HRVATSKI SABOR

242

Na teme­lju članka 88. Ustava Republike Hrvatske, donosim

ODLUKU

O PROGLAŠENJU ZAKONA O ELEKTRONIČKOM POTPISU

Proglašavam Zakon o elektroničkom potpisu, koji je donio Hrvatski sabor na sjednici 17. siječ­nja 2002.

Broj: 01-081-02-237/2
Zagreb, 24. siječ­nja 2002.

Predsjednik
Republike Hrvatske
Stjepan Mesić, v. r.

ZAKON

O ELEKTRONIČKOM POTPISU

I. OPĆE ODREDBE

Članak 1.

Ovim se Zakonom uređuje pravo fizičkih i pravnih osoba na uporabu elektroničkog potpisa u upravnim, sudskim i drugim postupcima, poslovnim i drugim rad­njama, te prava, obveze i odgovornosti fizičkih i pravnih osoba u svezi s dava­njem usluga certificira­nja elektroničkog potpisa, ako posebnim zakonom nije drukčije određeno.

Znače­nje pojedinih izraza

Članak 2.

Pojedini izrazi koji se rabe u ovom Zakonu imaju s­ljedeće znače­nje:

1. Elektronički potpis – znači skup podataka u elektroničkom obliku koji su pridruženi ili su logički povezani s drugim podacima u elektroničkom obliku i koji služe za identifikaciju potpisnika i vjerodostojnosti potpisanoga elektroničkog doku­menta,

2. Napredan elektronički potpis – znači elektronički potpis koji pouzdano jamči identitet potpisnika i koji udovo­ljava zahtjevima sadržanim u članku 4. ovoga Zakona,

3. Potpisnik – znači osobu koja posjeduje sredstvo za izradu elektroničkog potpisa kojim se potpisuje, a koja djeluje u svoje ime ili u ime fizičke ili pravne osobe koju predstav­lja,

4. Elektronički zapis – je cjelovit skup podataka koji su elektronički generirani, poslati, prim­ljeni ili sačuvani na elektroničkom, magnetnom, optičkom ili drugom mediju. Sadržaj elektroničkog zapisa uk­ljučuje sve oblike pisanog i drugog teksta, podatke, slike i crteže, karte, zvuk, glazbu, govor, računalne baze podataka,

5. Podaci za izradu elektroničkog potpisa – znače jedinstvene podatke, poput kodova ili privatnih kriptografskih k­ljučeva, koje potpisnik koristi za izradu elektroničkog potpisa,

6. Sredstvo za izradu elektroničkog potpisa – znači odgova­rajuću računalnu opremu ili računalni program koji potpisnik koristi pri izradi elektroničkog potpisa,

7. Sredstvo za izradu naprednoga elektroničkog potpisa – znači sredstvo za izradu potpisa koje udovo­ljava zahtjevima iz članka 9. ovoga Zakona,

8. Podaci za verificira­nje elektroničkog potpisa – znače podatke poput kodova ili javnih kriptografskih k­ljučeva koji se koriste u svrhu verificira­nja (ovjere) elektroničkog potpisa,

9. Sredstvo za verificira­nje potpisa – znači odgovarajuću računalnu opremu ili računalni program koji se koristi za prim­jenu podataka za verificira­nje potpisa,

10. Certifikat – znači potvrdu u elektroničkom obliku koja povezuje podatke za verificira­nje elektroničkog potpisa s nekom osobom i potvrđuje identitet te osobe

11. Kvalificirani certifikat – znači certifikat koji udovo­ljava zahtjevima iz članka 11. ovoga Zakona i koje­g izdaje davate­lj usluga izdava­nja kvalificiranog certifikata koji ispu­njava uvjete iz članka 17. ovoga Zakona,

12. Davate­lj usluga certificira­nja – znači pravnu ili fizičku osobu koja izdaje certifikate ili daje druge usluge povezane s elektroničkim potpisima,

13. Sredstvo za elektronički potpis – znači računalnu opremu ili računalni program ili ­njihove relevantne sastojke koji su namije­njeni za primjenu od strane davate­lja usluga certificira­nja za dava­nje usluga u vezi s elektroničkim potpisima ili su namije­njeni za primjenu kod izrade ili verificira­nja elektroničkih pot­pisa.

II. ELEKTRONIČKI POTPIS I NAPREDAN ELEKTRONIČKI POTPIS

Članak 3.

Elektronički potpis u smislu ovoga Zakona je skup podataka u elektroničkom obliku koji služe za identifikaciju potpisnika i potvrdu vjerodostojnosti potpisanoga elektroničkog zapisa.

Članak 4.

Napredan elektronički potpis je u smislu ovoga Zakona, elektronički potpis koji:

1. je povezan isk­ljučivo s potpisnikom,

2. nedvojbeno identificira potpisnika,

3. nastaje korište­njem sredstava kojima potpisnik može samo­­s­­talno uprav­ljati i koja su isk­ljučivo pod nadzorom potpisnika,

4. sadržava izravnu povezanost s podacima na koje se odnosi i to na način koji nedvojbeno omogućava uvid u bilo koju izmje­nu izvornih podataka.

Članak 5.

Napredan elektronički potpis ima istu pravnu snagu i zamje­njuje vlastoručni potpis, odnosno vlastoručni potpis i otisak pečata ako je izrađen u skladu s odredbama ovoga Zakona, te ako su ispu­njeni ostali uvjeti propisani ovim Zakonom i propisima koji su donijeti na teme­lju ovoga Zakona.

Članak 6.

Ne može se odbiti prihvaća­nje dokumenta samo zbog toga što je sači­njen i izdan u elektroničkom obliku s elektroničkim potpisom ili naprednim elektroničkim potpisom.

Iznimno, stavak 1. ovoga članka ne odnosi se na:

1. pravne poslove kojima se vrši prijenos vlasništva na nekretninama ili se uspostav­ljaju druga stvarna prava na nekretninama,

2. oporučne poslove,

3. imovinske predbračne, odnosno bračne ugovore,

4. optereće­nje i otuđe­nje imovine za koje je potrebno odob­re­nje centra za socijalnu skrb,

5. ugovore o predaji i raspolaga­nju s imovinom za života,

6. ugovore o doživotnom uzdržava­nju i sporazume u svezi s nas­ljeđiva­njem,

7. darovne ugovore,

8. druge pravne poslove za koje je posebnim zakonom propisano da se sastav­ljaju u obliku javnobi­lježničkog akta, odnosno isprave,

9. druge pravne poslove ili rad­nje za koje je posebnim zakonom ili na teme­lju zakona donesenim propisom izričito određena uporaba vlastoručnog potpisa u dokumentima na papiru ili ovjera vlastoručnog potpisa.

Članak 7.

Odredbe iz članka 6. stavka 1. ovoga Zakona vrijede samo u slučajevima kada su zaštita elektroničkog potpisa i naprednoga elektroničkog potpisa te provjera identiteta potpisnika provedeni pomoću postojeće tehnologije od strane potpisnika ili davate­lja usluga certificira­nja.

Ministar gospodarstva propisat će pravilnikom koje se mjere zaštite elektroničkog potpisa i naprednoga elektroničkog potpisa te mjere provjere identiteta potpisnika moraju poduzeti prema stavku 1. ovoga članka.

Članak 8.

Elektronički potpis izrađuje se sredstvima za izradu elektroničkog potpisa.

Napredan elektronički potpis izrađuje se sredstvima za izradu naprednoga elektroničkog potpisa.

Članak 9.

Sredstvo za izradu naprednoga elektroničkog potpisa mora osigurati:

1. da se podaci za izradu naprednoga elektroničkog potpisa mogu pojaviti samo jednom te da je ostvarena ­njihova sigurnost,

2. da se podaci za izradu naprednoga elektroničkog potpisa ne mogu ponoviti te da je potpis zaštićen od krivotvore­nja pri korište­nju postojeće raspoložive tehnologije,

3. da podatke za izradu naprednoga elektroničkog potpisa potpisnik može pouzdano zaštititi protiv korište­nja od strane drugih.

Sredstvo za izradu naprednoga elektroničkog potpisa ne smije prilikom izrade naprednoga elektroničkog potpisa promijeniti podatke koji se potpisuju ili onemogućiti potpisniku uvid u te podatke prije procesa izrade naprednoga elektroničkog potpisa.

III. CERTIFIKATI I DAVANJE USLUGA CERTIFICIRANJA

Članak 10.

Certifikat je, u smislu ovoga Zakona, svaka elektronička potvrda kojom se potvrđuje identitet potpisnika u postupcima razmjene elektroničkih zapisa.

Članak 11.

Kvalificirani certifikat je, u smislu ovoga Zakona, svaka elektronička potvrda kojom davate­lj usluga izdava­nja kvalifici­ranih certifikata potvrđuje napredni elektronički potpis.

Kvalificirani certifikat iz stavka 1. ovoga članka mora sadržavati:

1. oznaku o tome da se radi o kvalificiranom certifikatu,

2. identifikacijski skup podataka o osobi koja izdaje certifikat (osobno ime; ime oca ili majke; nadimak, ako ga osoba ima; datum rođe­nja; prebivalište, odnosno boravište; naziv pravne osobe i sjedište, ako certifikat izdaje pravna osoba),

3. identifikacijski skup podataka o potpisniku (osobno ime, ime oca ili majke, nadimak, ako ga osoba ima, datum rođe­nja, prebivalište, odnosno boravište).

4. podatke za verificira­nje elektroničkog potpisa koji odgovaraju podacima za izradu elektroničkog potpisa koji su pod kontrolom potpisnika,

5. podatke o početku i kraju važe­nja certifikata,

6. identifikacijsku oznaku izdanog certifikata (brojčanu ili drugu oznaku, te datum izdava­nja),

7. napredni elektronički potpis davate­lja usluge izdava­nja kvalificiranih certifikata,

8. ograniče­nja vezana za uporabu certifikata, ako ih ima,

9. ograniče­nja na vrijednost poslovnih događaja za koje se daje certifikat, ako ih ima.

Davate­lj usluga izdava­nja kvalificiranih certifikata dužan je osigurati rizik od odgovornosti za štete koje nastanu obav­lja­njem usluga certificira­nja (obvezno osigura­nje).

Ministar gospodarstva pravilnikom utvrđuje najniži iznos osigura­nja iz stavka 3. ovoga članka.

Članak 12.

Davate­lj usluga certificira­nja može obav­ljati usluge certifici­ra­nja ako ima:

1. osiguranu organizaciju rada koja jamči kvalitetu izvođe­nja usluge certificira­nja,

2. financijska i materijalna sredstva koja su dostatna za trajnije izvođe­nje usluge certificira­nja i pokriva­nje mogućih šteta, naknade na ime osigura­nja i slično,

3. osob­lje koje je kvalificirano za izvršava­nje odgovarajućih stručno-tehničkih poslova davate­lja usluga certificira­nja, vođe­nja re­gistra potpisnika i zaštite osobnih podataka,

4. tehničku i programsku osnovicu koja podržava među­narod­ne standarde za provedbu usluge certificira­nja,

5. sustav fizičke zaštite uređaja, opreme i podataka,

6. sigurnosna rješe­nja zaštite od neovlaštenog pristupa i ošteće­nja informacija.

Ministar gospodarstva pravilnikom propisuje vrstu, sadržaj i način dostave dokumentacije o ispu­njava­nju uvjeta iz stavka 1. ovoga članka.

Članak 13.

Davate­lji usluga certificira­nja ne trebaju posebnu dozvolu za obav­lja­nje usluga.

Članak 14.

Ministarstvo gospodarstva (u da­lj­njem tekstu: Ministarstvo) nadležno je za vođe­nje evidencije o davate­ljima usluga certificira­nja.

Članak 15.

Davate­lj usluge certificira­nja mora prijaviti Ministarstvu početak obav­lja­nja usluga certificira­nja najma­nje osam dana prije početka rada.

Uz prijavu iz stavka 1. ovoga članka ili u slučajevima pro­mjena u obav­lja­nju usluge, davate­lj usluge certificira­nja mora dos­taviti Ministarstvu dokumentaciju o internim pravilima poslo­va­nja u svezi s izradom i ovjerom elektroničkih potpisa te o unutar­njoj organizaciji, kao i dokumentaciju kojom dokazuje ispu­njava­nje uvjeta iz članka 12. ovoga Zakona.

Članak 16.

Ministarstvo upisuje davate­lje usluga certificira­nja u Eviden­ciju davate­lja usluga certificira­nja u Republici Hrvatskoj (u da­lj­njem tekstu: evidencija), odmah nakon što davate­lj usluge certifi­cira­nja podnese prijavu kojom obavještava Ministarstvo o početku obav­lja­nja usluga.

Upis u evidenciju ne podliježe vođe­nju upravnog postupka.

Ministar gospodarstva propisat će pravilnikom sadržaj evi­den­cije, način vođe­nja evidencije, kao i obrasce prijave za upis u evidenciju te prijave za upis promjena.

Članak 17.

Davate­lj usluga izdava­nja kvalificiranih certifikata mora ispu­njavati uz uvjete sadržane u članku 12. ovoga Zakona i s­lje­deće uvjete:

1. dokazanu sposobnost sigurne provedbe usluga certificira­nja,

2. osigurane uvjete djelova­nja sigurnog i ažurnog re­gistra potpisnika te provedbu sigurnog i trenutačnog prekida, odnosno opoziva usluge certificira­nja na zahtjev potpisnika,

3. osigurano točno utvrđiva­nje datuma i vremena (sata i minute) izdava­nja ili opoziva certifikata,

4. osiguranu provjeru, na odgovarajući način i u skladu s propisima, identiteta i, ako je potrebno, bilo koja dodatna obi­lježja osobe za koju se izdaje certifikat,

5. zaposleno osob­lje specijalističkog zna­nja i iskustva pot­rebnog za pruža­nje usluga certificira­nja, posebice sa sposobnostima na uprav­ljačkoj razini, stručnosti u primjeni tehnologija elektro­ničkog potpisa i odgovarajućih sigurnosnih procedura, te osiguranu primjenu odgovarajućih administrativnih i uprav­ljačkih postupaka koji odgovaraju priznatim standardima,

6. pouzdane sustave i proizvode koji su zaštićeni od preinaka i osiguravaju tehničku i kriptografsku sigurnost procesa,

7. pouzdane mjere protiv krivotvore­nja, te u slučajevima u kojima generira podatke elektroničkog potpisa, zaštićen i povjer­ljiv proces generira­nja takovih podataka,

8. dostatne financijske resurse za rad u suglasju sa zahtje­vima postav­ljenim za djelova­nje financijskih institucija, posebno rizicima iz odgovornosti za štete (prikladnim osigura­njem za štete),

9. sustav pohrane relevantnih informacija koje se odnose na kvalificirane certifikate za određeno vrijeme, posebno za pruža­nje evidencije certifikata za potrebe određenih postupaka,

10. sigurnosni sustav koji onemogućuje pohra­njiva­nje i kopira­nje podataka za izradu potpisa za osobe u ime kojih se pruža usluga certificira­nja,

11. sustav informira­nja osoba koje traže uslugu certificira­nja o točnim uvjetima korište­nja usluga, uk­ljučujući bilo koja ogra­niče­nja u korište­nju kao i postupaka za rješava­nje pritužbi i žalbi. Takove informacije, koje mogu biti dostav­ljene elektronički, mo­raju biti napisane i priprem­ljene u razum­ljivom obliku na hrvatskom jeziku i latiničnom pismu. Relevantni dijelovi tih informacija moraju također biti raspoloživi na zahtjev trećih osoba koje koriste certifikat,

12. pouzdani sustav pohra­njiva­nja certifikata u obliku koji omogućuje provjeru kako bi:

a. unos i promjene radile samo ovlaštene osobe,

b. informacije mogle biti provjerene za autentifikaciju,

c. certifikat bio javno raspoloživ za pretraživa­nje samo u onim slučajevima za koje je re­gistrirani potpisnik dobio ovlašte­nja,

d. bilo koja tehnička promjena koja bi mogla narušiti sigurnosne zahtjeve bila poznata davate­lju usluge certificira­nja.

Članak 18.

Davate­lj usluga izdava­nja kvalificiranih certifikata obav­lja usluge na teme­lju dozvole koju izdaje Ministarstvo, na zahtjev davate­lja usluge.

Dozvola za izdava­nje kvalificiranih certifikata (u da­lj­njem tekstu: dozvola) ima znače­nje rješe­nja izdanog u upravnom postupku.

Dozvola se izdaje u roku od 15 dana od dana podnoše­nja urednog zahtjeva.

U upravnom postupku za izdava­nje dozvole u pita­njima koja nisu uređena ovim Zakonom primje­njuju se odredbe Zakona o općem upravnom postupku.

Članak 19.

Davate­lji usluga izdava­nja kvalificiranih certifikata kojima je izdana dozvola upisuju se u Re­gistar davate­lja usluga izdava­nja kvalificiranih certifikata u Republici Hrvatskoj (u da­lj­njem tekstu: re­gistar), koji vodi Ministarstvo.

Dozvola mora sadržavati re­gistarski broj pod kojim je davate­lj usluge upisan u re­gistar i datum upisa u re­gistar.

Davate­lj usluge izdava­nja kvalificiranih certifikata može započeti s obav­lja­njem usluge danom upisa u re­gistar.

Ministar gospodarstva propisat će pravilnikom sadržaj i način vođe­nja re­gistra, kao i obrasce zahtjeva za izdava­nje dozvole, s naznakom potrebnih priloga zahtjevu.

Članak 20.

Usluge certificira­nja može obav­ljati i tijelo državne uprave, ako ispu­njava sve uvjete propisane ovim Zakonom i propisima donesenim na teme­lju ovoga Zakona.

Djelokrug, sadržaj i nosite­lji poslova certificira­nja u i za tijela državne uprave utvrđuju se uredbom Vlade Republike Hrvat­ske.

Članak 21.

Usluge certificira­nja u Republici Hrvatskoj mogu obav­ljati samo re­gistrirani, odnosno evidentirani davate­lji usluga certifi­cira­nja.

Davate­lji usluga certificira­nja koji su upisani u re­gistar davate­lja usluga izdava­nja kvalificiranih certifikata mogu tu či­njenicu naznačiti u izdanim kvalificiranim certifikatima.

Članak 22.

Re­gistar davate­lja usluga izdava­nja kvalificiranih certifikata i evidencija davate­lja usluga certificira­nja su javni i vode se u elektroničkom obliku.

Popis davate­lja usluga izdava­nja kvalificiranih certifikata upisanih u re­gistar i popis davate­lja usluga certificira­nja upisanih u evidenciju, kao i izmjene i dopune, objav­ljuju se u »Narodnim novinama«.

IV. PRAVA, OBVEZE I ODGOVORNOSTI POTPISNIKA I DAVATELJA USLUGA CERTIFICIRANJA

Članak 23.

Potpisnici svojevo­ljno određuju davate­lja usluga certificira­nja.

Potpisnik može koristiti usluge certificira­nja od jednog i više davate­lja usluga certificira­nja.

Potpisnici koji to žele, mogu koristiti usluge certificira­nja od davate­lja usluga u inozemstvu.

Potpisnici preuzimaju usluge certificira­nja na teme­lju ugovora s odabranim davate­ljima usluga certificira­nja.

Potpisnici zaposleni u tijelu državne uprave ili kod pravne osobe koja ima javne ovlasti mogu biti isk­ljučeni iz primjene odredaba stavaka 1. do 3. ovoga članka, kada to tijelo, odnosno pravna osoba ima izgrađen vlastiti sustav certificira­nja i izvodi poslove certificira­nja za svoje službenike, odnosno radnike.

Članak 24.

Kvalificirani certifikat može se izdati svakoj osobi na ­njen zahtjev te na osnovi nesum­njivo utvrđenog identiteta i ostalih podrobnijih podataka o osobi za koju se izdaje kvalificirani certifikat.

Davate­lj usluga certificira­nja izdaje certifikat za svakoga pojedinačnog potpisnika na teme­lju ugovora s potpisnikom.

Članak 25.

Svaki potpisnik dužan je poduzeti sve potrebne organiza­cijske i tehničke mjere zaštite od gubitaka i šteta koje može uzrokovati drugim potpisnicima, davate­ljima usluga certificira­nja ili trećim osobama.

Članak 26.

Potpisnik je dužan paž­ljivo koristiti i čuvati sredstva i podatke za izradu elektroničkog potpisa, koristiti sredstva i podatke za izradu elektroničkog potpisa u skladu s odredbama ovoga zakona, zaštititi i čuvati sredstva i podatke za izradu elektroničkog potpisa od neovlaštenog pristupa i uporabe.

Članak 27.

Potpisnik je dužan dostaviti davate­lju usluga certificira­nja sve potrebne podatke i informacije o promjenama koje utječu ili mogu utjecati na točnost elektroničkog potpisa u roku od dva dana od nastalih promjena.

Potpisnik je dužan trenutno zatražiti opoziv svog certifikata u svim slučajevima gubitka ili ošteće­nja sredstava ili podataka za izradu svoga elektroničkog potpisa.

Članak 28.

Potpisnik odgovara za nepravilnosti koje su nastale zbog neispu­njava­nja obveza utvrđenih odredbama članka 25., 26. i 27. ovoga Zakona.

Potpisnik može iznimno biti oslobođen odgovornosti u slučajevima kada može dokazati da oštećena osoba nije poduzela ili je pogrešno poduzela rad­nje vezane za provjeru elektroničkog potpisa.

Članak 29.

Davate­lj usluga certificira­nja ima obvezu:

1. osigurati da svaki kvalificirani certifikat sadrži sve potrebne podatke sukladno članku 11. ovoga Zakona,

2. provesti potpunu provjeru identiteta potpisnika za koje­ga provodi usluge certificira­nja,

3. osigurati točnost i cjelovitost podataka koje unosi u evidenciju izdanih certifikata,

4. u svaki certifikat unijeti osnovne podatke o sebi,

5. omogućiti svakoj zainteresiranoj osobi uvid u identi­fikacijske podatke davate­lja usluga certificira­nja i uvid u dozvolu za izdava­nje kvalificiranih certifikata,

6. voditi ažurno točnu i sigurnosnim mjerama zaštićenu evidenciju certifikata koja mora biti javno dostupna,

7. voditi točnu i sigurnosnim mjerama zaštićenu evidenciju nevažećih certifikata,

8. osigurati vid­ljiv podatak o točnom datumu i vremenu (sat i minuta) izdava­nja odnosno opoziva certifikata u evidenciji izdanih certifikata,

9. čuvati sve podatke i dokumentaciju o izdanim certifi­katima najma­nje 10 godina pri čemu podaci i prateća dokumentacija mogu biti i u elektroničkom obliku,

10. primje­njivati odredbe zakona i drugih propisa kojima je uređena zaštita osobnih podataka.

Članak 30.

Davate­lj usluga certificira­nja dužan je prekinuti uslugu certi­ficira­nja, odnosno izvršiti opoziv certifikata, onim potpisnicima:

1. koji su to izričito zatražili,

2. za koje je utvrđena netočnost ili nepotpunost podataka u evidenciji certifikata,

3. za koje je prim­ljena službena obavijest o smrti,

4. za koje je prim­ljena službena obavijest o gubitku poslovne sposobnosti.

Davate­lj usluga certificira­nja dužan je ažurno voditi eviden­ciju svih opozvanih certifikata.

Davate­lj usluga certificira­nja dužan je obavijestiti potpisnika o opozivu certifikata u roku od 24 sata od prim­ljene obavijesti odnosno nastanka okolnosti zbog koje se certifikat opoziva.

Davate­lj usluga certificira­nja dužan je obavijestiti Ministarstvo o svakom opozivu certifikata odmah, a najkasnije u roku od 24 sata od poslane obavijesti iz stavka 3. ovoga članka.

Članak 31.

Davate­lj usluga certificira­nja koji izdaje kvalificirane certifikate mora čuvati svu dokumentaciju o izdanim i opozvanim certifikatima kao sredstvo dokaziva­nja i verifikacije u sudskim, upravnim i drugim postupcima, u roku od najma­nje 10 godina od ­njihova izdava­nja.

Članak 32.

Davate­lj usluga certificira­nja je dužan:

1. primijeniti organizacijske i tehničke mjere zaštite certifikata i podataka vezanih za potpisnike,

2. primijeniti sigurnosne sustave za pristup evidenciji certifikata i opozvanih certifikata koji će osigurati pristup samo ovlaštenim osobama, koji će moći osigurati provjeru točnosti prijenosa podataka i koji će moći osigurati pravodobni uvid u svaku moguću grešku tehničkih sredstava i opreme,

3. upoznati potpisnika sa svim tehničkim zahtjevima i organizacijskim postupcima  potrebnim za usluge certificira­nja.

Mjere i postupke iz stavka 1. ovoga članka utvrđuje pravilnikom ministar gospodarstva.

Članak 33.

Davate­lj usluga certificira­nja je dužan o prekidu ugovora zbog moguće­g stečaja ili potrebe, odnosno namjere prestanka poslova­nja obavijestiti svakog potpisnika i Ministarstvo najma­nje tri mjeseca prije isteka ugovorom povjerenih mu usluga certifi­cira­nja.

Davate­lj usluge certificira­nja je dužan osigurati kod drugog davate­lja usluga certificira­nja nastavak obav­lja­nja usluga certifi­cira­nja za potpisnike kojima je izdao certifikate, a ukoliko za to nema mogućnosti, dužan je opozvati sve izdane certifikate i o tome odmah obavijestiti Ministarstvo.

Davate­lj usluga certificira­nja koji prekida s obav­lja­njem usluga certificira­nja dužan je dostaviti svu dokumentaciju u svezi s obav­ljenim uslugama certificira­nja drugom davate­lju usluga na koje­ga prenosi obveze s osnove obav­lja­nja usluga certificira­nja, odnosno Ministarstvu ako nema drugog davate­lja usluga.

Ministarstvo mora odmah osigurati izvrše­nje opoziva svih certifikata koje je izdao davate­lj usluga koji je iz bilo kojih razloga prekinuo obav­lja­nje certificira­nja, a nije osigurao nastavak obav­lja­nja kod drugog davate­lja usluga certificira­nja i nije opozvao izdane certifikate.

Članak 34.

Davate­lj usluga certificira­nja mora omogućiti povezanost svoje evidencije izdanih i opozvanih certifikata s drugim davate­ljima usluga certificira­nja uz primjenu raspoložive informacijske tehnologije i uz uporabu tehničkih i programskih sredstava čije je djelova­nje u skladu s važećim međunarodnim normama.

Ministar znanosti i tehnologije, uz prethodno miš­lje­nje ravnate­lja Državnog zavoda za normizaciju i mjerite­ljstvo, pravilnikom utvrđuje tehnička pravila za osigurava­nje povezanosti evidencija izdanih i opozvanih certifikata davate­lja usluga certificira­nja u Republici Hrvatskoj.

Tehnička pravila iz stavka 2. ovoga članka moraju sadržavati trenutno dostupna znanstvena i tehnološka dostignuća te međunarodno prihvaćene norme i ne mogu se donositi na rok duži od dvije godine.

Davate­lj usluga certificira­nja sa sjedištem u inozemstvu

Članak 35.

Usluge certificira­nja mogu obav­ljati i davate­lji usluga certificira­nja sa sjedištem u inozemstvu koji su za te poslove re­gistrirani u jednoj od zema­lja članica Europske unije.

Usluge certificira­nja mogu obav­ljati i davate­lji usluga certifi­cira­nja sa sjedištem u inozemstvu kada ispu­njavaju uvjete propisane ovim Zakonom za izdava­nje kvalificiranih certifikata i kada su upisani u re­gistar davatelja usluga izdava­nja kvalifi­ciranih certifikata.

Kvalificirani certifikati koje su izdali davate­lji usluga certifi­cira­nja sa sjedištem u jednoj od zema­lja članica Europske unije imaju istu pravnu snagu kao i kvalificirani certifikati izdani u Republici Hrvatskoj.

Kvalificirani certifikati koje su izdali davate­lji usluga certi­fici­ra­nja sa sjedištem u inozemstvu izvan Europske unije imaju istu pravnu snagu kao i kvalificirani certifikati izdani u Republici Hrvatskoj:

– ako davate­lj usluga certificira­nja ispu­njava uvjete propisane ovim Zakonom za izdava­nje kvalificiranih certifikata i ako je re­gistriran u Republici Hrvatskoj,

– ako domaći davate­lj usluga koji je upisan u re­gistar davate­lja usluga izdava­nja kvalificiranih certifikata jamči za takav kvalificirani certifikat,

– ako tako određuje bilateralni ili multilateralni sporazum između Republike Hrvatske i drugih zema­lja ili međunarodnih organizacija,

– ako je kvalificirani certifikat ili davate­lj usluga izdava­nja kvalificiranih certifikata priznat na teme­lju bilateralnog ili multi­lateralnog sporazuma između Europske unije i trećih zema­lja ili međunarodnih organizacija.

V. NADZOR

Članak 36.

Inspekcijski nadzor nad radom davate­lja usluga certificira­nja provodi Ministarstvo.

Nadzor nad radom davate­lja usluga certificira­nja u području prikup­lja­nja, uporabe i zaštite osobnih podataka potpisnika mogu provoditi i državna te druga tijela određena zakonom i drugim propisima koji uređuju zaštitu osobnih podataka.

Članak 37.

U okviru inspekcijskog nadzora Ministarstvo nadzire rad re­gistriranih, odnosno evidentiranih davate­lja usluga certificira­nja, te:

– utvrđuje jesu li ispu­njeni uvjeti propisani ovim Zakonom i provedbenim propisima donesenim na teme­lju ovoga Zakona,

– nadzire pravilnost primjene propisanih postupaka i organizacijsko-tehničkih mjera te primjenu internih pravila koja su u svezi s uvjetima propisanima ovim Zakonom i provedbenim propisima donesenim na teme­lju ovoga Zakona.

Ako re­gistrirani, odnosno evidentirani davate­lj usluga certificira­nja ne ispu­njava uvjete propisane ovim Zakonom i provedbenim propisima donesenim na teme­lju ovoga Zakona, državni službenik Ministarstva ovlašten za provedbu inspekcijskog nadzora donosi rješe­nje u upravnom postupku kojim se privremeno zabra­njuje dava­nje usluga certificira­nja.

Članak 38.

Davate­lj usluga certificira­nja je dužan radi provedbe inspek­cijskog nadzora omogućiti državnim službenicima Ministarstva ovlaštenim za provedbu inspekcijskog nadzora neograničen uvid u podatke o poslova­nju, uvid u poslovnu dokumentaciju, pristup re­gistru potpisnika i pridruženoj računalnoj opremi i uređajima.

VI. KAZNENE ODREDBE

Članak 39.

Novčanom kaznom od 2.000,00 do 10.000,00 kuna kaznit će se za prekršaj fizička osoba koja:

– neovlašteno pristupi i uporabi podatke i sredstva za izradu elektroničkog potpisa i naprednoga elektroničkog potpisa.

Članak 40.

Novčanom kaznom od 2.000,00 do 10.000,00 kuna kaznit će se za prekršaj potpisnik, odnosno fizička osoba ili odgovorna osoba pravne osobe koja zastupa potpisnika, a koja:

1. nepaž­ljivo i neodgovorno koristi sredstva i podatke za izradu elektroničkog potpisa (članak 26.),

2. davate­lju usluga certificira­nja u roku ne dostavi potrebne podatke i informacije o promjenama koje utječu ili mogu utjecati na točnost elektroničkog potpisa (članak 27. stavak 1.),

3. davate­lju usluga certificira­nja pravodobno ne dostavi zahtjev za opoziv certifikata (članak 27. stavak 2.).

Članak 41.

Novčanom kaznom od 5.000,00 do 100.000,00 kuna kaznit će se za prekršaj davate­lj usluga certificira­nja koji:

1. izdaje kvalificirani certifikat koji ne sadrži sve potrebne podatke ili sadrži podatke koji nisu predviđeni (članak 11. stavak 2.),

2. ne provodi odgovarajuće zaštitne mjere kojima se onemogućuje neovlašteno pohra­njiva­nje i kopira­nje podatka za izradu elektroničkog potpisa (članak 17. stavak 1. točka 10.).

3. ne obavijesti potpisnika kojem izdaje certifikat o svim bitnim uvjetima uporabe izdanog certifikata (članak 17. stavak 1. točka 11.),

4. ne utvrdi pravova­ljano identitet fizičke ili pravne osobe za koju izdaje kvalificirani certifikat (članak 29. stavak 1. točka 2.),

5. ne vodi ažurno i sigurnosnim mjerama zaštićenu eviden­ciju certifikata i ne omogući ­njihovu javnu dostupnost (članak 29. stavak 1. točka 6.),

6. ne vodi ažurno evidenciju svih opozvanih certifikata (članak 30. stavak 2.),

7. ne obavijesti u propisanom roku potpisnika o izvršenom opozivu certifikata (članak 30. stavak 3.),

8. ne obavijesti u propisanom roku Ministarstvo o izvršenim opozivima certifikata (članak 30. stavak 4.),

9. pravodobno ne obavijesti potpisnike kojima je izdao certifikate i Ministarstvo o mogućem stečaju ili drugim okolnostima koje mogu dovesti do prekida obav­lja­nja usluga certificira­nja (članak 33. stavak 1.).

VII. PRIJELAZNE I ZAKLJUČNE ODREDBE

Članak 42.

Vlada Republike Hrvatske donijet će uredbu iz članka 20. stavak 2. ovoga Zakona u roku od tri mjeseca od dana stupa­nja na snagu ovoga Zakona.

Članak 43.

Ministar gospodarstva donijet će pravilnik iz članka 7. stavka 2., članka 11. stavka 4., članka 12. stavka 2., članka 16. stavka 3., članka 19. stavka 4. i članka 32. stavka 2. ovoga Zakona u roku od tri mjeseca od dana stupa­nja na snagu ovoga Zakona.

Članak 44.

Ministar znanosti i tehnologije donijet će pravilnik iz članka 34. stavka 2. ovoga Zakona u roku od šest mjeseci od dana stupa­nja na snagu ovoga Zakona.

Članak 45.

Ovaj Zakon stupa na snagu osmoga dana od dana objave u »Narodnim novinama«, a primje­njuje se od 1. trav­nja 2002.

Klasa: 650-05/01-01/01
Zagreb, 17. siječ­nja 2002.

HRVATSKI SABOR

Predsjednik
Hrvatskoga sabora
Zlatko Tomčić, v. r.