Eftirlitshlutverk Fjarskiptastofu

Hér að neðan gefur að líta samantekt um eftirlitshlutverk Fjarskiptastofu samkvæmt lögum nr. 55/2019 um rafræna auðkenningu og traustþjónustu fyrir rafræn viðskipti og reglugerð Evrópusambandsins nr. 910/2014 um rafræna auðkenningu og traustþjónustu fyrir rafræn viðskipti á innri markaðinum (hér eftir eIDAS).

Fjarskiptastofa fer með eftirlit samkvæmt eIDAS reglugerðinni, lögum nr. 55/2019 og reglum settum samkvæmt þeim, sbr. 1. mgr. 4. gr. laganna. Stofnunin hefur eftirlit með traustþjónustuveitendum sem hafa staðfestu á íslensku yfirráðasvæði í samræmi við eIDAS reglugerðinna.

Traustþjónustuveitandi er sá sem veitir til að mynda þjónustu við myndun, sannprófun og staðfestingu rafrænna undirskrifta, tímastimplana eða innsigla. Gerður er greinarmunur á fullgildum traustþjónustuveitendum og þeim sem ekki eru fullgildir. Munurinn skýrist m.a. í því að eftirlitsstofnun hefur veitt fullgildum traustþjónustuveitanda fullgilda stöðu og þannig staðfest að viðkomandi uppfylli margvíslegar tækni- og stjórnunarlegar kröfur sem fram koma í eIDAS reglugerðarinni og reglum settum samkvæmt henni.

Fullgildir traustþjónustuveitendur sæta eftirliti af hálfu Fjarskiptastofu, bæði áður og eftir að þeir hefja veitingu fullgildrar traustþjónustu en traustþjónustuveitendur án fullgildingar eru undir vægara eftirlit, sem einkum felast í viðbrögðum við liðnum atburði.

Veiting fullgildrar stöðu

Fjarskiptastofa veitir traustþjónustuveitendum sem hafa staðfestu á íslensku yfirráðasvæði og traustþjónustunni sem þeir veita fullgilda stöðu á grundvelli 21. gr. eIDAS reglugerðarinnar. Óski íslenskur traustþjónustuveitandi án fullgildingar eftir því að hefja veitingu fullgildrar traustþjónustu skal hann senda Fjarskiptastofu tilkynningu um fyrirætlun sína ásamt samræmismatsskýrslu sem samræmismatsstofa gefur út, sbr. 1. mgr. sömu greinar. Netfang: fjarskiptastofa(hjá)fjarskiptastofa.is

Sjá hér lista yfir aðila sem eru hæfir til að framkvæmda samræmismat samkvæmt eIDAS reglugerðinni

Fjarskiptastofa sannprófar hvort að traustþjónustuveitandi og traustþjónustan sem hann veitir standist kröfur eIDAS reglugerðarinnar, sbr. 2. mgr. 21. gr. reglugerðarinnar. Komist stofnunin að þeirri niðurstöðu að kröfur reglugerðarinnar séu uppfylltar veitir hún traustþjónustuveitanda og traustþjónustunni sem hann veitir fullgilda stöðu. Að því loknu færir stofnunin fullgilda stöðu traustþjónustuveitandans og fullgildu traustþjónustunnar sem hann veitir inn á íslenskan traustlista (e. Trusted list).

Óheimilt er að hefja veitingu fullgildrar traustþjónustu fyrr en Fjarskiptastofa hefur veitt traustþjónustuveitanda og traustþjónustunni sem hann veitir fullgilda stöðu og staðan hefur verið færð inn á traustlista, sbr. 3. mgr. 21. gr. eIDAS reglugerðarinnar.

Traustlistar

Ráðherra hefur falið Fjarskiptastofu að koma á, viðhalda og birta traustlista samkvæmt lögum nr. 55/2019, sbr. 22. gr. eIDAS reglugerðarinnar. Fjarskiptastofa uppfærir og undirritar traustlistann tvisvar sinnum á ári en þar skulu m.a. birtar upplýsingar um fullgilda traustþjónustuveitendur sem eru á ábyrgð íslenska ríkisins, ásamt upplýsingum um fullgildu traustþjónustuna sem þeir veita, sbr. 1. mgr. 22. gr. eIDAS reglugerðarinnar.

Nánari upplýsingar um traustlista.

Úttekt, öflun samræmismats og greining samræmismatsskýrslna

Fjarskiptastofa getur hvenær sem er gert úttekt á eða óskað eftir að samræmismatsstofa framkvæmi samræmismat á fullgildum traustþjónustuveitendum, á kostnað þessara traustþjónustuveitenda, til að staðfesta að þeir og fullgilda traustþjónustan sem þeir veita uppfylli kröfur eIDAS reglugerðarinnar, sbr. 2. mgr. 20. gr. reglugerðarinnar.

Aðgangur að upplýsingum, gögnum, búnaði og starfsstöð

Fjarskiptastofa getur samkvæmt 4. gr. laga nr. 55/2019 krafið traustþjónustuveitendur um upplýsingar og gögn sem eru henni nauðsynleg til að sinna eftirlitsstörfum sínum. Upplýsingarnar og gögnin verða að vera afhent innan hæfilegs frests, sem stofnunin ákveður, eða með reglubundnum hætti á grundvelli fyrirmæla, sem stofnunin gefur. Að auki getur stofnunin krafið önnur stjórnvöld um upplýsingar óháð þagnarskyldu þeirra.

Fjarskiptastofu er heimill óheftur aðgangur að starfsstöð, búnaði og gögnum traustþjónustuveitenda, án undangengins dómsúrskurðar. Þá er ekki unnt að takmarka heimild stofnunarinnar til aðgangs að starfsstöð, búnaði, upplýsingum og gögnum með vísan til reglna um þagnarskyldu í lögunum. Áðurgreind regla á bæði við um skriflegar og munnlegar upplýsingar og því ber starfsmönnum traustþjónustuveitenda að skýra satt og rétt frá.

Traustþjónustuveitendum er skylt að veita Fjarskiptastofu aðstoð við framkvæmd eftirlitsins. Sé tilraun gerð til þess að hindra stofnunina í eftirlitsstörfum sínum getur hún óskað eftir liðveislu lögreglu.

Málsmeðferð

Fjarskiptastofa getur tekið mál til meðferðar sem varðar ákvæði laga nr. 55/2019 og heyrir undir eftirlit stofnunarinnar, að eigin frumkvæði eða eftir ábendingu eða kvörtun. Stofnunin tekur ákvörðun um hvort erindi sem berst stofnuninni gefi nægar ástæður til rannsóknar. Ábendingar og kvartanir skulu teknar til meðferðar þegar stofnunin telur nauðsyn og tilefni til. Við mat á því hvort að mál gefi tilefni til rannsóknar hefur stofnunin hliðsjón af málefnalegum sjónarmiðum sem þykja skipta máli hverju sinni, t.d. hvort erindið sé nægilega skýrt eða stutt nægilegum gögnum. Þá getur stofnunin leitað umsagna frá viðeigandi stjórnvöldum við mat á því hvort að mál verði tekið til meðferðar. Gefi erindi ekki nægar ástæður til rannsóknar vísar Fjarskiptastofa því frá með rökstuddri ákvörðun.

Útgáfa fyrirmæla um nauðsynlegar aðgerðir eða bann

Fjarskiptastofa getur mælt fyrir um nauðsynlegar aðgerðir eða bann við háttsemi sem brýtur gegn ákvæðum laga nr. 55/2019 eða reglna settum samkvæmt þeim. Á grundvelli áðurgreinds ákvæðis og með hliðsjón af j-lið 4. mgr. 18. gr. eIDAS reglugerðarinnar getur stofnunin krafist þess að traustþjónustuveitendur bæti úr öllum tilvikum þar sem kröfur reglugerðarinnar eru ekki uppfylltar.

Dagsektir

Á grundvelli 1. mgr. 6. gr. laga nr. 55/2019 getur Fjarskiptastofa lagt dagsektir á traustþjónustuveitanda, að liðnum tilteknum fresti, ef hann:

  a)  veitir ekki umbeðnar upplýsingar og gögn,

  b)  fer ekki að kröfum stofnunarinnar um úrbætur eða

  c)  sinnir ekki kröfum eftirlitsins að öðru leyti.

Fjárhæð dagsekta skal ákvörðuð með hliðsjón af eðli brotsins en þær geta numið frá 50 þús. kr. til 500 þús kr. á dag og greiðast þar til farið hefur verið að kröfum stofnunarinnar, sbr. 2. mgr. 6. gr. laganna. Ákvörðun um dagsektir má skjóta til úrskurðarnefnd fjarskipta- og póstmála innan fjórtán daga frá því að hún er kynnt aðilanum sem hún beinist að.

Stjórnvaldssektir - viðurlög

Á grundvelli 1. mgr. 7. gr. laga nr. 55/2019 er Fjarskiptastofu heimil álagning stjórnvaldssekta á þá aðila sem:

  a) koma fram sem fullgildir traustþjónustuveitendur án þess að vera skráðir sem slíkir samkvæmt því sem        mælt er fyrir um í lögunum og eIDAS reglugerðinni,
  b)  neita að veita upplýsingar eða gögn samkvæmt 4. gr. laganna eða

  c)  gefa rangar eða villandi upplýsingar til stofnunarinnar.

Stjórnvaldssektir geta numið allt að 10 milljónum kr. en fjárðhæð þeirra er ákveðin með hliðsjón af alvarleika brots, ásetnings, umfangi brota, hve lengi þau hafa staðið yfir og hvort um sé að ræða ítrekuð brot eða ítrekaða háttsemi, bæði fyrir og eftir brot. Einnig er litið til þess hversu samvinnufús fyrirtæki eru við rekstur mála.

Stjórnvaldssektir eru aðfararhæfar og renna til ríkissjóðs að frádregnum kostnaði við innheimtu en málskot til úrskurðarnefndar fjarskipta- og póstmála frestar aðför.

Ráðstafanir fyrir niðurlagningu starfsemi fullgilds traustþjónustuveitanda

Fjarskiptastofu ber að sannreyna að fyrir hendi séu ráðstafanir sem lýsa því hvernig staðið yrði að niðurlagningu starfsemi og að þeim sé rétt beitt komi til þess að fullgildur traustþjónustuveitandi hætti starfsemi sinni, þ.m.t. hvernig upplýsingum verður haldið aðgengilegum.

Afturköllun fullgildrar stöðu

Fjarskiptastofa getur afturkallað fullgilda stöðu traustþjónustuveitanda og/eða fullgildu traustþjónustunnar sem hann veitir. Það á einkum við í þeim tilfellum þegar fullgildur traustþjónustuveitandi bætir ekki úr annmörkum, innan hæfilegs frests, sem hafa þær afleiðingar að hann eða fullgilda traustþjónustan sem hann veitir uppfylla ekki kröfur eIDAS reglugerðarinnar.

Tilkynningar, skýrslur og samantektir

Fjarskiptastofu ber að tilkynna eftirlitsstofnunum í öðrum aðildarríkjum EES, Netöryggisstofnun Evrópu (ENISA) og almenningi hérlendis um öryggisrof eða glötun á heilleika í samræmi við 2. mgr. 19. gr. eIDAS reglugerðarinnar. Stofnunin skal jafnframt senda framkvæmdastjórninni og ENISA árlega samantekt yfir tilkynningar um öryggisrof og glötun á heilleika, auk þess sem senda skal framkvæmdastjórninni skýrslu um meginstarfsemi fyrra almanaksárs.

Samstarf við aðrar eftirlitsstofnanir

Fjarskiptastofa hefur samstarf við aðrar eftirlitsstofnanir og veitir þeim aðstoð í samræmi við 18. gr. eIDAS reglugerðarinnar.

Samstarf við Persónuvernd

Fjarskiptastofa hefur samstarf við Persónuvernd, einkum með því að tilkynna án ástæðulausrar tafar um niðurstöður úttekta á fullgildum traustþjónustuveitendum, þegar reglur um vernd persónuupplýsinga virðast hafa verið brotnar, sbr. f. lið 4. mgr. 17. gr. eIDAS reglugerðarinnar, og með upplýsingamiðlun um öryggisrof eða glötun á heilleika, sbr. 31. lið aðfararorða reglugerðarinnar.