Pravilnik o evidenciji davatelja usluga certifiiciranja u Republici Hrvatskoj

NN 107/2010 (13.9.2010.), Pravilnik o evidenciji davatelja usluga certifiiciranja u Republici Hrvatskoj

MINISTARSTVO GOSPODARSTVA, RADA I PODUZETNIŠTVA

2863

Na temelju članka 16. stavka 5. Zakona o elektroničkom potpisu (»Narodne novine«, br. 10/02 i 80/08), ministar gospodarstva, rada i poduzetništva donosi

PRAVILNIK

O EVIDENCIJI DAVATELJA USLUGA CERTIFICIRANJA U REPUBLICI HRVATSKOJ

I. OPĆE ODREDBE

Sadržaj Pravilnika

Članak 1.

Ovim Pravilnikom propisuje se sadržaj i način dostave prijave o početku obavljanja usluga certificiranja, koje uključuju i usluge izdavanja kvalificiranih certifikata, vremenskih žigova i naprednih vremenskih žigova (za elektroničke zapise, elektroničke potpise, napredne elektroničke potpise), od strane pravne i fizičke osobe koja namjerava obavljati usluge certificiranja u Republici Hrvatskoj, postupak upisa u Evidenciju davatelja usluga certificiranja u Republici Hrvatskoj (u daljnjem tekstu: Evidencija), sadržaj i način vođenja Evidencije, postupak prijave i upisa promjena podataka u Evidenciji, obrasci prijave za upis u Evidenciju i prijave za upis promjena, te postupak objave podataka iz Evidencije.

Članak 2.

U smislu ovoga Pravilnika pojedini pojmovi imaju sljedeća značenja:

– Davatelj usluga certificiranja koji izdaje kvalificirane certifikate (u daljnjem tekstu: kvalificirani davatelj)- pravna osoba ili fizička osoba davatelj usluga certificiranja koji izdaje kvalificirane certifikate kojima potvrđuje napredne elektroničke potpise i/ili napredne vremenske žigove;

– Napredni vremenski žig – elektronički potpisana potvrda davatelja usluga certificiranja koja ispunjava uvjete za napredan elektronički potpis, a sadrži nedvosmislen i najmanje do u sekundu točan podatak o datumu i vremenu potvrđivanja sadržaja podataka (potpisanog naprednim elektroničkim potpisom), te o davatelju usluga certificiranja koji potvrđuje naprednim vremenskim žigom;

II. PRIJAVA I UPIS U EVIDENCIJU

Postupak i sadržaj prijave

Članak 3.

(1) Davatelj usluga certificiranja prije početka obavljanja usluga certificiranja u Republici Hrvatskoj ministarstvu nadležnom za gospodarstvo (u daljnjem tekstu: Ministarstvo) podnosi prijavu za upis u Evidenciju na obrascu, koji se nalazi u Prilogu 1. ovoga Pravilnika i njegov je sastavni dio.

(2) Prijava mora biti odgovarajuće potpisana i ovjerena pečatom od strane odgovorne osobe davatelja usluge certificiranja i mora biti dostavljena u izvorniku.

(3) Za više vrsta usluga certificiranja nije potrebno podnositi više prijava.

Članak 4.

(1) Prijavu za upis u Evidenciju podnosi davatelj usluga certificiranja ili njegov ovlašteni zastupnik najmanje osam dana prije početka obavljanja usluga certificiranja.

(2) Prijava za upis u evidenciju smatrat će se podnesenom tek kada udovoljava uvjetima iz članka 11. stavka 1.

(2) Potvrda o primitku ne podrazumijeva kontrolu ili potvrdu urednosti sadržaja prijava.

Članak 5.

Ministarstvo može objaviti sadržaj, oblik i format prihvatljivog zapisa elektroničkog oblika strukturiranog obrasca i sadržaja prijave za upis u Evidenciju uz tehnološko rješenje kojim se osigurava pristup sadržaju kroz elektroničku komunikacijsku mrežu s raspoloživom i u javnosti prihvatljivim tehnologijama primjenom dostupnih računalnih programa i opreme na svojoj web-stranici.

Članak 6.

(1) Davatelj usluga certificiranja u prijavi o početku obavljanja usluga certificiranja u Republici Hrvatskoj mora navesti sljedeće:

1. opće podatke o davatelju usluga certificiranja (naziv tvrtke, prezime i ime obrtnika, matični broj/osobni identifikacijski broj davatelja usluga, djelatnost)

2. opće podatke o odgovornoj osobi, ovlaštenim predstavnicima ili zastupnicima, vlasniku – suvlasnicima (stručna sprema odgovorne osobe, specijalnost u struci, iskustvo u struci)

3. dokaze o ispunjenosti uvjeta propisanih Zakonom o elektroničkom potpisu (u daljnjem tekstu: Zakon) i podzakonskim aktima.

(2) Podaci iz stavka 1. točke 1. i 2. ovoga članka upisuju se u obrazac prijave za upis u Evidenciju (Prilog 1. ovoga Pravilnika).

(3) Davatelj usluga kvalificiranih certifikata pored podataka iz stavka 1., točaka 1. – 3., dostavlja i dokaz o kakvoći poslovanja ili garanciju strukovne organizacije ili udruge s ovlastima izdavanja garancija.

Članak 7.

Uz obrazac prijave za upis u Evidenciju, davatelj usluga certificiranja mora u svrhu dokazivanja ispunjavanja uvjeta iz članka 6. stavka 1. točke 3. ovoga Pravilnika, kao i u slučaju promjena u obavljanju tih usluga, Ministarstvu dostaviti sljedeće:

1. interni Pravilnik o postupcima certificiranja (o načinima i postupcima pružanja usluga certificiranja, te tehničkoj infrastrukturi) i Opća pravila davanja usluga certificiranja i/ili Opća pravila davanja usluga ugradnje vremenskog žiga;

2. ispravu o unutarnjoj organizaciji; (npr. statut, akt o osnivanju, obrtnica i dr.)

3. opis tehničke i programske osnovice i sustava fizičke zaštite uređaja, opreme i podataka;

4. opis sigurnosnih rješenja zaštite od neovlaštenog pristupa sustavu i podacima te zaštite integriteta podataka i tajnosti informacija;

5. popis osoblja koje izvršava stručno-tehničke poslove davanja usluga certificiranja, vođenja baza podataka i upravljanja informacijskim sustavom s naznačenim podacima o stručnoj osposobljenosti i radnom statusu.

6. izjava odgovorne osobe pod moralnom i materijalnom odgovornošću da su podaci iz točaka 1-5. ovog članka istiniti.

Članak 8.

Davatelj usluga certificiranja koji obavlja usluge izdavanja kvalificiranih certifikata i naprednog vremenskog žiga (kvalificirani davatelj usluga certificiranja) mora, uz isprave iz članka 7. ovoga Pravilnika, dostaviti i sljedeće:

1. ispravu o politici poslovanja (podatke o trgovačkom društvu ili obrtniku kojima se pobliže opisuje dosadašnja djelatnost, reference, tržišna snaga i kvaliteta djelovanja) i vlasničkim odnosima (npr. izvod iz knjige udjela, obrtnica i dr.)

2. Posebna unutarnja pravila o postupcima izdavanja kvalificiranih certifikata i zaštite sustava certificiranja i dopunska unutarnja pravila kojima se osigurava ispravno provođenje zaštitnih i sigurnosnih mjera u sustavu certificiranja;

3. Opća pravila davanja usluga ugradnje naprednog vremenskog žiga;

4. opis sustava fizičke i tehničke zaštite uređaja, opreme i podataka sukladno odredbama Zakona kroz interni Pravilnik o provođenju zaštite sustava certificiranja;

5. opis sigurnosnih rješenja zaštite od neovlaštenog pristupa informacijama;

6. popis i preslike potvrda o stručnoj spremi osoblja koje izvršava stručno – tehničke i organizacijske te upravljačke poslove u sustavu usluga certificiranja i vođenja registra potpisnika;

7. presliku police obveznog osiguranja od odgovornosti za štete u iznosu propisanom pravilnikom kojim se uređuje izrada elektroničkog potpisa, uporaba sredstava za izradu elektroničkog potpisa, opći i posebni uvjeti poslovanja za davatelje usluga izdavanja vremenskog žiga i certifikata;

8. ispravu koja dokazuje kvalitetu i stručnosti podnositelja zahtjeva (ISO certifikat, strukovna licenca u području informacijske i komunikacijske tehnologije ili akreditacijska isprava);

9. izjava odgovorne osobe pod moralnom i materijalnom odgovornošću da su podaci iz točaka 1.-8. ovog članka istiniti.

Članak 9.

Isprave iz članka 7. i članka 8. ovoga Pravilnika priložene uz prijavu za upis u Evidenciju ostaju u Ministarstvu, ne objavljuju se i čuvaju se sukladno propisima o zaštiti arhivskog gradiva.

Davatelji usluga certificiranja sa sjedištem u inozemstvu

Članak 10.

(1) Davatelji usluga certificiranja sa sjedištem u inozemstvu iz članka 35. Zakona podnose prijavu za upis u Evidenciju sukladno odredbama iz članka 3. do članka 9. ovoga Pravilnika.

(2) Prijava mora biti na hrvatskom jeziku, a priložene isprave moraju biti u izvorniku ili ovjerenom prijepisu i ovjerenom prijevodu na hrvatski jezik.

Postupak po prijavi i upis u Evidenciju

Članak 11.

(1) Uredna prijava je prijava koja sadrži sve podatke i sve isprave propisane člancima 6., 7. i 8. ovoga Pravilnika.

(2) Ministarstvo će odmah po primitku uredne prijave upisati davatelja usluga certificiranja u Evidenciju.

(3) Ako je podnijeta neuredna prijava, kojoj nedostaje neki podatak i/ili isprava propisana člancima 6., 7. i 8. ovoga Pravilnika, Ministarstvo će pozvati prijavitelja da u roku od 8 dana podnese nedostajući podatak i/ili isprava.

(4) Ako podnositelj prijave u određenom roku ne postupi po pozivu Ministarstva, smatrat će se da prijava nije niti podnesena, te će se odbaciti.

Promjene u obavljanju usluga

Članak 12.

(1) U slučaju nastanka promjene podatka iz prijave davatelja usluga certificiranja, koji je upisan u Evidenciju, kao i promjene uvjeta za obavljanje certificiranja, nastale izmjene i dopune podataka ili uvjeta iz Evidencije moraju se prijaviti Ministarstvu u roku od 24 sata od trenutka nastanka promjene.

(2) Prijavu izmjena i dopuna podataka ili uvjeta iz Evidencije podnosi davatelj usluga certificiranja ili njegov ovlašteni zastupnik u papirnatom obliku na propisanom obrascu, koji se nalazi u Prilogu 2. ovoga Pravilnika, koji je njegov sastavni dio.

(3) Ministarstvo može objaviti sadržaj, oblik i format prihvatljivog zapisa elektroničkog oblika strukturiranog obrasca i sadržaja prijave za upis promjena odnosno dopunu podataka ili uvjeta u Evidenciji uz tehnološko rješenje kojim se osigurava pristup sadržaju kroz elektroničku komunikacijsku mrežu s raspoloživom i u javnosti prihvatljivim tehnologijama primjenom dostupnih računalnih programa i opreme na svojoj web-stranici.

Članak 13.

(1) Uredna prijava izmjena i dopuna podataka ili uvjeta upisanih u Evidenciju je prijava koja sadrži odgovarajuće isprave i podatke iz članaka 6., 7. i 8. ovoga Pravilnika, a vezano uz podatke upisane u sadržaj Evidencije.

(2) U pogledu neuredne prijave izmjene i dopune podataka ili uvjeta iz Evidencije, postupit će se sukladno članku 11. stavku 3. i stavku 4. ovoga Pravilnika.

(3) Na temelju podnesene uredne prijave o izmjenama i dopunama podataka ili uvjeta upisanih u Evidenciju, Ministarstvo mijenja podatke u Evidenciji.

(4) Promjena i dopuna podataka upisanih u Evidenciju mora biti izvedena na način da se prethodni podaci u Evidenciji ne brišu, nego se označavaju kao arhivski podaci s naznakom datuma do kada su važili.

(5) Ukoliko Ministarstvo na temelju podnesene prijave o izmjenama i dopunama zaključi da davatelj usluga certificiranja više ne ispunjava uvjete za izdavanje kvalificiranog certifikata iz odredaba Zakona, Ministarstvo će to posebno istaknuti u Evidenciji.

(6) Podatke o izmjenama i dopunama Ministarstvo će upisati u svoju Evidenciju odmah po primitku uredne prijave izmjena i dopuna.

III. VOĐENJE EVIDENCIJE

Sadržaj Evidencije

Članak 14.

(1) Evidencija se vodi u elektroničkom obliku.

(2) U Evidenciju za svakog pojedinačnog davatelja usluga certificiranja i kvalificiranog davatelja usluga certificiranja upisuju se odgovarajući sljedeći podaci:

1. Evidencijski broj koji sadrži redni broj upisa dopunjen datumom upisa i oznakom vrste certifikata u obliku: HR oznaka, oznaka vrste certifikata koje izdaje: godina-mjesec-dan-redni broj upisa ((HR-XX(X)-XXXX-XX-XX-X(XXX) npr. HR-QC-2009-07-11-1 ili HR-QTS-2009-07-11-2);

2. Vrste certifikata koje se izdaju (certifikat – C, kvalificirani certifikat-QC, vremenski žig – TS, napredan vremenski žig – QTS) i status usluge (aktivan/neaktivan, u skladu, nije u skladu, isteklo, opozvani svi certifikati, suspendirane usluge);

3. Naziv davatelja usluga certificiranja;

4. Adresa davatelja usluga certificiranja;

5. Osobni identifikacijski broj davatelja usluga certificiranja ili matični broj poslovnog subjekta ili matični broj obrta odnosno jedinstveni matični broj građana

6. Ime i prezime ovlaštene(ih) osoba za zastupanje davatelja usluga certificiranja;

7. Osnovna djelatnost;

8. Elektronička adresa davatelja usluga certificiranja;

9. Broj telefona;

10. Broj faksa;

11. Elektronička adresa i telefonski brojevi službe za odnose sa strankama;

12. Datum upisa u Evidenciju;

13. Datum promjene ili dopune Evidencije;

14. Datum prestanka obavljanja usluge certificiranja i opoziva svih certifikata za koje evidentirani davatelj usluga nije osigurao nastavak obavljanja kod drugog davatelja usluga certificiranja (lista opozvanih certifikata sukladna propisu koji uređuje uvjete povezivanja sustava certificiranja elektroničkog potpisa);

15. Datum brisanja iz Evidencije ili oznaka da ne ispunjava uvjete iz odredbi Zakona za izdavanje kvalificiranih certifikata i naprednih vremenskih žigova, odnosno oznaka da se kod odnosnog pružatelja usluge radi o arhivskim podacima koji su vrijedili do datuma upisa promjena za sve ili neke vrste usluga;

16. Oznaka o dobrovoljnoj akreditiranosti davatelja usluga certificiranja, ako je dostavljen dokaz o upisu ili o brisanju iz Registra akreditiranih davatelja usluga certificiranja;

17. Granica vrijednosti transakcija za koje kvalificirani davatelj usluga certificiranja odgovara i oznaka poslovne banke u kojoj vodi poslovni račun;

18. Popis normi koje davatelj usluge primjenjuje u svom poslovanju;

19. Napredni elektronički potpis, napredni vremenski žig i kvalificirani certifikat Ministarstva.

(3) Ministarstvo o izvršenom upisu prijavitelju izdaje potvrdu o upisu u papirnatom obliku sa cjelokupnim sadržajem upisanih podataka.

Vođenje Evidencije

Članak 15.

(1) Evidencija je javna i vodi se na hrvatskom jeziku.

(2) Evidencija se vodi u elektroničkom obliku uz tehnološko rješenje kojim se osigurava pristup sadržaju Evidencije kroz elektroničku komunikacijsku mrežu s raspoloživom i u javnosti najprihvatljivijim tehnologijama primjenom dostupnih računalnih programa i opreme.

(3) Ministarstvo može tehničke i informatičke poslove održavanja Evidencije u elektroničkom obliku ugovorom povjeriti pravnoj osobi koja svojim tehnološkim i kadrovskim resursima osigurava javnost i trajnu dostupnost Evidencije u elektroničkom obliku.

(4) Evidencija je potpisana naprednim elektroničkim potpisom Ministarstva.

(5) Sredstva i podaci za izradu elektroničkog potpisa Ministarstva čuvaju se na razini zaštite stupnja tajnosti »ograničeno«.

Objava podataka iz Evidencije

Članak 16.

Javnost upisanih podataka iz članka 14. stavka 2. točke 1. – 19. ovoga Pravilnika, za sve upisane davatelje usluga certificiranja osigurava se u Evidenciji na način propisan odredbama ovoga Pravilnika i na web-stranicama Ministarstva.

IV. POSEBNE ODREDBE

Članak 17.

(1) Ministarstvo ima status davatelja usluga certificiranja te je identifikacija Ministarstva kao davatelja usluga ugrađena u sadržaj Evidencije.

(2) Na zahtjev prijavitelja ili druge pravne ili fizičke osobe koja učini vjerojatnim svoj pravni interes, Ministarstvo će u papirnatom obliku izdati uvjerenje o izvršenom upisu u Evidenciju za traženog davatelja usluge certificiranja, u opsegu važećih podataka iz članka 14. stavka 2. točke 1. – 19. ovoga Pravilnika na dan izdavanja.

V. ZAVRŠNE ODREDBE

Članak 18.

(1) Upisi izvršeni u Evidenciju iz članka 16. Zakona temeljem Pravilnika o evidenciji davatelja usluga certificiranja elektroničkih potpisa (»Narodne novine« broj 54/02 i 112/07), te upisi u Registar davatelja usluga certificiranja elektroničkih potpisa koji izdaju kvalificirane certifikate temeljem Pravilnika o registru davatelja usluga certificiranja elektroničkih potpisa koji izdaju kvalificirane certifikate (»Narodne novine« br. 54/02 i 112/07), prije stupanja na snagu ovoga Pravilnika, smatrat će se upisima izvršenim po ovom Pravilniku, ukoliko se nedostajući podaci i isprave dostave Ministarstvu radi upisa u Evidenciju u roku od 3 mjeseca od dana stupanja na snagu ovoga Pravilnika.

(2) Postupci povodom prijava za upis u Evidenciju iz članka 16. Zakona temeljem Pravilnika o evidenciji davatelja usluga certificiranja elektroničkih potpisa (»Narodne novine« broj 54/02 i 112/07) koji nisu dovršeni do stupanja na snagu ovog Pravilnika, dovršit će se prema odredbama ovog Pravilnika.

(3) Stupanjem na snagu ovoga Pravilnika prestaje važiti Pravilnik o evidenciji davatelja usluga certificiranja elektroničkih potpisa (»Narodne novine« broj 54/02 i 112/07) i Pravilnik o registru davatelja usluga certificiranja elektroničkih potpisa koji izdaju kvalificirane certifikate (»Narodne novine« br. 54/02 i 112/07).

Članak 19.

Ovaj Pravilnik stupa na snagu osmog dana od dana objave u »Narodnim novinama«.

Klasa: 011-01/09-01/161
Urbroj: 526-05-05-01/1-10-17
Zagreb, 2. rujna 2010.

Ministar gospodarstva,
rada i poduzetništva
mr. sc. Đuro Popijač, v. r.


PRILOG 1

PRIJAVA ZA UPIS
U EVIDENCIJU DAVATELJA USLUGA CERTIFICIRANJA U REPUBLICI HRVATSKOJ


PRILOG 2

PRIJAVA IZMJENA I DOPUNA PODATAKA UPISANIH U EVIDENCIJU DAVATELJA USLUGA CERTIFICIRANJA U REPUBLICI HRVATSKOJ