Baza je ažurirana 22.02.2017. zaključno sa NN 15/17

 Ovaj zakon u obliku e-knjige sadrži

1. Zakon o elektroničkom potpisu – pročišćeni tekst zakona

2. Poveznice na podzakonske dokumente i njihove izmjene:

Pravilnik o tehničkim pravilima i uvjetima povezivanja sustava certificiranja elektroničkih potpisa

Uredba o djelokrugu, sadržaju i nositelju poslova certificiranja elektroničkih potpisa za tijela državne uprave

Odluka o određivanju Hrvatske akreditacijske agencija kao nacionalnog tijela nadležnog za obavljanje funkcija akreditacijskog tijela

Popis normizacijskih dokumenata u području primjene Zakona o elektroničkom potpisu i Pravilnika o izradi elektroničkog potpisa, uporabi sredstva za izradu elektroničkog potpisa, općim i posebnim uvjetima poslovanja za davatelje usluga izdavanja vremenskog žiga i certifikata u poslovanju davatelja usluga certificiranja u Republici Hrvatskoj

Pravilnik o evidenciji davatelja usluga certificiranja u Republici Hrvatskoj

Pravilnik o izradi elektroničkog potpisa, uporabi sredstva za izradu elektroničkog potpisa, općim i posebnim uvjetima poslovanja za davatelje usluga izdavanja vremenskog žiga i certifikata

Popis normizacijskih dokumenata u području primjene Zakona o elektroničkom potpisu i Pravilnika o izradi elektroničkog potpisa, uporabi sredstva za izradu elektroničkog potpisa, općim i posebnim uvjetima poslovanja za davatelje usluga izdavanja vremenskog žiga i certifikata u poslovanju davatelja usluga certificiranja u Republici Hrvatskoj

Popis normizacijskih dokumenata u području primjene Zakona o elektroničkom potpisu i Pravilnika o izradi elektroničkog potpisa, uporabi sredstava za izradu elektroničkog potpisa, općim i posebnim uvjetima poslovanja za davatelje usluga izdavanja vremenskog žiga i certifikata u poslovanju davatelja usluga certificiranja u Republici Hrvatskoj

Pravilnik o službenoj iskaznici inspektora za nadzor davatelja usluga certificiranja

________________________________

 


 

ZAKON O ELEKTRONIČKOM POTPISU

 

 

I. OPĆE ODREDBE

Članak 1.

Ovim se Zakonom uređuje pravo fizičkih i pravnih osoba na uporabu elektroničkog potpisa u upravnim, sudskim i drugim postupcima, poslovnim i drugim radnjama, te prava, obveze i odgovornosti fizičkih i pravnih osoba u svezi s davanjem usluga certificiranja elektroničkog potpisa, ako posebnim zakonom nije drukčije određeno.

Značenje pojedinih izraza

Članak 2.

Pojedini izrazi koji se rabe u ovom Zakonu imaju sljedeće znače nje:

1. Elektronički potpis – znači skup podataka u elektroničkom obliku koji su pridruženi ili su logički povezani s drugim podacima u elektroničkom obliku i koji služe za identifikaciju potpisnika i vjerodostojnosti potpisanoga elektroničkog doku menta,

2. Napredan elektronički potpis – znači elektronički potpis koji pouzdano jamči identitet potpisnika i koji udovoljava zahtjevima sadržanim u članku 4. ovoga Zakona,

3. Vremenski žig – je elektronički potpisana potvrda izdavatelja koja potvrđuje sadržaj podataka na koje se odnosi u navedenom vremenu, a napredan vremenski žig je elektronički potpisana potvrda ovjerovitelja koja ispunjava uvjete za napredan elektronički potpis,

4. Potpisnik – znači osobu koja posjeduje sredstvo za izradu elektroničkog potpisa kojim se potpisuje, a koja djeluje u svoje ime ili u ime fizičke ili pravne osobe koju predstavlja,

5. Elektronički zapis – je cjelovit skup podataka koji su elektronički generirani, poslati, primljeni ili sačuvani na elektroničkom, magnetnom, optičkom ili drugom mediju. Sadržaj elektroničkog zapisa uključuje sve oblike pisanog i drugog teksta, podatke, slike i crteže, karte, zvuk, glazbu, govor, računalne baze podataka,

6. Podaci za izradu elektroničkog potpisa – znače jedinstvene podatke, poput kodova ili privatnih kriptografskih ključeva, koje potpisnik koristi za izradu elektroničkog potpisa,

7. Sredstvo za izradu elektroničkog potpisa – znači odgovarajuću računalnu opremu ili računalni program koji potpisnik koristi pri izradi elektroničkog potpisa,

8. Sredstvo za izradu naprednoga elektroničkog potpisa – znači sredstvo za izradu potpisa koje udovoljava zahtjevima iz članka 9. ovoga Zakona,

9. Podaci za verificira nje elektroničkog potpisa – znače podatke poput kodova ili javnih kriptografskih ključeva koji se koriste u svrhu verificiranja (ovjere) elektroničkog potpisa,

10. Sredstvo za verificira nje potpisa – znači odgovarajuću računalnu opremu ili računalni program koji se koristi za primjenu podataka za verificira nje potpisa,

11. Certifikat – znači potvrdu u elektroničkom obliku koja povezuje podatke za verificira nje elektroničkog potpisa s nekom osobom i potvrđuje identitet te osobe

12. Kvalificirani certifikat – znači certifikat koji udovoljava zahtjevima iz članka 11. ovoga Zakona i koje g izdaje davatelj usluga izdavanja kvalificiranog certifikata koji ispunjava uvjete propisane ovim Zakonom,

13. Davatelj usluga certificiranja – znači pravnu ili fizičku osobu koja izdaje certifikate ili daje druge usluge povezane s elektroničkim potpisima,

14. Sredstvo za elektronički potpis – znači računalnu opremu ili računalni program ili njihove relevantne sastojke koji su namijenjeni za primjenu od strane davatelja usluga certificiranja za davanje usluga u vezi s elektroničkim potpisima ili su namijenjeni za primjenu kod izrade ili verificiranja elektroničkih potpisa.

 

II. ELEKTRONIČKI POTPIS I NAPREDAN ELEKTRONIČKI POTPIS

Članak 3.

Elektronički potpis u smislu ovoga Zakona je skup podataka u elektroničkom obliku koji služe za identifikaciju potpisnika i potvrdu vjerodostojnosti potpisanoga elektroničkog zapisa.

Članak 4.

Napredan elektronički potpis je u smislu ovoga Zakona, elektronički potpis koji:

1. je povezan isključivo s potpisnikom,

2. nedvojbeno identificira potpisnika,

3. nastaje korište njem sredstava kojima potpisnik može samostalno upravljati i koja su isključivo pod nadzorom potpisnika,

4. sadržava izravnu povezanost s podacima na koje se odnosi i to na način koji nedvojbeno omogućava uvid u bilo koju izmjenu izvornih podataka.

Članak 5.

Napredan elektronički potpis ima istu pravnu snagu i zamjenjuje vlastoručni potpis, odnosno vlastoručni potpis i otisak pečata na elektroničkom dokumentu ako je izrađen u skladu s odredbama ovoga Zakona te ako su ispunjeni ostali uvjeti propisani ovim Zakonom i propisima koji su doneseni na temelju ovoga Zakona.

Članak 6.

Elektronički potpis smatra se pravno valjanim i dopušteno ga je koristi u sudskim postupcima ako udovoljava uvjetima propisanim ovim Zakonom.
Nije dopušteno osporavanje elektroničkog potpisa kao dokaza u sudskim postupcima isključivo na osnovu toga što:
– je u elektroničkom obliku, ili
– nije zasnovan na kvalificiranom certifikatu, ili
– nije zasnovan na kvalificiranom certifikatu koji izdaje akreditirani davatelj usluga certificiranja, ili
– nije izrađen uporabom sredstva za izradu naprednoga elektroničkog potpisa.

Članak 7.

Brisan.

Ministar gospodarstva propisat će pravilnikom koje se mjere zaštite elektroničkog potpisa i naprednoga elektroničkog potpisa te mjere provjere identiteta potpisnika moraju poduzeti prema članku6. ovoga Zakona.

Članak 8.

Elektronički potpis izrađuje se sredstvima za izradu elektroničkog potpisa.

Napredan elektronički potpis izrađuje se sredstvima za izradu naprednoga elektroničkog potpisa.

Članak 9.

Sredstvo za izradu naprednoga elektroničkog potpisa mora osigurati:

1. da se podaci za izradu naprednoga elektroničkog potpisa mogu pojaviti samo jednom te da je ostvarena njihova sigurnost,

2. da se podaci za izradu naprednoga elektroničkog potpisa ne mogu ponoviti te da je potpis zaštićen od krivotvore nja pri korište nju postojeće raspoložive tehnologije,

3. da podatke za izradu naprednoga elektroničkog potpisa potpisnik može pouzdano zaštititi protiv korište nja od strane drugih.

Sredstvo za izradu naprednoga elektroničkog potpisa ne smije prilikom izrade naprednoga elektroničkog potpisa promijeniti podatke koji se potpisuju ili onemogućiti potpisniku uvid u te podatke prije procesa izrade naprednoga elektroničkog potpisa.

Uvjeti iz stavka 1. i 2. ovoga članka primjenjuju se na odgovarajući način na sredstvo za izradu elektroničkog potpisa.

Članak 9.a

Davatelji usluga certificiranja moraju primatelju elektroničke poruke potpisane elektroničkim potpisom ili drugoj ovlaštenoj osobi omogućiti provjeru elektroničkog potpisa tako:
1. da podaci koji se koriste za provjeru potpisa odgovaraju podacima prikazanima osobi koja obavlja provjeru,
2. da je potpis pouzdano provjeren, a rezultat te provjere na ispravan je način prikazan osobi koja obavlja provjeru,
3. da osoba koja obavlja provjeru može, ukoliko je to potrebno, pouzdano utvrditi sadržaj potpisanih podataka,
4. da se izvornost i valjanost certifikata koja se zahtijeva u vrijeme provjere potpisa može pouzdano provjeriti,
5. da su rezultat provjere i identitet potpisnika prikazani na ispravan način,
6. da je uporaba pseudonima jasno naznačena,
7. da postoji mogućnost otkrivanja svih promjena koje na bilo koji način utječu na sigurnost elektroničkog potpisa.

 

III. CERTIFIKATI I DAVANJE USLUGA CERTIFICIRANJA

Članak 10.

Certifikat je, u smislu ovoga Zakona, elektronička potvrda kojom se potvrđuje identitet potpisnika u postupcima razmjene elektroničkih zapisa.

Članak 11.

Kvalificirani certifikat je, u smislu ovoga Zakona, elektronička potvrda kojom davatelj usluga izdavanja kvalificiranih certifikata potvrđuje napredni elektronički potpis.

Kvalificirani certifikat iz stavka 1. ovoga članka mora sadržavati:

1. oznaku o tome da se radi o kvalificiranom certifikatu,

2. identifikacijski skup podataka o osobi koja izdaje certifikat (osobno ime; ime oca ili majke; nadimak, ako ga osoba ima; datum rođenja; prebivalište, odnosno boravište; naziv pravne osobe i sjedište, ako certifikat izdaje pravna osoba),

3. identifikacijski skup podataka o potpisniku (osobno ime, ime oca ili majke, nadimak, ako ga osoba ima, datum rođenja, prebivalište, odnosno boravište).

4. podatke za verificira nje elektroničkog potpisa koji odgovaraju podacima za izradu elektroničkog potpisa koji su pod kontrolom potpisnika,

5. podatke o početku i kraju važenja certifikata,

6. identifikacijsku oznaku izdanog certifikata (brojčanu ili drugu oznaku, te datum izdavanja),

7. napredni elektronički potpis davatelja usluge izdavanja kvalificiranih certifikata,

8. ograničenja vezana za uporabu certifikata, ako ih ima,

9. ograničenja u odnosu na važnost pravnih radnji za koje se daje certifikat, ako ih ima.

Članak 12.

Na vremenski žig i s njim povezane usluge na odgovarajući način primjenjuju se odredbe ovoga Zakona koje reguliraju certifikat, a za napredan vremenski žig i s njim povezane usluge odredbe ovoga Zakona koje se odnose na kvalificirani certifikat.

Članak 13.

Davatelji usluga certificiranja ne trebaju posebnu dozvolu za obavlja nje usluga.

Članak 14.

Brisan.

Članak 15.

Davatelj usluge certificiranja mora prijaviti Ministarstvu gospodarstva, rada i poduzetništva (u daljnjem tekstu: Ministarstvo) početak obavljanja usluga certificiranja najmanje osam dana prije početka rada.

Uz prijavu iz stavka 1. ovoga članka ili u slučajevima promjena u obavljanju usluge, davatelj usluge certificiranja prilaže svoje interne akte o načinu i postupcima pružanja usluga certificiranja te o tehničkoj infrastrukturi.

Davatelji usluga certificiranja koji obavljaju usluge izdavanja kvalificiranih certifikata moraju u svojim internim pravilima uzeti u obzir sigurnosne zahtjeve određene ovim Zakonom.

Članak 16.

Ministarstvo je nadležno za vođenje evidencije o davateljima usluga certificiranja.

Evidencija davatelja usluga certificiranja je javna i vodi se u elektroničkom obliku.

Ministarstvo upisuje davatelje usluga certificiranja u Evidenciju davatelja usluga certificiranja u Republici Hrvatskoj (u daljnjem tekstu: evidencija), odmah nakon što davatelj usluge certificiranja podnese prijavu kojom obavještava Ministarstvo o početku obavljanja usluga.

Upis u evidenciju ne podliježe vođe nju upravnog postupka.

Ministar gospodarstva, rada i poduzetništva (u daljnjem tekstu: ministar) propisat će pravilnikom sadržaj evidencije, način vođenja evidencije.

Članak 17.

Davatelj usluga izdavanja kvalificiranih certifikata mora ispunjavati sljedeće uvjete:

1. dokazanu sposobnost i pouzdanost za sigurnu provedbu usluge certificiranja,

2. osigurane uvjete djelovanja sigurnog i ažurnog registra potpisnika te provedbu sigurnog i trenutačnog prekida, odnosno opoziva usluge certificiranja na zahtjev potpisnika,

3. osigurano točno utvrđivanje datuma i vremena (sata i minute) izdavanja ili opoziva certifikata,

4. osiguranu provjeru, na odgovarajući način i u skladu s propisima, identiteta i, ako je potrebno, bilo koja dodatna obilježja osobe za koju se izdaje certifikat,

5. zaposleno osoblje specijalističkog znanja i iskustva potrebnog za pruža nje usluga certificiranja, posebice sa sposobnostima na upravljačkoj razini, stručnosti u primjeni tehnologija elektroničkog potpisa i odgovarajućih sigurnosnih procedura, te osiguranu primjenu odgovarajućih upravnih postupaka,

6. pouzdane sustave i proizvode koji su zaštićeni od preinaka i osiguravaju tehničku i kriptografsku sigurnost procesa,

7. pouzdane mjere protiv krivotvorenja, te u slučajevima u kojima generira podatke elektroničkog potpisa, zaštićen i povjerljiv proces generiranja takovih podataka,

8. osiguranu zadovoljavajuću razinu financijskih resursa kako bi mogli djelovati u skladu sa zahtjevima utvrđenima ovim Zakonom,

9. osiguranu pohranu svih relevantnih informacija koje se odnose na kvalificirani certifikat tijekom odgovarajućega vremenskog razdoblja, posebice u svrhu pružanja dokaza o certifikatu za potrebe sudskih postupaka,

10. sigurnosni sustav koji onemogućuje kopiranje podataka za izradu potpisa za osobe za koje se pruža usluga certificiranja,

11. prije sklapanja ugovornog odnosa s osobom koja traži uslugu certificiranja za svoj elektronički potpis, obavijestiti tu osobu u pisanom obliku o preciznim uvjetima koji se odnose na uporabu certifikata, uključujući ograničenja uporabe certifikata, o postojanju dragovoljnih programa ovlašćivanja i postupaka u slučaju prigovora i žalbi te kod rješavanja međusobnih sporova. Na zahtjev trećih osoba koje vrše uvid u odnosni certifikat odgovarajući dijelovi ovih podataka moraju se staviti na uvid,

12. pouzdani sustav pohranjivanja certifikata u obliku koji omogućuje provjeru kako bi:

a. unos i promjene radile samo ovlaštene osobe,

b. izvornost podataka bila podobna za provjeru,

c. certifikat bio javno dostupan na uvid u slučajevima kad je potpisnik odobrio,

d. bilo koja tehnička promjena koja bi mogla narušiti sigurnosne zahtjeve bila vidljiva davatelju usluge certificiranja.

Članak 18.

Davatelj usluga izdavanja kvalificiranih certifikata dužan je osigurati rizik od odgovornosti za štete koje nastanu obavljanjem usluga certificiranja (obvezno osiguranje), a posebno:

1. u svezi s točnošću svih podataka sadržanih u kvalificiranom certifikatu u vrijeme izdavanja tog certifikat te u svezi s činjenicom da certifikat sadrži sve detalje propisane za kvalificiran certifikat,

2. kao osiguranje da je, u vrijeme izdavanja certifikata, potpisnik identificiran u kvalificiranom certifikatu posjedovao podatke za izradu potpisa koji odgovaraju podacima za provjeru potpisa koji su navedeni ili identificirani u certifikatu,

3. kao osiguranje da se podaci za izradu potpisa i podaci za provjeru potpisa mogu rabiti na sličan način u slučajevima u kojima davatelj usluga certificiranja pohranjuje i izdaje oboje, osim ako davatelj usluga certificiranja dokaže kako je djelovao s dužnom pažnjom.

Davatelj usluga izdavanja kvalificiranih certifikata odgovara za štetu nastalu uporabom certifikata bilo kojem tijelu, odnosno pravnoj ili fizičkoj osobi zbog toga što je propustio opozvati taj certifikat, osim ukoliko davatelj usluga certificiranja dokaže kako je djelovao s dužnom pažnjom.

Davatelj usluga certificiranja može u kvalificiranom certifikatu naznačiti ograničenja uporabe certifikata pod uvjetom da su ograničenja vidljiva i trećim stranama.

Davatelj usluga certificiranja ne odgovara za štetu prouzrokovanu uporabom kvalificiranog certifikata koji prekoračuje ograničenja certifikata iz stavka 3. ovoga članka.

Davatelj usluga certificiranja može u kvalificiranom certifikatu naznačiti granicu vrijednosti transakcija za koje se certifikat može koristiti pod uvjetom da je to ograničenje vidljivo i trećim stranama. Davatelj usluga certificiranja ne odgovora za štetu prouzrokovanu prekoračenjem ovoga maksimalnog ograničenja.

Najniži iznos osiguranja iz stavka 1. ovoga članka pravilnikom utvrđuje ministar.

Članak 19.

Brisan.

Članak 20.

Usluge certificiranja može obavljati i tijelo državne uprave, ako ispunjava sve uvjete propisane ovim Zakonom i propisima donesenim na temelju ovoga Zakona.

Djelokrug, sadržaj i nositelji poslova certificiranja u i za tijela državne uprave utvrđuju se uredbom Vlade Republike Hrvatske.

Članak 21.

Brisan.

Članak 22.

Brisan.

 

IV. PRAVA, OBVEZE I ODGOVORNOSTI POTPISNIKA I DAVATELJA USLUGA CERTIFICIRANJA

Članak 23.

Potpisnici svojevoljno određuju davatelja usluga certificiranja na temelju ugovora s odabranim davateljima usluga certificiranja.

Potpisnik može koristiti usluge certificiranja od jednog i više davatelja usluga certificiranja.

Potpisnici koji to žele, mogu koristiti usluge certificiranja od davatelja usluga u inozemstvu.

Potpisnici preuzimaju usluge certificiranja na temelju ugovora s odabranim davateljima usluga certificiranja.

Članak 24.

Kvalificirani certifikat može se izdati svakoj osobi na njen zahtjev te na osnovi nesumnjivo utvrđenog identiteta i ostalih podrobnijih podataka o osobi za koju se izdaje kvalificirani certifikat.

Članak 25.

Svaki potpisnik dužan je poduzeti sve potrebne organizacijske i tehničke mjere zaštite od gubitaka i šteta koje može uzrokovati drugim potpisnicima, davateljima usluga certificiranja ili trećim osobama.

Članak 26.

Potpisnik je dužan pažljivo koristiti i čuvati sredstva i podatke za izradu elektroničkog potpisa, koristiti sredstva i podatke za izradu elektroničkog potpisa u skladu s odredbama ovoga zakona, zaštititi i čuvati sredstva i podatke za izradu elektroničkog potpisa od neovlaštenog pristupa i uporabe.

Članak 27.

Potpisnik je dužan dostaviti davatelju usluga certificiranja sve potrebne podatke i informacije o promjenama koje utječu ili mogu utjecati na točnost elektroničkog potpisa u roku od dva dana od nastalih promjena.

Potpisnik je dužan trenutno zatražiti opoziv svog certifikata u svim slučajevima gubitka ili oštećenja sredstava ili podataka za izradu svoga elektroničkog potpisa.

Članak 28.

Potpisnik odgovara za nepravilnosti koje su nastale zbog neispunjavanja obveza utvrđenih odredbama članka 25., 26. i 27. ovoga Zakona.

Potpisnik može iznimno biti oslobođen odgovornosti u slučajevima kada može dokazati da oštećena osoba nije poduzela ili je pogrešno poduzela rad nje vezane za provjeru elektroničkog potpisa.

Članak 29.

Davatelj usluga certificira nja ima obvezu:

1. osigurati da svaki kvalificirani certifikat sadrži sve potrebne podatke sukladno članku 11. ovoga Zakona,

2. provesti potpunu provjeru identiteta potpisnika za koje ga provodi usluge certificiranja,

3. osigurati točnost i cjelovitost podataka koje unosi u evidenciju izdanih certifikata,

4. u svaki certifikat unijeti osnovne podatke o sebi,

5. omogućiti svakoj zainteresiranoj osobi uvid u identifikacijske podatke davatelja usluga certificiranja i uvid u dozvolu za izdavanje kvalificiranih certifikata,

6. voditi ažurno točnu i sigurnosnim mjerama zaštićenu evidenciju certifikata koja mora biti javno dostupna,

7. voditi točnu i sigurnosnim mjerama zaštićenu evidenciju nevažećih certifikata,

8. osigurati vidljiv podatak o točnom datumu i vremenu (sat i minuta) izdavanja odnosno opoziva certifikata u evidenciji izdanih certifikata,

9. čuvati sve podatke i dokumentaciju o izdanim certifikatima najma nje 10 godina pri čemu podaci i prateća dokumentacija mogu biti i u elektroničkom obliku,

10. primjenjivati odredbe zakona i drugih propisa kojima je uređena zaštita osobnih podataka.

Članak 30.

Davatelj usluga certificiranja dužan je prekinuti uslugu certificiranja, odnosno izvršiti opoziv certifikata, onim potpisnicima:

1. koji su to izričito zatražili,

2. za koje je utvrđena netočnost ili nepotpunost podataka u evidenciji certifikata,

3. za koje je primljena službena obavijest o smrti,

4. za koje je primljena službena obavijest o gubitku poslovne sposobnosti.

Davatelj usluga certificiranja dužan je ažurno voditi evidenciju svih opozvanih certifikata.

Davatelj usluga certificiranja dužan je obavijestiti potpisnika o opozivu certifikata u roku od 24 sata od primljene obavijesti odnosno nastanka okolnosti zbog koje se certifikat opoziva.

Članak 31.

Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora čuvati svu dokumentaciju o izdanim i opozvanim certifikatima kao sredstvo dokazivanja i verifikacije u sudskim, upravnim i drugim postupcima, u roku od najma nje 10 godina od njihova izdavanja.

Članak 32.

Davatelj usluga certificiranja je dužan:

1. primijeniti organizacijske i tehničke mjere zaštite certifikata i podataka vezanih za potpisnike,

2. primijeniti sigurnosne sustave za pristup evidenciji certifikata i opozvanih certifikata koji će osigurati pristup samo ovlaštenim osobama, koji će moći osigurati provjeru točnosti prijenosa podataka i koji će moći osigurati pravodobni uvid u svaku moguću grešku tehničkih sredstava i opreme,

3. upoznati potpisnika sa svim tehničkim zahtjevima i organizacijskim postupcima  potrebnim za usluge certificira nja.

Mjere i postupke iz stavka 1. ovoga članka utvrđuje pravilnikom ministar gospodarstva.

Članak 33.

Davatelj usluga certificiranja dužan je o mogućem prestanku obavljanja usluga certificiranja obavijestiti svakog korisnika usluge i Ministarstvo najmanje tri mjeseca prije isteka ugovorom povjerenih mu usluga certificiranja.

Davatelj usluge certificiranja je dužan osigurati kod drugog davatelja usluga certificiranja nastavak obavljanja usluga certificiranja za potpisnike kojima je izdao certifikate, a ukoliko za to nema mogućnosti, dužan je opozvati sve izdane certifikate i o tome odmah obavijestiti Ministarstvo.

Davatelj usluga certificiranja koji prekida s obavlja njem usluga certificiranja dužan je dostaviti svu dokumentaciju u svezi s obavljenim uslugama certificiranja drugom davatelju usluga na koje ga prenosi obveze s osnove obavljanja usluga certificiranja, odnosno Ministarstvu ako nema drugog davatelja usluga.

Ministarstvo mora odmah osigurati izvrše nje opoziva svih certifikata koje je izdao davatelj usluga koji je iz bilo kojih razloga prekinuo obavlja­nje certificiranja, a nije osigurao nastavak obavljanja kod drugog davatelja usluga certificiranja i nije opozvao izdane certifikate.

Članak 34.

Davatelj usluga certificiranja mora omogućiti povezanost svoje evidencije izdanih i opozvanih certifikata s drugim davateljima usluga certificiranja uz primjenu raspoložive informacijske tehnologije i uz uporabu tehničkih i programskih sredstava čije je djelovanje u skladu s važećim međunarodnim normama.

Dobrovoljna akreditacija
Članak 34.a

Davatelji usluga certificiranja koji dokažu da ispunjavaju sve uvjete propisane ovim Zakonom mogu zahtijevati da ih akreditacijsko tijelo upiše u Registar akreditiranih davatelja usluga certificiranja (u daljnjem tekstu: Registar).

U Registar se na njihov zahtjev upisuju i strani davatelji usluga certificiranja ako ispunjavaju uvjete propisane ovim Zakonom za valjanost stranih certifikata u Republici Hrvatskoj.

Davatelji usluga certificiranja koji su upisani u Registar (u daljnjem tekstu: akreditirani davatelji) mogu poslovati s naznakom svoje akreditiranosti.

Davatelji usluga certificiranja koji su upisani u Registar mogu tu činjenicu naznačiti u izdanim certifikatima.

Članak 34.b

Akreditacijsko tijelo vodi javni elektronički registar dobrovoljno akreditiranih davatelja.

Registar ili izvod iz Registra potpisuje akreditacijsko tijelo svojim naprednim elektroničkim potpisom. Podaci za provjeru kvalificiranog certifikata akreditacijskog tijela objavljuju se na web-stranicama zajedno s Registrom.

Članak 34.c

Akreditacijsko tijelo provodi nadzor i mjere s obzirom na akreditirane davatelje.

Akreditacijsko tijelo:

1. izdaje opće preporuke za rad davatelja usluga certificiranja te preporuke i standarde za rad akreditiranih davatelja u skladu sa Zakonom i na temelju njega donesenim podzakonskim propisima,

2. nadzire provođenje zakonskih i podzakonskih propisa u internim pravilima akreditiranih ovjerovitelja,

3. provjerava ispunjava li davatelj usluga certificiranja cijelo vrijeme obavljanja djelatnosti uvjete propisane ovim Zakonom i na temelju njega donesenih podzakonskih propisa te svojih internih pravila,

4. nadzire uporabu odgovarajućih postupaka i infrastrukture pri akreditiranju davatelja usluga certificiranja,

5. nadzire zakonitost izdavanja, pohranjivanja i opoziva certifikata akreditiranih davatelja,

6. nadzire zakonitost obavljanja drugih usluga akreditiranih davatelja.

Akreditacijski tijelo može preporučiti:

1. promjenu internih pravila akreditiranog davatelja,

2. akreditiranom davatelju da prestane s daljnjom uporabom neprimjerenih postupaka i infrastrukture.

Ako davatelj usluga certificiranja postupa protivno preporukama iz rješenja akreditacijskog tijela, akreditacijsko tijelo briše ga iz Registra.

Protiv rješenja iz stavka 4. ovoga članka nezadovoljna strana može podnijeti žalbu Ministarstvu u roku od 15 dana od dana primitka rješenja.

Rješenje o žalbi ministar je dužan donijeti u roku od trideset dana nakon primitka žalbe.

Protiv rješenja iz stavka 6. ovoga članka nezadovoljna stranka može pokrenuti upravni spor.

Članak 34.d

Za obavljanje zadaća akreditacijskog tijela Vlada Republike Hrvatske, na prijedlog ministra, određuje nacionalno nadležno tijelo za obavljanje funkcija akreditacijskog tijela.

Tijelo iz stavka 1. ovoga članka ne smije biti davatelj usluga certificiranja.

Valjanost stranih certifikata

Članak 35.

Kvalificirani certifikati davatelja usluga certificiranja sa sjedištem u Europskoj uniji jednako su valjani kao i kvalificirani certifikati izdani u Republici Hrvatskoj.

Kvalificirani certifikati davatelja usluga certificiranja sa sjedištem u zemljama izvan Europske unije jednako su valjani kao i kvalificirani certifikati izdani u Republici Hrvatskoj:

1. ako davatelj usluga certificiranja ispunjava uvjete za izdavanje kvalificiranih certifikata iz ovoga Zakona te je dobrovoljno akreditiran u Republici Hrvatskoj ili jednoj od zemalja članica Europske unije,

2. ako neki domaći davatelj usluga certificiranja koji ispunjava uvjete za izdavanje kvalificiranih certifikata iz ovoga Zakona jamči za takve certifikate jednako kao da su njegovi,

3. ako tako odredi bilateralni ili multilateralni sporazum između Republike Hrvatske i drugih zemalja ili međunarodnih organizacija,

4. ako tako odredi bilateralni ili multilateralni sporazum između Europske unije i trećih zemalja ili međunarodnih organizacija.

Certifikati davatelja usluga certificiranja sa sjedištem u Europskoj uniji, koje prema ovom Zakonu nije moguće odrediti kao kvalificirane, imaju istu pravnu snagu kao i certifikati izdani u Republici Hrvatskoj u skladu s odredbama ovoga Zakona

 

V. NADZOR

Članak 36.

Inspekcijski nadzor nad radom davatelja usluga certificiranja provode nadležni inspektori Ministarstva gospodarstva i Ministarstva financija prema odredbama posebnog zakona.

Nadzor nad radom davatelja usluga certificiranja u području prikupljanja, uporabe i zaštite osobnih podataka potpisnika mogu provoditi i državna te druga tijela određena zakonom i drugim propisima koji uređuju zaštitu osobnih podataka.

Članak 37.

U okviru inspekcijskog nadzora ovlašteno tijelo koje vrši nadzor davatelja usluga certificiranja:

– utvrđuje jesu li ispu njeni uvjeti propisani ovim Zakonom i provedbenim propisima donesenim na temelju ovoga Zakona,

– nadzire pravilnost primjene propisanih postupaka i organizacijsko-tehničkih mjera te primjenu internih pravila koja su u svezi s uvjetima propisanima ovim Zakonom i provedbenim propisima donesenim na temelju ovoga Zakona.

Ako davatelj usluga certificiranja ne ispunjava uvjete propisane ovim Zakonom i provedbenim propisima donesenim na temelju ovoga Zakona, ovlašteno tijelo će donijeti rješenje kojim se privremeno zabranjuje davanje usluga certificiranja.

Članak 38.

Davatelj usluga certificiranja je dužan radi provedbe inspekcijskog nadzora omogućiti ovlaštenom tijelu za provedbu inspekcijskog nadzora neograničen uvid u podatke o poslovanju, uvid u poslovnu dokumentaciju, pristup registru potpisnika i pridruženoj računalnoj opremi i uređajima.

 

VI. KAZNENE ODREDBE

Članak 39.

Novčanom kaznom od 2.000,00 do 10.000,00 kuna kaznit će se za prekršaj fizička osoba koja:

– neovlašteno pristupi i uporabi podatke i sredstva za izradu elektroničkog potpisa i naprednoga elektroničkog potpisa.

Članak 40.

Novčanom kaznom od 2.000,00 do 10.000,00 kuna kaznit će se za prekršaj potpisnik, odnosno fizička osoba ili odgovorna osoba pravne osobe koja zastupa potpisnika, a koja:

1. nepažljivo i neodgovorno koristi sredstva i podatke za izradu elektroničkog potpisa (članak 26.),

2. davatelju usluga certificiranja u roku ne dostavi potrebne podatke i informacije o promjenama koje utječu ili mogu utjecati na točnost elektroničkog potpisa (članak 27. stavak 1.),

3. davatelju usluga certificiranja pravodobno ne dostavi zahtjev za opoziv certifikata (članak 27. stavak 2.).

Članak 41.

Novčanom kaznom od 5.000,00 do 100.000,00 kuna kaznit će se za prekršaj davatelj usluga certificiranja koji:

1. izdaje kvalificirani certifikat koji ne sadrži sve potrebne podatke ili sadrži podatke koji nisu predviđeni (članak 11. stavak 2.),

2. ne provodi odgovarajuće zaštitne mjere kojima se onemogućuje neovlašteno kopira nje podatka za izradu elektroničkog potpisa (članak 17. stavak 1. točka 10.).

3. ne obavijesti potpisnika kojem izdaje certifikat o svim bitnim uvjetima uporabe izdanog certifikata (članak 17. stavak 1. točka 11.),

4. ne utvrdi pravovaljano identitet fizičke ili pravne osobe za koju izdaje kvalificirani certifikat (članak 29. stavak 1. točka 2.),

5. ne vodi ažurno i sigurnosnim mjerama zaštićenu evidenciju certifikata i ne omogući njihovu javnu dostupnost (članak 29. stavak 1. točka 6.),

6. ne vodi ažurno evidenciju svih opozvanih certifikata (članak 30. stavak 2.),

7. ne obavijesti u propisanom roku potpisnika o izvršenom opozivu certifikata (članak 30. stavak 3.),

8. pravodobno ne obavijesti korisnike usluga kojima je izdao certifikate i Ministarstvo o mogućem prestanku obavljanja usluga certificiranja (članak 33. stavak 1.).

 

VII. PRIJELAZNE I ZAKLJUČNE ODREDBE

Članak 42.

Vlada Republike Hrvatske donijet će uredbu iz članka 20. stavak 2. ovoga Zakona u roku od tri mjeseca od dana stupa nja na snagu ovoga Zakona.

Članak 43.

Ministar gospodarstva donijet će pravilnik iz članka 7. stavka 2., članka 11. stavka 4., članka 12. stavka 2., članka 16. stavka 3., članka 19. stavka 4. i članka 32. stavka 2. ovoga Zakona u roku od tri mjeseca od dana stupanja na snagu ovoga Zakona.

Članak 44.

Ministar znanosti i tehnologije donijet će pravilnik iz članka 34. stavka 2. ovoga Zakona u roku od šest mjeseci od dana stupanja na snagu ovoga Zakona.

Članak 45.

Ovaj Zakon stupa na snagu osmoga dana od dana objave u »Narodnim novinama«, a primjenjuje se od 1. travnja 2002.

 

 


 

Copyright © Ante Borić