242
Na temelju članka
88. Ustava Republike Hrvatske, donosim
Proglašavam Zakon o elektroničkom potpisu,
koji je donio Hrvatski sabor na sjednici 17. siječnja 2002.
Broj: 01-081-02-237/2
Zagreb, 24. siječnja 2002.
Predsjednik
Republike Hrvatske
Stjepan Mesić, v. r.
I. OPĆE ODREDBE
Članak
1.
Ovim se Zakonom uređuje pravo fizičkih i pravnih osoba
na uporabu elektroničkog potpisa u upravnim, sudskim i drugim postupcima,
poslovnim i drugim radnjama, te prava, obveze i odgovornosti fizičkih i
pravnih osoba u svezi s davanjem usluga certificiranja elektroničkog potpisa,
ako posebnim zakonom nije drukčije određeno.
Značenje
pojedinih izraza
Članak 2.
Pojedini izrazi koji se rabe u ovom Zakonu
imaju sljedeće značenje:
1. Elektronički potpis – znači skup
podataka u elektroničkom obliku koji su pridruženi ili su logički povezani s
drugim podacima u elektroničkom obliku i koji služe za identifikaciju
potpisnika i vjerodostojnosti potpisanoga elektroničkog dokumenta,
2. Napredan elektronički potpis –
znači elektronički potpis koji pouzdano jamči identitet potpisnika i koji udovoljava
zahtjevima sadržanim u članku 4. ovoga Zakona,
3. Potpisnik – znači osobu koja
posjeduje sredstvo za izradu elektroničkog potpisa kojim se potpisuje, a koja
djeluje u svoje ime ili u ime fizičke ili pravne osobe koju predstavlja,
4. Elektronički zapis – je cjelovit
skup podataka koji su elektronički generirani, poslati, primljeni ili sačuvani
na elektroničkom, magnetnom, optičkom ili drugom mediju. Sadržaj elektroničkog
zapisa uključuje sve oblike pisanog i drugog teksta, podatke, slike i crteže,
karte, zvuk, glazbu, govor, računalne baze podataka,
5. Podaci za izradu elektroničkog
potpisa – znače jedinstvene podatke, poput kodova ili privatnih
kriptografskih ključeva, koje potpisnik koristi za izradu elektroničkog potpisa,
6. Sredstvo za izradu elektroničkog
potpisa – znači odgovarajuću računalnu opremu ili računalni program koji
potpisnik koristi pri izradi elektroničkog potpisa,
7. Sredstvo za izradu naprednoga
elektroničkog potpisa – znači sredstvo za izradu potpisa koje udovoljava
zahtjevima iz članka 9. ovoga Zakona,
8. Podaci za verificiranje
elektroničkog potpisa – znače podatke poput kodova ili javnih
kriptografskih ključeva koji se koriste u svrhu verificiranja (ovjere)
elektroničkog potpisa,
9. Sredstvo za verificiranje potpisa
– znači odgovarajuću računalnu opremu ili računalni program koji se koristi za
primjenu podataka za verificiranje potpisa,
10. Certifikat – znači potvrdu u
elektroničkom obliku koja povezuje podatke za verificiranje elektroničkog
potpisa s nekom osobom i potvrđuje identitet te osobe
11. Kvalificirani certifikat – znači
certifikat koji udovoljava zahtjevima iz članka 11. ovoga Zakona i kojeg
izdaje davatelj usluga izdavanja kvalificiranog certifikata koji ispunjava
uvjete iz članka 17. ovoga Zakona,
12. Davatelj usluga certificiranja
– znači pravnu ili fizičku osobu koja izdaje certifikate ili daje druge usluge
povezane s elektroničkim potpisima,
13. Sredstvo za elektronički potpis – znači
računalnu opremu ili računalni program ili njihove relevantne sastojke koji su
namijenjeni za primjenu od strane davatelja usluga certificiranja za davanje
usluga u vezi s elektroničkim potpisima ili su namijenjeni za primjenu kod
izrade ili verificiranja elektroničkih potpisa.
II. ELEKTRONIČKI
POTPIS I NAPREDAN ELEKTRONIČKI POTPIS
Članak 3.
Elektronički potpis u
smislu ovoga Zakona je skup podataka u elektroničkom obliku koji služe za
identifikaciju potpisnika i potvrdu vjerodostojnosti potpisanoga elektroničkog
zapisa.
Članak 4.
Napredan elektronički
potpis je u smislu ovoga Zakona, elektronički potpis koji:
1. je povezan isključivo
s potpisnikom,
2. nedvojbeno
identificira potpisnika,
3. nastaje korištenjem
sredstava kojima potpisnik može samostalno upravljati i koja su isključivo
pod nadzorom potpisnika,
4. sadržava izravnu
povezanost s podacima na koje se odnosi i to na način koji nedvojbeno omogućava
uvid u bilo koju izmjenu izvornih podataka.
Članak
5.
Napredan elektronički
potpis ima istu pravnu snagu i zamjenjuje vlastoručni potpis, odnosno
vlastoručni potpis i otisak pečata ako je izrađen u skladu s odredbama ovoga
Zakona, te ako su ispunjeni ostali uvjeti propisani ovim Zakonom i propisima
koji su donijeti na temelju ovoga Zakona.
Članak 6.
Ne može se odbiti
prihvaćanje dokumenta samo zbog toga što je sačinjen i izdan u elektroničkom
obliku s elektroničkim potpisom ili naprednim elektroničkim potpisom.
Iznimno, stavak 1.
ovoga članka ne odnosi se na:
1. pravne poslove
kojima se vrši prijenos vlasništva na nekretninama ili se uspostavljaju druga
stvarna prava na nekretninama,
2. oporučne poslove,
3. imovinske
predbračne, odnosno bračne ugovore,
4. opterećenje i
otuđenje imovine za koje je potrebno odobrenje centra za socijalnu skrb,
5. ugovore o predaji
i raspolaganju s imovinom za života,
6. ugovore o
doživotnom uzdržavanju i sporazume u svezi s nasljeđivanjem,
7. darovne ugovore,
8. druge pravne
poslove za koje je posebnim zakonom propisano da se sastavljaju u obliku
javnobilježničkog akta, odnosno isprave,
9. druge pravne poslove ili radnje za koje je posebnim zakonom ili na
temelju zakona donesenim propisom izričito određena uporaba vlastoručnog
potpisa u dokumentima na papiru ili ovjera vlastoručnog potpisa.
Članak
7.
Odredbe iz članka 6.
stavka 1. ovoga Zakona vrijede samo u slučajevima kada su zaštita elektroničkog
potpisa i naprednoga elektroničkog potpisa te provjera identiteta potpisnika
provedeni pomoću postojeće tehnologije od strane potpisnika ili davatelja
usluga certificiranja.
Ministar gospodarstva
propisat će pravilnikom koje se mjere zaštite elektroničkog potpisa i
naprednoga elektroničkog potpisa te mjere provjere identiteta potpisnika moraju
poduzeti prema stavku 1. ovoga članka.
Članak
8.
Elektronički potpis
izrađuje se sredstvima za izradu elektroničkog potpisa.
Napredan elektronički
potpis izrađuje se sredstvima za izradu naprednoga elektroničkog potpisa.
Članak 9.
Sredstvo za izradu
naprednoga elektroničkog potpisa mora osigurati:
1. da se podaci za
izradu naprednoga elektroničkog potpisa mogu pojaviti samo jednom te da je
ostvarena njihova sigurnost,
2. da se podaci za
izradu naprednoga elektroničkog potpisa ne mogu ponoviti te da je potpis
zaštićen od krivotvorenja pri korištenju postojeće raspoložive tehnologije,
3. da podatke za
izradu naprednoga elektroničkog potpisa potpisnik može pouzdano zaštititi
protiv korištenja od strane drugih.
Sredstvo za izradu naprednoga elektroničkog
potpisa ne smije prilikom izrade naprednoga elektroničkog potpisa promijeniti podatke
koji se potpisuju ili onemogućiti potpisniku uvid u te podatke prije procesa
izrade naprednoga elektroničkog potpisa.
III. CERTIFIKATI I
DAVANJE USLUGA CERTIFICIRANJA
Članak 10.
Certifikat je, u
smislu ovoga Zakona, svaka elektronička potvrda kojom se potvrđuje identitet
potpisnika u postupcima razmjene elektroničkih zapisa.
Članak 11.
Kvalificirani
certifikat je, u smislu ovoga Zakona, svaka elektronička potvrda kojom davatelj
usluga izdavanja kvalificiranih certifikata potvrđuje napredni elektronički
potpis.
Kvalificirani
certifikat iz stavka 1. ovoga članka mora sadržavati:
1. oznaku o tome da
se radi o kvalificiranom certifikatu,
2. identifikacijski
skup podataka o osobi koja izdaje certifikat (osobno ime; ime oca ili majke;
nadimak, ako ga osoba ima; datum rođenja; prebivalište, odnosno boravište;
naziv pravne osobe i sjedište, ako certifikat izdaje pravna osoba),
3. identifikacijski
skup podataka o potpisniku (osobno ime, ime oca ili majke, nadimak, ako ga
osoba ima, datum rođenja, prebivalište, odnosno boravište).
4. podatke za
verificiranje elektroničkog potpisa koji odgovaraju podacima za izradu
elektroničkog potpisa koji su pod kontrolom potpisnika,
5. podatke o početku
i kraju važenja certifikata,
6. identifikacijsku
oznaku izdanog certifikata (brojčanu ili drugu oznaku, te datum izdavanja),
7. napredni
elektronički potpis davatelja usluge izdavanja kvalificiranih certifikata,
8. ograničenja
vezana za uporabu certifikata, ako ih ima,
9. ograničenja na
vrijednost poslovnih događaja za koje se daje certifikat, ako ih ima.
Davatelj usluga
izdavanja kvalificiranih certifikata dužan je osigurati rizik od odgovornosti
za štete koje nastanu obavljanjem usluga certificiranja (obvezno osiguranje).
Ministar gospodarstva
pravilnikom utvrđuje najniži iznos osiguranja iz stavka 3. ovoga članka.
Članak 12.
Davatelj usluga
certificiranja može obavljati usluge certificiranja ako ima:
1. osiguranu
organizaciju rada koja jamči kvalitetu izvođenja usluge certificiranja,
2. financijska i
materijalna sredstva koja su dostatna za trajnije izvođenje usluge certificiranja
i pokrivanje mogućih šteta, naknade na ime osiguranja i slično,
3. osoblje koje je
kvalificirano za izvršavanje odgovarajućih stručno-tehničkih poslova davatelja
usluga certificiranja, vođenja registra potpisnika i zaštite osobnih
podataka,
4. tehničku i
programsku osnovicu koja podržava međunarodne standarde za provedbu usluge
certificiranja,
5. sustav fizičke
zaštite uređaja, opreme i podataka,
6. sigurnosna rješenja
zaštite od neovlaštenog pristupa i oštećenja informacija.
Ministar gospodarstva
pravilnikom propisuje vrstu, sadržaj i način dostave dokumentacije o ispunjavanju
uvjeta iz stavka 1. ovoga članka.
Članak 13.
Davatelji usluga
certificiranja ne trebaju posebnu dozvolu za obavljanje usluga.
Članak 14.
Ministarstvo
gospodarstva (u daljnjem tekstu: Ministarstvo) nadležno je za vođenje
evidencije o davateljima usluga certificiranja.
Članak 15.
Davatelj usluge
certificiranja mora prijaviti Ministarstvu početak obavljanja usluga
certificiranja najmanje osam dana prije početka rada.
Uz prijavu iz stavka
1. ovoga članka ili u slučajevima promjena u obavljanju usluge, davatelj
usluge certificiranja mora dostaviti Ministarstvu dokumentaciju o internim
pravilima poslovanja u svezi s izradom i ovjerom elektroničkih potpisa te o
unutarnjoj organizaciji, kao i dokumentaciju kojom dokazuje ispunjavanje
uvjeta iz članka 12. ovoga Zakona.
Članak 16.
Ministarstvo upisuje
davatelje usluga certificiranja u Evidenciju davatelja usluga certificiranja
u Republici Hrvatskoj (u daljnjem tekstu: evidencija), odmah nakon što davatelj
usluge certificiranja podnese prijavu kojom obavještava Ministarstvo o
početku obavljanja usluga.
Upis u evidenciju ne
podliježe vođenju upravnog postupka.
Ministar gospodarstva
propisat će pravilnikom sadržaj evidencije, način vođenja evidencije, kao i
obrasce prijave za upis u evidenciju te prijave za upis promjena.
Članak 17.
Davatelj usluga
izdavanja kvalificiranih certifikata mora ispunjavati uz uvjete sadržane u
članku 12. ovoga Zakona i sljedeće uvjete:
1. dokazanu sposobnost sigurne provedbe usluga
certificiranja,
2. osigurane uvjete djelovanja sigurnog i ažurnog registra
potpisnika te provedbu sigurnog i trenutačnog prekida, odnosno opoziva usluge
certificiranja na zahtjev potpisnika,
3. osigurano točno utvrđivanje datuma i vremena (sata
i minute) izdavanja ili opoziva certifikata,
4. osiguranu provjeru, na odgovarajući način i u
skladu s propisima, identiteta i, ako je potrebno, bilo koja dodatna obilježja
osobe za koju se izdaje certifikat,
5. zaposleno osoblje specijalističkog znanja i
iskustva potrebnog za pružanje usluga certificiranja, posebice sa
sposobnostima na upravljačkoj razini, stručnosti u primjeni tehnologija
elektroničkog potpisa i odgovarajućih sigurnosnih procedura, te osiguranu
primjenu odgovarajućih administrativnih i upravljačkih postupaka koji
odgovaraju priznatim standardima,
6. pouzdane sustave i proizvode koji su zaštićeni od
preinaka i osiguravaju tehničku i kriptografsku sigurnost procesa,
7. pouzdane mjere protiv krivotvorenja, te u
slučajevima u kojima generira podatke elektroničkog potpisa, zaštićen i povjerljiv
proces generiranja takovih podataka,
8. dostatne financijske resurse za rad u suglasju sa
zahtjevima postavljenim za djelovanje financijskih institucija, posebno
rizicima iz odgovornosti za štete (prikladnim osiguranjem za štete),
9. sustav pohrane relevantnih informacija koje se
odnose na kvalificirane certifikate za određeno vrijeme, posebno za pružanje
evidencije certifikata za potrebe određenih postupaka,
10. sigurnosni sustav koji onemogućuje pohranjivanje
i kopiranje podataka za izradu potpisa za osobe u ime kojih se pruža usluga
certificiranja,
11. sustav informiranja osoba koje traže uslugu
certificiranja o točnim uvjetima korištenja usluga, uključujući bilo koja
ograničenja u korištenju kao i postupaka za rješavanje pritužbi i žalbi.
Takove informacije, koje mogu biti dostavljene elektronički, moraju biti
napisane i pripremljene u razumljivom obliku na hrvatskom jeziku i latiničnom
pismu. Relevantni dijelovi tih informacija moraju također biti raspoloživi na
zahtjev trećih osoba koje koriste certifikat,
12. pouzdani sustav pohranjivanja certifikata u
obliku koji omogućuje provjeru kako bi:
a. unos i promjene radile samo ovlaštene osobe,
b. informacije mogle biti provjerene za
autentifikaciju,
c. certifikat bio javno raspoloživ za pretraživanje
samo u onim slučajevima za koje je registrirani potpisnik dobio ovlaštenja,
d. bilo koja tehnička promjena koja bi mogla narušiti
sigurnosne zahtjeve bila poznata davatelju usluge certificiranja.
Članak 18.
Davatelj usluga
izdavanja kvalificiranih certifikata obavlja usluge na temelju dozvole koju
izdaje Ministarstvo, na zahtjev davatelja usluge.
Dozvola za izdavanje kvalificiranih certifikata (u daljnjem
tekstu: dozvola) ima značenje rješenja izdanog u upravnom postupku.
Dozvola se izdaje u roku od 15 dana od dana podnošenja
urednog zahtjeva.
U upravnom postupku za izdavanje dozvole u pitanjima
koja nisu uređena ovim Zakonom primjenjuju se odredbe Zakona o općem upravnom
postupku.
Članak 19.
Davatelji usluga izdavanja kvalificiranih certifikata
kojima je izdana dozvola upisuju se u Registar davatelja usluga izdavanja
kvalificiranih certifikata u Republici Hrvatskoj (u daljnjem tekstu: registar),
koji vodi Ministarstvo.
Dozvola mora sadržavati registarski broj pod kojim je
davatelj usluge upisan u registar i datum upisa u registar.
Davatelj usluge izdavanja kvalificiranih certifikata
može započeti s obavljanjem usluge danom upisa u registar.
Ministar gospodarstva propisat će pravilnikom sadržaj
i način vođenja registra, kao i obrasce zahtjeva za izdavanje dozvole, s
naznakom potrebnih priloga zahtjevu.
Članak 20.
Usluge certificiranja može obavljati i tijelo
državne uprave, ako ispunjava sve uvjete propisane ovim Zakonom i propisima
donesenim na temelju ovoga Zakona.
Djelokrug, sadržaj i nositelji poslova certificiranja
u i za tijela državne uprave utvrđuju se uredbom Vlade Republike Hrvatske.
Članak 21.
Usluge certificiranja u Republici Hrvatskoj mogu obavljati
samo registrirani, odnosno evidentirani davatelji usluga certificiranja.
Davatelji usluga certificiranja koji su upisani u registar
davatelja usluga izdavanja kvalificiranih certifikata mogu tu činjenicu
naznačiti u izdanim kvalificiranim certifikatima.
Članak 22.
Registar davatelja usluga izdavanja kvalificiranih
certifikata i evidencija davatelja usluga certificiranja su javni i vode se u
elektroničkom obliku.
Popis davatelja usluga izdavanja kvalificiranih
certifikata upisanih u registar i popis davatelja usluga certificiranja upisanih
u evidenciju, kao i izmjene i dopune, objavljuju se u »Narodnim novinama«.
IV. PRAVA, OBVEZE
I ODGOVORNOSTI POTPISNIKA I DAVATELJA USLUGA CERTIFICIRANJA
Članak 23.
Potpisnici svojevoljno
određuju davatelja usluga certificiranja.
Potpisnik može koristiti
usluge certificiranja od jednog i više davatelja usluga certificiranja.
Potpisnici koji to
žele, mogu koristiti usluge certificiranja od davatelja usluga u inozemstvu.
Potpisnici preuzimaju
usluge certificiranja na temelju ugovora s odabranim davateljima usluga
certificiranja.
Potpisnici zaposleni u tijelu državne uprave ili kod
pravne osobe koja ima javne ovlasti mogu biti isključeni iz primjene odredaba
stavaka 1. do 3. ovoga članka, kada to tijelo, odnosno pravna osoba ima
izgrađen vlastiti sustav certificiranja i izvodi poslove certificiranja za
svoje službenike, odnosno radnike.
Članak 24.
Kvalificirani certifikat može se izdati svakoj osobi
na njen zahtjev te na osnovi nesumnjivo utvrđenog identiteta i ostalih
podrobnijih podataka o osobi za koju se izdaje kvalificirani certifikat.
Davatelj usluga certificiranja izdaje certifikat za
svakoga pojedinačnog potpisnika na temelju ugovora s potpisnikom.
Članak 25.
Svaki potpisnik dužan je poduzeti sve potrebne
organizacijske i tehničke mjere zaštite od gubitaka i šteta koje može
uzrokovati drugim potpisnicima, davateljima usluga certificiranja ili trećim
osobama.
Članak 26.
Potpisnik je dužan pažljivo koristiti i čuvati
sredstva i podatke za izradu elektroničkog potpisa, koristiti sredstva i
podatke za izradu elektroničkog potpisa u skladu s odredbama ovoga zakona,
zaštititi i čuvati sredstva i podatke za izradu elektroničkog potpisa od
neovlaštenog pristupa i uporabe.
Članak 27.
Potpisnik je dužan dostaviti davatelju usluga certificiranja
sve potrebne podatke i informacije o promjenama koje utječu ili mogu utjecati
na točnost elektroničkog potpisa u roku od dva dana od nastalih promjena.
Potpisnik je dužan trenutno zatražiti opoziv svog
certifikata u svim slučajevima gubitka ili oštećenja sredstava ili podataka za
izradu svoga elektroničkog potpisa.
Članak 28.
Potpisnik odgovara za nepravilnosti koje su nastale
zbog neispunjavanja obveza utvrđenih odredbama članka 25., 26. i 27. ovoga
Zakona.
Potpisnik može iznimno biti oslobođen odgovornosti u
slučajevima kada može dokazati da oštećena osoba nije poduzela ili je pogrešno
poduzela radnje vezane za provjeru elektroničkog potpisa.
Članak 29.
Davatelj usluga certificiranja ima obvezu:
1. osigurati da svaki kvalificirani certifikat sadrži
sve potrebne podatke sukladno članku 11. ovoga Zakona,
2. provesti potpunu provjeru identiteta potpisnika za
kojega provodi usluge certificiranja,
3. osigurati točnost i cjelovitost podataka koje unosi
u evidenciju izdanih certifikata,
4. u svaki certifikat unijeti osnovne podatke o sebi,
5. omogućiti svakoj zainteresiranoj osobi uvid u
identifikacijske podatke davatelja usluga certificiranja i uvid u dozvolu za
izdavanje kvalificiranih certifikata,
6. voditi ažurno
točnu i sigurnosnim mjerama zaštićenu evidenciju certifikata koja mora biti
javno dostupna,
7. voditi točnu i
sigurnosnim mjerama zaštićenu evidenciju nevažećih certifikata,
8. osigurati vidljiv
podatak o točnom datumu i vremenu (sat i minuta) izdavanja odnosno opoziva
certifikata u evidenciji izdanih certifikata,
9. čuvati sve podatke
i dokumentaciju o izdanim certifikatima najmanje 10 godina pri čemu podaci i
prateća dokumentacija mogu biti i u elektroničkom obliku,
10. primjenjivati
odredbe zakona i drugih propisa kojima je uređena zaštita osobnih podataka.
Članak 30.
Davatelj usluga
certificiranja dužan je prekinuti uslugu certificiranja, odnosno izvršiti
opoziv certifikata, onim potpisnicima:
1. koji su to
izričito zatražili,
2. za koje je
utvrđena netočnost ili nepotpunost podataka u evidenciji certifikata,
3. za koje je primljena
službena obavijest o smrti,
4. za koje je primljena
službena obavijest o gubitku poslovne sposobnosti.
Davatelj usluga
certificiranja dužan je ažurno voditi evidenciju svih opozvanih certifikata.
Davatelj usluga
certificiranja dužan je obavijestiti potpisnika o opozivu certifikata u roku
od 24 sata od primljene obavijesti odnosno nastanka okolnosti zbog koje se
certifikat opoziva.
Davatelj usluga
certificiranja dužan je obavijestiti Ministarstvo o svakom opozivu certifikata
odmah, a najkasnije u roku od 24 sata od poslane obavijesti iz stavka 3. ovoga
članka.
Članak 31.
Davatelj usluga
certificiranja koji izdaje kvalificirane certifikate mora čuvati svu
dokumentaciju o izdanim i opozvanim certifikatima kao sredstvo dokazivanja i
verifikacije u sudskim, upravnim i drugim postupcima, u roku od najmanje 10
godina od njihova izdavanja.
Članak 32.
Davatelj usluga certificiranja je dužan:
1. primijeniti organizacijske i tehničke mjere zaštite
certifikata i podataka vezanih za potpisnike,
2. primijeniti sigurnosne sustave za pristup
evidenciji certifikata i opozvanih certifikata koji će osigurati pristup samo
ovlaštenim osobama, koji će moći osigurati provjeru točnosti prijenosa podataka
i koji će moći osigurati pravodobni uvid u svaku moguću grešku tehničkih
sredstava i opreme,
3. upoznati potpisnika sa svim tehničkim zahtjevima i
organizacijskim postupcima potrebnim za
usluge certificiranja.
Mjere i postupke iz stavka 1. ovoga članka utvrđuje
pravilnikom ministar gospodarstva.
Članak 33.
Davatelj usluga certificiranja je dužan o prekidu
ugovora zbog mogućeg stečaja ili potrebe, odnosno namjere prestanka poslovanja
obavijestiti svakog potpisnika i Ministarstvo najmanje tri mjeseca prije
isteka ugovorom povjerenih mu usluga certificiranja.
Davatelj usluge
certificiranja je dužan osigurati kod drugog davatelja usluga certificiranja
nastavak obavljanja usluga certificiranja za potpisnike kojima je izdao
certifikate, a ukoliko za to nema mogućnosti, dužan je opozvati sve izdane
certifikate i o tome odmah obavijestiti Ministarstvo.
Davatelj usluga certificiranja koji prekida s obavljanjem
usluga certificiranja dužan je dostaviti svu dokumentaciju u svezi s obavljenim
uslugama certificiranja drugom davatelju usluga na kojega prenosi obveze s
osnove obavljanja usluga certificiranja, odnosno Ministarstvu ako nema
drugog davatelja usluga.
Ministarstvo mora odmah osigurati izvršenje opoziva
svih certifikata koje je izdao davatelj usluga koji je iz bilo kojih razloga
prekinuo obavljanje certificiranja, a nije osigurao nastavak obavljanja
kod drugog davatelja usluga certificiranja i nije opozvao izdane certifikate.
Članak 34.
Davatelj usluga certificiranja mora omogućiti
povezanost svoje evidencije izdanih i opozvanih certifikata s drugim davateljima
usluga certificiranja uz primjenu raspoložive informacijske tehnologije i uz
uporabu tehničkih i programskih sredstava čije je djelovanje u skladu s
važećim međunarodnim normama.
Ministar znanosti i tehnologije, uz prethodno mišljenje
ravnatelja Državnog zavoda za normizaciju i mjeriteljstvo, pravilnikom
utvrđuje tehnička pravila za osiguravanje povezanosti evidencija izdanih i
opozvanih certifikata davatelja usluga certificiranja u Republici Hrvatskoj.
Tehnička pravila iz stavka 2. ovoga članka moraju
sadržavati trenutno dostupna znanstvena i tehnološka dostignuća te međunarodno
prihvaćene norme i ne mogu se donositi na rok duži od dvije godine.
Davatelj
usluga certificiranja sa sjedištem u inozemstvu
Članak 35.
Usluge certificiranja
mogu obavljati i davatelji usluga certificiranja sa sjedištem u inozemstvu
koji su za te poslove registrirani u jednoj od zemalja članica Europske
unije.
Usluge certificiranja mogu obavljati i davatelji
usluga certificiranja sa sjedištem u inozemstvu kada ispunjavaju uvjete
propisane ovim Zakonom za izdavanje kvalificiranih certifikata i kada su
upisani u registar davatelja usluga izdavanja kvalificiranih certifikata.
Kvalificirani certifikati koje su izdali davatelji
usluga certificiranja sa sjedištem u jednoj od zemalja članica Europske
unije imaju istu pravnu snagu kao i kvalificirani certifikati izdani u Republici
Hrvatskoj.
Kvalificirani certifikati koje su izdali davatelji
usluga certificiranja sa sjedištem u inozemstvu izvan Europske unije imaju
istu pravnu snagu kao i kvalificirani certifikati izdani u Republici Hrvatskoj:
– ako davatelj usluga certificiranja ispunjava
uvjete propisane ovim Zakonom za izdavanje kvalificiranih certifikata i ako je
registriran u Republici Hrvatskoj,
– ako domaći davatelj usluga koji je upisan u registar
davatelja usluga izdavanja kvalificiranih certifikata jamči za takav
kvalificirani certifikat,
– ako tako određuje bilateralni ili multilateralni
sporazum između Republike Hrvatske i drugih zemalja ili međunarodnih
organizacija,
– ako je
kvalificirani certifikat ili davatelj usluga izdavanja kvalificiranih certifikata
priznat na temelju bilateralnog ili multilateralnog sporazuma između Europske
unije i trećih zemalja ili međunarodnih organizacija.
V. NADZOR
Članak 36.
Inspekcijski nadzor nad radom davatelja usluga
certificiranja provodi Ministarstvo.
Nadzor nad radom davatelja usluga certificiranja u
području prikupljanja, uporabe i zaštite osobnih podataka potpisnika mogu
provoditi i državna te druga tijela određena zakonom i drugim propisima koji
uređuju zaštitu osobnih podataka.
Članak 37.
U okviru inspekcijskog
nadzora Ministarstvo nadzire rad registriranih, odnosno evidentiranih davatelja
usluga certificiranja, te:
– utvrđuje jesu li ispunjeni uvjeti propisani ovim
Zakonom i provedbenim propisima donesenim na temelju ovoga Zakona,
– nadzire pravilnost primjene propisanih postupaka i
organizacijsko-tehničkih mjera te primjenu internih pravila koja su u svezi s
uvjetima propisanima ovim Zakonom i provedbenim propisima donesenim na temelju
ovoga Zakona.
Ako registrirani, odnosno evidentirani davatelj
usluga certificiranja ne ispunjava uvjete propisane ovim Zakonom i
provedbenim propisima donesenim na temelju ovoga Zakona, državni službenik
Ministarstva ovlašten za provedbu inspekcijskog nadzora donosi rješenje u
upravnom postupku kojim se privremeno zabranjuje davanje usluga certificiranja.
Članak 38.
Davatelj usluga certificiranja je dužan radi
provedbe inspekcijskog nadzora omogućiti državnim službenicima Ministarstva
ovlaštenim za provedbu inspekcijskog nadzora neograničen uvid u podatke o
poslovanju, uvid u poslovnu dokumentaciju, pristup registru potpisnika i
pridruženoj računalnoj opremi i uređajima.
VI. KAZNENE ODREDBE
Članak 39.
Novčanom kaznom od 2.000,00 do 10.000,00 kuna kaznit
će se za prekršaj fizička osoba koja:
– neovlašteno pristupi i uporabi podatke i sredstva za
izradu elektroničkog potpisa i naprednoga elektroničkog potpisa.
Članak 40.
Novčanom kaznom od 2.000,00 do 10.000,00 kuna kaznit
će se za prekršaj potpisnik, odnosno fizička osoba ili odgovorna osoba pravne
osobe koja zastupa potpisnika, a koja:
1. nepažljivo i neodgovorno koristi sredstva i
podatke za izradu elektroničkog potpisa (članak 26.),
2. davatelju usluga certificiranja u roku ne dostavi
potrebne podatke i informacije o promjenama koje utječu ili mogu utjecati na
točnost elektroničkog potpisa (članak 27. stavak 1.),
3. davatelju usluga certificiranja pravodobno ne
dostavi zahtjev za opoziv certifikata (članak 27. stavak 2.).
Članak 41.
Novčanom kaznom od 5.000,00 do 100.000,00 kuna kaznit
će se za prekršaj davatelj usluga certificiranja koji:
1. izdaje
kvalificirani certifikat koji ne sadrži sve potrebne podatke ili sadrži podatke
koji nisu predviđeni (članak 11. stavak 2.),
2. ne provodi
odgovarajuće zaštitne mjere kojima se onemogućuje neovlašteno pohranjivanje i
kopiranje podatka za izradu elektroničkog potpisa (članak 17. stavak 1. točka
10.).
3. ne obavijesti
potpisnika kojem izdaje certifikat o svim bitnim uvjetima uporabe izdanog
certifikata (članak 17. stavak 1. točka 11.),
4. ne utvrdi pravovaljano
identitet fizičke ili pravne osobe za koju izdaje kvalificirani certifikat
(članak 29. stavak 1. točka 2.),
5. ne vodi ažurno i
sigurnosnim mjerama zaštićenu evidenciju certifikata i ne omogući njihovu
javnu dostupnost (članak 29. stavak 1. točka 6.),
6. ne vodi ažurno
evidenciju svih opozvanih certifikata (članak 30. stavak 2.),
7. ne obavijesti u
propisanom roku potpisnika o izvršenom opozivu certifikata (članak 30. stavak
3.),
8. ne obavijesti u
propisanom roku Ministarstvo o izvršenim opozivima certifikata (članak 30.
stavak 4.),
9. pravodobno ne
obavijesti potpisnike kojima je izdao certifikate i Ministarstvo o mogućem
stečaju ili drugim okolnostima koje mogu dovesti do prekida obavljanja usluga
certificiranja (članak 33. stavak 1.).
VII. PRIJELAZNE I ZAKLJUČNE ODREDBE
Članak 42.
Vlada Republike
Hrvatske donijet će uredbu iz članka 20. stavak 2. ovoga Zakona u roku od tri
mjeseca od dana stupanja na snagu ovoga Zakona.
Članak 43.
Ministar gospodarstva
donijet će pravilnik iz članka 7. stavka 2., članka 11. stavka 4., članka 12.
stavka 2., članka 16. stavka 3., članka 19. stavka 4. i članka 32. stavka 2.
ovoga Zakona u roku od tri mjeseca od dana stupanja na snagu ovoga Zakona.
Članak 44.
Ministar znanosti i
tehnologije donijet će pravilnik iz članka 34. stavka 2. ovoga Zakona u roku od
šest mjeseci od dana stupanja na snagu ovoga Zakona.
Članak 45.
Ovaj Zakon stupa na
snagu osmoga dana od dana objave u »Narodnim novinama«, a primjenjuje se od 1.
travnja 2002.
Klasa: 650-05/01-01/01
Zagreb, 17. siječnja 2002.
HRVATSKI SABOR
Predsjednik
Hrvatskoga sabora
Zlatko Tomčić, v. r.