Η εγκεκριμένη ηλεκτρονική υπογραφή ως μέσω διαπίστωσης της γνησιότητας και του αναλλοίωτου ενός ηλεκτρονικού εγγράφου: η ειδικότερη αστική ευθύνη των παρόχων των υπηρεσιών της βάσει του ΓΚΠΔ (GDPR)

Abstract

This dissertation raises as a research issue the approved electronic signature as a means of verifying the authenticity and inviolability of an electronic document and the specific civil liability of its service providers under the GDPR. First, the historical background of the concept of mechanical representations is presented. Then follows the legal analysis of their meaning, as delimited in recent decades. The concept of mechanical representations also includes the electronic document after interpretation. With paragraph 1 of article 40 of Law 3994/2011, a second paragraph is added to article 444, in order to remove any doubt regarding the definition of the electronic document . According to article 444 par. 2, "mechanical imaging is defined as" any medium used by a computer or computer peripheral memory, by electronic, magnetic or other means for recording, storing, producing or reproducing data that cannot be read directly , as well as any magnetic, electronic or other material on which any information, image, symbol or sound is recorded, individually or in combination, provided that such media and materials are intended or appropriate to prove facts of legal significance. The above definition refers to the original electronic document. With the method of digital technology, copies of documents are produced.According to article 443 of the ICCPR, a necessary condition for the probative value of all private documents is the position of the handwritten signature of their issuer. From the combination of article 443 of the Code of Civil Procedure with article 160 par. 1 of the Civil Code, it emerged as the scope of application of the old 444 of the Code of Civil Procedure only the drafting of testimony documents. The legal securing of the concept of the electronic document, in combination with the legislative securing of the validity of a kind of electronic signature to the handwritten one, extends the scope of article 444 of the Code of Civil Procedure to the disposal documents. Guided by the evolution of technology, we distinguish two categories of electronic signatures. The first category includes the electronic recording of personal data, which are read and identified with the help of words and letters or numbers. The second category includes the electronic recording of personal data, which are read and identified with the help of numerical data representing cryptographic codes. The second category is the electronic signature, which is based on the method of asymmetric cryptography, to which the law of the state of Utah, USA, makes a virgin reference, quoting its definition. The first common European framework regarding the recognition of the digital signature as equivalent to the personal signature, was established by Directive 1999/93 which was incorporated into the Greek legal order by Presidential Decree 150/2001. Article 3 of Presidential Decree 150/2001 recognizes as equivalent, both in terms of private and in terms of procedural law, with the handwritten, the advanced electronic signature or otherwise digital signature supported by a recognized certificate and created by a secure signature creation device. The European legislator, intending to ensure the reliable operation of the public key, introduces the concept of Certification Service Provider. Through the bilateral contractual relationship between the Certification Service Provider and the legal holder of the public key, the unique relationship of the public key with its owner (the issuer of the public key) is certified and one of the most important functions of the Certification Service Provider is confirmed, which in this way, guarantees the details of its owner and avoids any form of fraud on the part of a malicious third party.Due to the development of technology in the field of electronic communications security, it was deemed necessary to adopt Regulation 910/2014 which replaces the previous directive and has full direct effect in all Member States. Article 25 par. 2 of this regulation, without affecting the validity of advanced electronic signatures, assimilates handwritten and approved signatures. According to article 3 par. 12 of Regulation 910/2014, qualified electronic signature means the advanced electronic signature, exactly as provided in Presidential Decree 150/2001, but which contains an qualified digital certificate and is produced by an qualified device for creating a secure signature. The fulfillment of the above conditions, according to article 25 par. 3 of Regulation 910/2014, is equivalent to its full recognition as such in all states parties precisely because of the regulatory force of the Regulation. With the introduction of Regulation 910/2014, the Certification Service Provider is renamed a trust service provider (article 3 par. 19 Reg. 910/2014) and is understood as the natural or legal person that provides one or more trust services (art. 3 par. 16 Reg. 910/2014). Both Regulation 910/2014 and Directive 1999/93 accept the method of asymmetric cryptography for the creation of advanced and qualifed electronic signatures. Also, Regulation 910/2014 updates the security measures. The method of indirect proof is used to verify the authenticity of the electronic signature. More specifically, the acceptance of the lesson of common experience according to which the holder of the private key has every interest in handling the relevant material (private key) with due diligence, leads indirectly to the proof of its authenticity. This conclusion is drawn from the annexes of Presidential Decree 150/2001 and Regulation 910/2014. Access to the risk of alteration of an electronic document, which cannot be diagnosed if attempted by the parties themselves, even if the document bears the advanced or approved signature of its issuer, is achieved through a new service provided in Regulation 910/2014. This service ensures to the maximum extent the authenticity of the sent text and its subsequent modification even by the recipient himself. But the bilateral relationship between certification and trust "service" providers (qualified and unqualified) and natural or legal persons using their products and services also implies liability on their part in the event of non-compliance, obligations referred to both in Presidential Decree 150/2001 and in Regulation 910/2014. The liability of the above providers arises from defects that may occur during the provision of their products or services. If there is a defect in the hardware and personal software of the certification and trust service providers, then the provisions for consumer protection will apply if the recipient of their services is a consumer. Otherwise, the provisions of substantive law regarding the sale and contract of a project will apply. The provider of certification and trust services may also be liable under the provisions of article 6 par. 1 L. 2251/1994, as a producer of a defective product. The liability of certification and trust service providers for the services they provide, arises from the violation of the above conditions set by Presidential Decree 150/2001 and Regulation 910/2014 and specifically from the issuance of certificates undertaken as service providers. If the recipient of the certification and trust services is a consumer, the provisions of article 8 of Law 2251/1994 will be applied. Otherwise, the provisions for the project contract will apply. Trust service providers are also responsible under Regulation 910/2014. The proof of the illegal behavior of the above providers is evident from the insufficient observance of the diligence measures that the above Regulation represents in the provisions of articles 19 21, 24. As for their type of responsibility, depending on their capacity, it differs. The provisions of Article 13 of Regulation 910/2014 apply to the qualified and unqualified provider. Regarding the unqualified service provider - advanced electronic signature, his responsibility differs depending on whether the recipient of his services is a consumer, Article 8 of Law 2251/1994 applies or Article 13 of Regulation 910/2014 in any other case, The selection of a trust provider outside the European Union, by the candidate recipient of his products and services 8, implies the application of Regulation 593/2008 on contractual obligations under civil and commercial law as there is a conflict of laws. Also, the bilateral relationship between the trust service provider outside the European Union and the recipient of its services, is governed by Regulation 867/2007 on non-contractual obligations under civil and commercial law, in the event of damage, on the part of the provider, by legal act. Finally, Regulation 679/2016 for the protection of individuals against the processing of their personal data finds scope in the case of providers of certification services of Presidential Decree 150/2001 and trust of Regulation 910/2014. The personal data that certification and trust service providers receive from the recipients of their services and their electronic compliance leads to the establishment of rules for their diligent custody. These rules are mentioned in Regulation 679/2016. Initially, the violation of the diligence measures defined by the above Regulation for the protection of personal data of the recipients of the services of certification and trust service providers, entails the application of the administrative sanctions of article 83 of Regulation 679/2016. However, in the above Regulation there is a relevant provision for civil liability of the above providers as responsible for processing the personal data of their recipients (art. 82). In particular, the violation of the special custody measures imposed, has as a consequence the compensation of the recipients of their services.

Η παρούσα διδακτορική διατριβή θέτει ως ερευνητικό ζήτημα την εγκεκριμένη ηλεκτρονική υπογραφή ως μέσο διαπίστωσης της γνησιότητας και του αναλλοίωτου ενός ηλεκτρονικού εγγράφου και την ειδικότερη αστική ευθύνη των παρόχων των υπηρεσιών της βάσει του ΓΚΠΔ (GDPR). Εν πρώτοις, παρατίθεται η ιστορική αναδρομή της έννοιας των μηχανικών απεικονίσεων. Εν συνεχεία, ακολουθεί η νομική ανάλυση της έννοιας τους, όπως οριοθετήθηκε τις τελευταίες δεκαετίες. Το άρθρο 444 παρ. 1 περ. γ΄ ΚΠολΔ θεωρεί ως ιδιωτικά έγγραφα με πλήρη αποδεικτική δύναμη τις φωτογραφικές ή κινηματογραφικές αναπαραστάσεις, φωνοληψίες καθώς και κάθε άλλη μηχανική απεικόνιση. Στην έννοια των μηχανικών απεικονίσεων συμπεριλαμβάνεται κατόπιν ερμηνείας και το ηλεκτρονικό έγγραφο. Με την παράγραφο 1 του άρθρου 40 του Νόμου 3994/2011, προστίθεται στο άρθρο 444 ΚΠολΔ μία δεύτερη παράγραφος, με σκοπό να αρθεί οποιαδήποτε αμφιβολία σχετικά με τον ορισμό του ηλεκτρονικού εγγράφου. Σύμφωνα με το άρθρο 444 παρ. 2 ΚΠολΔ, «ως μηχανική απεικόνιση ορίζεται «κάθε μέσο που χρησιμοποιείται από υπολογιστή ή περιφερειακή μνήμη υπολογιστή, με ηλεκτρονικό, μαγνητικό ή άλλο τρόπο για εγγραφή, αποθήκευση, παραγωγή ή αναπαραγωγή στοιχείων, που δεν μπορούν να διαβαστούν άμεσα, όπως επίσης και κάθε μαγνητικό, ηλεκτρονικό ή άλλο υλικό στο οποίο εγγράφεται οποιαδήποτε πληροφορία, εικόνα, σύμβολο ή ήχος, αυτοτελώς ή σε συνδυασμό, εφόσον τα μέσα και τα υλικά αυτά προορίζονται ή είναι πρόσφορα να αποδείξουν γεγονότα που έχουν έννομη σημασία». Ο παραπάνω ορισμός αφορά το πρωτότυπο ηλεκτρονικό έγγραφο. Με 2 την μέθοδο της ψηφιακής τεχνολογίας παράγονται, όπως προαναφέρθηκε και αντίγραφα έγγραφα. Σύμφωνα με το άρθρο 443 ΚΠολΔ, απαραίτητη προϋπόθεση αποδεικτικής δύναμης όλων των ιδιωτικών εγγράφων είναι η θέση της ιδιόχειρης υπογραφής του εκδότη τους. Από τον συνδυασμό του άρθρου 443 ΚπολΔ με το άρθρο 160 παρ. 1 ΑΚ, προέκυπτε ως πεδίο εφαρμογής του παλαιού αρθρ. 444 ΚπολΔ μόνο η σύνταξη εγγράφων μαρτυρίας. Η νομική πλέον κατοχύρωση της έννοιας του ηλεκτρονικού εγγράφου, σε συνδυασμό με τη νομοθετική κατοχύρωση του ισόκυρου ενός είδους ηλεκτρονικής υπογραφής προς την ιδιόχειρη, διευρύνει το πεδίο εφαρμογής του αρθρ 444 ΚπολΔ και στα έγγραφα διαθέσεως. Με οδηγό την εξέλιξη της τεχνολογίας, διακρίνουμε δύο κατηγορίες ηλεκτρονικών υπογραφών. Στην πρώτη κατηγορία υπάγεται η ηλεκτρονική καταγραφή προσωπικών στοιχείων, τα οποία διαβάζονται και αναγνωρίζονται με τη βοήθεια λέξεων και γραμμάτων ή αριθμών. Στην δεύτερη κατηγορία υπάγεται η ηλεκτρονική καταγραφή προσωπικών στοιχείων, τα οποία διαβάζονται και αναγνωρίζονται με τη βοήθεια αριθμητικών δεδομένων που παριστούν κρυπτογραφικούς κώδικες. Στη δεύτερη κατηγορία υπάγεται η ηλεκτρονική υπογραφή η οποία βασίζεται στην μέθοδο της ασύμμετρης κρυπτογραφίας στην οποία και κάνει παρθενική αναφορά ο νόμος της πολιτείας της Utah των ΗΠΑ παραθέτοντας τον ορισμό της. Το πρώτο κοινό ευρωπαϊκό πλαίσιο σχετικά με την αναγνώριση της ψηφιακής υπογραφής ως ισόκυρης με την ιδιόχειρη, θεσπίστηκε με την Οδηγία 1999/93 η οποία και ενσωματώθηκε στην ελληνική έννομη τάξη με το Π.Δ 150/2001. Με το άρθρο 3 του ΠΔ 150/2001 αναγνωρίζεται ως ισότιμη, τόσο από άποψη ιδιωτικού όσο και από άποψη δικονομικού δικαίου με την ιδιόχειρη υπογραφή, η προηγμένη ηλεκτρονική υπογραφή ή άλλως ψηφιακή υπογραφή που υποστηρίζεται από αναγνωρισμένο πιστοποιητικό και δημιουργείται από ασφαλή διάταξη δημιουργίας υπογραφής . Ο ευρωπαίος νομοθέτης, σκοπεύοντας να εξασφαλίσει την αξιόπιστη λειτουργία του δημοσίου κλειδιού, εισάγει την έννοια του Παρόχου Υπηρεσιών Πιστοποίησης. Μέσω της διμερούς συμβατικής σχέσης μεταξύ του ΠΥΠ και του νόμιμου κατόχου του δημόσιου κλειδιού, πιστοποιείται η μοναδική σχέση του δημοσίου κλειδιού με τον ιδιοκτήτη του (τον εκδότη του δημοσίου κλειδιού) και επιβεβαιώνεται μια από τις σημαντικότερες λειτουργίες του ΠΥΠ, ο οποίος με αυτόν τρόπο, εγγυάται τα στοιχεία του κατόχου του και αποφεύγεται η οποιαδήποτε μορφή εξαπάτησης εκ μέρους κάποιου κακόβουλου τρίτου . Λόγω της εξέλιξης της τεχνολογίας στον τομέα ασφάλειας της ηλεκτρονικής επικοινωνίας, κρίθηκε αναγκαία η θέσπιση του Κανονισμού 910/2014 ο οποίος αντικαθιστά την προηγούμενη οδηγία και έχει πλήρες άμεσο αποτέλεσμα σ’ όλα τα κράτη μέλη . Το άρθρο 25 παρ. 2 του εν λόγω Κανονισμού χωρίς να επηρεάζει το κύρος των προηγμένων ηλεκτρονικών υπογραφών, εξομοιώνει με ιδιόχειρες και τις εγκεκριμένες υπογραφές. Σύμφωνα με άρθρο 3 παρ. 12 του Κανονισμού 910/2014, ως εγκεκριμένη ηλεκτρονική υπογραφή νοείται η προηγμένη ηλεκτρονική υπογραφή, όπως ακριβώς την προβλέπει το ΠΔ 150/2001, που περιέχει όμως ένα εγκεκριμένο ψηφιακό πιστοποιητικό και παράγεται από μια εγκεκριμένη ασφαλή διάταξη δημιουργίας υπογραφής. Η πλήρωση των παραπάνω προϋποθέσεων, σύμφωνα με το άρθρο 25 παρ. 3 του Κανονισμού 910/2014, ισοδυναμεί με την πλήρη αναγνώριση της ως τέτοια σε όλα τα κράτη μέρη ακριβώς λόγω της κανονιστικής δύναμης του Κανονισμού. Με την εισαγωγή του Κανονισμού 910/2014 ο ΠΥΠ μετονομάζεται σε πάροχο υπηρεσιών εμπιστοσύνης (άρθρο 3 παρ. 19 Καν. 910/2014) και νοείται ως το φυσικό ή νομικό πρόσωπο που παρέχει μία ή περισσότερες υπηρεσίες εμπιστοσύνης (άρθρ. 3 παρ.16 Καν. 910/2014). Τόσο ο Κανονισμός 910/2014 όσο και η Οδηγία 1999/93 αποδέχονται τη μέθοδο της ασύμμετρης κρυπτογραφίας για την δημιουργία της προηγμένης και εγκεκριμένης ηλεκτρονικής υπογραφής. Επίσης, ο Κανονισμός 910/2014 επικαιροποιεί τα μέτρα ασφαλείας. Για την διαπίστωση της γνησιότητας της ηλεκτρονικής υπογραφής χρησιμοποιείται η μέθοδος της έμμεσης απόδειξης. Αναλυτικότερα, η αποδοχή του διδάγματος κοινής πείρας σύμφωνα με το οποίο ο κάτοχος του ιδιωτικού κλειδιού έχει κάθε συμφέρον να χειρίζεται το σχετικό υλικό (ιδιωτικό κλειδί) με τη δέουσα επιμέλεια, οδηγεί έμμεσα στην απόδειξη της γνησιότητας της. Αυτό το συμπέρασμα συνάγεται από τα παραρτήματα του ΠΔ 150/2001 και του Κανονισμού 910/2014. Η προσπέλαση του κινδύνου αλλοίωσης ενός ηλεκτρονικού εγγράφου, η οποία δεν είναι δυνατόν να διαγνωσθεί εφόσον έχει επιχειρηθεί από τα ίδια τα συμβαλλόμενα μέρη, ακόμα και αν το συγκεκριμένο έγγραφο φέρει την προηγμένη ή εγκεκριμένη υπογραφή του εκδότη του, επιτυγχάνεται μέσω μιας νέας υπηρεσίας που προβλέπεται στον Κανονισμό 910/2014. Η συγκεκριμένη υπηρεσία διασφαλίζει σε μέγιστο βαθμό την αυθεντικότητα του αποστελλόμενου κειμένου και την μη μεταγενέστερη τροποποίηση του ακόμα και από τον ίδιο τον αποδέκτη του. Αλλά η διμερής σχέση μεταξύ των «παρόχων «υπηρεσιών» πιστοποίησης και εμπιστοσύνης (εγκεκριμένων και μη εγκεκριμένων) και των φυσικών ή νομικών προσώπων που κάνουν χρήση των προϊόντων και των υπηρεσιών τους, συνεπάγεται και ευθύνη από πλευράς τους, σε περίπτωση μη συμμόρφωσης τους προς τις υποχρεώσεις που αναφέρονται τόσο στο Π.Δ 150/2001 όσο και στον Κανονισμό 910/2014. Η ευθύνη των ως άνω παρόχων προκύπτει από τα ελαττώματα που μπορεί να παρουσιαστούν κατά τα την παροχή των προϊόντων ή των υπηρεσιών τους. Εάν προκύψει ελάττωμα σχετικό με το υλικό και το ατομικό λογισμικό των παρόχων υπηρεσιών πιστοποίησης και εμπιστοσύνης, τότε θα έχουν εφαρμογή οι διατάξεις για την προστασία του καταναλωτή εφόσον ο αποδέκτης των υπηρεσιών τους είναι καταναλωτής. Διαφορετικά, θα ισχύουν οι διατάξεις του ουσιαστικού δικαίου σχετικά με την πώληση και σύμβαση έργου. Ο πάροχος υπηρεσιών πιστοποίησης και εμπιστοσύνης δύναται να ευθύνεται και με τις διατάξεις του άρθρου 6 παρ. 1 Ν. 2251/1994, ως παραγωγός ελαττωματικού προϊόντος. Ανάλογα, και η ευθύνη των παρόχων υπηρεσιών πιστοποίησης και εμπιστοσύνης όσον αφορά τις υπηρεσίες που παρέχουν, η οποία συνάγεται από την παραβίαση των παραπάνω προϋποθέσεων που θέτει το ΠΔ 150/2001 και ο Κανονισμός 910/2014 και ειδικότερα από την έκδοση των πιστοποιητικών που αναλαμβάνουν ως φορείς παροχής υπηρεσιών. Εφόσον ο αποδέκτης των υπηρεσιών των παρόχων υπηρεσιών πιστοποίησης και εμπιστοσύνης είναι καταναλωτής θα εφαρμοστούν οι διατάξεις του άρθρου 8 Ν. 2251/1994. Σε αντίθετη περίπτωση, θα εφαρμοστούν οι διατάξεις για τη σύμβαση έργου. Οι πάροχοι υπηρεσιών εμπιστοσύνης, φέρουν ευθύνη και βάσει του Κανονισμού 910/2014. Η επίδειξη της παρανόμου συμπεριφοράς των ως άνω παρόχων, γίνεται εμφανής από την ελλιπή τήρηση των μέτρων επιμέλειας που πρεσβεύει ο ανωτέρω Κανονισμός στις διατάξεις των άρθρων 19 21, 24. Σχετικά με το είδος ευθύνης τους, ανάλογα με την ιδιότητα που φέρουν διαφέρει. Για τον εγκεκριμένο και μη εγκεκριμένο πάροχο εφαρμόζονται οι διατάξεις του άρθρου 13 του Κανονισμού 910/2014. Όσον αφορά τον μη εγκεκριμένο πάροχο υπηρεσιών- προηγμένης ηλεκτρονικής υπογραφής, η ευθύνη του διαφοροποιείται αναλόγως με το εάν ο αποδέκτης των υπηρεσιών του είναι καταναλωτής, δηλαδή το άρθρο 8 του Ν. 2251/1994 εφαρμόζεται και εν προκειμένω ή το άρθρο 13 του Κανονισμού 910/2014 σε κάθε άλλη περίπτωση, Η επιλογή ενός παρόχου εμπιστοσύνης εκτός Ευρωπαϊκής Ένωσης, εκ μέρους του υποψήφιου αποδέκτη των προϊόντων και υπηρεσιών 8 του, συνεπάγεται στην εφαρμογή του Κανονισμού 593/2008 για τις συμβατικές ενοχές αστικού και εμπορικού δικαίου καθώς διαπιστώνεται σύγκρουση νόμων. Επίσης, η διμερής σχέση μεταξύ των παρόχου υπηρεσιών εμπιστοσύνης εκτός Ευρωπαϊκής Ένωσης και του αποδέκτη των υπηρεσιών του, διέπεται και από τον Κανονισμό 867/2007 για τις εξωσυμβατικές ενοχές αστικού και εμπορικού δικαίου, εάν επέλθει ζημία, από πλευράς του παρόχου, από αδικοπραξία. Τέλος, ο Κανονισμός 679/2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα τους βρίσκει πεδίο εφαρμογής και στην περίπτωση των παρόχων υπηρεσιών πιστοποίησης του ΠΔ 150/2001 και εμπιστοσύνης του Κανονισμού 910/2014. Τα προσωπικά δεδομένα που λαμβάνουν οι πάροχοι υπηρεσιών πιστοποίησης και εμπιστοσύνης από τους αποδέκτες των υπηρεσιών τους και η ηλεκτρονική τήρηση τους οδηγεί στην θέσπιση κανόνων επιμελούς φύλαξης τους. Οι εν λόγω κανόνες μνημονεύονται στον Κανονισμό 679/2016. Αρχικά, η παραβίαση των μέτρων επιμέλειας που ορίζει ο ως άνω Κανονισμός για την προστασία των προσωπικών δεδομένων των αποδεκτών των υπηρεσιών των παρόχων υπηρεσιών πιστοποίησης και εμπιστοσύνης, επισύρει την εφαρμογή των διοικητικών κυρώσεων του άρθρου 83 του Κανονισμού 679/2016. Όμως, στον ως άνω Κανονισμό υπάρχει σχετική πρόβλεψη και για αστική ευθύνη των ως άνω παρόχων ως υπευθύνων επεξεργασίας των προσωπικών δεδομένων των αποδεκτών τους (αρθρ. 82). Ειδικότερα, η παραβίαση των ειδικών μέτρων επιμέλειας που τίθενται, έχει ως συνέπεια την αποζημίωση των αποδεκτών των υπηρεσιών τους.