. gr. reglugerðarinnar. Skv. 2. mgr. 42. gr. getur framkvæmdastjórn Evrópusambandsins ákveðið í framkvæmdargerð tilvísunarnúmer fyrir staðla til að tengja dagsetningu og tíma við gögn og um nákvæmar tímaheimildir.
    Samkvæmt 36. tölul. 3. gr. reglugerðarinnar telst rekjanleg rafræn afhendingarþjónusta vera þjónusta sem gerir mögulegt að flytja gögn á milli þriðju aðila með rafrænum hætti og færir sönnur á meðhöndlun gagnanna sem eru flutt, þ.m.t. sönnun fyrir sendingu og móttöku gagnanna, og verndar gögn í flutningi gegn hættu á tapi, þjófnaði, skemmdum eða hvers konar óheimilum breytingum. Kveðið er á um réttaráhrif rekjanlegrar rafrænnar afhendingarþjónustu og kröfur til fullgildrar rekjanlegrar rafrænnar afhendingarþjónustu í 43.–44. gr. reglugerðarinnar. Skv. 2. mgr. 44. gr. getur framkvæmdastjórn Evrópusambandsins með framkvæmdargerðum ákveðið tilvísunarnúmer staðla fyrir ferlið við sendingu og móttöku gagna.
    Samkvæmt 38. tölul. 3. gr. telst vottorð fyrir sannvottun vefseturs vera vitnisburður sem gerir mögulegt að sannvotta vefsetur og tengir vefsetrið við einstaklinginn eða lögaðilann sem vottorðið er gefið út fyrir. Kveðið er á um fullgild vottorð fyrir sannvottun vefsetra í 44. gr. reglugerðarinnar. Skv. 2. mgr. 44. gr. getur framkvæmdastjórnin með framkvæmdargerðum ákveðið tilvísunarnúmer staðla fyrir fullgild vottorð fyrir sannvottun vefseturs.
    Samkvæmt reglugerðinni getur traustþjónusta verið veitt á tveimur þjónustustigum, annars vegar sem fullgild traustþjónusta og hins vegar sem almenn traustþjónusta. Flestar kröfur reglugerðarinnar gilda um fullgilda traustþjónustu en skv. 17. tölul. 3. gr. reglugerðarinnar telst sú traustþjónusta fullgild sem uppfyllir viðeigandi kröfur sem mælt er fyrir um í reglugerðinni. Gerðar eru ríkari kröfur til fullgildrar traustþjónustu og fullgildra traustþjónustuveitenda.
    Um fullgilda traustþjónustu og traustþjónustuveitendur gilda kröfur 20.–24. gr. reglugerðarinnar. Fullgildir traustþjónustuveitendur þurfa að tryggja að starfsemi þeirra sé í samræmi við ákvæði reglugerðarinnar og tengdra framkvæmdargerða. Í þeim tilgangi er skylt að fela samræmismatsstofu að fara yfir starfsemi traustþjónustuveitandans á eigin kostnað, sbr. 1. mgr. 20. gr. reglugerðarinnar. Skýrsla samræmismatstofu er send til eftirlitsstofnunar sem fer yfir skýrsluna, sbr. e-lið 4. mgr. 17. gr. reglugerðarinnar. Eftir að traustþjónustuveitandi fær fullgilda stöðu þarf að láta gera úttektir á kostnað traustþjónustuveitanda á að minnsta kosti 24 mánaða fresti, sbr. 1. mgr. 20. gr. reglugerðarinnar. Án tillits til skyldunnar í 1. mgr. 20. gr. getur eftirlitsstofnun hvenær sem er gert úttekt á eða óskað eftir að samræmismatsstofa framkvæmi samræmismat á fullgildum traustþjónustuveitanda á kostnað þess traustþjónustuveitanda, sbr. 2. mgr. 20. gr. reglugerðarinnar. Í 43. tölul. aðfararorða tilskipunarinnar segir jafnframt að þegar eftirlitsstofnun krefst þess að fullgildur traustþjónustuveitandi leggi fram sérstaka samræmismatsskýrslu ætti eftirlitsstofnunin sérstaklega að virða meginreglur um góða stjórnsýslu, þ.m.t. skylduna að rökstyðja ákvarðanir sínar, ásamt því að virða meðalhófsregluna. Eftirlitsstofnun ætti því að rökstyðja á tilhlýðilegan hátt þá ákvörðun sína að fara fram á sérstakt samræmismat.
    Í 19. gr. koma fram kröfur sem gilda um alla traustþjónustu, bæði fullgiltrar og þeirrar sem ekki er fullgilt. Traustþjónustuveitendur skulu gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að stýra öryggisáhættu traustþjónustu sem þeir veita. Þá ber traustþjónustuveitendum að tilkynna til eftirlitsstofnunar öryggisrof eða glötun á heilleika sem hefur umtalsverð áhrif á traustþjónustu sem veitt er eða á persónuupplýsingar sem í henni felast. Traustþjónustuveitendur sem ekki eru fullgildir sæta vægari eftirliti sem byggir fyrst og fremst á tilkynningarskyldu vegna atvika sem upp koma. Skv. 19. gr. reglugerðarinnar felst eftirlit með þeim meðal annars í því að bregðast við tilkynningum frá notendum, viðskiptafélögum eða öðrum aðilum en getur einnig komið til vegna frumkvæðisathugana eftirlitsstofnunarinnar.
    Fullgild traustþjónusta er birt á svonefndum traustlista. Traustlistar eru mikilvægur þáttur í því að byggja upp traust á milli markaðsaðila þar sem þeir sýna fram á að þjónustuveitandinn hafði fullgilda stöðu (e. qualified status) þegar eftirlitið fór fram. Skv. 1. mgr. 22. gr. skal aðildarríki koma á, viðhalda og birta traustlista, þ.m.t. upplýsingar um fullgilda traustþjónustuveitendur sem það ber ábyrgð á, ásamt upplýsingum um fullgilda traustþjónustu sem þeir veita. Traustþjónustuveitendur sem eru á þessum lista er heimilt að auðkenna vöru sína með traustmerki Evrópusambandsins, sbr. 23. gr. reglugerðarinnar. Traustmerkið hefur þann tilgang að neytendur geti treyst því að slíkir aðilar veiti trausta þjónustu sem er í samræmi við reglugerðina.
    Reglur um bótaábyrgð og sönnunarbyrði vegna traustþjónustu koma fram í 13. gr. reglugerðarinnar og eru þær eru mismunandi eftir því hvort traustþjónustan er fullgild eða ekki. Traustþjónustuveitendur bera ábyrgð á tjóni sem einstaklingur eða lögaðili verður fyrir, sem valdið er af ásetningi eða gáleysi og rekja má til þess að skuldbindingar samkvæmt reglugerðinni eru ekki uppfylltar. Fullgildur traustþjónustuveitandi ber sönnunarbyrði fyrir því að tjóni sé ekki valdið af ásetningi eða gáleysi. Hins vegar gilda venjulegar sönnunarreglur um traustþjónustuveitanda sem er ekki fullgildur. Þannig er sönnunarbyrðin á þeim sem verður fyrir tjóni.

Réttaráhrif traustþjónustu og rafrænna skjala.
Ákvæði reglugerðarinnar.

    Í 25. gr. reglugerðarinnar er kveðið á um réttaráhrif rafrænna undirskrifta. Sambærileg ákvæði um réttaráhrif er að finna í 35. gr. um rafræn innsigli, í 41. gr. um rafræna tímastimpla, 43. gr. um rafræna afhendingarþjónustu og 46. gr. um rafræn skjöl. Reglugerðin fjallar því um réttaráhrif fleiri tegunda traustþjónustu en gert var í 5. gr. tilskipunar Evrópuþingsins og ráðsins 1999/93/EB.
    Í 1. mgr. 25. gr. reglugerðarinnar segir að ekki skuli hafna því að rafræn undirskrift fái réttaráhrif og sé viðurkennd sem sönnunargagn í málarekstri einungis af þeirri ástæðu að hún sé á rafrænu formi eða að hún uppfylli ekki kröfur sem gerðar eru til fullgildra rafrænna undirskrifta. Samsvarandi ákvæði er að finna í 1. mgr. 35. gr. um rafræn innsigli, 1. mgr. 41. gr. um rafræna tímastimpla og 1. mgr. 43. gr. um rafræna afhendingarþjónustu.
    Í 2. mgr. 25. gr. reglugerðarinnar er kveðið á um að fullgild rafræn undirskrift skuli hafa sömu réttaráhrif og eiginhandarundirskrift. Í 2. mgr. 35. gr. reglugerðarinnar segir að gengið skuli út frá heilleika gagna og því að uppruni gagnanna, sem fullgilda rafræna innsiglið tengist, sé réttur. Samsvarandi ákvæði er að finna í 2. mgr. 41. gr. um rafræna tímastimpla og 2. mgr. 43. gr. um rafræna afhendingarþjónustu.
    Í 3. mgr. 25. gr. reglugerðarinnar er kveðið á um að fullgilda rafræna undirskrift, sem er studd fullgildu vottorði sem gefið er út í einu aðildarríki, skuli viðurkenna sem fullgilda rafræna undirskrift í öllum öðrum aðildarríkjum. Samsvarandi ákvæði er að finna í 3. mgr. 35. gr. um rafræn innsigli og í 3. mgr. 41. gr. um rafræna tímastimpla.
    Í 46. gr. segir um réttaráhrif rafrænna skjala að ekki skuli hafna því að rafrænt skjal fái réttaráhrif og sé viðurkennt sem sönnunargagn í málarekstri einungis af þeirri ástæðu að það sé á rafrænu formi.
    Loks er kveðið á um rafrænar undirskriftir í opinberri þjónustu í 27. gr. reglugerðarinnar. Ákvæðið felur í sér skyldu aðildarríkja til að viðurkenna útfærðar rafrænar undirskriftir vegna notkunar á nettengdri þjónustu sem opinber aðili veitir eða veitt er fyrir hönd opinbers aðila. Samsvarandi ákvæði gildir fyrir rafræn innsigli, sbr. 37. gr. reglugerðarinnar.
    Í 22., 49. og 63. lið aðfararorða reglugerðarinnar er vikið að réttaráhrifum traustþjónustu, rafrænna undirskrifta og rafrænna skjala. Í 22. lið segir að til að stuðla að almennri notkun traustþjónustu yfir landamæri ætti að vera mögulegt að nota traustþjónustu sem sönnunargagn í málarekstri í öllum aðildarríkjum. Réttaráhrif traustþjónustu skuli skilgreina í landslögum, nema kveðið sé á um annað í reglugerðinni. Í 49. lið segir að koma ætti á þeirri meginreglu að ekki ætti að hafna réttaráhrifum rafrænnar undirskriftar af þeirri ástæðu að hún sé á rafrænu formi eða að hún uppfylli ekki kröfur sem gerðar eru til fullgildrar rafrænnar undirskriftar. Engu að síður sé það landslaga að skilgreina réttaráhrif rafrænna undirskrifta nema að því er varðar kröfurnar sem kveðið er á um í reglugerðinni um að fullgild rafræn undirskrift eigi að hafa jafngild réttaráhrif og eiginhandarundirskrift. Í 63. lið segir meðal annars að koma ætti á þeirri meginreglu að ekki ætti að hafna því að rafrænt skjal hafi réttaráhrif af þeirri ástæðu að það sé á rafrænu formi, til að tryggja að rafrænum viðskiptum verði ekki hafnað einungis vegna þess að skjal sé á rafrænu formi.

Áhrif reglugerðarinnar á gildandi rétt.
    Í 4. gr. gildandi laga um rafrænar undirskriftir er kveðið á um að fullgildar rafrænar undirskriftir hafi sömu réttaráhrif og eiginhandarundirskriftir. Ákvæðið byggist á 5. gr. tilskipunar Evrópuþingsins og ráðsins 1999/93/EB frá 13. desember 1999, um ramma bandalagsins varðandi rafrænar undirskriftir. Innleiðing á ákvæði 25. gr. reglugerðarinnar um réttaráhrif rafrænna undirskrifta felur því ekki í sér miklar breytingar að íslenskum rétti að því er varðar rafrænar undirskriftir nema að því er varðar viðurkenningu á fullgildum rafrænum undirskriftum sem gefnar eru út í öðrum aðildarríkjum.
    Það eru meginreglur í íslensku einkamálaréttarfari að sönnunarmat dómara er frjálst og aðilar máls hafa forræði á sönnunarfærslu. Þá er samningsfrelsi meginregla í íslenskum samningarétti og samningsaðilum frjálst að semja um hvert það form samnings sem þeir kjósa. Jafnframt er kveðið á um það í 8. gr. laga um rafræn viðskipti og rafræna þjónustu, nr. 30/2002, að rafrænir samningar teljist jafngildir skriflegum samningum. Með hliðsjón af þessu verður að telja að í íslenskum rétti sé að meginstefnu unnt að leggja fram rafræn skjöl sem sönnunargögn fyrir íslenskum dómstólum, sbr. kröfur 1. mgr. 25. gr., 1. mgr. 35. gr., 1. mgr. 41. gr., 1. mgr. 43. gr. og 46. gr. reglugerðarinnar um rafrænar undirskriftir, innsigli, tímastimpla, afhendingarþjónustu og skjöl.
    Hvað varðar formskilyrði laga þá er staðan ekki eins skýr. Sett lög áskilja í ýmsum tilvikum að málsmeðferð sé skrifleg, að leggja skuli fram frumrit skjals eða að kröfuhafi sé handhafi skjals til að það fái tilætluð réttaráhrif. Í slíkum tilvikum kemur til álita hvort hinar mismunandi tegundir traustþjónustu geti gert aðilum máls kleift að uppfylla slíkan áskilnað. Æskilegt er að kveðið verði með skýrum hætti á um það í réttarfarslögum að rafræn skjöl uppfylli slíkan áskilnað að uppfylltum ákveðnum skilyrðum. Er það til þess fallið að greiða fyrir almennri útbreiðslu og notkun rafrænna skjala fyrir dómi, í fullnusturéttarfari og skuldaskilum.

3.2. Viðbótarákvæði vegna innleiðingar.
Eftirlit og viðurlög.

    Í frumvarpinu er lagt til að Neytendastofa fari með eftirlit með traustþjónustu samkvæmt lögunum. Skv. 1. mgr. 17. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) nr. 910/2014 skulu aðildarríki tilnefna eftirlitsstofnun með staðfestu á yfirráðasvæði þeirra eða, með gagnkvæmu samkomulagi við annað aðildarríki, eftirlitsstofnun með staðfestu í því aðildarríki. Stofnunin skal bera ábyrgð á eftirlitsverkefnum í aðildarríkinu sem tilnefnir hana. Samkvæmt gildandi lögum um rafrænar undirskriftir, nr. 28/2001, fer Neytendastofa með eftirlit með því að starfsemi vottunaraðila sem gefa út fullgild vottorð sé í samræmi við ákvæði framangreindra laga og reglna settra á grundvelli þeirra. Í 1. mgr. 4. gr. frumvarpsins er lagt til að Neytendastofa hafi með höndum þau eftirlitsverkefni sem eru falin eftirlitsstofnun á íslensku yfirráðasvæði skv. 1. mgr. 17. gr. reglugerðarinnar. Ástæða þess er að reynsla og þekking er til staðar hjá stofnuninni til þess að sinna áfram eftirlitsverkefnum á þessu sviði.
    Eftirlit Neytendastofu mun einkum felast í því að kanna hvort traustþjónusta uppfylli kröfur reglugerðarinnar. Nánar tiltekið gerir frumvarpið ráð fyrir að Neytendastofa fari með verkefni eftirlitsstofnunar í reglugerðinni á borð við:
               að koma á sannvottun í kjölfar öryggisrofs og tilkynna öðrum aðildarríkjum og framkvæmdastjórn Evrópusambandsins um öryggisrof, sbr. 2. mgr. 10. gr. reglugerðarinnar,
               að fara með verkefni eftirlitsstofnunar sem kveðið er á um í 3. og 4. mgr. 17. gr. reglugerðarinnar,
               að koma á fót, viðhalda og uppfæra innviði trausts í samræmi við skilyrði íslensks réttar, sbr. 5. mgr. 17. gr. reglugerðarinnar,
               að leggja skýrslu fyrir Eftirlitsstofnun EFTA um meginstarfsemi ásamt tilkynningum um öryggisrof, sbr. 6. mgr. 17. gr. reglugerðarinnar,
               að aðstoða, starfa með og skiptast á góðum starfsvenjum við aðrar eftirlitsstofnanir í samræmi við 18. gr. reglugerðarinnar,
               að senda árlega samantekt til Net- og upplýsingaöryggisstofnunar Evrópusambandsins um tilkynningar um öryggisrof og glötun á heilleika, sbr. 3. mgr. 19. gr. reglugerðarinnar,
               að koma á, viðhalda og uppfæra traustlista skv. 22. gr. reglugerðarinnar.
    Í 1. mgr. 17. gr. reglugerðarinnar segir að eftirlitsstofnanir skuli fá nauðsynlegar valdheimildir og fullnægjandi bolmagn til að inna af hendi verkefni sín. Til samræmis við þetta eru Neytendastofu veittar valdheimildir til þess að taka ákvörðun um bann, fyrirmæli og dagsektir til að tryggja framfylgni við ákvæði laganna. Þá eru Neytendastofu veittar heimildir til upplýsingaöflunar og aðgengi að starfsstöð traustþjónustuveitanda. Um úrræði Neytendastofu vísast nánar til umfjöllunar í greinargerð um 4.–6. gr. frumvarpsins.
    Í 16. gr. reglugerðarinnar segir að aðildarríkin skuli setja reglur um viðurlög við brotum á ákvæðum reglugerðarinnar og að þau skuli vera skilvirk, í réttu hlutfalli við brotið og hafa varnaðaráhrif. Í samræmi við þetta eru Neytendastofu veittar heimildir til að sekta þá sem brjóta gegn ákvæðum laganna. Um úrræði Neytendastofu til að beita stjórnvaldssektum vísast nánar til umfjöllunar í greinargerð um 7. gr. frumvarpsins.

Þagnarskylda.
    Mikilvægt er fyrir Neytendastofu að hafa aðgang að öllum upplýsingum og gögnum um starfsemi traustþjónustuveitenda til þess að geta sinnt eftirlitshlutverki sínu samkvæmt lögunum. Þess vegna er lagt til að Neytendastofu verði veittar víðtækar heimildir til upplýsinga og gagnaöflunar, sbr. 3. og 4. mgr. 4. gr. frumvarpsins.
    Í reglugerð Evrópuþingsins og ráðsins (ESB) nr. 910/2014 er ekki að finna sérstakt ákvæði um þagnarskyldu en í 11. lið aðfararorða reglugerðarinnar segir að traustþjónustuveitendur og eftirlitsstofnanir ættu að virða kröfurnar í tilskipun 95/46/EB um trúnað og öryggi í vinnslu. Við eftirlitsstörf sín öðlast Neytendastofa mikla innsýn inn í starfsemi traustþjónustuveitanda. Til þess að tryggja skilvirkni í eftirlitsstarfsemi er brýnt að traustþjónustuveitendur geti treyst því að upplýsingar um starfsemina sem lagaskylda er til að láta af hendi séu varðar trúnaði. Þá er brýnt að tryggja öryggi þeirra kerfa sem traustþjónustuveitendur nota sem og viðskiptahagsmuni traustþjónustuveitenda. Af þeim sökum er sérstaklega kveðið á um þagnarskyldu þeirra sem starfa fyrir Neytendastofu í 7. mgr. 4. gr. frumvarpsins. Um þagnarskylduna vísast nánar til umfjöllunar í greinargerð um 7. mgr. 4. gr. frumvarpsins.

3.3. Gildandi réttur.
    Í íslenskum rétti er almennt ekki að finna sérstakar reglur um rafræn innsigli, rafræna tímastimpla, rafræn skjöl, rekjanlega rafræna afhendingarþjónustu eða vottunarþjónustu fyrir sannvottun vefsetra.
    Í gildandi lögum um rafrænar undirskriftir, nr. 28/2001, er kveðið á um rafrænar undirskriftir. Lögin voru sett til að innleiða í íslenskan rétt tilskipun Evrópuþingsins og ráðsins 1999/93/EB frá 13. desember 1999, um ramma bandalagsins varðandi rafrænar undirskriftir. Á grundvelli laganna hefur verið sett reglugerð um rafrænar undirskriftir, nr. 780/2011.
    Lögin gilda um rafrænar undirskriftir og starfsemi vottunaraðila með staðfestu á Íslandi. Með rafrænni undirskrift er átt við gögn á rafrænu formi sem fylgja eða tengjast rökrænt öðrum rafrænum gögnum og eru notuð til að sannprófa frá hverjum hin síðarnefndu gögn stafa. Fullgild rafræn undirskrift er útfærð undirskrift sem er studd fullgildu vottorði og gerð með öruggum undirskriftarbúnaði. Útfærð rafræn undirskrift er rafræn undirskrift sem tengist undirritanda einum, er til þess fallin að bera kennsl á undirritanda, er gerð með aðferð sem er eingöngu á forræði undirritanda og er tengd gögnum á þann hátt að hvers konar breyting á þeim eftir undirritun er greinileg.
    Í III. kafla laga um rafrænar undirskriftir er fjallað um fullgild vottorð og kröfur til þeirra. Nánari fyrirmæli um hvaða upplýsingar fullgild vottorð skuli geyma eru útfærð í reglugerð um rafrænar undirskriftir nr. 780/2011. Í IV. kafla laganna er að finna ákvæði um kröfur til öruggs undirskriftabúnaðar. Í V. kafla er kveðið á um kröfur um öryggi og áreiðanleika sem gerðar eru til vottunaraðila sem gefa út fullgild vottorð. Í VI. kafla er kveðið á um skaðabótaábyrgð vottunaraðila vegna tjóns þess sem treystir á vottorð með eðlilegum hætti. Ákvæði um valdheimildir og eftirlit Neytendastofu með vottunaraðilum er að finna í VII. kafla. Í VIII kafla er að finna ýmis ákvæði svo sem um viðurlög og viðurkenningu fullgildra vottorða sem gefin eru út á EES-svæðinu.

3.4. Skipan rafrænnar auðkenningar hér á landi.
    Hér á landi hafa verið teknar í notkun opinberar lausnir sem byggja á kennitölu sem notendanafni og veflykli sem aðgangsorði. Dæmi um slíkar lausnir er Veflykill ríkisskattstjóra, Íslykill Þjóðskrár Íslands og styrktur Íslykill. Þá eru dæmi um að fyrirtæki hafi útfært sértækar lausnir sem byggja á sambandi þjónustuveitanda við viðskiptavini. Má þar nefna innskráningarkerfi íslenskra banka og sparisjóða sem byggja á notandanafni, aðgangsorði og styrkingu með auðkennislykli eða rafrænum skilríkjum.
    Á Íslandi hefur verið unnið að uppbyggingu á innviðum fyrir fullgild rafræn skilríki sem er unnt að nota til auðkenningar og til fullgildrar rafrænnar undirritunar samkvæmt gildandi lögum. Árið 2007 var undirritaður samstarfssamningur milli fjármálafyrirtækja og fjármálaráðuneytisins um þróun og útgáfu rafrænna skilríkja á Íslandi sem byggja á svonefndu PKI-dreifilyklaskipulagi (e. Public Key Infrastructure). Íslandsrót er svonefnt rótarskilríki (e. root certificate) fyrir Ísland sem ætlað er að staðfesta áreiðanleika annarra skilríkja sem gefin eru út á Íslandi. Íslandsrót er gefin út af fjármála- og efnahagsráðuneytinu og er í eigu þess. Auðkenni ehf. er eini handhafi milliskilríkis á Íslandi en félagið var stofnað í tengslum við samstarfssamninginn. Neytendastofa hefur eftirlit með starfsemi Auðkennis ehf. samkvæmt lögum um rafrænar undirskriftir og reglugerð um rafrænar undirskriftir, nr. 780/2011.
    Sem stendur nýtir ríkið þrjár meginauðkenningarleiðir í þjónustu sinni: Íslykil, sem rekinn er af Þjóðskrá, veflykil RSK og rafræn skilríki sem byggjast á Íslandsrót. Þær tvær fyrrnefndu hafa ekki sama fullvissustig og fullgild rafræn skilríki. Stofnunum ber að meta viðkvæmni þeirrar þjónustu sem veitt er og bjóða upp á auðkenningarleiðir í samræmi við það.
    Ríkið hefur byggt upp miðlæga auðkenningarþjónustu sem rekin er af Þjóðskrá og nefnist Innskráningarþjónusta Ísland.is og veitir almenningi og lögaðilum kost á að auðkenna sig inn á vefi opinberra aðila, einkaaðila og félagasamtaka með Íslykli og rafrænum skilríkjum. Á vefgáttinni er val um að nota innskráningarleiðir á mismunandi fullvissustigum þ.e. Íslykil, styrktan Íslykil eða rafræn skilríki. Þjónustuveitendur sem nýta sér þessa innskráningu gera kröfu um tiltekið fullvissustig út frá áhættumati hverrar þjónustu og viðskiptavinirnir velja síðan þá innskráningarleið sem þeim hentar og uppfyllir kröfur þjónustuveitandans. Yfir 200 þjónustuveitendur, opinberir sem einkaaðilar, nýttu sér innskráningarþjónustuna til auðkenningar í lok árs 2016. Innskráningarþjónustan er þeim sem skrá sig þar inn að kostnaðarlausu.

3.5. Skipan rafrænnar auðkenningar á Norðurlöndunum.
    Árið 2015 var skipuð nefnd á vegum norrænu ráðherranefndarinnar til að fara yfir það hvernig auðkenningu væri háttað á Norðurlöndunum. Helstu niðurstöður nefndarinnar voru þær að auðkenningarskipan allra ríkjanna sé hæf til að nota yfir landamæri. Danmörk, Ísland, Noregur og Finnland bjóða öll upp á miðlæga auðkenningargátt, en í Svíþjóð er skipan rafrænnar auðkenningar dreifð. Þá er nokkur munur á fullvissustigi auðkenningar. Í Danmörku, Noregi og Svíþjóð eru auðkenningarleiðirnar á fullvissustiginu „verulegt“.

Danmörk.
    Reglugerð Evrópuþingsins og ráðsins (ESB) nr. 910/2014 hefur sjálfkrafa lagagildi í Danmörku. Í Danmörku hafa einnig verið sett lög til viðbótar við reglugerðina til að uppfylla kröfur hennar um eftirlit og viðurlög (Lov om supplerende bestemmelser til forordning om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked). Eftirlitsstofnun í Danmörku er Digitaliseringsstyrelsen.
    Opinberum aðilum í Danmörku er skylt að nota svonefnda NemLogin-gátt sem styður innskráningu með NemID sem er tvíþátta auðkenning með notandanafni, lykilorði og einskiptis sex tölustafa kóða. NemID-lausnin er aðeins af einu fullvissustigi sem Danir flokka sem „verulegt“. Önnur auðkenningarskipan í Danmörku eins og UniLog-in og WAYF flokkast undir fullvissustig „lágt“. Auðkenningarkerfið er rekið af einkafyrirtækinu Nets DanID A/S.

Noregur.
    Reglugerð Evrópuþingsins og ráðsins (ESB) nr. 910/2014 var innleidd í norskan rétt árið 2018 (Lov om gjennomføring av EUs forordning om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked). Lögin innleiða reglugerðina með tilvísunaraðferð með viðbótarákvæðum til að uppfylla kröfur reglugerðarinnar um eftirlit og viðurlög. Eftirlitsstofnun í Noregi er Nasjonal kommunikasjonsmyndighet.
    Stofnunin Direktoratet for forvaltning og IKT (DIFI) ber ábyrgð á svonefndu ID porten, sem veitir aðgang að opinberum netþjónustum í Noregi og styður í dag innskráningu með rafrænum skilríkjum á tveimur hærri fullvissustigum. Rafrænu skilríkin MinID eru á fullvissustigi „verulegt“, en rafrænu skilríkin á kortum frá BankID, Buypass, Commfides og nafnskírteinum eru á fullvissustigi „hátt“.

Svíþjóð.
    Reglugerð Evrópuþingsins og ráðsins (ESB) nr. 910/2014 hefur sjálfkrafa lagagildi í Svíþjóð. Í Svíþjóð hafa einnig verið sett lög til viðbótar við reglugerðina til að uppfylla kröfur hennar um eftirlit og viðurlög (Lag med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering). Eftirlitsstofnun í Svíþjóð er Post och Telestyrelsen.
    Rafræn auðkenning í Svíþjóð er í höndum banka og eins símafyrirtækis. Opinberir aðilar kaupa afnot af auðkenningarskipaninni og sjá sjálfir um uppsetningu á sínum þjónustuvef. Oftast eru notuð svokölluð „mjúk skilríki“, uppsett á tölvu notandans. Einnig er boðið upp á skilríki í farsíma eða nafnskírteini. Sérhver notandi semur við sinn viðskiptabanka eða símafyrirtækið um afhendingu skilríkjanna. Núverandi sænsk rafræn skilríki falla undir fullvissustig „verulegt“ samkvæmt eIDAS-reglugerðinni. Yfirumsjón með skilríkjunum hefur stýrihópur sem skipaður er af sænskum stjórnvöldum (eLegitimationsnämnden).

4. Samræmi við stjórnarskrá og alþjóðlegar skuldbindingar.
    Efni frumvarpsins gefur ekki sérstaka ástæðu til að ætla að það fari gegn ákvæðum stjórnarskrár lýðveldisins Íslands, nr. 33/1944. Frumvarpinu er ætlað að innleiða reglugerð Evrópuþingsins og ráðsins (ESB) nr. 910/2014 í íslenskan rétt. Reglugerðin var tekin upp í EES-samninginn með ákvörðun sameiginlegu EES-nefndarinnar nr. 22/2018, frá 9. febrúar 2018, um breytingu á XI. viðauka EES-samningsins og er Ísland skuldbundið til að taka efni hennar upp í íslenskan rétt. Lagt er til að innleiða reglugerðina með tilvísunaraðferð.

5. Samráð.
    Frumvarpið snertir fyrst og fremst starfsemi fjármálastofnana, fjarskiptafyrirtækja og traustþjónustuveitenda. Þá snertir frumvarpið einnig hagsmuni neytenda. Frumvarp var samið með aðstoð starfshóps sem skipaður var fulltrúum helstu haghafa. Í starfshópnum sátu fulltrúar frá atvinnuvega- og nýsköpunarráðuneytinu, innanríkisráðuneytinu, fjármála- og efnahagsráðuneytinu, Neytendastofu, Fagstaðlaráði í upplýsingatækni, Samtökum fjármálafyrirtækja og Samtökum atvinnulífsins. Starfshópurinn lauk störfum vorið 2018.
    Áform um lagasetninguna voru send til kynningar hjá öðrum ráðuneytum 23. ágúst 2018. Í framhaldi af samráði við haghafa í starfshópnum voru frumdrög frumvarpsins birt í samráðsgáttinni 27. mars 2018 og frestur til umsagna veittur til 17. apríl 2018. Umsagnir bárust frá Neytendastofu, Samtökum atvinnulífsins, Samtökum fjármálafyrirtækja, Samtökum iðnaðarins og Viðskiptaráði Íslands og skiluðu fyrrnefnd samtök ásamt Viðskiptaráði sameiginlegri umsögn. Hinn 23. apríl 2018 fundaði atvinnuvega- og nýsköpunarráðuneytið með Samtökum atvinnulífsins, Samtökum fjármálafyrirtækja, Samtökum iðnaðarins og Viðskiptaráði Íslands um frumvarpsdrögin og umsögn þeirra.
    Helstu athugasemdir í sameiginlegri umsögn samtakanna lutu að því að greinargerð frumvarpsdraganna væri ekki nógu ítarleg. Í umsögninni kom fram að bæta þyrfti umfjöllun um ákvæði reglugerðarinnar sem fjalla um réttaráhrif traustþjónustu og áhrif ákvæðanna að íslenskum rétti. Þá kom fram að skýra þyrfti betur hlutverk Neytendastofu sem eftirlitsstofnunar og muninn á hlutverki ráðherra og Neytendastofu samkvæmt lögunum. Í umsögninni kom einnig fram að skýra þyrfti betur ákvæði um úrræði Neytendastofu og þagnarskylduákvæði laganna og ákvæði þeirra um heimildir Neytendastofu til að krefjast úttektar samræmismatsstofu á starfsemi traustþjónustuveitanda. Þá þótti brýnt að skýra betur í greinargerð að úrræði Neytendastofu til aðgengis að starfsstöð fæli ekki í sér húsleitarheimild. Jafnframt voru gerðar athugasemdir við að fjárhæð dagsekta væri umtalsvert hærri en almennt tíðkast. Þá voru athugasemdir gerðar við að skammur tími væri fyrir traustþjónustuveitendur að bregðast við nýjum kröfum og aðlaga sig að breyttu starfsumhverfi. Athugasemdir voru einnig gerðar við það að frummat á áhrifum virtist ekki í samræmi við ákvæði frumvarpsdraganna. Enga heimild væri að finna í frumvarpinu til gjaldtöku af traustþjónustuveitendum og misskilnings virtist gæta um fjármögnun eftirlits og kostnað vegna samræmismats traustþjónustuveitenda. Þá lutu nokkrar athugasemdir að orðalagi frumvarpsdraga og samræmi í hugtakanotkun.
    Athugasemdir Neytendastofu lutu helst að því að í frumvarpsdrögum væri ekki að finna ákvæði sambærilegt 1. mgr. 19. gr. gildandi laga um rafrænar undirskriftir, nr. 28/2001, um eftirlitsgjald og að við mat á áhrifum þyrfti að taka mið af því.
    Við ritun frumvarpsins var samráð haft við dómsmálaráðuneytið um möguleg áhrif ákvæða frumvarpsdraganna um réttaráhrif traustþjónustu á löggjöf á sviði réttarfars, fullnustu og skuldaskila.
    Við ritun frumvarpsins var höfð hliðsjón af athugasemdum sem bárust í samráði. Breytingar voru aðallega gerðar á innihaldi greinargerðar frumvarpsins og samræmingu í orðalagi og hugtakanotkun. Rituð var ítarlegri umfjöllun um réttaráhrif traustþjónustu og áhrif á íslenskan rétt. Þá voru breytingar gerðar á einstökum ákvæðum til að skýra betur hlutverk Neytendastofu og ráðherra. Ítarlegri skýringar voru ritaðar við ákvæði um þagnarskyldu þeirra sem starfa fyrir Neytendastofu og um aðgengi Neytendastofu að starfsstöð. Ákvæði um að Neytendastofu væri heimilt að krefjast úttektar samræmismatsstofu á starfsemi traustþjónustuveitanda og afturkalla fullgilda stöðu voru tekin úr frumvarpinu enda er þegar kveðið á um slíkar heimildir eftirlitsstofnunar með sérstökum hætti í 2. og 3. mgr. 20. gr. reglugerðarinnar. Breytingar voru einnig gerðar á gildistökuákvæði laganna til að veita traustþjónustuveitendum tíma til að laga starfsemi sína að breyttum kröfum laganna.

6. Mat á áhrifum.
    Frumvarpið felur í sér að gerðar eru auknar kröfur til fullgildra traustþjónustuveitenda. Til að staðfesta að fullgildir traustþjónustuveitendur og fullgilda traustþjónustan sem þeir veita uppfylli kröfur laganna þurfa þeir að láta samræmismatsstofu gera úttekt á starfsemi sinni á eigin kostnað á að minnsta kosti 24 mánaða fresti. Þetta felur í sér aukinn reglubundinn kostnað í starfsemi fullgildra traustþjónustuveitenda.
    Frumvarpið felur í sér traustþjónustuveitendur geta boðið neytendum og fyrirtækjum upp á breiðari þjónustu en verið hefur í gildandi rétti. Aukið framboð á þjónustu opnar möguleika fyrirtækja á frekari þróun rafrænna lausna í viðskiptum. Þá er opnað fyrir þann möguleika að íslensk stjórnvöld tilkynni rafræna auðkenningarskipan. Tilkynnt rafræn auðkenningarskipan fyrir Ísland myndi hafa í för með sér aukna möguleika neytenda til þess að nota rafræna þjónustu hins opinbera yfir landamæri í þeim aðildarríkjum EES sem hafa tilkynnt um slíka skipan og bjóða upp á rafræna þjónustu.
    Frumvarpið felur í sér ítarlegri reglur um fleiri tegundir traustþjónustu en í gildandi rétti og aukna tilkynningarskyldu stjórnvalda til Eftirlitsstofnunar EFTA. Þá er fyrirséð nokkur vinna í tengslum við tilkynningu á rafrænni auðkenningarskipan.
    Frumvarpið varðar tæknileg atriði og staðla um notkun á rafrænni traustþjónustu og rafrænni auðkenningarskipan. Í samræmi við leiðbeiningar um jafnréttismat er ekki talin þörf á frekari greiningu og frumvarpið er ekki talið hafa áhrif á jafnrétti kynjanna.
    Ætla má að aukin verkefni og eftirlit Neytendastofu muni hafa í för með sér kostnað sem nemur tveimur stöðugildum tímabundið til að aðlagast kröfum laganna. Áætlað er að sú viðbót ásamt föstum kostnaði verði 11 milljón krónur á árinu 2019 og 21 milljón krónur á ári fyrir árin 2020 –2021 sem verði endurskoðað að þremur árum liðnum. Kostnaður vegna nýrra verkefna stofnunarinnar mun verða forgangsraðað innan málefnasviðs 16. Verði frumvarpið óbreytt að lögum verða fjárhagsáhrif á ríkissjóð óveruleg þar sem gert er ráð fyrir að fjármögnun verkefna verði mætt með forgangsröðun innan málefnasviðs 16.

Um einstakar greinar frumvarpsins.
Um 1. gr.

    Greinin kveður á um markmið laganna. Í henni kemur fram að markmið laganna sé að tryggja að örugg rafræn auðkenning og sannvottun sé möguleg til aðgangs að nettengdri þjónustu yfir landamæri sem aðildarríki á Evrópska efnahagssvæðinu bjóða einstaklingum og lögaðilum og að auka traust í rafrænum viðskiptum með því að setja fram kröfur og kveða á um réttaráhrif sem gilda um rafrænar auðkenningarleiðir og traustþjónustu.

Um 2. gr.

    Með ákvæðinu er lagt til að reglugerð Evrópuþingsins og ráðsins (ESB) nr. 910/2014 frá 23. júlí 2014 um rafræna auðkenningu og traustþjónustu fyrir rafræn viðskipti á innri markaðinum og um niðurfellingu á tilskipun 1999/93/EB með þeim aðlögunum sem leiðir af ákvörðun sameiginlegu EES-nefndarinnar nr. 22/2018, frá 9. febrúar 2018, skuli hafa lagagildi hér á landi. Reglugerðin veitir lítið svigrúm við innleiðingu og er því lagt til að hún sé innleidd með tilvísunaraðferð. Ákvörðun sameiginlegu EES-nefndarinnar nr. 22/2018 hefur ekki verið birt í EES-viðbæti við Stjórnartíðindi Evrópusambandsins þegar frumvarpið er lagt fram á Alþingi.

Um 3. gr.

    Í 3. gr. grein frumvarpsins eru talin upp í 11 töluliðum og skilgreind helstu hugtök sem vísað er til í ákvæðum frumvarpsins. Töluliðirnir eru samhljóða ákvæðum 1., 2., 4., 5., 11., 16., 19., 23., 25., 26. og 32. tölulið 3. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) nr. 910/2014. Í reglugerðinni eru skilgreind hugtök í alls 41 tölulið í 3. gr. hennar. Rétt þykir að skýra þau hugtök sem koma fyrir í frumvarpstextanum. Munurinn á fjölda skilgreindra hugtaka skýrist af því að ákvæði frumvarpsins geyma ekki öll hugtök reglugerðarinnar þar sem stuðst er við tilvísunaraðferð við innleiðingu hennar.

Um 4. gr.

    Greinin fjallar um eftirlit Neytendastofu með lögunum. Í 1. mgr. 4. gr. frumvarpsins er lagt til að Neytendastofa hafi með höndum þau eftirlitsverkefni sem eru falin eftirlitsstofnun á íslensku yfirráðasvæði í samræmi við 1. mgr. 17. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) nr. 910/2014. Í 1. mgr. 4. gr. frumvarpsins er jafnframt kveðið á um að ráðherra fari með framkvæmd laganna og að Neytendastofa fari með eftirlit samkvæmt lögunum í umboði ráðherra. Í þessu felst að ráðherra fer með aðrar skyldur aðildarríkis samkvæmt reglugerðinni en þau sem sérstaklega eru falin Neytendastofu. Þetta á til dæmis við um tilkynningar til Eftirlitsstofnunar EFTA, tilkynningu rafrænnar auðkenningarskipan skv. 9. gr. reglugerðarinnar og birtingu traustlista. Í 3. mgr. 8. gr. er hins vegar gert ráð fyrir að ráðherra geti falið Neytendastofu að fara með verkefni af því tagi.
    Samkvæmt ákvæðum reglugerðarinnar fer eftirlitsstofnun með eftirlit með traustþjónustu og traustþjónustuveitendum. Helstu skyldur eftirlitsstofnunar koma fram í 17.–19. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) nr. 910/2014. Þegar traustþjónustuveitandi óskar eftir að hefja veitingu fullgildrar traustþjónustu á grundvelli laganna þarf hann að skila inn gögnum frá viðurkenndri samræmismatsstofu sem tekið hefur út starfsemina. Neytendastofa fer yfir skýrslur frá samræmismatsstofu og óskar eftir að frekari úttektir séu gerðar, sé tilefni til þess. Neytendastofa fylgist með því hvort aðili fullnægi skilyrðum laganna um veitingu fullgildrar traustþjónustu og afturkallar hana þegar viðkomandi fullnægir ekki kröfum laganna. Fyrirhugað er að Neytendastofu verði falið í reglugerð að útbúa traustlista þar sem fram koma hverjir eru fullgildir traustþjónustuaðilar, sbr. 8. gr. frumvarpsins. Auk þess hefur Neytendastofa eftirlit með annarri traustþjónustu með almennum hætti en um slíka þjónustu gilda einkum ákvæði 19. gr. reglugerðarinnar.
    Í 1. mgr. 17. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) nr. 910/2014 segir að eftirlitsstofnanir skuli fá nauðsynlegar valdheimildir og fullnægjandi bolmagn til að inna af hendi verkefni sín. Til að tryggja að Neytendastofa hafi nauðsynlegar valdheimildir er lagt til í 1. mgr. 4. gr. að Neytendastofa hafi eftirlit með lögunum og reglum settum samkvæmt þeim. Ákvæðið felur ekki í sér rýmkun á hlutverki eftirlitsstofnunar sem kveðið er á um í reglugerðinni. Valdheimildir Neytendastofu í 2.–6. mgr. 4. gr. frumvarpsins eru umfram þær valdheimildir sem kveðið er sérstaklega á um í reglugerðinni en þeim er hins vegar ætlað að tryggja að Neytendastofa geti sinnt hlutverki sínu sem eftirlitsstofnun með fullnægjandi valdheimildum til samræmis við 1. mgr. 17. gr. reglugerðarinnar.
    Í 2. mgr. 4. gr. er kveðið á um að Neytendastofa geti bannað háttsemi eða gefið fyrirmæli þegar háttsemi brýtur gegn ákvæðum laganna eða reglum settum samkvæmt þeim. Úrræðin eru efnislega í samræmi við gildandi 18. gr. laga um rafrænar undirskriftir, nr. 28/2001. Með þessu er átt við að Neytendastofa geti tekið stjórnvaldsákvörðun um að banna háttsemi sem brýtur gegn lögunum eða með fyrirmælum til að tryggja að háttsemi sé í samræmi við lögin. Valdheimildir Neytendastofu samkvæmt lögunum eru ekki bundnar við bann eða fyrirmæli. Samkvæmt ákvæðum reglugerðarinnar getur Neytendastofa til að mynda gripið til nokkurra sértækari úrræða. Sem dæmi má nefna að skv. 2. mgr. 20. gr. reglugerðarinnar getur Neytendastofa óskað eftir að samræmismatsstofa framkvæmi samræmismat á fullgildum traustþjónustuveitendum, á kostnað þessara traustþjónustuveitenda, til að staðfesta að þeir og fullgilda traustþjónustan sem þeir veita uppfylli kröfurnar sem mælt er fyrir um í reglugerðinni.
    Í 3. mgr. 4. gr. er kveðið á um Neytendastofa geti krafið eftirlitsskylda aðila um upplýsingar og gögn sem nauðsynleg eru í þágu eftirlitsins og að afhenda skuli gögnin og upplýsingarnar innan hæfilegs frests sem stofnunin setur eða með reglubundnum hætti samkvæmt fyrirmælum stofnunarinnar. Ákvæðið samsvarar 1. mgr. 20. gr. gildandi laga um rafrænar undirskriftir, nr. 28/2001. Heimildin nær til þess að krefjast bæði munnlegra og skriflegra upplýsinga. Frestur til að veita upplýsingar og gögn verður að taka mið af því annars vegar að eftirlitsskyldur aðili geti veitt upplýsingarnar innan frestsins og hins vegar að mikilvægt sé að tryggja að starfsemi sem ekki er í samræmi við ákvæði laganna sé ekki stunduð.
    Í 4. mgr. 4. gr. er kveðið á um heimild til afla upplýsinga og gagna frá öðrum stjórn-völdum óháð þagnarskyldu þeirra.
    Í 5. mgr. 4. gr. er kveðið á um að Neytendastofa geti óskað eftir óhindruðum aðgangi að starfsstöð, búnaði og gögnum eftirlitsskyldra aðila vegna framkvæmdar eftirlits með lögunum. Þá segir að veita skuli upplýsingar og með öðrum hætti aðstoða stofnunina við framkvæmd eftirlitsins og að stofnunin geti óskað liðveislu lögreglu ef tilraun er gerð til að hindra hana í eftirlitsstörfunum. Ákvæðið samsvarar 2. mgr. 20. gr. gildandi laga um rafrænar undirskriftir, nr. 28/2001. Ástæða þess að lagt er til að aðgangur Neytendastofu sé ekki bundinn við dómsúrskurð er að starfsemi eftirlitsskyldra aðila samkvæmt lögunum er afar sérhæfð og aðstæður geta komið upp þar sem þörf er á skjótum viðbrögðum til að bregðast við öryggisrofi. Öryggisrof á einum stað getur haft áhrif um alla Evrópu og því þarf að tryggja að Neytendastofa geti með skjótum og öruggum hætti sinnt eftirliti sínu. Til skýringar er rétt að taka fram að ákvæðið heimilar Neytendastofu ekki að fjarlægja gögn eða búnað af starfsstöð.
    Í 6. mgr. 4. gr. kemur fram að ákvæði um þagnarskyldu komi ekki í veg fyrir að Neytendastofa beiti heimildum sínum á grundvelli laganna.
    Í 7. mgr. 4. gr. er kveðið á um þagnarskyldu starfsmanna Neytendastofu og sérfræðinga sem starfa fyrir Neytendastofu að eftirliti samkvæmt lögunum. Í 4. mgr. 20. gr. gildandi laga um rafrænar undirskriftir, nr. 28/2001, er kveðið á um þagnarskyldu starfsmanna Neytendastofu með áþekkum hætti. Samkvæmt ákvæði 7. mgr. 4. gr. frumvarpsins nær þagnarskyldan til þeirra upplýsinga sem Neytendastofa öðlast við eftirlit með traust-þjónustuveitendum. Úrræðin sem kveðið er á um í 4. gr. frumvarpsins veita Neytendastofu víðtækar heimildir til aðgangs að viðkvæmum upplýsingum um starfsemi traustþjónustuveitanda og því er nauðsynlegt að kveða með skýrum og sérstökum hætti á um þagnarskyldu starfsmanna Neytendastofu. Fyrirmynd ákvæðisins er í 1. mgr. 13. gr. laga um opinbert eftirlit með fjármálastarfsemi, nr. 87/1998, og er lagt til að við túlkun ákvæðisins verði höfð hliðsjón af sjónarmiðum og framkvæmd þess ákvæðis. Auk þess er lagt til að hugtakið rekstur verði skýrt svo að það nái meðal annars til tækni- og öryggisfyrirkomulags kerfa og búnaðar sem traustþjónustuveitandi notar og ferla sem tengjast skipulagi, rekstri og viðhaldi á öryggi kerfanna og búnaðarins.

Um 5. gr.

    Í greininni er kveðið á um málsmeðferð Neytendastofu. Ákvæði 1. mgr. er nýmæli. Samkvæmt 1. málsl. 1. mgr. 5. gr. getur Neytendastofa að eigin frumkvæði, eftir ábendingu eða kvörtun tekið mál til meðferðar er varðar ákvæði laganna og heyrir undir eftirlit stofnunarinnar. Skv. 2. málsl. 1. mgr. 5. gr. tekur Neytendastofa stjórnvaldsákvörðun um hvort erindi sem berst stofnuninni gefi nægar ástæður til rannsóknar. Ábendingar eða kvartanir skulu teknar til meðferðar þegar Neytendastofa telur nauðsyn og tilefni til. Við mat á því hvort mál gefi tilefni til rannsóknar skal hafa hliðsjón af málefnalegum sjónarmiðum sem þykja skipta máli hverju sinni. Þar getur meðal annars skipt máli hvort efni erindis varði ákvæði laganna, hvort Neytendastofa hafi eftirlitshlutverki að gegna eða hvort erindið sé nægilega skýrt eða stutt nægilegum gögnum. Neytendastofu er heimilt að leita umsagna frá viðeigandi stjórnvöldum við mat á því hvort mál verði tekið til meðferðar. Gefi erindi ekki nægar ástæður til rannsóknar vísar Neytendastofa því frá með rökstuddri ákvörðun. Ákvæðið veitir þeim sem kvartar yfir starfsemi traustþjónustuveitenda ekki aðilastöðu samkvæmt stjórnsýslulögum. Telji Neytendastofa tilefni til þess að taka mál til meðferðar verður kvartandi ekki aðili málsins sem er milli Neytendastofu og traustþjónustuveitanda. Kvartandi hefur því ekki upplýsingarétt skv. 15. gr. stjórnsýslulaga og hefur ekki aðgang að gögnum sem traustþjónustuveitandi hefur skilað til Neytendastofu og þagnarskylda ríkir um. Um rétt kvartanda til upplýsinga fer því eftir ákvæðum upplýsingalaga. Við mat á því hvort mál sé tekið til meðferðar skal Neytendastofa einnig taka mið af 36. lið aðfararorða tilskipunarinnar en þar segir að eftirlitsstofnun ætti aðeins að grípa til aðgerða ef henni er tilkynnt (t.d. af sjálfum traustþjónustuveitandanum sem ekki er fullgildur, af annarri eftirlitsstofnun, með tilkynningu frá notanda eða viðskiptafélaga eða á grundvelli eigin rannsóknar) að traustþjónustuveitandi, sem er ekki fullgildur, fullnægi ekki kröfum reglugerðarinnar.
    Ákvæði 2.–5. mgr. 5. gr. samsvara 5.–8. mgr. 18. gr. gildandi laga um rafrænar undir-skriftir, nr. 28/2001. Þar sem eftirlitsúrræði Neytendastofu eru útfærð með nýjum hætti í 4. gr. frumvarpsins eru 1.–4. mgr. 18. gr. gildandi laga um rafrænar undirskriftir, nr. 28/2001, ekki teknar upp í ákvæðið. Í 17. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) nr. 910/2014 er kveðið á um hvernig eftirliti með traustþjónustu er háttað og vísast til umfjöllunar í almenna hluta greinargerðarinnar hvað það varðar.

Um 6. gr.

    Til að tryggja fullnægjandi framfylgni við ákvæði laganna, sbr. 1. mgr. 17. gr. reglugerðarinnar, er lagt til í 6. gr. frumvarpsins að Neytendastofa geti ákvarðað dagsektir á traustþjónustuveitanda sem veitir ekki umbeðnar upplýsingar, fer ekki eftir kröfum stofnunarinnar um úrbætur eða sinnir ekki kröfum eftirlitsins að öðru leyti. Vegna eðlis starfseminnar og mögulegra áhrifa sem brot á lögunum geta haft á neytendur og atvinnulíf þarf að tryggja Neytendastofu viðeigandi valdheimildir að þessu leyti.
    Við ákvörðun dagsekta skal litið til þess hvort markmiðinu sem stefnt er að verði ekki náð með öðru og vægara móti og að ekki sé farið strangar í sakirnar en nauðsyn ber til. Greinin er sambærileg 21. gr. gildandi laga um rafrænar undirskriftir, nr. 28/2001, nema að því leyti að heimilt er að áfrýja ákvörðun um dagsektir til áfrýjunarnefndar neytendamála sem frestar réttaráhrifum.
    Frá því lög um rafrænar undirskriftir voru sett hefur dagsektarheimildinni ekki verið beitt. Til þess að úrræðið verði raunhæft í notkun er lagt til að lágmarksfjárhæð dagsekta verði hækkuð úr 10.000 kr. í 50.000 kr. og að hámarksfjárhæð verði lækkuð úr 1. millj. í 500.000 kr. á dag frá því sem gildir í lögum um rafrænar undirskriftir.

Um 7. gr.

    Í 16. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) nr. 910/2014 segir að aðildarríkin skuli setja reglur um viðurlög við brotum á ákvæðum reglugerðarinnar. Þar segir einnig að viðurlögin sem kveðið sé á um skuli vera skilvirk, í réttu hlutfalli við brotið og hafa varnaðaráhrif. Í 1. mgr. 23. gr. núgildandi laga um rafrænar undirskriftir, nr. 28/2001, er að finna almennt refsiákvæði. Þar segir að fyrir brot gegn lögunum skuli refsað með sektum nema þyngri refsing liggi við samkvæmt öðrum lögum. Í 2. mgr. 23. gr. segir að dæma megi lögaðila jafnt sem einstaklinga til greiðslu sekta vegna brota á lögunum og að um refsiábyrgð fari skv. II. kafla A almennra hegningarlaga. Frá því lögin voru sett hefur refsiákvæðinu ekki verið beitt í framkvæmd. Réttarþróun á sviði opinbers eftirlits á sviði neytendaréttar er í þá átt að fella út refsiákvæði í sérlögum en setja þess í stað heimildir í lög til þess að leggja á stjórnvaldssektir. Heimild til álagningar stjórnvaldssekta er til þess fallin að vera skilvirkt úrræði sem hefur varnaðaráhrif.
    Í samræmi við framangreint er í 7. gr. frumvarpsins kveðið á um heimild Neytendastofu til þess að ákvarða stjórnvaldssektir á aðila sem brjóta gegn ákvæðum laganna. Ekki er um að ræða almenna heimild til álagningar stjórnvaldssekta heldur er lagt til að heimildin sé bundin við þau tilvik sem talin eru upp í 1. mgr. 7. gr. frumvarpsins. Meginástæða þess er að í reglugerð Evrópuþingsins og ráðsins (ESB) nr. 910/2014 er að finna fjölda efnisreglna sem eru eðlisólík og misjafnlega skýr. Í þágu skýrleika er því lagt til að sektarheimild nái einungis til hinna tilgreindu tilvika. Undir þetta falla meðal annars þau atvik þar sem líkur eru á því að aðili uppfylli ekki lengur kröfur um að kalla sig fullgildan traustþjónustuaðila, tilvik sem hafa áhrif á mat á öryggi þjónustunnar og tilvik þar sem aðili gefur sig ranglega út fyrir að uppfylla kröfur laganna.
    Í 2. mgr. 7. gr. er kveðið á um að sektir geti numið allt að 10 milljón krónum. Hámark sektarfjárhæðar er í samræmi við hámark í sambærilegum ákvæðum laga á sviði neytendamála. Neytendastofa er sérhæft eftirlitsstjórnvald og er sem slíku falið vald til að ákvarða sektir. Við ákvörðun sekta ber að horfa til alvarleika brota, ásetnings, hversu umfangsmikil þau eru, hve lengi þau hafa staðið, hvort um ítrekuð brot er að ræða og hegðun fyrir og eftir brot. Einnig ber að horfa til þess hversu samvinnufús fyrirtæki eru við rekstur mála. Neytendastofa skal beita meðalhófi við ákvörðun stjórnvaldssekta þannig að þær nálgist ekki 10 milljónir nema í umfangsmiklum og stærri málum. Í vægari tilvikum er stofnunni heimilt að fella niður eða lækka verulega sektarfjárhæðir. Þegar sekt er felld niður er ákvörðunin ígildi áminningar en hún fellur ekki niður sem slík.

Um 8. gr.

    Í greininni er kveðið á um reglugerðarheimildir ráðherra. Í 1. mgr. 8. gr. er að finna almenna reglugerðarheimild. Ákvæðinu er fyrst og fremst ætlað veita ráðherra heimild til að innleiða afleiddar gerðir á grundvelli efnisreglna sem finna má í reglugerð Evrópuþingsins og ráðsins (ESB) nr. 910/2014. Reglugerðin er rammalöggjöf og í henni er framkvæmdastjórn Evrópusambandsins veittar nokkrar heimildir til nánari útfærslu í framkvæmdargerðum og framseldum gerðum. Af þeim sökum er lagt til að ráðherra hafi heimild til að setja reglugerðir til að innleiða slíkar gerðir sem teknar eru upp í EES-samninginn. Efni helstu gerða eru taldar í ákvæðinu en ekki er um tæmandi talningu að ræða.
    Í 2. mgr. 8. gr. er að finna heimild fyrir ráðherra til að setja í reglugerð nánari fyrirmæli um tilhögun eftirlits Neytendastofu samkvæmt lögunum og reglum settum samkvæmt þeim. Með ákvæðinu er ráðherra heimilt að útfæra nánar í reglugerð ýmis atriði er lúta að eftirliti Neytendastofu, svo sem um málsmeðferð, samskipti við eftirlitsskylda aðila og gagnaöflun. Reglugerðarheimildin ætti einnig að ná til nánari útfærslu á eftirlitsverkefnum sem falin eru eftirlitsstofnun samkvæmt reglugerð Evrópuþingsins og ráðsins (ESB) nr. 910/2014 og afleiddum gerðum hennar.
    Í 3. mgr. 8. gr. er kveðið á um að ráðherra geti með reglugerð falið Neytendastofu að annast tilkynningar til Eftirlitsstofnunar EFTA samkvæmt reglugerð Evrópuþingsins og ráðsins nr. 910/2014, þar á meðal um rafræna auðkenningarskipan sem ráðherra ákveður að tilkynna, að sjá um birtingu traustlista og að sjá um birtingu tilvísunarnúmera staðla sem gilda um nánari framkvæmd reglugerðar Evrópuþingsins og ráðsins nr. 910/2014. Ástæðan fyrir þessu er að í reglugerðinni er víða kveðið á um réttindi og skyldur aðildarríkja önnur en þau er lúta að verkefnum eftirlitsstofnunar. Til samræmis við það er í 1. mgr. 4. gr. frumvarpsins kveðið á um að ráðherra fari með yfirstjórn laganna en feli Neytendastofu verkefni eftirlitsstofnunar samkvæmt reglugerðinni í umboði sínu. Þar sem ráðherra fer þannig með önnur verkefni reglugerðarinnar en verkefni eftirlitsstofnunar er gert ráð fyrir því í 3. mgr. 8. gr. frumvarpsins að ráðherra geti falið Neytendastofu önnur helstu hlutverk og verkefni sem máli skipta fyrir framkvæmd reglugerðarinnar.
    Í reglugerðinni er að finna nokkur ákvæði um tilkynningar aðildarríkis til framkvæmdastjórnar Evrópusambandsins, sbr. til dæmis 3. mgr. 22. gr. og 2. mgr. 17. gr. hennar. Annað dæmi um tilkynningu aðildarríkis er að finna í 9. gr. reglugerðarinnar. Þar segir að aðildarríki geti ákveðið að tilkynna rafræna auðkenningarskipan til framkvæmdastjórnar Evrópusambandsins. Aðildarríki hafa val um það hvort þau tilkynna framkvæmdastjórninni um allar, sumar eða engar rafrænar auðkenningarskipanir sem notaðar eru á landsvísu. Í a-lið 3. mgr. 8. gr. er því ráðgert að ráðherra geti falið Neytendastofu að annast tilkynningar sem kveðið er á um í reglugerðinni. Þá er ráðgert að ráðherra taki ákvörðun um að tilkynna auðkenningarskipan en geti falið Neytendastofu að sjá um tilkynninguna sem slíka. Til að gæta samræmis við bókun 1 um altæka aðlögun við samninginn um Evrópska efnahagssvæðið, sbr. lög um Evrópska efnahagssvæðið nr. 2/1993, þar sem bókunin er lögfest, er lagt til að tilkynningar samkvæmt lögunum séu gerðar til Eftirlitsstofnunar EFTA en ekki framkvæmdastjórnar Evrópusambandsins.
    Í 1. og 2. mgr. 22. gr. reglugerðarinnar er kveðið á um að aðildarríki komi á, viðhaldi og birti traustlista. Traustlistar eru mikilvægur þáttur í því að byggja upp traust á milli markaðsaðila þar sem þeir sýna fram á að þjónustuveitandinn hafði fullgilda stöðu (e. qualified status) þegar eftirlitið fór fram. Lagt er til í b-lið 3. mgr. 8. gr. að ráðherra geti falið Neytendastofu að birta traustlista.
    Í c-lið 3. mgr. 8. gr. kemur fram að ráðherra geti falið Neytendastofu að birta og uppfæra tilvísunarnúmer fyrir staðla sem gilda um nánari framkvæmd laganna. Með því er stuðlað að því að unnt sé að nálgast upplýsingar um gildandi rétt án mikillar fyrirhafnar.
    Í 4. mgr. 8. gr. er kveðið á um að ráðherra sé heimilt að setja í reglugerð ákvæði um gjald sem fullgildur traustþjónustuveitandi þarf að greiða vegna úttektar Neytendastofu á starfsemi hans. Til skýringar er rétt að benda á að í frumvarpinu er að meginreglu ekki gert ráð fyrir að eftirlitsstarfsemi verði fjármögnuð með eftirlitsgjaldi líkt og gert er í 19. gr. gildandi laga um rafrænar undirskriftir, nr. 28/2001. Ákvæði 4. mgr. 8. gr. er bundið við kostnað vegna úttektar sem Neytendastofa getur sjálf gert á starfsemi traustþjónustuveitanda, sbr. 2. mgr. 20. gr. reglugerðarinnar. Enn fremur er rétt að benda á að 4. mgr. 8. gr. á ekki við um ósk Neytendastofu um að samræmismatsstofa framkvæmi samræmismat á fullgildum traustþjónustuveitanda skv. 2. mgr. 20. gr. reglugerðarinnar. Í slíkum tilvikum gæti stofnunin hins vegar beitt valdheimildum sínum skv. 4. og 6. gr. frumvarpsins til að láta traustþjónustuveitanda undirgangast samræmismat á eigin kostnað.

Um 9. gr.

    Reglugerð Evrópuþingsins og ráðsins (ESB) nr. 910/2014 fellir úr gildi tilskipun Evrópuþingsins og ráðsins 1999/93/EB frá 13. desember 1999, um ramma bandalagsins varðandi rafrænar undirskriftir. Tilskipunin var innleidd í íslenskan rétt með lögum um rafrænar undirskriftir, nr. 28/2001. Til samræmis við það er lagt er til að lög um rafrænar undirskriftir, nr. 28/2001, falli úr gildi við gildistöku laganna. Að öðru leyti þarfnast greinin ekki skýringa.
    Nauðsynlegt er að traustþjónustuveitendur hafi nægan tíma til að aðlaga starfsemi sína að breyttum kröfum sem stafa af lögunum, til að mynda með því að fá úttekt samræmismatsstofu. Því er lagt til að lögin taki gildi hinn 1. janúar 2020.

Um 10. gr.

    Lagt er til að ákvæðum laga sem fjalla um rafræn skilríki og undirskriftir sé breytt til samræmis við þær breytingar sem lagðar eru til með frumvarpinu.