LT ID parašo užsakymo ir išdavimo sąlygos bei taisyklės
PATVIRTINTA valstybės įmonės Registrų centro generalinio direktoriaus įsakymu Nr.
Unikalus objekto ID (OID): 1.3.6.1.4.1.30903.1.7.1
Versija: 1.0
Galioja nuo: 2023-05-01
1. Dokumento paskirtis
Nuotolinio elektroninio parašo sertifikatų užsakymo, išdavimo ir naudojimo sąlygos ir taisyklės (toliau – Taisyklės) nustato asmens, užsakančio, gaunančio bei naudojančio kvalifikuoto elektroninio parašo sertifikatus (toliau – Paslaugos gavėjas), ir kvalifikuotų patikimumo užtikrinimo paslaugų teikėjo valstybės įmonės Registrų centro (toliau – Registrų centras) santykius bei atsakomybę užsakant, išduodant bei naudojant kvalifikuoto elektroninio parašo sertifikatus (toliau – sertifikatai), elektroninio parašo kūrimo duomenis bei įtaisus (toliau – El. parašo kūrimo įranga).
Taisyklės apibrėžia El. parašo kūrimo įrangos, kai kvalifikuoto elektroninio parašo kūrimo aplinką valdo Registrų centras Paslaugos gavėjo vardu, išdavimo ir naudojimo sąlygas.
Taisyklės parengtos vadovaujantis Valstybės įmonės Registrų centro sertifikavimo veiklos taisyklėmis (unikalus objekto identifikatorius (OID) yra 1.3.6.1.4.1.30903.1.5.1, versija 1.1) bei Valstybės įmonės Registrų centro nuotolinio elektroninio parašo ir elektroninio spaudo sertifikavimo veiklos nuostatais (unikalus objekto identifikatorius (OID) – 1.3.6.1.4.1.30903.1.6.1, versija 1.1).
Taisyklių unikalus objekto identifikatorius (OID) yra 1.3.6.1.4.1.30903.1.7.1. Registrų centrui patvirtinus naują Taisyklių versiją jai bus suteiktas naujas OID. Visos Taisyklių versijos yra skelbiamos viešai internete adresu https://www.elektroninis.lt. Kiekviena Taisyklių versija yra saugoma Registrų centro dokumentų archyve ne mažiau kaip 10 metų nuo jos galiojimo pabaigos.
El. parašo kūrimo įrangos išdavimas ir naudojimas yra vykdomas remiantis Taisyklėmis ir toliau nurodytais teisės aktais:
- Europos Parlamento ir Tarybos reglamentu (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje, kuriuo panaikinama Direktyva 1999/93/EB (toliau – eIDAS);
- 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB);
- Lietuvos Respublikos elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų įstatymu;
- Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;
- Asmens tapatybės ir papildomų specifinių požymių tikrinimo išduodant kvalifikuotus elektroninio parašo, elektroninio spaudo, interneto svetainės tapatumo nustatymo sertifikatus tvarkos aprašu, patvirtintu Lietuvos Respublikos ryšių reguliavimo tarnybos direktoriaus 2018 m. spalio 26 d. įsakymu Nr. 1V – 1055 „Dėl asmens tapatybės ir papildomų specifinių požymių tikrinimo išduodant kvalifikuotus elektroninio parašo, elektroninio spaudo, interneto svetainės tapatumo nustatymo sertifikatus tvarkos aprašo patvirtinimo“;
- Valstybės įmonės Registrų centro nuotolinio elektroninio parašo ir elektroninio spaudo sertifikavimo veiklos nuostatų, patvirtintų Registrų centro generalinio direktoriaus įsakymu, aktualia redakcija (toliau – CPS).
Paslaugų gavėjas prieš teikdamas prašymą išduoti El. parašo kūrimo įrangą (toliau – prašymas) privalo susipažinti su Taisyklėmis bei patvirtinti įsipareigojimą laikytis jose nustatytų paslaugų teikimo sąlygų visą Registrų centro išduotų sertifikatų galiojimo laikotarpį. Susipažinimo su Taisyklėmis ir patvirtinimo jų laikytis data ir laikas bei Taisyklių OID yra įtraukiami į prašymo duomenis. Prašymą ir jame įvardintų duomenų teisingumą Paslaugų gavėjas patvirtina teikdamas prašymą Registrų centro registravimo tarnyboje (Registrų centro klientų aptarnavimo centrai bei išorinės organizacijos, su kuriomis yra sudarytos atitinkamos funkcijų delegavimo sutartys) (toliau – RA) ir patvirtindamas savo tapatybę vienu iš Taisyklių 2 skyriuje įvardintų būdų.
Paslaugų gavėjui patvirtinus sutikimą laikytis Taisyklių yra laikoma, kad Paslaugų gavėjas ir Registrų centras sudarė sutartį dėl El. parašo kūrimo įrangos išdavimo ir naudojimo.
Paslaugos gavėjas prašyme nurodo elektroninio pašto adresą ir mobiliojo ryšio telefono numerį. Paslaugos gavėjas užtikrina prieigos prie elektroninio pašto ir mobiliojo ryšio telefono bei jame esančios informacijos apsaugą, kad tretieji asmenys neturėtų galimybės pasinaudoti El. parašo kūrimo įranga (neteisėtai Paslaugos gavėjo vardu pasirašyti dokumentus, teikti duomenis ir t.t).
2. El. parašo kūrimo įrangos išdavimo užsakymas
2.1. Prašymo pildymas
Prašymą gali pateikti ne jaunesnis kaip keturiolikos metų amžiaus fizinis asmuo. Nepilnametis nuo keturiolikos iki aštuoniolikos metų kartu su prašymu turi pateikti tėvų arba rūpintojų sutikimą.
Prašymas gali būti pateiktas:
- atvykus į RA;
- elektroniniu būdu per sertifikatų tvarkymo savitarnos sistemą (toliau – eSUS);
- elektroniniu būdu per Registrų centro išduotą nuotolinio parašo kriptografinių raktų aktyvavimo priemonę.
Paslaugų gavėjas prašyme turi nurodyti:
- vardą, pavardę;
- unikalų asmens identifikacinį numerį Lietuvos Respublikos gyventojų registre (toliau – Gyventojų registras) ar Užsieniečių registre;
- galiojančio asmens tapatybės dokumento numerį;
- elektroninio pašto adresą;
- mobiliojo ryšio telefono numerį.
Susipažinimo su Taisyklėmis ir patvirtinimo jų laikytis data ir laikas bei Taisyklių OID į prašymą įtraukiami automatiškai, jeigu prašymas pildomas elektroniniu būdu arba įrašomas RA specialisto, jeigu prašymas teikiamas ir paslaugos gavėjo asmens tapatybė patvirtinama jam atvykus į RA.
2.2. Prašymo bei asmens tapatybės patikrinimas ir patvirtinimas
Išduodant El. parašo kūrimo įrangą yra tikrinama fizinio asmens, kurio vardu sudaromi sertifikatai, tapatybė bei prašyme pateikti duomenys. Prašymas bei asmens tapatybė patvirtinama vienu iš šių būdų:
- asmeniui fiziškai atvykus į RA padalinį;
- nuotoliniu būdu, užsakymą išduoti sertifikatą pasirašius galiojančiu kvalifikuotu elektroniniu parašu.
Prašyme pateikti asmens duomenys tikrinami Gyventojų registre, Užsieniečių registre .
2.2.1. Fizinio asmens tapatybės patvirtinamas jam atvykus į RA padalinį
Pagrindiniai asmens tapatybės patikrinimo ir patvirtinimo procedūros etapai:
- Paslaugos gavėjas užpildo elektroninį arba popierinį prašymą (atvykus į RA) . RA specialistas Paslaugos gavėjui pateikia šias Taisykles susipažinti, jeigu nėra duomenų, kad asmuo su jomis susipažino pildydamas elektroninį prašymą;
- prašyme pateikti duomenys patikrinami naudojantis programinėmis priemonėmis Gyventojų registre, Užsieniečių registre;
- RA specialistas:
- pagal pateiktą asmens tapatybės dokumentą nustato prašymą pateikusio asmens tapatybę;
- palygina asmens tapatybės dokumente ir prašyme nurodytus asmens duomenis;
- patvirtina prašymą pateikusio asmens tapatybę bei atspausdina ir Paslaugos gavėjui teikia pasirašyti prašymą.
Asmens tapatybei nustatymui asmuo turi pateikti vieną iš šių dokumentų:
- galiojantį pasą;
- galiojančią asmens tapatybės kortelę;
- leidimą gyventi Lietuvoje (tik Lietuvos Respublikos pilietybės neturintys asmenys);
- Lietuvos Respublikos migracijos departamento išduodamą teisės gyventi Lietuvoje pažymėjimą (tik Lietuvos Respublikos pilietybės neturintys asmenys).
Asmens tapatybė laikoma nustatyta, jeigu tenkinamos šios sąlygos:
- prašyme pateikti duomenys atitinka Gyventojų registro, Užsieniečių registro duomenis;
- pateiktas asmens tapatybės dokumentas priklauso prašymą pateikusiam asmeniui ir jo asmens tapatybės duomenys visiškai atitinka prašyme nurodytus duomenis.
RA dokumentų archyve išsaugomas asmens pasirašytas prašymas. Registrų centro išduodamų elektroninio parašo ir elektroninio spaudo tvarkymo taikomųjų sistemų elektroniniuose žurnaluose registruojami ir išsaugomi visi įvykiai, susiję su prašymo ruošimu, teikimu ir priėmimu bei asmens tapatybės nustatymu ir patvirtinimu.
2.2.2. Fizinio asmens tapatybės nustatymas nuotoliniu būdu, prašymą pasirašant galiojančiu kvalifikuotu elektroniniu parašu
Pagrindiniai asmens tapatybės patikrinimo ir patvirtinimo procedūros etapai:
- Paslaugos gavėjas, užpildęs elektroninį prašymą išduoti El. Parašo kūrimo įrangą pasirašo prašymą kvalifikuotu elektroniniu parašu.
- Registrų centras naudodamasis programinėmis priemonėmis tikrina:
- prašyme pateiktų duomenų autentiškumą Gyventojų registre, Užsieniečių registre;
- kvalifikuoto elektroninio parašo galiojimą;
- kvalifikuoto elektroninio parašo sertifikate esančių asmens duomenų ir prašyme pateiktos informacijos atitikimą;
- ar asmeniui sertifikatą išdavęs patikimumo užtikrinimo paslaugų tiekėjas yra įtrauktas į Registrų centro sudarytą paslaugų tiekėjų, kuriais yra pasitikima, sąrašą.
- Asmens tapatybė laikoma nustatyta, jeigu tenkinamos šios sąlygos:
- prašyme pateikti duomenys atitinka Gyventojų registro, Užsieniečių registro duomenis;
- prašymas pasirašytas galiojančiu kvalifikuotu elektroniniu parašu;
- sertifikate duomenys visiškai atitinka prašyme nurodytus duomenis;
- sertifikatas yra išduotas patikimumo užtikrinimo paslaugų teikėjui, įtraukiant į Registrų centro sudarytą paslaugų tiekėjų, kuriais yra pasitikima, sąrašą.
Asmens užpildytas ir pasirašytas kvalifikuotu elektroniniu parašu prašymas išsaugomas Registrų centro elektroninių dokumentų archyve. Registrų centro išduodamų elektroninio parašo ir elektroninio spaudo tvarkymo taikomųjų sistemų elektroniniuose žurnaluose registruojami ir išsaugomi visi įvykiai, susiję su prašymo ruošimu, teikimu ir priėmimu bei asmens tapatybės nustatymu ir patvirtinimu.
3. El. parašo kūrimo įrangos išdavimas
Patvirtinus Paslaugų gavėjo tapatybę Registrų centro IT infrastruktūroje sugeneruojama ir išsaugoma Paslaugų gavėjo kriptografinių raktų pora bei sertifikatas (toliau – El. parašo kūrimo priemonės).
Vadovaudamasis Registrų centro pateikiamomis instrukcijomis Paslaugų gavėjas atsisiunčia ir į jam priklausantį ir tik jo valdomą įrenginį (mobiliojo ryšio telefoną ar personalinį kompiuterį) įsidiegia bei Registrų centro IT infrastruktūroje užregistruoja El. parašo kūrimo priemonių valdymo programinį paketą – kliento komponentą (toliau – Kliento komponentas).
Siekiant užtikrinti, kad Kliento komponentą galėtų registruoti tik Paslaugos gavėjas, kuriam sugeneruota konkreti El. parašo kūrimo įranga, prašyme nurodytais elektroninio pašto adresu bei mobiliojo telefono numeriu siunčiami vienkartiniai, trumpo galiojimo, asmens autentikavimo slaptažodžiai. Todėl Paslaugų gavėjas privalo užtikrinti, kad niekas kitas neturėtų prieigos prie šių elektroninio pašto dėžutės ir mobiliojo ryšio telefono duomenų.
Paslaugos gavėjas, naudodamasis Kliento komponentu patvirtina reikalavimą sukurti elektroninį parašą, panaudodamas jam išduotas ir Registrų centro IT infrastruktūroje saugomas El. parašo kūrimo priemones. Paslaugos gavėjas privalo užtikrinti, kad niekam nebūtų atskleisti Kliento komponento panaudojimui reikalingi kodai, kad nebūtų galima neteisėtai Paslaugos gavėjo vardu pasirašyti dokumentų ir patvirtinti duomenų,. El. parašo kūrimo įrangos valdymui Paslaugos gavėjas gali įsidiegti du Kliento komponentus. Į vieną Paslaugos gavėjo įrenginį (mobiliojo ryšio telefoną, personalinį kompiuterį ir pan. ) gali būti diegiamas tik vienas Kliento komponentas.
El. parašo kūrimo įrangos valdymui Paslaugos gavėjas gali naudoti:
- mobiliojo ryšio telefoną ar planšetinį kompiuterį, kuriame yra įdiegtos ne žemesnės kaip Android 6 arba IOS 11 operacinių sistemų versijos ir integruotas aparatinis saugos lustas (angl. secure element hardware chip);
- stacionarų kompiuterį, veikiantį Windows 10, macOS arba Linux operacinių sistemų pagrindu, prie kurio prijungtas USB ar lustinės kortelės tipo kriptografinis įrenginys (angl. USB / smart card security token).
4. Sertifikatų galiojimas, galiojimo sustabdymas ir atšaukimas.
Sertifikatai galioja nuo jų sudarymo momento iki datos, nurodytos sertifikatų duomenyse.
Sertifikatų galiojimas gali būti laikinai sustabdomas
1. Paslaugos gavėjo prašymu
2. Teisėsaugos institucijų motyvuotu reikalavimu, siekiant užkirsti kelią nusikalstamoms veikoms, – teisėsaugos institucijų nurodytam terminui;
3. Registrų cento iniciatyva:
a) gavus informacijos, kad kvalifikuoto elektroninio parašo sertifikato duomenys gali būti neteisingi;
b) gavus informaciją, kad asmuo, kuriam išduotas kvalifikuoto elektroninio parašo sertifikatas, gali būti praradęs šio sertifikato kriptografinių raktų aktyvavimo priemonės – Kliento komponento kontrolę.
Registrų centras, sustabdęs sertifikato galiojimą Registrų centro iniciatyva, ne vėliau kaip per 24 valandas nuo sertifikato galiojimo sustabdymo apie tai praneša sertifikato savininkui elektroniniu paštu arba telefonu, nurodydamas sustabdymo priežastį ir trukmę. Taip pat Paslaugos gavėjas yra informuojamas apie teisę per 30 darbo dienų nuo sertifikato galiojimo sustabdymo dienos elektroniniu paštu laisva forma pateikti prašymą, paaiškinimą ir patvirtinančius įrodymus, kuriais paneigiama Registrų centro gauta informacija, kurios pagrindu buvo sustabdytas sertifikato galiojimas.
Registrų centras apie sertifikato sustabdymą visais Taisyklių 4 skyriuje nurodytais atvejais taip pat paskelbia savo sertifikatų duomenų bazėje ne vėliau kaip per 24 valandas nuo sertifikato galiojimo sustabdymo.
Paslaugų gavėjui pageidaujant atnaujinti sertifikato galiojimą turi būti teikiamas prašymas šių Taisyklių 2 skyriuje „El. parašo kūrimo įrangos išdavimo užsakymas“ nustatyta tvarka.
Sertifikatų galiojimas gali būti nutraukiamas:
- Paslaugų gavėjo prašymu;
- Registrų centro iniciatyva:
- paaiškėjus, kad sertifikatų duomenys nėra teisingi (pvz., pasikeitė Paslaugos gavėjo vardas, pavardė, asmens identifikacinis kodas ir pan.);
- paaiškėjus, kad sertifikatai buvo sudaryti remiantis klaidingais duomenimis;
- jei Registrų centras nutraukia savo veiklą ir joks kitas patikimumo užtikrinimo paslaugų teikėjas neperima patikimumo užtikrinimo paslaugų teikimo veiklos;
- paaiškėjus, kad Paslaugos gavėjas nesilaiko Taisyklių;
- Paslaugos gavėjui praradus Kliento komponento ar įrenginio, kuriame jis įdiegtas, kontrolę;
- kai remiamasi sertifikatų galiojimo apribojimais, nurodytais sertifikatuose juos sudarant;
- kai pažeidžiamas Registrų centro privačiojo rakto ir naudojamos sertifikatų tvarkymo sistemos saugumas, keliantis pavojų sudarytų sertifikatų patikimumui;
- gavus pranešimą, kad Paslaugos gavėjas tapo neveiksnus srityje, susijusioje su sertifikatų panaudojimu;
- gavus pranešimą, kad Paslaugos gavėjas mirė;
- teisės aktų nustatyta tvarka nustačius, kad Paslaugos gavėjui išduoti sertifikatai nebeatitinka eIDAS reikalavimų;
- teisėsaugos institucijų motyvuotu reikalavimu, siekiant užkirsti kelią nusikalstamoms veikoms.
Sertifikato galiojimo statusas turi būti pakeistas ne vėliau kaip per 24 valandas nuo Paslaugos gavėjo prašymo ar teisėsaugos institucijų reikalavimo, nedelsiant sustabdyti ar nutraukti sertifikato galiojimą pateikimą, momento.
Atšaukto sertifikato galiojimo statusas jokiomis aplinkybėmis negalima būt atkurtas.
Prašymai sustabdyti ir (ar) atšaukti sertifikato galiojimą teikiami Registrų centrui eSUS priemonėmis visą parą veikiančiu telefonu +370 5 268 8388 arba darbo dienomis darbo valandomis atvykus į Registrų centro klientų aptarnavimo padalinius.
Nustačius, kad Paslaugos gavėjui išduoti sertifikatai nebeatitinka eIDAS reikalavimų, apie būsimą sertifikatų atšaukimą Paslaugos gavėjas yra informuojamas raštu elektroniniu paštu ne vėliau kaip prieš 10 darbo dienų. Nutraukiant sertifikatų galiojimą Registrų centro iniciatyva (išskyrus atvejus, kai teisės aktų nustatyta tvarka nustatoma, kad Paslaugos gavėjui išduoti sertifikatai nebeatitinka eIDAS reikalavimų, gavus pranešimą, kad Paslaugos gavėjas tapo neveiksnus srityje, susijusioje su sertifikatų panaudojimu) ir teisėsaugos institucijų motyvuotu reikalavimu, Registrų centras informuoja Paslaugos gavėją elektroniniu paštu ne vėliau kaip per 24 (dvidešimt keturias) valandas nuo sertifikatų galiojimo atšaukimo.
4.1. Sertifikatų naudojimas
Paslaugų gavėjui išduodami sertifikatai yra skirti elektroniniams parašams kurti ir negali būti naudojami:
- bet kokiai neteisėtai veiklai (įskaitant kibernetines atakas, bandymus klastoti asmens tapatybę ir pan. );
- išduoti (patvirtinti) kitus naujus skaitmeninius sertifikatus;
- patvirtinti informaciją apie šio ar kitų sertifikatų galiojimą;
- netikrų dokumentų ar informacijos (pvz., dokumentų skirtų sistemų ar procesų testavimui) elektroninių parašų patvirtinimui.
5. Registrų centro įsipareigojimai ir atsakomybė
Registrų centras įsipareigoja viešai skelbti šias taisykles ir CPS bei, teikdamas nuotolinio elektroninio parašo sertifikatų sudarymo ir išdavimo bei nuotolinio elektroninio parašo kūrimo paslaugas, laikytis CPS nustatytų procedūrų ir reikalavimų.
Registrų centras atsako už:
- patikimumo užtikrinimo paslaugų teikimo metu gautos informacijos konfidencialumą ir apsaugą nuo neteisėtos prieigos;
- Registrų centro privačiųjų kriptografinių raktų saugumą;
- informacijos sudaromuose sertifikatuose teisingumą bei tinkamą Paslaugų gavėjo asmens tapatybės identifikavimą;
- sudaromų sertifikatų atitikimą eIDAS reikalavimams;
- Paslaugų gavėjams išduotų sertifikatų ir su jais susijusių kriptografinių raktų saugumą;
- nepertraukiamą Kliento komponento teikiamų kriptografinių raktų aktyvavimo autorizacijos užklausų apdorojimą bei nuotolinių kvalifikuotų elektroninių parašų kūrimą;
- nepertraukiamą prašymų nutraukti ar sustabdyti sertifikatų galiojimą priėmimą ir vykdymą;
- nepertraukiamą viešos paslaugos teikimą išduotų sertifikatų statuso tikrinimo OCSP (tiesioginės prieigos protokolas informacijai apie sertifikato statusą gauti (angl. online certificate status protocol)) atsakikliu.
Registrų centras savo veiklą, teikiant patikimumo užtikrinimo paslaugas, draudžia ne mažesne kaip Lietuvos Respublikos elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų įstatymo 10 straipsnyje nustatyta suma. Aukščiausia atsakomybės už bet kokį reikalavimą riba yra ne mažesnė kaip 30 000 (trisdešimt tūkstančių) eurų suma vienam draudžiamajam įvykiui ir ne mažesnė kaip 90 000 (devyniasdešimt tūkstančių) eurų suma visiems draudžiamiesiems įvykiams per metus.
Registrų centras neatsako, jei nuostoliai buvo patirti dėl:
- trečiųjų šalių ir galimų vartotojų naudojamos neautorizuotos aparatinės ir programinės įrangos kriptografiniams raktams generuoti, duomenims šifruoti, elektroniniams parašams kurti;
- neleistino sertifikato naudojimo;
- teikiamų paslaugų prieinamumo ir kokybės, jei sutrikimai fiksuojami ne Registrų centro veikimo ribose, kurios detalizuotos CPS bei Valstybės įmonės Registrų centro sertifikavimo veiklos politikoje (CP);
- sertifikato atšaukimo atvejų;
- sertifikato sustabdymo nustatytų atvejų.
Registrų centro teisinė atsakomybė už nuotolinio elektroninio parašo kūrimo paslaugas apsiriboja kvalifikuoto parašo kūrimu duomenų santraukai (angl. hash), Paslaugų gavėjo iniciatyva perduotai El. parašo kūrimo įrangai. Registrų centras teikdamas šiose Taisyklėse numatytas paslaugas neatsako už pasirašytų dokumentų ar duomenų rinkinių domenų santraukos (angl. hash) formavimą.
6. Paslaugų gavėjo įsipareigojimai ir atsakomybė
Paslaugų gavėjas įsipareigoja:
- pateikti tikslią ir išsamią informaciją, būtiną El. parašo kūrimo įrangos išdavimui, kaip to reikalauja šios Taisyklės;
- užtikrinti, kad elektroninio pašto dėžutės adresas bei mobiliojo ryšio telefono numeris, kuriuosPaslaugų gavėjas nurodo prašyme, būtų tinkamai apsaugoti nuo neteisėtos prieigos;
- tinkamai pasirūpinti, kad Kliento komponentu ir mobiliojo ryšio telefonu ar personaliniu kompiuteriu), kuriame įdiegtas kliento komponentas, negalėtų pasinaudoti kiti asmenys;
- sertifikatą bei kriptografinių raktų porą naudoti tik elektroniniams parašams kurti, elektroninio pašto apsaugai bei asmens identifikavimui ir autentikavimui elektroninėje erdvėje atlikti;
- nedelsiant kreiptis į Registrų centrą dėl sertifikato galiojimo sustabdymo ar atšaukimo, kai sertifikato galiojimo laikotarpiu atsitinka bent vienas iš šių įvykių:
- kyla pagrįstų įtarimų, kad elektroninio pašto dėžute bei mobiliojo ryšio telefonu, kurių adresą ir telefono numerį Paslaugų gavėjas nurodė prašyme išduoti El. parašo kūrimo įrangą, neteisėtai pasinaudoti galėjo kiti asmenys;
- pametamas įrenginys, kuriame įdiegtas Kliento komponentas ar kaip nors kitaip parandama jo kontrolė;
- pavagiamas ar kitaip sukompromituojamas Kliento komponento privatusis raktas;
- atskleidžiami Kliento komponento panaudojimui reikalingi kodai (PIN kodas ir kt.);
- pastebimi netikslumai sertifikate arba jame prireikia daryti pakeitimus;
- pasikeičia asmens tapatybės duomenys;
- Kliento komponento privataus rakto kompromitacijos atveju nedelsiant ir visiškai nutraukti jo naudojimą.
Paslaugos gavėjas, dėl kurio veiksmų Registrų centras patyrė nuostolių, privalo kompensuoti nuostolius tais atvejais, kai:
- Paslaugų gavėjas pateikė klaidingus asmens duomenis ar jiems pasikeitus apie tai nepranešė Registrų centrui;
- Paslaugų gavėjui, praradus elektroninio pašto dėžutės bei mobiliojo ryšio telefono, kurių adresą ir telefono numerį Paslaugų gavėjas nurodė prašyme išduoti El. parašo kūrimo įrangą, kontrolę ar atskleidus tretiesiems asmenims prieigos prie šių resursų kodus, jis apie tai nepranešė Registrų centrui iš karto, kai tai tapo žinoma;
- Paslaugų gavėjui, praradus Kliento komponento ir (ar) jo privataus rakto kontrolę ar atskleidus Kliento komponento aktyvavimo kodus, jis apie tai nepranešė Registrų centrui iš karto, kai tai tapo žinoma;
- Paslaugos gavėjas pažeidė Registrų centro išduotų sertifikatų naudojimo sąlygas, įvardintas šiose Taisyklėse bei CPS.
7. Ginčų sprendimo tvarka
Visi nesutarimai ir ginčai, kylantys tarp Registrų centro ir Paslaugų gavėjo, sprendžiami tarpusavio konsultacijų ir derybų būdu, vadovaujantis gera valia. Nepavykus priimti bendro sprendimo, nesutarimai ir ginčai sprendžiami Lietuvos Respublikos teisės aktų nustatyta tvarka.
8. Taikytina teisė
Registrų centro ir Paslaugų gavėjo tarpusavio santykiams, neaptartiems Taisyklėse, taikoma Lietuvos Respublikos teisė.
9. Apmokėjimas ir atsiskaitymo tvarka
10. Paslauga teikiama neatlygintinai vadovaujantis generalinio direktoriaus įsakymu, skelbiamu viešai interneto svetainėje https://www.elektroninis.lt/.Nenugalimos jėgos (force majeure) aplinkybės
Registrų centras ir Paslaugos gavėjas neatsako už bet kurios savo prievolės neįvykdymą ar dalinį neįvykdymą, jeigu ji įrodo, kad prievolė neįvykdyta dėl aplinkybių, kurių ji negalėjo kontroliuoti bei protingai numatyti patvirtinimo laikytis Taisyklių, prilyginamo sutarties sudarymui, metu, ir kad negalėjo užkirsti kelio šioms aplinkybėms ar pasekmėms atsirasti.
Įvykus nenugalimos jėgos (force majeure) aplinkybėms, vadovaujamasi Lietuvos Respublikos civilinio kodekso 6.212 straipsniu ir Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklėmis, patvirtintomis Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“.
Šalis, prašanti ją atleisti nuo atsakomybės, privalo pranešti kitai šaliai raštu apie nenugalimos jėgos aplinkybes nedelsdama, tačiau ne vėliau kaip per 3 (tris) darbo dienas nuo tokių aplinkybių atsiradimo ar paaiškėjimo, taip pat pranešti apie galimą sutartyje numatytų įsipareigojimų įvykdymo terminą. Būtina pranešti ir tuomet, kai išnyksta pagrindas nevykdyti įsipareigojimų.
Pagrindas atleisti šalį nuo atsakomybės atsiranda nuo nenugalimos jėgos aplinkybių atsiradimo momento arba, jeigu laiku nebuvo pateiktas pranešimas, nuo pranešimo pateikimo momento. Jeigu šalis laiku neišsiunčia pranešimo arba neinformuoja, ji privalo kompensuoti kitai šaliai žalą, kurią ši patyrė dėl laiku nepateikto pranešimo arba dėl to, kad nebuvo jokio pranešimo.
11. Kitos sąlygos
Paslaugų gavėjas, patvirtindamas sutikimą laikytis šių Taisyklių, pareiškia, kad:
- pateikia teisingą ir išsamią informaciją, būtiną El. parašo kūrimo įrangos išdavimui;
- yra susipažinęs su šių Taisyklių bei CPS aktualiomis redakcijomis ir įsipareigoja jų laikytis;
- sutinka, kad Registrų centras saugotų Paslaugų gavėjui išduotus elektroninio parašo kūrimo kriptografinius raktus;
- jis yra informuotas, jog sertifikatuose yra naudojami asmens duomenys (Paslaugos gavėjo asmens kodas, vardas, pavardė ir elektroninis paštas), kurie yra matomi kvalifikuotu elektroniniu parašu pasirašytuose dokumentuose.
Registrų centras, vadovaudamasis CPS, saugo Paslaugų gavėjo registracijos, El. parašo kūrimo įrangos išdavimo informaciją ir šią informaciją perduoda trečiosioms šalims sertifikavimo veiklos nutraukimo atveju.
Registrų centras turi teisę vienašališkai keisti Taisykles, pranešdamas Paslaugos gavėjui apie tai elektroniniu paštu bei viešo paskelbimo būdu Registrų centro interneto svetainėje viešai internete adresu https://www.elektroninis.lt prieš 30 (trisdešimt) kalendorinių dienų iki šių sąlygų pasikeitimo.
Paslaugų gavėjas turi teisę nesutikti su Taisyklių pakeitimais ir pateikti prašymą nutraukti sertifikatų galiojimą.
12. Asmens duomenų tvarkymas
Sertifikato bei jo kūrimo įrangos paslaugos teikimo tikslu yra tvarkomi šie Paslaugos gavėjo asmens duomenys: vardas, pavardė, asmens kodas arba užsieniečiui suteiktas interesų Lietuvoje turinčio užsieniečio kodas, asmens tapatybės dokumento tipas, asmens tapatybės dokumento numeris, elektroninio pašto adresas, mobiliojo ryšio telefono numeris, sertifikato duomenys.
Nurodyti asmens duomenys saugomi 10 metų pasibaigus sertifikato galiojimui ar sustabdžius jo galiojimą.
Nurodytu tikslu Paslaugos gavėjo asmens duomenys tvarkomi pagal Bendrojo duomenų apsaugos reglamento 6 straipsnio 1 dalies b punkte nustatytą teisėto asmens duomenų tvarkymo sąlygą, siekiant įvykdyti sutartį, kurios šalis yra Paslaugos gavėjas, arba siekiant imtis veiksmų Paslaugos gavėjo prašymu prieš sudarant sutartį, ir 6 straipsnio 1 dalies c punkte nustatytą teisėto asmens duomenų tvarkymo sąlygą, kai tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė, vykdant Taisyklėse nurodytų teisė aktų reikalavimus.
Paslaugos gavėjo asmens duomenys tvarkomi vadovaujantis Bendruoju duomenų apsaugos reglamentu, Lietuvos Respublikos asmens duomenų teisės apsaugos įstatymu, Asmens duomenų tvarkymo valstybės įmonėje Registrų centre taisyklėmis (patvirtintomis valstybės įmonės Registrų centro direktoriaus 2018 m. gegužės 24 d. įsakymu Nr. v-171 „Dėl asmens duomenų tvarkymo valstybės įmonėje Registrų centre taisyklių aprašo patvirtinimo“), Taisyklėmis bei kitais Taisyklėse nurodytais teisės aktais.
Asmens duomenų valdytojas ir tvarkytojas yra valstybės įmonė Registrų centras, įmonės kodas 124110246, adresas Studentų g. 39, 08106 Vilnius | Tel. +370 5 268 8262, el. p. info@registrucentras.lt, interneto svetainės adresas: https://www.registrucentras.lt. Duomenų apsaugos pareigūno kontaktiniai duomenys: duomenusauga@registrucentras.lt.
Paslaugos gavėjo asmens duomenys į trečiąsias valstybes ar tarptautines organizacijas (už Europos sąjungos ir Europos ekonominės erdvės ribų) nėra perduodami. Trečiosioms šalims šie asmens duomenys gali būti teikiami tik teisės aktuose nustatytais atvejais ir kai asmens duomenų teikimas būtinas ir proporcingas teisėtais ir konkrečiais tikslais teisės aktų nustatyta tvarka.
Paslaugos gavėjas, kaip duomenų subjektas, turi teisę kreiptis į Registrų centrą dėl klausimų, susijusių jo asmens duomenų tvarkymu, pasinaudojant šiomis teisėmis:
- Teisę gauti informaciją apie duomenų tvarkymą (Bendrojo duomenų apsaugos reglamento 13, 14 straipsniai);
- Teisę susipažinti su duomenimis (Bendrojo duomenų apsaugos reglamento 15 straipsnis);
- Teisę reikalauti ištaisyti duomenis (Bendrojo duomenų apsaugos reglamento 16 straipsnis);
- Teisę reikalauti ištrinti duomenis („teisė būti pamirštam“) (Bendrojo duomenų apsaugos reglamento 17 straipsnis). Pastaba: šia teise galima pasinaudoti, kai yra bent viena iš Bendrojo duomenų apsaugos reglamento 17 straipsnio 1 dalyje nurodytų sąlygų.
- Teisę apriboti duomenų tvarkymą (Bendrojo duomenų apsaugos reglamento 18 straipsnis). Pastaba: šia teise galima pasinaudoti, kai yra bent viena iš Bendrojo duomenų apsaugos reglamento 18 straipsnio 1 dalyje nurodytų sąlygų.
Informaciją apie tai, kaip įgyvendinti duomenų subjektų teises Registrų centre galima rasti Asmens duomenų tvarkymo valstybės įmonėje Registrų centre taisyklių III Skyriuje „Duomenų subjekto teisės“ .
Asmeniui nesutinkant su Registrų centro veiksmais tvarkant jo asmens duomenis, duomenų subjektas turi teisę pateikti skundą Valstybinei duomenų apsaugos inspekcijai Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo nustatyta tvarka.
Plačiau apie asmens duomenų tvarkymą Registrų centre galima susipažinti Registrų centro interneto svetainės skiltyje ,,Asmens duomenų apsauga“: https://www.registrucentras.lt/asmens_duomenu_apsauga/