Zakon o provedbi Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ

NN 62/2017 (30.6.2017.), Zakon o provedbi Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ

HRVATSKI SABOR

1430

Na temelju članka 89. Ustava Republike Hrvatske, donosim

ODLUKU

O PROGLAŠENJU ZAKONA O PROVEDBI UREDBE (EU) BR. 910/2014 EUROPSKOG PARLAMENTA I VIJEĆA OD 23. SRPNJA 2014. O ELEKTRONIČKOJ IDENTIFIKACIJI I USLUGAMA POVJERENJA ZA ELEKTRONIČKE TRANSAKCIJE NA UNUTARNJEM TRŽIŠTU I STAVLJANJU IZVAN SNAGE DIREKTIVE 1999/93/EZ

Proglašavam Zakon o provedbi Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ, koji je Hrvatski sabor donio na sjednici 19. lipnja 2017.

Klasa: 011-01/17-01/25

Urbroj: 71-06-01/1-17-2

Zagreb, 21. lipnja 2017.

Predsjednica
Republike Hrvatske
Kolinda Grabar-Kitarović, v. r.

ZAKON

O PROVEDBI UREDBE (EU) BR. 910/2014 EUROPSKOG PARLAMENTA I VIJEĆA OD 23. SRPNJA 2014. O ELEKTRONIČKOJ IDENTIFIKACIJI I USLUGAMA POVJERENJA ZA ELEKTRONIČKE TRANSAKCIJE NA UNUTARNJEM TRŽIŠTU I STAVLJANJU IZVAN SNAGE DIREKTIVE 1999/93/EZ

I. OPĆE ODREDBE

Svrha Zakona

Članak 1.

Ovim se Zakonom:

1. utvrđuju nadležna tijela i zadaće nadležnih tijela za provedbu Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ (SL L 257/73 28. 8. 2014. – u daljnjem tekstu: Uredba (EU) br. 910/2014)

2. utvrđuju tijela za inspekcijski nadzor nad provedbom Uredbe (EU) br. 910/2014

3. određuje tijelo nadležno za akreditaciju tijela za ocjenu sukladnosti

4. utvrđuju prava, obveze i odgovornosti potpisnika i pružatelja usluga povjerenja

5. određuju prekršajne odredbe za postupanje protivno Uredbi (EU) br. 910/2014.

Pojmovi

Članak 2.

(1) Pojmovi u smislu ovoga Zakona imaju jednako značenje kao pojmovi korišteni u Uredbi (EU) br. 910/2014.

(2) Pojam pravne osobe iz članka 3. stavaka 24., 29. i 38. Uredbe (EU) br. 910/2014 označava pravne osobe javnoga prava i pravne osobe privatnoga prava.

II. NADLEŽNA TIJELA

Nadležno tijelo za područje identifikacije

Članak 3.

(1) Nadležno tijelo za provedbu Uredbe (EU) br. 910/2014 te ovoga Zakona u pogledu odredbi kojima se uređuje elektronička identifikacija od članka 6. do članka 12. Uredbe (EU) br. 910/2014 je središnje tijelo državne uprave nadležno za poslove e-Hrvatske.

(2) Središnje tijelo državne uprave iz stavka 1. ovoga članka obavlja sljedeće poslove:

1. prijavljivanje i uklanjanje nacionalnih sustava za elektroničku identifikaciju Europskoj komisiji radi njihove objave u Službenom listu Europske unije

2. suradnja s tijelima za zaštitu osobnih podataka.

Nadležno tijelo za usluge povjerenja

Članak 4.

(1) Nadležno tijelo za provedbu Uredbe (EU) br. 910/2014 te ovoga Zakona u pogledu odredbi kojima se uređuju usluge povjerenja od članka 13. do članka 45. Uredbe (EU) br. 910/2014 je središnje tijelo državne uprave nadležno za poslove gospodarstva.

(2) Središnje tijelo državne uprave iz stavka 1. ovoga članka obavlja sljedeće poslove:

1. nadzor nad pružateljima usluga povjerenja, dodjeljivanje i ukidanje kvalificiranog statusa, analizu izvješća o ocjeni sukladnosti, reviziju, zahtijevanje od pružatelja usluga povjerenja da otklone svako nepoštivanje odredbi Uredbe (EU) br. 910/2014

2. izradu, vođenje i objavljivanje pouzdanih popisa pružatelja i kvalificiranih pružatelja usluga povjerenja

3. suradnju s nadzornim tijelima u drugim državama članicama Europske unije (pružanje uzajamne pomoći, razmjena dobre prakse)

4. obavješćivanje drugih tijela i javnosti o povredama sigurnosti

5 . periodično godišnje izvješćivanje Europske komisije o svojim glavnim aktivnostima (do 31. ožujka za prethodnu kalendarsku godinu).

(3) Čelnik središnjeg tijela državne uprave nadležnog za poslove gospodarstva pravilnikom će propisati druge metode identifikacije koje po pitanju pouzdanosti pružaju sigurnost jednaku fizičkoj prisutnosti, a kojima pružatelj usluga povjerenja provjerava identitet i, ako je to primjenjivo, posebna obilježja fizičke ili pravne osobe kojoj se izdaje kvalificirani certifikat.

Nacionalno akreditacijsko tijelo

Članak 5.

Tijelo nadležno za akreditaciju Tijela za ocjenjivanje sukladnosti kvalificiranih pružatelja usluga povjerenja i kvalificiranih usluga povjerenja koje on pruža, sukladno odredbama članka 3. točke 18. te članka 20. Uredbe (EU) br. 910/2014, je nacionalno akreditacijsko tijelo.

Suradnja

Članak 6.

(1) Tijela iz članaka 3. i 4. ovoga Zakona surađuju međusobno te s drugim nadležnim tijelima u Republici Hrvatskoj, kao i s tijelima drugih država članica Europske unije nadležnima za nadzor nad primjenom Uredbe (EU) br. 910/2014 te, prema potrebi, s drugim odgovarajućim nadležnim tijelima u skladu sa zakonodavstvom Europske unije i nacionalnim zakonodavstvima država članica Europske unije.

(2) U sklopu suradnje iz stavka 1. ovoga članka, tijela iz članaka 3. i 4. ovoga Zakona, osim međusobno, razmjenjuju informacije i:

1. s tijelima drugih država članica Europske unije nadležnima za nadzor nad primjenom Uredbe (EU) br. 910/2014

2. s Europskom komisijom te, prema potrebi, s drugim javnim tijelima

3. s drugim tijelima nadležnim prema zakonima kojima se uređuje zaštita osobnih podataka.

(3) Dostavljanje informacija iz stavka 2. ovoga članka ne smatra se kršenjem obveze čuvanja povjerljivih podataka.

(4) Tijelo koje primi informacije iz stavka 2. ovoga članka dužno ih je čuvati kao povjerljive i može ih koristiti samo u svrhu za koju su mu dostavljene, a dostupnim trećima može ih učiniti u skladu s posebnim propisima.

III. INSPEKCIJSKI NADZOR

Članak 7.

(1) Inspekcijski nadzor nad provedbom Uredbe (EU) br. 910/2014 te ovoga Zakona u pogledu odredbi kojima se uređuje elektronička identifikacija od članaka 6. do 12. Uredbe (EU) br. 910/2014 provode državni službenici središnjeg tijela državne uprave nadležnog za poslove e-Hrvatske ovlašteni za provedbu nadzora.

(2) Inspekcijski nadzor nad provedbom Uredbe (EU) br. 910/2014 te ovoga Zakona u pogledu odredbi kojima se uređuju usluge povjerenja od članaka 13. do 45. Uredbe (EU) br. 910/2014 provode inspektori i drugi državni službenici središnjeg tijela državne uprave nadležnog za poslove gospodarstva ovlašteni za provedbu nadzora.

(3) Inspekcijski nadzor nad radom pružatelja usluga povjerenja i kvalificiranih pružatelja usluga povjerenja te nacionalnih sustava elektroničkih identifikacija u području prikupljanja, uporabe i zaštite osobnih podataka potpisnika provode inspektori i drugi državni službenici ovlašteni za provedbu nadzora određeni zakonom i drugim propisima kojima se uređuje zaštita osobnih podataka, u skladu s propisanim djelokrugom.

(4) U okviru inspekcijskog nadzora pružatelja usluga povjerenja i kvalificiranih pružatelja usluga povjerenja:

– utvrđuje se jesu li ispunjeni uvjeti propisani Uredbom (EU) br. 910/2014 i provedbenim propisima donesenim na temelju Uredbe (EU) br. 910/2014

– nadzire se pravilnost primjene propisanih postupaka i organizacijsko-tehničkih mjera te primjena internih pravila koja su u vezi s uvjetima propisanima Uredbom (EU) br. 910/2014 i provedbenim propisima donesenim na temelju Uredbe (EU) br. 910/2014.

(5) Pružatelj usluga povjerenja i kvalificirani pružatelj usluga povjerenja dužan je radi provedbe inspekcijskog nadzora omogućiti neograničen uvid u podatke o poslovanju, uvid u poslovnu dokumentaciju, pristup registru potpisnika i pridruženoj računalnoj opremi i uređajima.

IV. PRAVA, OBVEZE I ODGOVORNOSTI POTPISNIKA, PRUŽATELJA USLUGA POVJERENJA I IMATELJA SREDSTAVA ELEKTRONIČKE IDENTIFIKACIJE

Članak 8.

Svaki potpisnik dužan je poduzeti sve potrebne mjere zaštite od gubitaka i šteta koje može uzrokovati drugim potpisnicima, pružateljima usluga povjerenja ili trećim osobama.

Članak 9.

Potpisnik je dužan pažnjom dobrog domaćina koristiti i čuvati sredstva i podatke za izradu elektroničkog potpisa, koristiti sredstva i podatke za izradu elektroničkog potpisa u skladu s odredbama ovoga Zakona, zaštititi i čuvati sredstva i podatke za izradu elektroničkog potpisa od neovlaštenog pristupa i uporabe.

Članak 10.

(1) Potpisnik je dužan dostaviti pružatelju usluge povjerenja sve potrebne podatke i informacije o promjenama koje utječu ili mogu utjecati na točnost elektroničkog potpisa u roku od sedam dana od nastalih promjena.

(2) Potpisnik je dužan zatražiti opoziv svog certifikata odmah po saznanju u svim slučajevima gubitka ili oštećenja sredstava ili podataka za izradu svog elektroničkog potpisa.

Članak 11.

(1) Imatelj sredstva elektroničke identifikacije dužan je poduzeti sve potrebne mjere kako bi sredstva za elektroničku identifikaciju bila pod njegovim isključivim nadzorom, kako bi spriječio krađu, gubitak ili neovlašteno ustupanje svojih sredstava elektroničke identifikacije te je dužan odmah kod izdavatelja sredstva elektroničke identifikacije opozvati svoju elektroničku identifikaciju ako utvrdi da je ona izgubljena, ukradena ili neovlašteno ustupljena drugima.

(2) Ako sredstva za elektroničku identifikaciju budu opozvana ili vremenski isteknu, imatelj sredstva elektroničkog identiteta ne smije ih više svjesno upotrebljavati, odnosno služiti se njima.

Članak 12.

(1) Potpisnik odgovara za štetu koja nastane zbog neispunjavanja njegovih obveza utvrđenih ovim Zakonom.

(2) Potpisnik može iznimno biti oslobođen odgovornosti u slučajevima kada može dokazati da oštećena strana nije poduzela ili je pogrešno poduzela radnje vezane za validaciju elektroničkog potpisa.

Članak 13.

Pružatelj usluga povjerenja ima, uz obveze navedene u Uredbi (EU) br. 910/2014, i obveze:

1. omogućiti svakoj zainteresiranoj osobi uvid u identifikacijske podatke pružatelja usluga povjerenja

2. čuvati sve podatke i dokumentaciju o izdanim certifikatima najmanje deset godina od dana izdavanja, pri čemu podaci i prateća dokumentacija mogu biti i u elektroničkom obliku

3. primjenjivati odredbe zakona i drugih propisa kojima je uređena zaštita osobnih podataka.

Članak 14.

(1) Pružatelj usluga povjerenja dužan je prekinuti uslugu certificiranja, odnosno izvršiti opoziv certifikata onim potpisnicima:

1. koji su to izričito zatražili

2. za koje je utvrđena netočnost ili nepotpunost podataka u Evidenciji certifikata

3. za koje je primljena službena obavijest o smrti

4. za koje je primljena službena obavijest o gubitku poslovne sposobnosti

5. za koje je utvrđeno da podatke za izradu elektroničkog potpisa koriste protivno pozitivnim propisima Republike Hrvatske.

(2) Pružatelj usluga povjerenja dužan je ažurno voditi evidenciju svih opozvanih certifikata.

(3) Pružatelj usluga povjerenja dužan je obavijestiti potpisnika o opozivu certifikata u roku od 24 sata od primljene obavijesti odnosno nastanka okolnosti zbog koje se certifikat opoziva.

(4) Čelnik središnjeg tijela državne uprave nadležnog za poslove gospodarstva pravilnikom će propisati pravila o privremenoj suspenziji certifikata za elektroničke potpise i certifikata za elektroničke pečate u slučajevima kada certifikat privremeno izgubi svoju valjanost, a koji su slučajevi različiti od opoziva certifikata.

Članak 15.

Pružatelj usluga povjerenja koji izdaje kvalificirane certifikate mora čuvati svu dokumentaciju o izdanim i opozvanim certifikatima kao sredstvo dokazivanja i verifikacije u sudskim, upravnim i drugim postupcima, u roku od najmanje deset godina od prestanka valjanosti certifikata na koji se ta dokumentacija odnosi.

Prestanak pružanja usluga povjerenja

Članak 16.

(1) Pružatelj usluga povjerenja dužan je o mogućem prestanku obavljanja usluga obavijestiti svakog korisnika usluge povjerenja, kao i tijelo državne uprave nadležno za poslove gospodarstva, odnosno nadzorno tijelo najmanje tri mjeseca prije isteka ugovorom povjerenih mu usluga povjerenja.

(2) Pružatelj usluga povjerenja, koji prestaje s pružanjem tih usluga, dužan je osigurati kod drugog pružatelja usluga povjerenja nastavak obavljanja usluga povjerenja za potpisnike kojima je izdao certifikate, a ako za to nema mogućnosti, dužan je opozvati sve izdane certifikate i o tome odmah i neodgodivo obavijestiti tijelo državne uprave nadležno za poslove gospodarstva, odnosno nadzorno tijelo.

(3) Pružatelj usluga povjerenja koji prekida s obavljanjem usluga povjerenja dužan je dostaviti svu dokumentaciju u svezi s obavljenim uslugama povjerenja drugom davatelju usluga povjerenja na kojega prenosi obveze s osnove obavljanja usluga povjerenja.

Članak 17.

Odredbe glave IV. ovoga Zakona na odgovarajući se način primjenjuju na usluge izdavanja elektroničkih pečata, vremenskih žigova i elektroničke preporučene dostave.

V. PREKRŠAJNE ODREDBE

Fizičke osobe

Članak 18.

(1) Novčanom kaznom od 2000,00 do 10.000,00 kuna kaznit će se za prekršaj fizička osoba koja:

– neovlašteno pristupi i uporabi podatke i sredstva za izradu elektroničkog potpisa, naprednog elektroničkog potpisa, kvalificiranoga potpisa, elektroničkog pečata, naprednog elektroničkog pečata, kvalificiranog elektroničkog pečata.

(2) Novčanom kaznom od 2000,00 do 10.000,00 kuna kaznit će se za prekršaj potpisnik, odnosno fizička osoba ili odgovorna osoba pravne osobe koja zastupa potpisnika, a koja:

1. ne koristi sredstva i podatke za izradu elektroničkog potpisa, naprednog elektroničkog potpisa, kvalificiranoga potpisa, elektroničkog pečata, naprednog elektroničkog pečata, kvalificiranog elektroničkog pečata s pažnjom dobrog domaćina (članak 9. ovoga Zakona)

2. davatelju usluga certificiranja u roku od sedam dana od nastalih promjena ne dostavi potrebne podatke i informacije o promjenama koje utječu ili mogu utjecati na točnost elektroničkog potpisa, naprednog elektroničkog potpisa, kvalificiranoga potpisa, elektroničkog pečata, naprednog elektroničkog pečata, kvalificiranog elektroničkog pečata (članak 10. ovoga Zakona)

3. davatelju usluga certificiranja pravodobno ne dostavi zahtjev za opoziv certifikata, odnosno ako odmah po saznanju ne zatraži opoziv svog certifikata u slučajevima gubitka ili oštećenja sredstava/podataka za izradu svog elektroničkog potpisa (članak 10. ovoga Zakona).

Pravne osobe

Članak 19.

Novčanom kaznom od 5000,00 do 100.000,00 kuna kaznit će se za prekršaj kvalificirani pružatelj usluga povjerenja koji:

1. ne utvrdi pravovaljano identitet fizičke ili pravne osobe za koju izdaje kvalificirani certifikat (članak 24. stavak 1. Uredbe (EU) br. 910/2014)

2. ne obavijesti nadzorno tijelo o svim promjenama u vezi s pružanjem svojih kvalificiranih usluga povjerenja te o namjeri prestanka obavljanja te djelatnosti najmanje 3 (tri) mjeseca prije isteka ugovorom povjerenih mu usluga povjerenja (članak 24. stavak 2. podstavak (a) Uredbe (EU) br. 910/2014)

3. ne zapošljava osoblje i/ili podizvođače koji posjeduju potrebna stručna znanja, pouzdanost, iskustvo i kvalifikacije i koji su prošli odgovarajuće osposobljavanje u vezi sa sigurnošću i propisima o zaštiti osobnih podataka te ne primjenjuju upravne i upravljačke postupke u skladu s europskim ili međunarodnim normama (članak 24. stavak 2. podstavak (b) Uredbe (EU) br. 910/2014)

4. ne raspolaže dostatnim financijskim sredstvima i/ili nije sklopio odgovarajuće osiguranje od odgovornosti za štetu, u vezi s člankom 13. Uredbe (EU) br. 910/2014 (članak 24. stavak 2. podstavak (c) Uredbe (EU) br. 910/2014)

5. ne obavijesti prije stupanja u ugovorni odnos, na jasan i sveobuhvatan način, svaku osobu koja želi koristiti kvalificiranu uslugu povjerenja o točnim uvjetima korištenja tom uslugom, uključujući bilo kakva ograničenja korištenja (članak 24. stavak 2. podstavak (d) Uredbe (EU) br. 910/2014)

6. ne koristi vjerodostojne sustave i proizvode koji su zaštićeni od preinaka te osiguravaju tehničku sigurnost i pouzdanost postupaka koje ti sustavi i proizvodi podržavaju (članak 24. stavak 2. podstavak (e) Uredbe (EU) br. 910/2014)

7. ne koristi vjerodostojne sustave za pohranu podataka koji su mu dostavljeni, u obliku koji se može provjeriti (članak 24. stavak 2. podstavak (f) Uredbe (EU) br. 910/2014)

8. ne poduzima odgovarajuće mjere protiv krivotvorenja i krađe podataka (članak 24. stavak 2. podstavak (g) Uredbe (EU) br. 910/2014)

9. ne bilježi i ne čini dostupnim tijekom odgovarajućeg razdoblja, uključujući razdoblje nakon prestanka obavljanja djelatnosti kvalificiranog pružatelja usluga povjerenja, sve bitne informacije u vezi s podacima koje izdaje i prima kvalificirani pružatelj usluga povjerenja, a posebno za potrebe predlaganja dokaza u sudskim postupcima i u svrhu osiguravanja kontinuiteta usluge (članak 24. stavak 2. podstavak (h) Uredbe (EU) br. 910/2014)

10. nema uspostavljen i ažuriran plan prekida pružanja usluge radi osiguravanja njezina kontinuiteta u skladu s odredbama koje je potvrdilo nadzorno tijelo sukladno članku 17. stavku 4. točki (i) Uredbe (EU) br. 910/2014 (članak 24. stavak 2. podstavak (i) Uredbe (EU) br. 910/2014)

11. ne osigurava zakonitu obradu osobnih podataka u skladu s Direktivom 95/46/EZ (članak 24. stavak 2. podstavak (j) Uredbe (EU) br. 910/2014)

12. ne uspostavi i ne ažurira bazu podataka certifikata, kada se radi o kvalificiranim pružateljima usluga povjerenja koji izdaju kvalificirane certifikate (članak 24. stavak 2. podstavak (k) Uredbe (EU) br. 910/2014).

VI. PRIJELAZNE I ZAVRŠNE ODREDBE

Članak 20.

(1) Čelnik središnjeg tijela državne uprave nadležnog za poslove gospodarstva donijet će pravilnike iz članka 4. stavka 3. te članka 14. stavka 4. ovoga Zakona u roku od godine dana od dana stupanja na snagu ovoga Zakona.

(2) Danom stupanja na snagu ovoga Zakona prestaje važiti Zakon o elektroničkom potpisu (»Narodne novine«, br. 10/02., 80/08. i 30/14.).

Članak 21.

Ovaj Zakon stupa na snagu osmoga dana od dana objave u »Narodnim novinama«.

Klasa: 022-03/17-01/33

Zagreb, 19. lipnja 2017.

HRVATSKI SABOR

Predsjednik
Hrvatskoga sabora
Gordan Jandroković, v. r.