VLADA REPUBLIKE HRVATSKE
Na temelju članka 20. Zakona o elektroničkom potpisu (»Narodne novine«, broj 10/2002), Vlada Republike Hrvatske je na sjednici održanoj 15. listopada 2004. godine donijela
I. OPĆE ODREDBE
Članak 1.
Ovom Uredbom uređuje se djelokrug, sadržaj i nositelj poslova certificiranja elektroničkih potpisa za tijela državne uprave za radnje koje se provode primjenom elektroničkih sustava izrade, razmjene i pohranjivanja dokumenata u elektroničkom obliku.
Odredbe sadržane u ovoj Uredbi primjenjuju tijela državne uprave kada imaju tehnološku, organizacijsku i kadrovsku osnovicu potrebnu za djelovanje sustava upravljanja dokumentima u elektroničkom obliku, kako za svoje potrebe, za suradnju s drugim tijelima, tako i u poslovanju s gospodarstvom i građanima.
Članak 2.
Odgovorna osoba tijela državne uprave utvrđuje kada su i za koje poslove osigurani uvjeti primjene sustava certificiranja elektroničkih potpisa.
Tijelo državne uprave iz stavka 1. ovog članka će, na temelju ove Uredbe, izvršiti potrebne radnje u vezi primjene elektroničkih potpisa te uspostave i uporabe sustava certificiranja elektroničkih potpisa u svom poslovanju.
Značenje pojedinih izraza
Članak 3.
Pojedini izrazi koji se određuju ovom Uredbom imaju sljedeće značenje:
1. Elektronički potpis – znači napredan elektronički potpis utvrđen Zakonom o elektroničkom potpisu koji pouzdano jamči identitet potpisnika i udovoljava zahtjevima sadržanim u članku 4. Zakona o elektroničkom potpisu;
2. Potpisnik – znači fizičku osobu koja je zaposlenik u tijelu državne uprave i koja posjeduje sredstvo za izradu naprednog elektroničkog potpisa kojim se elektronički potpisuje i koja djeluje na temelju ovlaštenja u svoje ime ili u ime fizičke ili pravne osobe koju ovlašteno predstavlja;
3. Korisnik elektroničkog potpisa – zaposlenik u tijelu državne uprave ili tijelo državne uprave koje prima i koristi elektronički dokument potpisan elektroničkim potpisom;
4. Elektronički dokument – cjelovit skup podataka koji su elektronički generirani (izrađeni pomoću računala i drugih elektroničkih uređaja), poslani, primljeni ili sačuvani na elektroničkom, magnetnom, optičkom ili drugom mediju. Sadržaj elektroničkog dokumenta uključuje sve oblike pisanog teksta, podatke, slike i crteže, karte, zvuk, glazbu, govor;
5. Podaci za izradu elektroničkog potpisa – znače jedinstvene podatke, poput kodova ili privatnih kriptografskih ključeva, koje potpisnik koristi za izradu elektroničkog potpisa;
6. Sredstvo za izradu elektroničkog potpisa – znači sredstvo za izradu naprednog elektroničkog potpisa utvrđenog Zakonom o elektroničkom potpisu i koje udovoljava zahtjevima iz članka 9. Zakona o elektroničkom potpisu;
7. Certifikat – znači kvalificirani certifikat utvrđen Zakonom o elektroničkom potpisu i koji udovoljava zahtjevima iz članka 11. Zakona o elektroničkom potpisu. Izdaje ga davatelj usluga izdavanja kvalificiranih certifikata koji ispunjava uvjete iz članka 17. Zakona o elektroničkom potpisu;
8. Sustav certificiranja elektroničkih potpisa – znači skup radnji, osoba, opreme i sadržaja nužnih za provedbu poslova certificiranja elektroničkih potpisa;
9. Poslovi certificiranja – uključuju radnje pridružene pri oblikovanju tehničko-tehnološke osnovice izrade i uporabe elektroničkih potpisa u tijelima državne uprave, uporabu elektroničkih potpisa u poslovima koji se temelje na izradi, prometovanju i čuvanju dokumenata u elektroničkom obliku, te svih onih radnji kojima se jednoznačno označavaju potpisnici i provode postupci ovjeravanja valjanosti elektroničkih potpisa;
10. Nositelj poslova certificiranja – znači davatelja usluga izdavanja kvalificiranih certifikata koji ispunjava uvjete iz članaka 12. i 17. Zakona o elektroničkom potpisu;
11. Informacijski sustav – elektronički sustav izrade, razmjene i pohranjivanja dokumenata u elektroničkom obliku koji su proizvedeni ili primljeni u tijelu državne uprave kao sastavni dio poslovanja tog tijela.
II. PREDMET POSLOVA CERTIFICIRANJA
Članak 4.
Predmet poslova certificiranja čine elektronički dokument, elektronički potpis koji se ugrađuje u elektronički dokument, te certifikat kojim se potvrđuje valjanost elektroničkih potpisa u poslovanju tijela državne uprave iz članka 1. stavka 2. ove Uredbe.
Elektronički dokument
Izrada elektroničkih dokumenata
Članak 5.
Elektronički dokumenti izrađuju se elektroničkim sustavima pripreme, oblikovanja i pohrane informacijskih sadržaja u računalni zapis.
Elektronički dokumenti pri aktivnostima izrade koje čine polazište za radnje vezane za otpremu i čuvanje elektroničkih dokumenata, potpisuju se elektroničkim potpisom stvaratelja elektroničkog dokumenta ili ovlaštene osobe.
Čuvanje elektroničkih dokumenata
Članak 6.
Skupovi elektroničkih dokumenata (elektronička dokumentacija) čuvaju se u računalnom informacijskom sustavu koji omogućuje:
– da su elektronički dokumenti u čitljivom i razumljivom obliku dostupni osobama koje imaju pravo pristupa tim dokumentima
– da samo ovlaštene osobe mogu vršiti radnje prijema elektroničke dokumentacije u sustav, slanje ili brisanje dokumentacije iz sustava kao i ostale radnje s elektroničkim dokumentima
– da je omogućeno potpisivanje elektroničkih dokumenata elektroničkim potpisom
– da se čuvaju podaci o elektroničkom potpisu i podaci za provjeru elektroničkog potpisa
– da su jedinice elektroničke dokumentacije u sustavu pohranjene u takvom obliku i pomoću takve tehnologije i postupaka koji uz ugrađene elektroničke potpise pružaju razumno jamstvo za njihovu vjerodostojnost i autentičnost
– da je za svaki dokument moguće vjerodostojno utvrditi porijeklo, autorstvo, vrijeme, način i oblik u kojem je zaprimljen u sustav
– da su elektronički dokumenti pohranjeni u takvom obliku i pomoću takve tehnologije i postupaka koji pružaju razumno jamstvo da ne mogu biti mijenjani, da se ne mogu neovlašteno brisati i da će svaki takav pokušaj biti pravodobno uočen i spriječen
– da pristup evidenciji o elektroničkoj dokumentaciji imaju samo za to ovlaštene osobe i da samo ovlaštene osobe mogu vršiti upis, brisanje i izmjenu upisa u evidenciju elektroničke dokumentacije
– da postupci osvježavanja i konverzije elektroničkih zapisa budu kontrolirani i vjerodostojno dokumentirani
– da zamjena medija za pohranu elektroničkih zapisa ne narušava integritet pohranjenih elektroničkih dokumenata
– da se automatski vodi evidencija svih radnji koje su u sustavu izvršene nad elektroničkim dokumentima, s podacima o vrsti radnje, izvršiteljima i vremenu izvršenja i da je ta evidencija zaštićena od naknadnog dodavanja, mijenjanja i brisanja zapisa
– da se vrši automatsko sigurnosno kopiranje i obnova podataka.
Ako je pristup podacima i funkcijama informacijskog sustava u kojem se čuva elektronička dokumentacija zaštićen pristupnim lozinkama ili drugim sličnim sredstvima, obvezno se čuvaju podaci ili sredstva potrebni za pristup tim podacima i funkcijama, i to odvojeno od informacijskog sustava.
Otprema i prijem elektroničkih dokumenata – elektronička pošta
Članak 7.
Poslovi otpreme i prijema elektroničkih dokumenata kroz računalnim mrežama podržan prijenosni/dostavni sustav predstavljaju u smislu ove Uredbe elektroničku poštu.
Elektroničku poštu otprema i prima informacijski sustav tijela državne uprave.
Tijelo državne uprave u smislu ove Uredbe dužno je omogućiti prijem elektroničke pošte uspostavom sustava elektroničke pošte sukladnog važećim tehnološkim normama.
Otprema elektroničke pošte označava se elektroničkim otpremnim žigom. Elektronički otpremni žig sadrži sljedeće podatke:
– naziv tijela državne uprave
– vrijeme otpreme elektroničke pošte
– oznaku elektroničkog dokumenta
– klasifikacijsku oznaku
– urudžbeni broj
– broj priloga
– mjesto dostave (elektronička adresa primatelja elektroničke pošte).
Uz navedene podatke informacijski sustav unosi i podatke o vrsti i količini zapisa, naziv, vrstu i količinu zapisa pojedinih priloga, te elektronički potpis osobe koja otprema elektroničku poštu.
Prijem elektroničke pošte potvrđuje se povratnom elektroničkom porukom koja sadrži navod koji identificira primljenu elektroničku poštu ili njen cjelokupni sadržaj, datum i vrijeme prijema i elektronički potpis osobe ovlaštene za izdavanje ove potvrde.
Informacijski sustav koji zaprima elektroničku poštu treba biti oblikovan tako da pri prvom pristupu elektroničkoj pošti za koju se traži potvrda prijema, pokrene izradu povratne elektroničke poruke iz prethodnog stavka, te da omogući osobi ovlaštenoj za izdavanje potvrde potpisivanje svojim elektroničkim potpisom.
Vremenom prijema elektroničke pošte smatra se dan, sat, minuta i sekunda kada je elektronička pošta zaprimljena u informacijski sustav tijela državne uprave. Tijelo državne uprave, za zaprimanje elektroničke pošte, dužno je imati sustav za usklađivanje vremena s izvorom točnog vremena.
Elektroničku poštu primljenu na službenu elektroničku adresu otvara osoba ovlaštena za pristup i korištenje te adrese.
Elektroničku poštu primljenu na osobnu elektroničku adresu djelatnika i druge osobe koja koristi informacijski sustav tijela državne uprave za primanje pošte u elektroničkom obliku otvara ta osoba ili druga osoba koju on za to ovlasti.
Primljena elektronička pošta označava se elektroničkim prijemnim žigom. Elektronički prijemni žig sadrži sljedeće podatke:
– naziv tijela državne uprave
– vrijeme prijema elektroničke pošte
– oznaku elektroničkog dokumenta
– klasifikacijsku oznaku
– urudžbeni broj
– broj priloga
– mjesto prijema (oznaka službe ili djelatnika koji je primio poštu).
Uz navedene podatke informacijski sustav unosi i podatke o vrsti i količini zapisa, naziv, vrstu i količinu zapisa pojedinih priloga, te elektronički potpis osobe koja je primila elektroničku poštu.
Osobna i nevažna elektronička pošta ne označava se prijemnim žigom i ne unosi se u informacijski sustav.
Osoba koja otvara poštu u elektroničkom obliku, ili drugu poštu za čije je čitanje i razumijevanje potreban neki uređaj ili tehničko pomagalo, dužna je po otvaranju provjeriti čitljivost sadržaja pošte i autentičnost elektroničkog potpisa.
Elektronički potpis
Članak 8.
Elektronički potpis mora udovoljiti sljedećim uvjetima:
– da je povezan isključivo s potpisnikom
– da nedvojbeno identificira potpisnika
– da nastaje korištenjem sredstava kojima potpisnik samostalno upravlja i da su sredstva isključivo pod nadzorom potpisnika
– da sadržava izravnu povezanost s elektroničkim zapisom na koji se odnosi i to na način koji nedvojbeno omogućava uvid u bilo koju izmjenu izvornog sadržaja potpisanog elektroničkog zapisa.
Članak 9.
Elektronički potpis ima istu pravnu snagu i zamjenjuje vlastoručni potpis i otisak pečata ako je izrađen u skladu s odredbama ove Uredbe i Zakona o elektroničkom potpisu.
Članak 10.
Strukturu elektroničkog potpisa, specifikaciju obrazaca (formata) elektroničkog potpisa, osnovna obilježja (atribute) elektroničkog potpisa i podatke koje sadrži elektronički potpis utvrđuje, uz prethodno mišljenje nadležnog tijela za informatizaciju državne uprave, nositelj poslova certificiranja u skladu sa Zakonom o elektroničkom potpisu.
Elektronički potpis mora biti ugradiv u sve raspoložive oblike računalnih zapisa.
Certifikat
Članak 11.
Certifikat se pojedinačno izdaje za svakog potpisnika koji samostalno izrađuje elektroničke dokumente po osnovi stručnosti, ovlaštenja ili odgovornosti koje ima u tijelu državne uprave.
Članak 12.
Sadržaj certifikata mora biti usklađen s odredbama Zakona o elektroničkom potpisu koje uređuju primjenu kvalificiranog certifikata.
Certifikat obvezno sadrži sljedeće elemente:
– serijski broj (jedinstven, neponovljiv broj)
– identifikaciju nositelja poslova certificiranja
– kriptografski algoritam primijenjen kod izrade elektroničkog potpisa nositelja poslova certificiranja
– elektronički potpis nositelja poslova certificiranja
– naziv nositelja poslova certificiranja koji je izdao certifikat
– ime, adresa i ostali identifikacijski elementi potpisnika neophodni za jednoznačnu identifikaciju
– podaci neophodni za postupak ovjere elektroničkog potpisa potpisnika na kojeg se odnosi certifikat
– podaci za ovjeru elektroničkog potpisa
– datum izdavanja i rok valjanosti certifikata
– jednoznačni identifikacijski kod.
III. SADRŽAJ POSLOVA CERTIFICIRANJA
Članak 13.
Sadržaj poslova certificiranja odnosi se na radnje potpisnika i korisnika elektroničkog potpisa pri uporabi opreme, uređaja i podataka za izradu i ovjeru elektroničkog potpisa u upravnim i drugim radnjama koje provode tijela državne uprave, na radnje, postupke i tehnologiju potrebne za izradu certifikata i uporabu elektroničkog potpisa, kao i na radnje koje izvodi nositelj poslova certificiranja.
Članak 14.
Potpisnik izrađuje i koristi elektronički potpis u skladu s općim uvjetima sadržanim u Zakonu o elektroničkom potpisu, s odredbama ove Uredbe i pravilima sustava certificiranja u tijelima državne uprave koje izrađuje nositelj poslova certificiranja u suradnji s nadležnim tijelom za informatizaciju državne uprave.
Potpisniku u procesu potpisivanja mora biti predstavljen opis postupka potpisivanja u čitljivom obliku s najmanje sljedećim skupom podataka:
– upozorenje – sadržaj pravnih i drugih činjenica povezanih s potpisivanjem, mora biti iskazan prije čina potpisivanja
– izjava potpisnika – o prihvaćanju pravila uporabe potpisa i saznanja o sadržaju koji potpisuje
– potpisni skup podataka – sadrži ime potpisnika, vrijeme i mjesto potpisivanja i razlog/svrhu potpisivanja, te čini dio elektroničkog potpisa i dodaje se potpisanom elektroničkom zapisu.
Članak 15.
Korisnik elektroničkog potpisa provodi ovjeru elektroničkog potpisa u skladu s uputama nositelja poslova certificiranja.
Korisnik prilikom ovjere elektroničkog potpisa mora provjeriti, uz podatke o potpisniku, i:
– podatke o nositelju poslova certificiranja
– rok valjanosti certifikata
– da li se certifikat nalazi u registru opozvanih certifikata.
Pravila uporabe elektroničkog potpisa
Članak 16.
Elektronički potpis koriste potpisnik i korisnik elektroničkog dokumenta potpisanog elektroničkim potpisom u skladu s utvrđenim pravilima uporabe elektroničkog potpisa.
Pravila uporabe elektroničkog potpisa moraju biti iskazana u elektroničkom dokumentu koji je potpisan elektroničkim potpisom na način koji je čitljiv korisnicima elektroničkog potpisa. Korisnici elektroničkog potpisa moraju imati mogućnost uvida u obveze i prava koja proizlaze iz sadržaja koji se potpisuje.
Za nesumnjivo identificiranje pravila uporabe elektroničkog potpisa u elektronički potpis se mora ugraditi identifikator ili sažetak pravila uporabe potpisa.
Za potrebe strojnog, odnosno automatskog obrađivanja elektroničkog potpisa nužno je izraditi pravila uporabe potpisa i u formatiranom obliku za potrebe izravnog preuzimanja od strane računalnih programa (aplikacija).
Kod aplikacija koje koriste velik broj istorodnih elektroničkih dokumenata s istovjetnim pravilima uporabe elektroničkog potpisa dopušteno je unaprijed definirati ugradnju tih pravila u elektronički potpis ili ih ugraditi u aplikaciju.
Oprema i uređaji
Članak 17.
Oprema korisnika sustava certificiranja, u smislu ove Uredbe, uključuje sredstva za izradu elektroničkog potpisa te skup opreme (strojne i programske), uređaja i medija kojima se omogućuje uporaba i ovjera elektroničkog potpisa.
Članak 18.
Oprema korisnika sustava certificiranja mora omogućiti najmanje sljedeće radnje:
– potpisivanje elektroničkim potpisom bilo koje vrste elektroničkog zapisa
– ugradnju elektroničkih potpisa u elektroničke zapise
– slanje i primanje elektronički potpisanih sadržaja
– upotrebu i provjeru certifikata
– provjeravanje primljenih certifikata putem liste opozvanih certifikata
– upotrebu smart kartica za izradu elektroničkih potpisa.
Svaka oprema za izradu i uporabu elektroničkog potpisa mora omogućiti izdvajanje podataka elektroničkog potpisa i certifikata sukladno tehničkim uvjetima utvrđenim Zakonom o elektroničkom potpisu.
Članak 19.
Sredstvo za izradu elektroničkog potpisa mora osigurati:
– da se podaci za izradu elektroničkog potpisa mogu pojaviti samo jednom, te da je ostvarena njihova sigurnost
– da se podaci za izradu elektroničkog potpisa ne mogu ponoviti, te da je potpis zaštićen od krivotvorenja pri korištenju postojeće raspoložive tehnologije
– da podatke za izradu elektroničkog potpisa potpisnik može pouzdano zaštititi protiv korištenja od strane drugih.
Sredstvo za izradu elektroničkog potpisa ne smije prilikom izrade elektroničkog potpisa promijeniti sadržaj elektroničkog zapisa koji se potpisuje.
Sredstvo za izradu elektroničkog potpisa ne smije prilikom izrade elektroničkog potpisa onemogućiti potpisniku uvid u sadržaj elektroničkog zapisa koji potpisuje.
Članak 20.
Podaci za izradu elektroničkog potpisa i certifikat, primjenom sustava certificiranja elektroničkih potpisa u tijelima državne uprave, obvezno se ugrađuju na smart karticu.
Kod uporabe smart kartica nužna je mogućnost izdvajanja privatnih ključeva, certifikata i osobnih podataka u jedan od standardnih zapisa utvrđenih Zakonom o elektroničkom potpisu.
Smart kartice u sustavu certificiranja elektroničkih potpisa tijela državne uprave, moraju osigurati višefunkcionalnu primjenu pohranjivanjem raznorodnih skupova podataka kojima se osigurava provedba najmanje sljedećih aktivnosti:
– potpisivanje i ovjera elektroničkih potpisa za sve vrste zapisa elektroničkih dokumenata
– potpisivanje i ovjera elektroničkih potpisa u postupcima razmjene elektroničkih dokumenata kroz sustav elektroničke pošte
– sigurno i ovlašteno pristupanje računalnim i informacijskim resursima (računalna i mrežna oprema, podaci i elektronički dokumenti) u informacijskim sustavima tijela državne uprave
– kontrola pristupa radnim prostorima tijela državne uprave.
Uređaji za čitanje sadržaja/podataka smještenih na smart kartice (čitala smart kartica) moraju djelovati u raznorodnim operacijskim sustavima računala i imati pridruženu programsku osnovicu koja korisnicima sustava certificiranja omogućuje nesmetanu i jednostavnu uporabu tih uređaja.
Tehničke specifikacije, norme i pravila uporabe uređaja za čitanje i pisanje zapisa na smart kartice kao i obilježja smart kartice zajednički utvrđuju nositelj poslova certificiranja i tijelo nadležno za informatizaciju državne uprave.
Članak 21.
Podaci za izradu elektroničkog potpisa čine sastavni dio elektroničkog potpisa.
Potpisnik je dužan zaštititi podatke za izradu elektroničkog potpisa od neovlaštenog pristupa, otuđivanja i nepravilne uporabe. Zaštita se mora dodatno provoditi primjenom zaporke, biometričnim postupcima ili drugim zaštitnim tehnikama.
Potpisnik je dužan zaštititi sredstvo za izradu elektroničkog potpisa od neovlaštenog pristupa, krađe i oštećivanja.
Članak 22.
Sredstvo za izradu elektroničkog potpisa zajedno s medijem na kojem su pohranjeni podaci za izradu elektroničkog potpisa i certifikat vlasništvo su tijela državne uprave u kojem je potpisniku izdat certifikat.
Potpisniku se prilikom prelaska u drugo tijelo državne uprave može omogućiti prijenos prava korištenja sredstva iz stavka 1. ovog članka, te mu se u tom slučaju na smart karticu unosi novi certifikat.
Prilikom trajnog napuštanja službe potpisnik odgovornoj osobi tijela državne uprave iz kojega trajno napušta službu neopozivo vraća medij na kojem su smješteni podaci za izradu elektroničkog potpisa i certifikat.
Nositelj poslova certificiranja
Članak 23.
Nositelj poslova certificiranja u suradnji s nadležnim tijelom za poslove informatizacije državne uprave utvrđuje opća pravila obavljanja poslova certificiranja na temelju kojih korisnici sustava certificiranja koriste sustav certificiranja.
Opća pravila iz stavka 1. ovog članka nositelj poslova certificiranja ugrađuje u dokument Opća pravila djelovanja sustava certificiranja za tijela državne uprave.
Nositelj poslova certificiranja u suradnji s nadležnim tijelom za poslove informatizacije državne uprave utvrđuje tehnološku osnovicu sredstava za izradu elektroničkog potpisa, te programsko rješenje za primjenu elektroničkog potpisa u poslovima tijela državne uprave.
Nositelj poslova certificiranja mora izraditi i posebna unutarnja pravila o postupcima izdavanja certifikata i zaštite sustava certificiranja u kojem su sadržani i detaljno opisani postupci i mjere koje se primjenjuju prilikom izdavanja i rukovanja certifikatima.
Izdavanje, opoziv, čuvanje certifikata
Članak 24.
Nositelj poslova certificiranja mora osigurati jedinstvenost podataka za ovjeru elektroničkog potpisa na način koji omogućuje nedvojbeno utvrđivanje odnosno identifikaciju potpisnika.
Članak 25.
Zaposlenik u tijelu državne uprave, koji se u sustav certificiranja uključuje kao potpisnik, osobno se predstavlja prijavnoj službi nositelja poslova certificiranja i pojedinačno ispunjava zahtjev za izdavanje certifikata uz prihvaćanje općih pravila obavljanja poslova certificiranja.
Potpisnik mora osigurati točnost i ispravnost podataka u zahtjevu i za to odgovara pravno i materijalno.
Odgovorna osoba u tijelu državne uprave određuje koji se zaposlenici uključuju u sustav certificiranja, prikuplja zahtjeve za uključivanje u sustav certificiranja, te dogovara vrijeme, mjesto i postupak prijave koji će provoditi prijavna služba nositelja sustava certificiranja.
Nositelj poslova certificiranja dužan je u cijelosti razmotriti podatke koje je potpisnik predao u zahtjevu za izdavanje certifikata, te provesti u prisustvu potpisnika fizičku identifikaciju potpisnika temeljem osobne iskaznice i drugih relevantnih dokumenata s fotografijom potpisnika (putovnica, europska identifikacijska kartica) kojima se potvrđuje istinitost podataka sadržanih u zahtjevu za izdavanje certifikata.
Identifikacija se potvrđuje usklađivanjem priložene fotografije potpisnika i dopunski se usklađuje s ispravnim i potpunim izgovaranjem i pisanjem imena i prezimena potpisnika, te pridruženim nazivom tijela državne uprave i položajnog statusa potpisnika.
Potpisnik kojem je odobreno izdavanje certifikata i izrađen certifikat mora osobno preuzeti izdani certifikat kojega mu uručuje ovlaštena osoba nositelja poslova certificiranja.
Izdavanje certifikata mora obavljati isključivo osoba koja je ovlaštena za te poslove i stalno zaposlena kod nositelja poslova certificiranja.
Nositelj poslova certificiranja upisuje vremensku valjanost izdanog certifikata odnosno rok do kada se priznaje važenje izdanog certifikata i koji ne može biti kraći od jedne godine od dana izdavanja certifikata.
Podaci ispravnih i odobrenih zahtjeva za izdavanje certifikata arhiviraju se u informacijskom sustavu nositelja poslova certificiranja.
Sadržaj izdanih certifikata upisuje se u Registar izdanih certifikata za tijela državne uprave (RDC-TDU).
Članak 26.
Izdani certifikat se opoziva:
– istekom roka na koji je izdan, odnosno na dan prestanka valjanosti
– na službeni zahtjev odgovorne osobe tijela državne uprave u kojemu djeluje potpisnik
– na službeni zahtjev od strane suda
– na zahtjev nositelja poslova certificiranja u slučajevima neispunjavanja tehničkih uvjeta, odnosno ako se pri uporabi elektroničkog potpisa ne postupa na propisan način.
Potpisnik koji izgubi ili mu je otuđeno sredstvo za izradu elektroničkog potpisa, te u slučajevima kada mu je onemogućen pristup podacima za izradu elektroničkog potpisa, dužan je o tome odmah obavijestiti nositelja poslova certificiranja odnosno njegovu prijavnu službu.
Nositelj poslova certificiranja nakon zaprimanja obavijesti iz prethodnog stavka provodi uvid u postupak opoziva izdanog certifikata i dalje postupa po utvrđenim pravilima opozivanja izdanih certifikata, a u skladu s općim pravilima obavljanja poslova certificiranja.
Opozvani certifikati upisuju se u listu opozvanih certifikata koja mora biti dostupna svim subjektima uključenim u sustav certificiranja.
Lista opozvanih certifikata mora se trenutno obnoviti kod svake nastale izmjene odnosno, ako nije bilo promjena, u roku ne dužem od tri radna dana.
Lista opozvanih certifikata mora sadržavati najmanje sljedeće elemente:
– redni broj radne verzije liste
– kriptografski algoritam korišten pri izradi elektroničkog potpisa nositelja poslova certificiranja
– elektronički potpis nositelja poslova certificiranja
– naziv nositelja poslova certificiranja
– datum izrade liste.
Svaki opozvani certifikat u Listi opozvanih certifikata sadrži:
– serijski broj dodijeljen certifikatu kod izdavanja
– datum opoziva (od kada certifikat više nije važeći).
Članak 27.
Nositelj poslova certificiranja mora podatke o potpisnicima, izdanim certifikatima, listama opozvanih certifikata, kao i tehničke podatke nastale bilježenjem rada sustava certificiranja arhivirati na medije koji osiguravaju trajnost zapisa od najmanje 20 godina.
U svrhu čuvanja zapisa moraju se izraditi i sigurnosne kopije koje moraju biti smještene na drugoj lokaciji, izdvojeno od sustava certificiranja u upotrebi.
Arhivirani podaci moraju se čuvati i zaštititi od neovlaštenog pristupa i mogućih gubitaka u zapisu.
Nositelj poslova certificiranja mora u svrhu očuvanja čitkosti i ispravnosti zapisa na medijima provoditi postupke provjere i po potrebi osvježivanje zapisa na medijima najmanje dva puta godišnje.
Zaštita podataka
Članak 28.
Nositelj poslova certificiranja mora podatke o potpisnicima prikupljati, pohranjivati, koristiti i brisati u skladu s odgovarajućim propisima o zaštiti osobnih podataka, te poštivati i zaštititi privatnost korisnika sustava certificiranja.
Podaci o potpisniku mogu se pridobivati isključivo osobno od samog potpisnika i u opsegu odnosno sadržaju potrebnom za postupak izdavanja certifikata.
Potpisnik ima pravo uvida u podatke koji se o njemu vode kod nositelja poslova certificiranja u svrhu provjere ili potrebnih dopuna odnosno ispravaka.
Opći postupci zaštite sustava certificiranja
Članak 29.
Nositelj poslova certificiranja dužan je izraditi jedinstveni sustav zaštite i sigurnosti obavljanja poslova certificiranja.
U svrhu izvedbe i održavanja jedinstvenog sustava zaštite i sigurnosti nositelj poslova certificiranja mora izraditi Pravilnik o provođenju zaštite sustava certificiranja usklađen s odredbama Zakona o elektroničkom potpisu.
Nositelj poslova certificiranja mora osigurati fizičku zaštitu strojne opreme, te provoditi stalni nadzor pristupa računalnim resursima i fizičkom prostoru gdje su smješteni resursi sustava certificiranja.
Informacijski sustav nositelja poslova certificiranja mora biti izgrađen od računalne i programske osnovice namijenjene isključivo za poslove certificiranja, te mora imati stručno kvalificirano osoblje koje radi isključivo u sustavu certificiranja.
IV. NOSITELJ POSLOVA CERTIFICIRANJA ELEKTRONIČKIH POTPISA ZA TIJELA DRŽAVNE UPRAVE
Članak 30.
Vlada Republike Hrvatske povjerava poslove certificiranja elektroničkih poslova za tijela državne uprave Financijskoj agenciji, sa sjedištem u Zagrebu, Koturaška 43.
Financijska agencija u smislu ove Uredbe postaje nositelj poslova certificiranja za tijela državne uprave i preuzima poslove za koje je temeljem odredbi ove Uredbe utvrđeno da ih izvršava nositelj poslova certificiranja.
Članak 31.
Tijela državne uprave na temelju ove Uredbe te općih postupaka certificiranja i djelovanja sustava certificiranja određenih ovom Uredbom i Zakonom o elektroničkom potpisu, ugovaraju poslovni odnos s nositeljem poslova certificiranja elektroničkih poslova za tijela državne uprave zaključivanjem pojedinačnih ugovora o obavljanju usluga certificiranja.
Ugovorima iz stavka 1. ovog članka pobliže se utvrđuju posebni odnosi posebice vezani za broj korisnika usluga certificiranja i naknadu troškova ugovorenih poslova certificiranja.
V. PRIJELAZNE I ZAVRŠNE ODREDBE
Članak 32.
Nositelj poslova certificiranja za tijela državne uprave izvršit će potrebnu organizacijsku i tehnološku pripremu i ustrojiti sustav certificiranja za tijela državne uprave u roku 3 mjeseca od dana stupanja na snagu ove Uredbe.
Članak 33.
Tijela državne uprave iz članka 1. stavka 2. ove Uredbe koja imaju tehnološku, organizacijsku i kadrovsku osnovicu potrebnu za djelovanje sustava upravljanja dokumentima u elektroničkom obliku kako za svoje potrebe, za suradnju s drugim tijelima državne uprave, tako i u poslovanju s gospodarstvom i građanima, mogu nakon roka iz članka 32. ove Uredbe pristupiti pojedinačnom ugovaranju poslova certificiranja elektroničkih potpisa s nositeljem poslova certificiranja za tijela državne uprave.
Članak 34.
Ova Uredba stupa na snagu danom objave u »Narodnim novinama«.
Klasa: 650-05/04-02/01 Urbroj: 5030104-04-1 Zagreb, 15. listopada 2004.
Predsjednik dr. sc. Ivo Sanader, v. r.
Izvor: http://narodne-novine.nn.hr/clanci/sluzbeni/2004_10_146_2554.html