1. Šio įstatymo paskirtis – sudaryti teisinį pagrindą, kad Lietuvos Respublikoje efektyviai veiktų elektroninė atpažintis ir patikimumo užtikrinimo paslaugų rinka, kad būtų kuo geriau apsaugoti šių paslaugų naudotojų interesai.

2. Šis įstatymas reglamentuoja elektroninio parašo, elektroninio spaudo, elektroninės laiko žymos ir patikimumo užtikrinimo paslaugų teisinę galią, patikimumo užtikrinimo paslaugų teikėjų ir naudotojų pareigas, kvalifikuotų elektroninio parašo, elektroninio spaudo ar interneto svetainės tapatumo nustatymo sertifikatų (toliau – kvalifikuoti sertifikatai) galiojimo sustabdymo ir galiojimo atšaukimo sąlygas ir tvarką, patikimumo užtikrinimo paslaugų teikėjų priežiūrą, kvalifikuotos elektroninės atpažinties paslaugos teikėjų teises ir pareigas, kvalifikuotos elektroninės atpažinties paslaugos teikėjų priežiūrą, prižiūrimų elektroninės atpažinties priemonių tinkamumo naudoti elektroniniu būdu teikiant administracines ir viešąsias paslaugas (toliau – elektroninės paslaugos) reikalavimus, kiek to nereglamentuoja Reglamentas (ES) Nr. 910/2014 ir juo vadovaujantis Europos Komisijos priimti įgyvendinamieji teisės aktai, ir nustato elektroninės atpažinties ir patikimumo užtikrinimo paslaugų politikos formavimo institucijas.

3. Šis įstatymas skirtas Europos Sąjungos teisės aktų, nurodytų šio įstatymo priede, įgyvendinimui ir taikymui užtikrinti.

1. Elektroninės atpažinties atitikties vertinimo įstaiga – įstaiga, atitinkanti šiame įstatyme nustatytus reikalavimus ir atliekanti kvalifikuotos elektroninės atpažinties priemonės išdavimo paslaugos teikėjo ir jo teikiamos kvalifikuotos elektroninės atpažinties priemonės išdavimo paslaugos atitikties nustatytiems reikalavimams vertinimą.

2. Elektroninės atpažinties priemonės išdavimo paslauga (toliau – elektroninės atpažinties paslauga) – elektroninei atpažinčiai skirtos priemonės, kurioje įrašyti elektroniniai asmens tapatybės duomenys, išdavimas.

3. Elektroninės atpažinties priemonės išdavimo paslaugos teikėjas (toliau – elektroninės atpažinties paslaugos teikėjas) – elektroninės atpažinties priemonės išdavimo paslaugą teikiantis fizinis asmuo arba juridinis asmuo, kita organizacija ar jų padalinys.

4. Elektroninės laiko žymos naudotojas – asmuo, kuris naudoja elektroninę laiko žymą, arba šia žyma pasikliaujanti šalis.

5. Elektroninio parašo naudotojas – elektroniniu parašu pasirašantis asmuo arba šiuo parašu pasikliaujanti šalis.

6. Elektroninio spaudo naudotojas – elektroninio spaudo kūrėjas arba elektroniniu spaudu pasikliaujanti šalis.

7. Interneto svetainės tapatumo duomenys – unikalūs duomenys, kuriuos asmuo, turintis kvalifikuotą interneto svetainės tapatumo nustatymo sertifikatą, naudoja interneto svetainės tapatumui patvirtinti.

8. Kvalifikuota elektroninės atpažinties priemonės išdavimo paslauga (toliau – kvalifikuota elektroninės atpažinties paslauga) – prižiūrimos elektroninės atpažinties priemonės, kurioje įrašyti elektroniniai asmens tapatybės duomenys, išdavimas pagal kvalifikuotos elektroninės atpažinties paslaugos teikėjų priežiūros įstaigos šiai paslaugai nustatytus reikalavimus.

9. Kvalifikuotos elektroninės atpažinties priemonės išdavimo paslaugos teikėjas (toliau – kvalifikuotos elektroninės atpažinties paslaugos teikėjas) – kvalifikuotą elektroninės atpažinties priemonės išdavimo paslaugą teikiantis fizinis asmuo arba juridinis asmuo, kita organizacija ar jų padalinys.

10. Nacionalinis patikimas sąrašas – vadovaujantis Reglamento (ES) Nr. 910/2014 22 straipsnio 1 ir 2 dalimis sudaromas, tvarkomas ir skelbiamas Lietuvos Respublikoje įsisteigusių kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų ir jų teikiamų kvalifikuotų patikimumo užtikrinimo paslaugų sąrašas.

11. Patvarioji laikmena – kaip tai apibrėžiama Lietuvos Respublikos mokėjimų įstatyme.

12. Prižiūrima elektroninės atpažinties priemonė – elektroninei atpažinčiai skirta priemonė, kuri kvalifikuotos elektroninės atpažinties paslaugos teikėjų priežiūros įstaigos sprendimu atitinka vieno iš Reglamento (ES) Nr. 910/2014 8 straipsnio 2 dalyje nurodytų saugumo užtikrinimo lygių reikalavimus.

13. Kitos šiame įstatyme vartojamos sąvokos suprantamos taip, kaip apibrėžiamos Reglamente (ES) Nr. 910/2014, Įgyvendinimo reglamente (ES) 2015/1501, Įgyvendinimo reglamente (ES) 2015/1502, Lietuvos Respublikos viešojo administravimo įstatyme, Lietuvos Respublikos korupcijos prevencijos įstatyme.

1. Valstybės politiką elektroninės atpažinties ir patikimumo užtikrinimo paslaugų srityse formuoja, jos įgyvendinimą organizuoja, koordinuoja ir kontroliuoja Lietuvos Respublikos ekonomikos ir inovacijų ministerija.

2. Patikimumo užtikrinimo paslaugų politiką įgyvendina patikimumo užtikrinimo paslaugų teikėjų priežiūros įstaiga – Lietuvos Respublikos ryšių reguliavimo tarnyba (toliau – priežiūros įstaiga).

3. Elektroninės atpažinties politiką įgyvendina:

1. Priežiūros įstaigos tikslas – užtikrinti, kad patikimumo užtikrinimo paslaugų teikėjai ir jų teikiamos patikimumo užtikrinimo paslaugos atitiktų jiems Reglamente (ES) Nr. 910/2014, šiame įstatyme ir jų įgyvendinamuosiuose teisės aktuose nustatytus reikalavimus.

2. Priežiūros įstaiga atlieka šias funkcijas:

3. Priežiūros įstaiga, įgyvendindama Reglamente (ES) Nr. 910/2014 ir šiame įstatyme nustatytus uždavinius ir atlikdama funkcijas, turi Reglamente (ES) Nr. 910/2014, šiame įstatyme ir kituose įstatymuose jai suteiktas teises.

1. Priežiūros įstaigos tikslas – užtikrinti, kad Lietuvos Respublikoje įsisteigę ar įsteigti kvalifikuotos elektroninės atpažinties paslaugos teikėjai ir šių teikėjų išduodamos prižiūrimos elektroninės atpažinties priemonės atitiktų Reglamente (ES) Nr. 910/2014, šiame įstatyme ir jų įgyvendinamuosiuose teisės aktuose nustatytus reikalavimus.

2. Priežiūros įstaiga atlieka šias funkcijas:

1. Mazgo operatoriaus tikslas – užtikrinti elektroninės atpažinties schemų sąraše skelbiamų Lietuvos Respublikos elektroninės atpažinties schemų sąveikumą bei mazgo nepertraukiamą veikimą ir asmens tapatybės duomenų teikimą pasikliaujančiai šaliai asmens sutikimu.

2. Mazgo operatorius atlieka šias funkcijas:

1. Elektroninio parašo, neatitinkančio kvalifikuotam elektroniniam parašui keliamų reikalavimų, kurie yra numatyti Reglamente (ES) Nr. 910/2014, teisinė galia yra lygiavertė rašytiniam parašui, jeigu tokio elektroninio parašo naudotojai dėl to iš anksto susitaria raštu ir jeigu yra galimybė šį susitarimą išsaugoti patvariojoje laikmenoje.

2. Elektroniniam spaudui, neatitinkančiam kvalifikuotam elektroniniam spaudui keliamų reikalavimų, kurie yra numatyti Reglamente (ES) Nr. 910/2014, taikoma prezumpcija dėl elektroninės formos duomenų, su kuriais jis susietas, vientisumo ir tų duomenų kilmės tinkamumo, jeigu tokio elektroninio spaudo naudotojai dėl to iš anksto susitaria raštu ir jeigu yra galimybė šį susitarimą išsaugoti patvariojoje laikmenoje.

3. Elektroninei laiko žymai, neatitinkančiai kvalifikuotai elektroninei laiko žymai keliamų reikalavimų, kurie yra numatyti Reglamente (ES) Nr. 910/2014, taikoma prezumpcija dėl šioje žymoje nurodytų datos ir laiko tikslumo ir elektroninės formos duomenų, su kuriais susieti data ir laikas, vientisumo, jeigu tokios elektroninės laiko žymos naudotojai dėl to iš anksto susitaria raštu ir jeigu yra galimybė šį susitarimą išsaugoti patvariojoje laikmenoje.

4. Juridinio asmens atstovo kvalifikuoto elektroninio parašo teisinė galia yra lygiavertė juridinio asmens atstovo rašytiniam parašui, patvirtintam juridinio asmens antspaudu, kai pareiga turėti antspaudą nustatyta juridinio asmens steigimo dokumentuose arba įstatymuose.

1. Naudojantis kvalifikuotų elektroninių parašų kvalifikuota galiojimo patvirtinimo paslauga, preziumuojama, kad kvalifikuoto elektroninio parašo galiojimas yra patvirtintas patikimai, o galiojimo patvirtinimo procedūros rezultatas teisingas ir leidžia pasikliaujančiai šaliai nustatyti bet kokias su kvalifikuoto elektroninio parašo saugumu susijusias problemas.

2. Kvalifikuotų elektroninių spaudų kvalifikuotai galiojimo patvirtinimo paslaugai mutatis mutandis taikomos šio straipsnio 1 dalies nuostatos.

1. Naudojantis kvalifikuotų elektroninių parašų kvalifikuota ilgalaikės apsaugos paslauga, preziumuojama, kad kvalifikuotas elektroninis parašas apsaugomas patikimai, o kvalifikuoto elektroninio parašo patikimumas užtikrinamas ir pasibaigus jo technologinio galiojimo laikotarpiui.

2. Kvalifikuotų elektroninių spaudų kvalifikuotai ilgalaikės apsaugos paslaugai mutatis mutandis taikomos šio straipsnio 1 dalies nuostatos.

Naudojantis elektroninio registruoto pristatymo paslauga, kuriai Reglamento (ES)
Nr. 910/2014 nustatyta tvarka nesuteiktas kvalifikuotos patikimumo užtikrinimo paslaugos statusas, preziumuojama, kad naudojantis tokia paslauga išsiųsti ir gauti duomenys yra vientisi, šiuos duomenis išsiuntė siuntėjas ir juos gavo gavėjas, kurių tapatybė žinoma, o duomenų išsiuntimo ir gavimo data ir laikas, nurodyti naudojantis šia paslauga, yra tikslūs, jeigu tokios paslaugos naudotojai dėl to iš anksto susitaria raštu ir jeigu yra galimybė šį susitarimą išsaugoti patvariojoje laikmenoje.

Naudojantis kvalifikuota interneto svetainės tapatumo nustatymo paslauga, preziumuojama, kad interneto svetainės tapatumas nustatytas patikimai, o duomenys apie interneto svetainę yra tikslūs.

1. Patikimumo užtikrinimo paslaugų teikėjai patikimumo užtikrinimo paslaugas privalo teikti laikydamiesi Reglamento (ES) Nr. 910/2014, šio įstatymo ir jų įgyvendinamųjų teisės aktų reikalavimų.

2. Kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas privalo būti apdraudęs savo civilinę atsakomybę ne mažesne kaip 30 000 eurų suma vienam draudžiamajam įvykiui ir ne mažesne kaip 90 000 eurų suma visiems draudžiamiesiems įvykiams per metus.

3. Patikimumo užtikrinimo paslaugų teikėjas, ketinantis pradėti teikti kvalifikuotas patikimumo užtikrinimo paslaugas, kartu su Reglamento (ES) Nr. 910/2014 21 straipsnio 1 dalyje nurodytais dokumentais privalo priežiūros įstaigai pateikti:

4. Kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai privalo pateikti priežiūros įstaigai Reglamento (ES) Nr. 910/2014 24 straipsnio 2 dalies a punkte nurodytą informaciją:

5. Kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai arba jų įgaliota trečioji šalis Reglamento (ES) Nr. 910/2014 24 straipsnio 1 dalyje nurodytą asmens, kuriam išduodamas kvalifikuotas sertifikatas, tapatybės ir papildomų specifinių požymių, nurodomų kvalifikuotame sertifikate, patikrinimą privalo atlikti priežiūros įstaigos nustatyta tvarka, jeigu kituose Lietuvos Respublikos įstatymuose nenustatyta kitaip.

6. Kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai, sudarantys kvalifikuotus sertifikatus, privalo užtikrinti sudarytų kvalifikuotų sertifikatų duomenų tikslumą ir nedelsdami sustabdyti ar atšaukti kvalifikuotų sertifikatų galiojimą Reglamente (ES) Nr. 910/2014 ir šiame įstatyme numatytais atvejais ir tvarka.

7. Kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai kasmet, ne vėliau kaip iki vasario 1 d., priežiūros įstaigos nustatyta tvarka pateikia priežiūros įstaigai praėjusių kalendorinių metų savo veiklos ataskaitą.

1. Asmuo, prašantis išduoti kvalifikuotą sertifikatą, privalo sudaryti galimybę kvalifikuotam patikimumo užtikrinimo paslaugų teikėjui arba jo įgaliotai trečiajai šaliai priežiūros įstaigos nustatyta tvarka patikrinti jo tapatybę, taip pat jo papildomus specifinius požymius, kurie nurodomi kvalifikuotame sertifikate, jeigu kituose Lietuvos Respublikos įstatymuose nenustatyta kitaip.

2. Asmuo, kuriam išduotas kvalifikuotas sertifikatas, privalo nedelsdamas kreiptis į kvalifikuotą sertifikatą išdavusį kvalifikuotą patikimumo užtikrinimo paslaugų teikėją dėl kvalifikuoto elektroninio parašo, elektroninio spaudo ar interneto svetainės tapatumo nustatymo sertifikato galiojimo atšaukimo šiais atvejais:

1. Kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai privalo sustabdyti kvalifikuoto sertifikato galiojimą šiais atvejais:

2. Kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai, sustabdę kvalifikuoto sertifikato galiojimą šio straipsnio 1 dalies 2–4 punktuose nurodytais pagrindais, ne vėliau kaip per 24 valandas nuo kvalifikuoto sertifikato galiojimo sustabdymo apie tai turi pranešti turimu kontaktiniu elektroniniu paštu arba telefonu asmeniui, kuriam išduoto kvalifikuoto sertifikato galiojimas buvo sustabdytas, ir nurodyti sustabdymo priežastį ir trukmę. Jeigu kvalifikuoto sertifikato galiojimas buvo sustabdytas šio straipsnio 1 dalies 3 ar 4 punkte nurodytu pagrindu, kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas taip pat privalo pranešti asmeniui, kuriam išduoto kvalifikuoto sertifikato galiojimas buvo sustabdytas, apie teisę per 30 darbo dienų nuo kvalifikuoto sertifikato galiojimo sustabdymo dienos kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo veiklos dokumentuose nurodytu būdu ir forma pateikti prašymą, paaiškinimą ir patvirtinančius įrodymus, kuriais paneigiama kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo gauta informacija, kurios pagrindu buvo sustabdytas kvalifikuoto sertifikato galiojimas, ir apie šio įstatymo 13 straipsnio 3 dalyje nurodytus padarinius.

3. Kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas atsako už asmenims padarytą žalą, atsiradusią dėl šio straipsnio 5 dalyje nurodytų pareigų nevykdymo ar netinkamo vykdymo, nebent kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas įrodo, kad žala atsirado ne dėl jo kaltės.

4. Asmuo neturi patirti jokių nuostolių dėl prarasto, pavogto ar neteisėtai įgyto kvalifikuoto sertifikato panaudojimo šio straipsnio 1 dalies 1–4 punktuose nurodytais pagrindais, išskyrus atvejus, kai jis veikė nesąžiningai.

5. Kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai privalo nedelsdami, bet ne vėliau kaip per 24 valandas nuo šio straipsnio 1 dalies 1–4 punktuose nurodytų aplinkybių atsiradimo, sustabdyti kvalifikuoto sertifikato galiojimą ir informaciją apie kvalifikuoto sertifikato galiojimo sustabdymą paskelbti savo sertifikatų duomenų bazėje, nurodyti kvalifikuoto sertifikato galiojimo sustabdymo laikotarpį ir užtikrinti, kad ši informacija būtų nurodoma visoms pasikliaujančioms šalims teikiant joms informaciją apie šio kvalifikuoto sertifikato statusą.

6. Kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai privalo panaikinti kvalifikuoto sertifikato galiojimo sustabdymą, kai:

1. Kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai privalo atšaukti kvalifikuoto sertifikato galiojimą:

2. Kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai, atšaukę kvalifikuoto sertifikato galiojimą šio straipsnio 1 dalies 2–4 ir 7 punktuose numatytais pagrindais, privalo nedelsdami, bet ne vėliau kaip per 24 valandas nuo kvalifikuoto sertifikato galiojimo atšaukimo apie tai pranešti turimu kontaktiniu elektroniniu paštu arba telefonu asmeniui, kuriam išduoto kvalifikuoto sertifikato galiojimas buvo atšauktas, ir nurodyti atšaukimo priežastį.

3. Jeigu asmuo, kuriam išduoto kvalifikuoto sertifikato galiojimas buvo sustabdytas šio įstatymo 12 straipsnio 1 dalies 3 ar 4 punkte nurodytu pagrindu, per 30 darbo dienų nuo kvalifikuoto sertifikato galiojimo sustabdymo nepateikia šio įstatymo 12 straipsnio 6 dalies 2 punkte nurodytų prašymo, paaiškinimo ir įrodymų, kvalifikuoto sertifikato galiojimas atšaukiamas.

Elektroninio parašo sertifikate kaip papildomą specifinį požymį, kai tai reikalinga atsižvelgiant į numatomus sertifikato naudojimo tikslus, leidžiama naudoti asmens, kuriam išduotas elektroninio parašo sertifikatas, kodą. Asmens, kuriam išduotas elektroninio parašo sertifikatas, kodo naudojimas ar jo nenaudojimas turi nedaryti poveikio elektroninių parašų sąveikumui ir pripažinimui.

1. Siekiant nustatyti, ar Lietuvos Respublikoje įsisteigusiems patikimumo užtikrinimo paslaugų teikėjams ir (ar) jų teikiamoms patikimumo užtikrinimo paslaugoms yra suteiktas kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo statusas ir (ar) kvalifikuotų patikimumo užtikrinimo paslaugų statusas, vadovaujamasi nacionaliniu patikimu sąrašu.

2. Siekiant nustatyti, ar kitose Europos Sąjungos valstybėse narėse įsisteigusiems patikimumo užtikrinimo paslaugų teikėjams ir (ar) jų teikiamoms patikimumo užtikrinimo paslaugoms yra suteiktas kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo statusas ir (ar) kvalifikuotų patikimumo užtikrinimo paslaugų statusas, turi būti vadovaujamasi tos valstybės narės patikimu sąrašu, sudarytu, tvarkomu ir skelbiamu vadovaujantis Reglamento (ES)
Nr. 910/2014 22 straipsniu.

Kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo darbuotojai ir (ar) subrangovų darbuotojai negali turėti neišnykusio ar nepanaikinto teistumo už tyčinių nusikaltimų padarymą. Kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas, siekdamas patikrinti, ar jo darbuotojai ir (ar) subrangovų darbuotojai yra patikimi, turi teisę kreiptis į Įtariamųjų, kaltinamųjų ir nuteistųjų registrą ir asmens duomenų teisinę apsaugą reglamentuojančių teisės aktų nustatyta tvarka tvarkyti šių asmenų asmens duomenis, įskaitant duomenis apie asmens teistumą.

1. Priežiūros įstaiga turi teisę gauti iš valstybės ir savivaldybių institucijų ir įstaigų, patikimumo užtikrinimo paslaugų teikėjų ir naudotojų, asmenų, kuriems išduoti kvalifikuoti sertifikatai, o prireikus – ir iš kitų asmenų, susijusių su tikrinamų patikimumo užtikrinimo paslaugų teikėjų veikla, visą jai, taip pat Europos Komisijai reikalingą su pavestų uždavinių įgyvendinimu ir funkcijų atlikimu susijusią informaciją laikantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46 EB (Bendrojo duomenų apsaugos reglamento) (toliau – Bendrasis duomenų apsaugos reglamentas) ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo reikalavimų.

Straipsnio dalies pakeitimai:

Nr. XIV-1952, 2023-05-11, paskelbta TAR 2023-05-23, i. k. 2023-09710

2. Patikimumo užtikrinimo paslaugų teikėjai, naudotojai, asmenys, kuriems išduoti kvalifikuoti sertifikatai, ir kiti asmenys priežiūros įstaigai pareikalavus privalo per jos nustatytą protingą, ne trumpesnį kaip 5 darbo dienų, terminą pateikti jai raštu šio straipsnio 1 dalyje nurodytą informaciją. Šioje dalyje nurodytas informacijos pateikimo terminas dėl objektyvių aplinkybių priežiūros įstaigos sprendimu gali būti pratęstas ne ilgiau kaip 10 darbo dienų.

3. Priežiūros įstaiga užtikrina gautos informacijos konfidencialumą.

4. Priežiūros įstaiga, reikalaudama pateikti šio straipsnio 1 dalyje nurodytą informaciją, privalo nurodyti tikslą, kuriam informacija bus naudojama.

1. Priežiūros įstaigos įgalioti pareigūnai, prižiūrėdami, kaip vykdomos Reglamento (ES)
Nr. 910/2014, šio įstatymo ir jų įgyvendinamųjų teisės aktų nuostatos, turi ir priežiūros įstaigos vardu įgyvendina šias teises:

2. Priežiūros įstaigos įgalioti pareigūnai, įgyvendindami jiems suteiktas teises, surašo dokumentus (aktus, protokolus, reikalavimus). Šių dokumentų formas ir pildymo tvarką nustato priežiūros įstaiga.

3. Priežiūros įstaigos įgaliotų pareigūnų reikalavimai, pateikti įgyvendinant šio straipsnio 1 dalyje nurodytas teises, yra privalomi asmenims, juridinių asmenų valdymo organų ir administracijos darbuotojams. Šie subjektai privalo bendradarbiauti su priežiūros įstaigos įgaliotais pareigūnais.

4. Prašymas išduoti leidimą atlikti šio straipsnio 1 dalies 2 punkte nurodytus veiksmus pateikiamas pirmosios instancijos administraciniam teismui. Šiame prašyme turi būti nurodytas patikimumo užtikrinimo paslaugų teikėjo pavadinimas (asmens vardas, pavardė), įtariamų pažeidimų pobūdis ir numatomi veiksmai. Teismas prašymą išnagrinėja ir motyvuotą nutartį prašymą patenkinti arba atmesti priima ne vėliau kaip per 72 valandas nuo prašymo pateikimo momento. Jeigu priežiūros įstaigos įgaliotas pareigūnas nesutinka su teismo nutartimi atmesti prašymą, jis turi teisę per 7 darbo dienas nuo šios nutarties priėmimo šią nutartį apskųsti Lietuvos vyriausiajam administraciniam teismui. Lietuvos vyriausiasis administracinis teismas skundą dėl teismo nutarties turi išnagrinėti ne vėliau kaip per 7 darbo dienas. Priežiūros įstaigos atstovas turi teisę dalyvauti, kai nagrinėjamas skundas. Lietuvos vyriausiojo administracinio teismo priimta nutartis yra galutinė ir neskundžiama. Teismai, nagrinėdami prašymus ir skundus dėl leidimo atlikti veiksmus išdavimo, privalo užtikrinti pateiktos informacijos ir planuojamų veiksmų slaptumą. Neatidėliotinais atvejais priežiūros įstaigos pareigūnų veiksmai gali būti atliekami priežiūros įstaigos vadovo sprendimu. Šiuo atveju prašymas išduoti leidimą atlikti veiksmus pateikiamas teismui šioje dalyje nurodyta tvarka per 24 valandas po priežiūros įstaigos vadovo sprendimo priėmimo. Jeigu teismas atsisako išduoti leidimą atlikti veiksmus, jie nutraukiami ir juos atliekant gauta informacija nedelsiant sunaikinama.

Straipsnio dalies pakeitimai:

Nr. XIV-1585, 2022-11-24, paskelbta TAR 2022-12-09, i. k. 2022-25142

Nr. XIV-1952, 2023-05-11, paskelbta TAR 2023-05-23, i. k. 2023-09710

1. Elektroninės atpažinties priemonės saugumo užtikrinimo lygio vertinimas, priskyrimas, pakeitimas ir panaikinimas atliekamas pagal Elektroninės atpažinties priemonių priežiūros tvarkos aprašą, kuris rengiamas atsižvelgiant į reikalavimus, nustatytus Įgyvendinimo reglamento (ES) 2015/1502 priedo 2 skirsnyje.

2. Lietuvos Respublikoje įsisteigęs ar įsteigtas elektroninės atpažinties paslaugos teikėjas, norintis, kad jo išduodama ar ketinama išduoti elektroninės atpažinties priemonė būtų pripažinta prižiūrima elektroninės atpažinties priemone, privalo raštu ar elektroninėmis priemonėmis kreiptis į priežiūros įstaigą Elektroninės atpažinties priemonių priežiūros tvarkos apraše nustatyta tvarka ir pateikti pranešimą apie išduodamą ar ketinamą išduoti elektroninės atpažinties priemonę kartu su elektroninės atpažinties atitikties vertinimo įstaigos parengta atitikties vertinimo ataskaita.

3. Šio straipsnio 2 dalyje nurodyta atitikties vertinimo ataskaita turi būti parengta vadybos sistemų sertifikavimo įstaigos, kuri turi būti akredituota standartų LST EN ISO/IEC 17021-1 ir LST ISO/IEC 27006 atitikčiai sertifikuoti informacijos saugumo valdymo sistemas pagal LST EN ISO 27001 standartą ir būti kompetentinga atlikti kvalifikuotos elektroninės atpažinties paslaugos teikėjo ir jo teikiamos kvalifikuotos elektroninės atpažinties paslaugos atitikties nustatytiems reikalavimams vertinimą.

4. Priežiūros įstaiga ne vėliau kaip per 3 mėnesius nuo pranešimo apie išduodamą ar ketinamą išduoti elektroninės atpažinties priemonę ir visų Elektroninės atpažinties priemonių priežiūros tvarkos apraše nurodytų elektroninės atpažinties priemonės saugumo užtikrinimo lygio įvertinimui reikalingų dokumentų gavimo dienos įvertina, ar elektroninės atpažinties priemonė atitinka prašomam priskirti saugumo užtikrinimo lygiui nustatytus reikalavimus, priima vieną iš šioje dalyje nurodytų motyvuotų sprendimų ir apie jį pagal Elektroninės atpažinties priemonių priežiūros tvarkos aprašo nuostatas informuoja elektroninės atpažinties paslaugų teikėją:

5. Šio straipsnio 4 dalyje nurodytas terminas priežiūros įstaigos motyvuotu sprendimu gali būti pratęstas ne ilgiau kaip 20 darbo dienų, kai dėl objektyvių priežasčių elektroninės atpažinties priemonės saugumo užtikrinimo lygiui įvertinti reikia ilgesnio laiko. Priežiūros įstaiga apie priimtą sprendimą pratęsti elektroninės atpažinties priemonės saugumo užtikrinimo lygio vertinimo terminą raštu informuoja elektroninės atpažinties paslaugų teikėją ne vėliau kaip per 3 darbo dienas nuo sprendimo pratęsti terminą priėmimo dienos ir nurodo termino pratęsimo priežastis bei terminą, kuriam yra pratęstas elektroninės atpažinties priemonės saugumo užtikrinimo lygio vertinimas.

6. Priežiūros įstaiga, nustačiusi, kad prižiūrima elektroninės atpažinties priemonė nebeatitinka priskirtam saugumo užtikrinimo lygiui nustatytų reikalavimų, apie tai nedelsdama, bet ne vėliau kaip per 3 darbo dienas nuo neatitikties šiems reikalavimams nustatymo dienos raštu informuoja kvalifikuotos elektroninės atpažinties paslaugos teikėją ir nurodo ištaisyti nustatytus neatitikimus per priežiūros įstaigos nustatytą terminą, kuris negali būti  trumpesnis kaip 10 darbo dienų. Jeigu kvalifikuotos elektroninės atpažinties paslaugos teikėjas per nustatytą terminą nepašalina nustatytų neatitikimų, priežiūros įstaiga, remdamasi Elektroninės atpažinties priemonių priežiūros tvarkos aprašu, priima sprendimą pakeisti arba panaikinti prižiūrimai elektroninės atpažinties priemonei priskirtą saugumo užtikrinimo lygį ir apie tai ne vėliau kaip per 3 darbo dienas nuo sprendimo priėmimo dienos raštu informuoja kvalifikuotos elektroninės atpažinties paslaugos teikėją ir mazgo operatorių.

7. Siekdama įvertinti kvalifikuotos elektroninės atpažinties paslaugos teikėjo išduodamų prižiūrimų elektroninės atpažinties priemonių atitiktį Reglamento (ES) Nr. 910/2014 8 straipsnio 2 dalyje nurodytiems saugumo užtikrinimo lygiams, priežiūros įstaiga turi teisę atlikti kvalifikuotos elektroninės atpažinties paslaugos teikėjo auditą arba reikalauti, kad kvalifikuotos elektroninės atpažinties paslaugos teikėjas pateiktų elektroninės atpažinties atitikties vertinimo įstaigos parengtą atitikties vertinimo ataskaitą.

1. Elektronines paslaugas teikiantys viešojo sektoriaus subjektai, vadovaudamiesi elektroninės atpažinties priemonės saugumo užtikrinimo lygio, tinkamo elektroninėms paslaugoms teikti, vertinimo metodika, turi nustatyti elektroninės atpažinties priemonės saugumo užtikrinimo lygį, suteikiantį galimybę Lietuvos Respublikos, kitų Europos Sąjungos valstybių narių, Europos ekonominės erdvės valstybių, trečiosios valstybės piliečiams ir (arba) juridiniams asmenims naudotis jų teikiamomis elektroninėmis paslaugomis. Nustatytas elektroninės atpažinties priemonės saugumo užtikrinimo lygis turi būti lygiavertis taikomam saugumo užtikrinimo lygiui nustatant asmens tapatybę tais atvejais, kai yra teikiamos viešosios ir (arba) administracinės paslaugos.

2. Kitose Europos Sąjungos valstybėse narėse įsisteigusių elektroninės atpažinties paslaugų teikėjų pagal Reglamente (ES) Nr. 910/2014 nustatytus reikalavimus išduotos ir į elektroninės atpažinties schemų sąrašą įtraukos elektroninės atpažinties priemonės yra pripažįstamos Lietuvos Respublikoje veikiančių subjektų, teikiančių elektronines paslaugas.

1. Kvalifikuotos elektroninės atpažinties paslaugos teikėjai turi teisę kreiptis į mazgo operatorių dėl jų prijungimo prie mazgo.

2. Kvalifikuotos elektroninės atpažinties paslaugos teikėjas privalo užtikrinti, kad jo išduodama prižiūrima elektroninės atpažinties priemonė atitiktų visus jai priskirtam saugumo užtikrinimo lygiui nustatytus reikalavimus.

3. Kvalifikuotos elektroninės atpažinties paslaugos teikėjas privalo turėti su priežiūros įstaiga suderintą veiklos nutraukimo planą, kurio reikalavimai nustatyti priežiūros įstaigos tvirtinamame kvalifikuotos elektroninės atpažinties paslaugos teikėjų veiklos ataskaitų pateikimo priežiūros įstaigai tvarkos apraše.

4. Kvalifikuotos elektroninės atpažinties paslaugos teikėjas privalo priežiūros įstaigai pateikti:

5. Kvalifikuotos elektroninės atpažinties paslaugos teikėjas privalo imtis reikiamų techninių ir organizacinių priemonių rizikai, galinčiai sukelti grėsmę jo teikiamos kvalifikuotos elektroninės atpažinties paslaugos saugumui ir (ar) vientisumui, valdyti bei užtikrinti, kad šios paslaugos saugumo užtikrinimo lygis atitiktų keliamos rizikos lygį.

6. Kvalifikuotos elektroninės atpažinties paslaugos teikėjas privalo naudoti patikimas technines priemones, kurios yra apsaugotos nuo galimybės atlikti pakeitimus be kvalifikuotos elektroninės atpažinties paslaugos teikėjo žinios, ir užtikrinti jų palaikomo proceso techninį saugumą ir patikimumą.

7. Kvalifikuotos elektroninės atpažinties paslaugos teikėjas apie teikiamos prižiūrimos elektroninės atpažinties priemonės saugumo ar vientisumo pažeidimus privalo pranešti priežiūros įstaigai jos nustatyta tvarka ne vėliau kaip per 3 valandas nuo saugumo ar vientisumo pažeidimo nustatymo. Kvalifikuotos elektroninės atpažinties paslaugos teikėjas, vadovaudamasis šio įstatymo 4¹ straipsnio 2 dalies 6 punkte nustatyta tvarka, informaciją apie įvykusį saugumo ar vientisumo pažeidimą privalo pateikti priežiūros įstaigai ne vėliau kaip per 24 valandas nuo šio pažeidimo suvaldymo momento. Tais atvejais, kai saugumo ar vientisumo pažeidimas galėtų turėti neigiamą poveikį, kuris galėtų lemti žalos atsiradimą fiziniam ar juridiniam asmeniui, kuriam teikiama kvalifikuota elektroninės atpažinties paslauga, kvalifikuotos elektroninės atpažinties paslaugos teikėjas nedelsdamas, bet ne vėliau kaip per 24 valandas nuo saugumo ar vientisumo pažeidimo nustatymo apie šį pažeidimą privalo pranešti kvalifikuotą elektroninės atpažinties paslaugą gaunančiam fiziniam ar juridiniam asmeniui.

8. Kvalifikuotos elektroninės atpažinties paslaugos teikėjas privalo viešai skelbti aiškią ir išsamią informaciją, skirtą asmenims, kurie pageidauja naudotis jo teikiama  kvalifikuota elektroninės atpažinties paslauga, apie naudojimosi šia paslauga sąlygas, tarp jų apie bet kokius naudojimosi ja apribojimus, taip pat pateikti šią informaciją asmenims prieš sudarant sutartį dėl kvalifikuotos elektroninės atpažinties paslaugos teikimo.

9. Kvalifikuotos elektroninės atpažinties paslaugos teikėjas, nutraukęs kvalifikuotos elektroninės atpažinties paslaugos teikimą, 3 metus nuo šios paslaugos teikimo nutraukimo dienos privalo saugoti visą informaciją, susijusią su parengtais ir gautais asmens tapatybės nustatymo duomenimis.

10. Kvalifikuotos elektroninės atpažinties paslaugos teikėjas privalo būti apdraudęs savo civilinę atsakomybę ne mažesne kaip 30 000 eurų suma vienam draudžiamajam įvykiui ir ne mažesne kaip 90 000 eurų suma visiems draudžiamiesiems įvykiams per metus.

11. Kvalifikuotos elektroninės atpažinties paslaugos teikėjo darbuotojai ir (ar) subrangovų darbuotojai negali turėti neišnykusio ar nepanaikinto teistumo už tyčinių nusikaltimų padarymą, privalo būti susipažinę su informacijos saugumo ir asmens duomenų apsaugos reikalavimais.

1. Kvalifikuotos elektroninės atpažinties paslaugos teikėjas, pažeidęs Reglamento (ES) Nr. 910/2014, šio įstatymo ir jų įgyvendinamųjų teisės aktų reikalavimus, atsako Administracinių nusižengimų kodekso nustatyta tvarka.

2. Kvalifikuotos elektroninės atpažinties paslaugos teikėjas atsako už tyčia ar dėl neatsargumo bet kuriam fiziniam ar juridiniam asmeniui padarytą žalą dėl Reglamente (ES) Nr. 910/2014, šiame įstatyme ir jų įgyvendinamuosiuose teisės aktuose nurodytų pareigų nevykdymo ar netinkamo vykdymo.

1. Priežiūros įstaiga turi teisę gauti iš valstybės ir savivaldybių institucijų ir įstaigų, kvalifikuotos elektroninės atpažinties paslaugos teikėjų, o prireikus – ir iš kitų fizinių ir juridinių asmenų, susijusių su tikrinamų kvalifikuotos elektroninės atpažinties paslaugos teikėjų veikla, visą jai, taip pat Europos Komisijai reikalingą su pavestų uždavinių įgyvendinimu ir funkcijų atlikimu susijusią informaciją laikantis Bendrojo duomenų apsaugos reglamento ir Asmens duomenų teisinės apsaugos įstatymo reikalavimų.

2. Šio straipsnio 1 dalyje nurodyti asmenys priežiūros įstaigai pareikalavus privalo per jos nustatytą ne trumpesnį kaip 5 darbo dienų terminą pateikti jai raštu ar elektroninėmis priemonėmis šio straipsnio 1 dalyje nurodytą informaciją. Šioje dalyje nurodytas informacijos pateikimo terminas dėl objektyvių priežasčių šio straipsnio 1 dalyje nurodytų asmenų prašymu priežiūros įstaigos sprendimu gali būti pratęstas, bet ne ilgiau kaip 10 darbo dienų. Priežiūros įstaiga išnagrinėja prašymą ir priima sprendimą dėl informacijos pateikimo termino pratęsimo (nepratęsimo) per 10 darbo dienų nuo prašymo pratęsti terminą pateikimo dienos.

3. Priežiūros įstaiga užtikrina gautos informacijos konfidencialumą.

1. Priežiūros įstaigos įgalioti pareigūnai, prižiūrėdami, kaip vykdomos Reglamento (ES) Nr. 910/2014, šio įstatymo ir jų įgyvendinamųjų teisės aktų nuostatos, turi teisę:

2. Priežiūros įstaigos įgalioti pareigūnai, įgyvendindami jiems suteiktas teises, surašo dokumentus (aktus, protokolus, reikalavimus). Šių dokumentų formas ir pildymo tvarką nustato priežiūros įstaiga.

3. Prašymas išduoti leidimą atlikti šio straipsnio 1 dalies 1 punkte nurodytus veiksmus pateikiamas pirmosios instancijos administraciniam teismui. Šiame prašyme turi būti nurodytas kvalifikuotos elektroninės atpažinties paslaugos teikėjo pavadinimas (asmens vardas, pavardė), įtariamų pažeidimų pobūdis ir numatomi veiksmai. Teismas prašymą išnagrinėja ir motyvuotą nutartį prašymą patenkinti arba atmesti priima ne vėliau kaip per 72 valandas nuo prašymo pateikimo momento. Jeigu priežiūros įstaigos įgaliotas pareigūnas nesutinka su teismo nutartimi atmesti prašymą, jis turi teisę per 7 darbo dienas nuo šios nutarties priėmimo šią nutartį apskųsti Lietuvos vyriausiajam administraciniam teismui. Lietuvos vyriausiasis administracinis teismas skundą dėl teismo nutarties turi išnagrinėti ne vėliau kaip per 7 darbo dienas. Priežiūros įstaigos atstovas turi teisę dalyvauti, kai nagrinėjamas skundas. Lietuvos vyriausiojo administracinio teismo priimta nutartis yra galutinė ir neskundžiama. Teismai, nagrinėdami prašymus ir skundus dėl leidimo atlikti veiksmus išdavimo, privalo užtikrinti pateiktos informacijos ir planuojamų veiksmų slaptumą.

4. Neatidėliotinais atvejais, kai įtariamas pažeidimas gali būti panaudotas suklastojant asmens tapatybę, priežiūros įstaigos įgaliotų pareigūnų šio straipsnio 1 dalies 1 punkte nurodyti veiksmai gali būti atliekami priežiūros įstaigos vadovo sprendimu. Šiuo atveju prašymas išduoti leidimą atlikti veiksmus pateikiamas teismui šio straipsnio 3 dalyje nurodyta tvarka per 24 valandas po priežiūros įstaigos vadovo sprendimo priėmimo. Jeigu teismas atsisako išduoti leidimą atlikti veiksmus, jie nutraukiami ir juos atliekant gauta informacija nedelsiant, bet ne vėliau kaip per 2 darbo dienas nuo teismo sprendimo gavimo priežiūros įstaigoje dienos, sunaikinama.

Asmenys, pažeidę Reglamento (ES) Nr. 910/2014, šio įstatymo ir jų įgyvendinamųjų teisės aktų reikalavimus, atsako Administracinių nusižengimų kodekso nustatyta tvarka.

1. Kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai per 3 mėnesius nuo šio įstatymo įsigaliojimo dienos privalo priežiūros įstaigai pateikti dokumentus, kuriais patvirtinama, kad kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas yra apdraudęs savo civilinę atsakomybę pagal šio įstatymo 10 straipsnio 2 dalies reikalavimus. Kvalifikuotam patikimumo užtikrinimo paslaugų teikėjui nepateikus šioje dalyje nurodytų dokumentų per nustatytą terminą, priežiūros įstaiga Reglamento (ES) Nr. 910/2014 nustatyta tvarka inicijuoja kvalifikuoto patikimumo užtikrinimo paslaugos teikėjo statuso panaikinimą.

2. Kituose Lietuvos Respublikos teisės aktuose vartojamos sąvokos „saugus elektroninis parašas“, „elektroninio parašo priežiūros institucija“, „saugus elektroninis parašas, sukurtas saugia parašo formavimo įranga ir patvirtintas galiojančiu kvalifikuotu sertifikatu“, „kvalifikuotas sertifikatas“ ir šio įstatymo sąvokos „pažangusis elektroninis parašas“, „patikimumo užtikrinimo paslaugų priežiūros įstaiga“, „kvalifikuotas elektroninis parašas“, „kvalifikuotas elektroninio parašo sertifikatas“ yra tapačios.

3. Kituose Lietuvos Respublikos teisės aktuose pateiktos nuorodos į Lietuvos Respublikos elektroninio parašo įstatymą yra laikomos nuorodomis į Reglamentą (ES) Nr. 910/2014 ir šį įstatymą.

Įsigaliojus šiam įstatymui, pripažinti netekusiu galios Lietuvos Respublikos elektroninio parašo įstatymą Nr. VIII-1822 su visais pakeitimais ir papildymais.