NACRT ZAKONA O ELEKTRONSKOM DOKUMENTU, ELEKTRONSKOJ IDENTIFIKACIJI I USLUGAMA OD POVERENjA U ELEKTRONSKOM POSLOVANjU - Tekst propisa
I. UVODNE ODREDBE
Predmet
Član 1.
Ovim zakonom uređuju se elektronski dokument, elektronska identifikacija i usluge od poverenja u elektronskom poslovanju.
Značenje pojedinih izraza
Član 2.
Pojedini izrazi, u smislu ovog zakona, imaju sledeće značenje:
1) elektronsko poslovanje je upotreba podataka u elektronskom obliku, sredstava elektronske komunikacije i elektronske obrade podataka u obavljanju poslova fizičkih i pravnih lica;
2) elektronski oblik podataka je digitalni zapis podataka pogodan za elektronsku obradu i prenos putem sredstava elektronske komunikacije;
3) elektronska transakcija je poslovna aktivnost između dve ili više strana koja se obavlja elektronskim putem;
4) elektronski dokument je skup podataka sastavljen od slova, brojeva, simbola, grafičkih, zvučnih i video materijala, u elektronskom obliku;
5) proizvod je hardver, softver odnosno hardver sa pripadajućim softverom, ili njihove odgovarajuće komponente, namenjen elektronskoj obradi, elektronskom prenosu odnosno čuvanju podataka koji omogućava pružanje usluga elektronske identifikacije i usluga od poverenja;
6) interoperabilnost je sposobnost dva ili više sistema ili njihovih komponenti da razmenjuju podatke i omoguće zajedničku upotrebu podataka i znanja;
7) organ javne vlasti je državni organ i organizacija, organ i organizacija autonomne pokrajine, organ i organizacija jedinice lokalne samouprave, javno preduzeće, ustanova, posebni organ preko koga se ostvaruje regulatorna funkcija i pravno i fizičko lice kome je povereno javno ovlašćenje;
8) fizičko lice u svojstvu registrovanog subjekta je fizičko lice koje je registrovano za obavljanje određene delatnosti u skladu sa zakonom;
9) korisnik je pravno ili fizičko lice, fizičko lice u svojstvu registrovanog subjekta, kao i njihov zastupnik, koji koristi usluge od poverenja ili sredstva elektronske identifikacije u skladu sa ovim zakonom;
10) autentifikacija je proces koji obezbeđuje potvrdu elektronske identifikacije pravnog lica, fizičkog lica, ili fizičkog lica u svojstvu registrovanog subjekta, ili potvrdu integriteta i porekla podataka u elektronskoj formi;
11) identifikacioni podaci predstavljaju skup podataka na osnovu kojih je moguće nedvosmisleno utvrditi identitet pravnog lica, fizičkog lica, ili fizičkog lica u svojstvu registrovanog subjekta, kao i njihovog zastupnika;
12) elektronska identifikacija je postupak korišćenja identifikacionih podataka u elektronskom obliku koji nedvosmisleno određuju pravno lice, fizičko lice, ili fizičko lice u svojstvu registrovanog subjekta, kao i njihovog zastupnika;
13) sredstvo elektronske identifikacije je materijalno, odnosno nematerijalno sredstvo koje sadrži identifikacione podatke i kojim se vrši autentifikacija lica;
14) šema elektronske identifikacije je sistem izdavanja sredstva elektronske identifikacije pravnom licu, fizičkom licu ili fizičkom licu u svojstvu registrovanog subjekta;
15) usluga elektronske identifikacije je usluga koja omogućava korišćenje određene šeme elektronske identifikacije u elektronskim transakcijama pri čemu se u okviru te usluge pružaju garancije da identifikacioni podaci iz sredstva elektronske identifikacije odgovaraju licu kome je sredstvo izdato;
16) čvor (eng. node) predstavlja tačka pristupa infrastrukturi elektronske identifikacije (u daljem tekstu: čvor) je mesto priključenja nacionalnoj infrastrukturi elektronske identifikacije putem koje se omogućava prekograničnua autentifikacijua lica, koja ima funkciju prepoznavanja i obrade, odnosno interoperabilni prenos identifikacionih podataka u druge, kao i iz drugih država;
17) usluga od poverenja je elektronska usluga koja olakšava poslovnu aktivnost između dve ili više strana kojom pružalac usluge stranama garantuje verodostojnost podataka, a koja je kao takva određena ovim zakonom;
18) pružalac usluga od poverenja je pravno lice, ili fizičko lice u svojstvu registrovanog subjekta koje pruža jednu ili više usluga od poverenja;
19) pouzdajuća strana je pravno ili fizičko lice koje, se pouzdaje u uslugu elektronske identifikacije, digitalni identifikacioni novčanik ili drugo sredstvo elektronske identifikacije, odnosno uslugu od poverenja;
20) kvalifikovana usluga od poverenja je usluga od poverenja koja ispunjava uslove utvrđene ovim zakonom za kvalifikovanu uslugu od poverenja;
21) pružalac kvalifikovane usluge od poverenja je pravno lice, ili fizičko lice u svojstvu registrovanog subjekta koje pruža jednu ili više kvalifikovanih usluga od poverenja, u skladu sa ovim zakonom;
22) elektronski potpis je skup podataka u elektronskom obliku koji su pridruženi ili logički povezani sa drugim podacima u elektronskim obliku, a koje potpisnik koristi za potpisivanje;
23) elektronski pečat je skup podataka u elektronskom obliku koji su pridruženi ili logički povezani sa drugim podacima u elektronskom obliku, a koje pečatilac koristi za pečatiranje;
24) podaci za kreiranje elektronskog potpisa odnosno pečata su jedinstveni podaci koje koristi potpisnik odnosno pečatilac za kreiranje elektronskog potpisa odnosno pečata i koji su logički povezani sa odgovarajućim podacima za validaciju elektronskog potpisa odnosno pečata;
25) podaci za validaciju elektronskog potpisa odnosno pečata su podaci koji se koriste za validaciju, odnosno proveru i potvrđivanje ispravnosti elektronskog potpisa, odnosno pečata;
26) sertifikat za elektronski potpis je elektronska potvrda kojom se potvrđuje veza između podataka za validaciju elektronskog potpisa i identiteta potpisnika, potvrđujući najmanje lično ime ili pseudonim potpisnika;
27) sertifikat za elektronski pečat je elektronska potvrda kojom se potvrđuje veza između podataka za validaciju elektronskog pečata i pravnog lica čiji je pečat;
28) potpisnik je fizičko lice koje je kreiralo elektronski potpis i čiji su identifikacioni podaci sadržani u sertifikatu na osnovu koga je kreiran taj elektronski potpis, to jest sertifikatu kojim se potvrđuje veza između identiteta tog potpisnika i podataka za validaciju elektronskog potpisa;
29) pečatilac je pravno lice, fizičko lice u svojstvu registrovanog subjekta, fizičko lice kome je povereno vršenje javnih ovlašćenja ili fizičko lice koje u obavljanju delatnosti u skladu sa posebnim propisima ima pravo na korišćenje pečata (npr. lica koja imaju licencu za vršenje poslova ili obavljanje delatnosti), za čije potrebe se kreira elektronski pečat i čiji su identifikacioni podaci navedeni u sertifikatu na osnovu koga je kreiran taj elektronski pečat, odnosno u sertifikatu kojim se potvrđuje veza između identiteta tog pečatioca i podataka za validaciju elektronskog pečata;
30) sredstvo za kreiranje elektronskog potpisa, odnosno pečata je tehničko sredstvo (softver, odnosno hardver) koje se koristi za kreiranje elektronskog potpisa, odnosno pečata uz korišćenje podataka za kreiranje elektronskog potpisa odnosno pečata;
31) kvalifikovano sredstvo za kreiranje elektronskog potpisa na daljinu je kvalifikovano sredstvo za kreiranje elektronskog potpisa kojim u ime potpisnika upravlja pružalac kvalifikovanih usluga od poverenja u skladu sa ovim zakonom;
32) kvalifikovano sredstvo za kreiranje elektronskog pečata na daljinu je kvalifikovano sredstvo za kreiranje elektronskog pečata kojim u ime pečatioca upravlja pružalac kvalifikovanih usluga od poverenja u skladu sa ovim zakonom;
33) validacija je postupak provere i potvrđivanja ispravnosti podataka u elektronskom obliku u skladu sa ovim zakonom;
34) napredni elektronski potpis je elektronski potpis koji ispunjava dodatne uslove za obezbeđivanje višeg nivoa pouzdanosti potvrđivanja integriteta podataka i identiteta potpisnika u skladu sa ovim zakonom;
35) kvalifikovani elektronski potpis je napredni elektronski potpis koji je kreiran kvalifikovanim sredstvom za kreiranje elektronskog potpisa i koji se zasniva na kvalifikovanom sertifikatu za elektronski potpis i koji je izdat od strane pružaoca kvalifikovane usluge od poverenja u skladu sa ovim zakonom;
36) kvalifikovano sredstvo za kreiranje elektronskog potpisa je sredstvo koje ispunjava uslove propisane ovim zakonom;
37) kvalifikovani sertifikat za elektronski potpis je sertifikat za elektronski potpis koji izdaje pružalac kvalifikovane usluge od poverenja i koji ispunjava uslove predviđene ovim zakonom;
38) napredni elektronski pečat je elektronski pečat koji ispunjava dodatne uslove za obezbeđivanje višeg nivoa pouzdanosti potvrđivanja integriteta podataka i identiteta pečatioca u skladu sa ovim zakonom;
39) kvalifikovani elektronski pečat je napredni elektronski pečat koji je kreiran kvalifikovanim sredstvom za kreiranje elektronskog pečata i koji je zasnovan na kvalifikovanom sertifikatu za elektronski pečat;
40) kvalifikovano sredstvo za kreiranje elektronskog pečata je sredstvo koje ispunjava uslove propisane ovim zakonom;
41) kvalifikovani sertifikat za elektronski pečat je sertifikat za elektronski pečat koji izdaje pružalac kvalifikovane usluge od poverenja i koji ispunjava uslove predviđene ovim zakonom;
42) usluga upravljanja kvalifikovanim sredstvom za kreiranje elektronskog potpisa na daljinu je usluga izrade kvalifikovanog elektronskog potpisa na daljinu putem sredstva za kreiranje elektronskog potpisa kojim u ime potpisnika upravlja pružalac kvalifikovane usluge od poverenja i garantuje da se podaci za izradu elektronskog potpisa koriste pod isključivom kontrolom potpisnika, u skladu sa ovim zakonom;
43) usluga upravljanja kvalifikovanim sredstvom za kreiranje elektronskog pečata na daljinu je usluga izrade kvalifikovanog elektronskog pečata na daljinu putem sredstva za kreiranje elektronskog pečata kojim u ime pečatioca upravlja pružalac kvalifikovane usluge od poverenja i garantuje da se podaci za izradu elektronskog pečata koriste pod isključivom kontrolom pečatioca, u skladu sa ovim zakonom;
44) sertifikat za autentifikaciju veb sajta je potvrda pomoću koje je moguće izvršiti autentifikaciju veb sajta i kojom se veb sajt povezuje sa identitetom fizičkog ili pravnog lica kome je sertifikat izdat;
45) kvalifikovani sertifikat za autentifikaciju veb sajta je sertifikat za autentifikaciju veb sajta koju izdaje pružalac kvalifikovane usluge od poverenja i ispunjava uslove predviđene ovim zakonom;
46) elektronski vremenski žig je vreme pridruženo podacima u elektronskom obliku kojim se potvrđuje da su ti podaci postojali u tom vremenskom trenutku;
47) kvalifikovani elektronski vremenski žig je elektronski vremenski žig koji ispunjava uslove utvrđene ovim zakonom;
48) usluga elektronske dostave je usluga prenosa podataka elektronskim putem u okviru koje pružalac usluge obezbeđuje dokaze o postupanju sa prenesenim podacima, uključujući dokaz slanja i prijema podataka, kojom se preneseni podaci štite od rizika gubitka, krađe, oštećenja odnosno bilo kojih neovlašćenih promena;
49) usluga kvalifikovane elektronske dostave je usluga pružaoca kvalifikovane usluge od poverenja koja ispunjava uslove za kvalifikovanu elektronsku dostavu utvrđene ovim zakonom;
50) konverzija je prevođenje dokumenta iz jednog oblika u drugi tako da je očuvan sadržaj dokumenta;
51) digitalizacija je konverzija dokumenta iz oblika koji nije elektronski u elektronski oblik;
52) digitalizovani dokument je dokument koji je nastao digitalizacijom izvornog dokumenata;
53) telo za ocenjivanje usaglašenosti je pravno lice ili deo pravnog lica koje je ovlašćeno da obavlja poslove ocenjivanja usaglašenosti pružaoca kvalifikovane usluge od poverenja i kvalifikovane usluge od poverenja koju on pruža sa uslovima za pružanje kvalifikovanih usluga od poverenja, kao i ocenjivanje usaglašenosti digitalnog identifikacionog novčanika ili drugog sredstava elektronske identifikacije, u skladu sa ovim zakonom i zakonom kojim se uređuju tehnički zahtevi za proizvode i ocenjivanje usaglašenosti, odnosno postupak akreditacije i primenu relevantnih standarda;
54) digitalni identifikacioni novčanik je sredstvo elektronske identifikacije koje omogućava korisniku da na bezbedan način čuva, upravlja i validira lične identifikacione podatke i elektronske potvrde atributa, sa ciljem da ih prikazuje pouzdajućim stranama i drugim korisnicima digitalnog identifikacionog novčanika, kao i da omogući korisnicima upotrebu kvalifikovanog elektronskog potpisa, odnosno pečata;
55) atribut je svojstvo, karakteristika, kvalitet, pravo ili ovlašćenje fizičkog ili pravnog lica, kao i svojstvo, odnosno karakteristika materijalnog ili nematerijalnog objekta, odnosno stvari;
56) elektronska potvrda atributa je potvrda u elektronskom obliku kojom se na pouzdan način omogućava autentifikacija atributa;
57) kvalifikovana elektronska potvrda atributa je elektronska potvrda atributa koju izdaje pružalac kvalifikovane usluge od poverenja, a koja ispunjava uslove utvrđene ovim zakonom;
58) elektronska potvrda atributa organa javne vlasti je elektronska potvrda izdata od strane ili u ime organa javne vlasti nadležnog za vođenje ili upravljanje evidencijom, odnosno registrom koji je izvor podataka o atributima, u skladu sa zakonom;
59) izvor podataka o atributima je evidencija, odnosno registar i drugi autentičan izvor koji sadrži podatke o atributima fizičkog ili pravnog lica, odnosno objekta i koji je određen kao izvor tih podataka;
60) usluga čuvanja kvalifikovanog elektronskog potpisa, odnosno kvalifikovanog elektronskog pečata je usluga koju vrši pružalac kvalifikovane usluge od poverenja i koja ispunjava uslove utvrđene ovim zakonom.
61) usluga elektronskog arhiviranja je usluga koja obezbeđuje prijem, skladištenje, pretragu i brisanje elektronskih podataka i elektronskih dokumenata u cilju obezbeđenja njihove trajnosti i upotrebljivosti, kao i očuvanja njihovog integriteta, poverljivosti i dokaza o poreklu tokom čitavog perioda čuvanja.
62) kvalifikovano elektronsko arhiviranje je usluga elektronskog arhiviranja koju vrši pružalac kvalifikovane usluge od poverenja i koja ispunjava uslove utvrđene ovim zakonom;
63) autentifikacija višeg nivoa pouzdanosti korisnika je autentifikacija zasnovana na upotrebi najmanje dva faktora autentifikacije iz različitih kategorija koji označavaju nešto što samo korisnik zna, poseduje ili što korisnik jeste, a koji su međusobno nezavisni, tako da kompromitovanje jednog faktora ne ugrožava pouzdanost ostalih, i koja je kreirana tako da štiti poverljivost podataka za autentifikaciju;
64) usluga vođenja elektronske evidencije označava beleženje niza elektronskih zapisa podataka, kojima se obezbeđuje integritet tih zapisa i tačnost hronološkog redosleda beleženja tih zapisa;
65) kvalifikovana usluga vođenja elektronske evidencije je usluga pružaoca kvalifikovane usluge od poverenja koja ispunjava uslove utvrđene ovim zakonom;
66) podatak o ličnosti je svaki podatak u smislu zakona kojim se uređuje zaštita podataka o ličnosti;
67) uparivanje identiteta je proces u kojem se podaci za identifikaciju lica ili sredstva za elektronsku identifikaciju upoređuju ili povezuju sa postojećim nalogom koji pripada tom licu;
68) zapis podataka su podaci u elektronskom obliku koji su zabeleženi sa povezanim metapodacima koji podržavaju obradu tih podataka, u smislu ovog zakona;
69) režim “van mreže” omogućava korišćenje digitalnog identifikacionog novčanika bez potrebe za povezivanjem sa udaljenim sistemima preko elektronskih komunikacionih mreža, pri čemu se interakcija između korisnika i treće strane na fizičkoj lokaciji vrši uz upotrebu tehnologija kratkog dometa.
Svi pojmovi koji se koriste u ovom zakonu u muškom rodu, obuhvataju iste pojmove u ženskom rodu.
Primena
Član 3.
Pružalac usluga od poverenja pruža usluge od poverenja u skladu sa ovim zakonom.
Odredbe ovog zakona ne primenjuju se na usluge od poverenja koje se pružaju isključivo u okviru zatvorenog sistema, odnosno ograničenog kruga učesnika, koji može biti određen sporazumom, internim aktom ili propisom, i koje nemaju uticaj na treće strane, odnosno ne obavezuju treća lica van tog sistema.
Obrada i zaštita podataka
Član 4.
Pružalac usluga od poverenja odnosno usluge elektronske identifikacije prilikom obrade podataka o ličnosti postupa u skladu sa zakonom kojim se uređuje zaštita podataka o ličnosti, naročito poštujući načelo minimizacije.
Svrha obrade podataka pri pružanju usluga iz stava 1. ovog člana je identifikacija lica korišćenjem sredstva elektronske identifikacije, kao i pružanje usluga od poverenja fizičkim i pravnim licima pri elektronskom poslovanju.
Podaci koji se obrađuju pri elektronskoj identifikaciji, kao i pružanju usluga od poverenja propisanih ovim zakonom čuvaju se najviše deset godina od trenutka identifikacije, odnosno pružanja usluge od poverenja, osim ako posebnim zakonom nije drugačije uređeno.
Podaci o ličnosti koji se vode u elektronskoj evidenciji, odnosno registru, čuvaju se u skladu sa zakonom kojim se utvrđuje ta evidencija, odnosno onoliko dugo koliko je rukovalac odredio, a koja odgovara svrsi obrade.
Podaci sadržani u elektronskom potpisu na dokumentu čuvaju se u skladu sa propisima kojima se uređuje rok čuvanja tog dokumenta.
U okviru elektronske transakcije strane se mogu predstavljati pseudonimom ako propisom, ugovorom ili na drugi obavezujući način nije drugačije određeno.
Pristanak na identifikaciju i autentifikaciju
Član 5.
Postupak elektronske identifikacije i autentiFIkacije može biti pokrenut samo na zahtev pravnog ili fizičkog lica koje je predmet identifikacije, osim ako je propisom drugačije određeno.
Dostupnost i pristup osobama sa invaliditetom
Član 6.
Usluge od poverenja, usluge elektronske identifikacije i proizvodi koji se koriste za pružanje tih usluga jednako su dostupni i osobama s invaliditetom.
II. ELEKTRONSKI DOKUMENT
Punovažnost i dokazna snaga elektronskog dokumenta
Član 7.
Elektronskom dokumentu ne može se osporiti punovažnost, dokazna snaga, kao ni pisana forma samo zato što je u elektronskom obliku.
Izrada elektronskog dokumenta
Član 8.
Elektronski dokument se izrađuje primenom jedne od dostupnih i upotrebljivih informaciono- komunikacionih tehnologija, ako zakonom nije drugačije određeno.
Elektronski dokument koji predstavlja arhivsku građu izrađuje se u formi koja zadovoljava uslove propisane ovim zakonom za pouzdanu pripremu za elektronsko čuvanje.
Forma prikaza elektronskog dokumenta
Član 9.
Elektronski dokument sadrži unutrašnju i spoljnu formu prikaza.
Unutrašnja forma prikaza sastoji se od tehničko-programske forme zapisivanja sadržine elektronskog dokumenta.
Spoljna forma prikaza sastoji se od vizuelnog ili drugog razumljivog prikaza sadržine elektronskog dokumenta.
Ako dokument sadrži elektronski potpis ili elektronski pečat, ta činjenica treba da bude jasno iskazana u spoljnoj formi elektronskog dokumenta.
Ukoliko elektronski dokument sadrži elektronski potpis ili pečat fizičkog lica ili ovlašćenog lica pravnog subjekta, svaka druga forma potpisa ili pečata istog fizičkog lica ili ovlašćenog lica pravnog subjekta je izlišna.
Original i kopija
Član 10.
Elektronski dokument koji je izvorno nastao u elektronskom obliku smatra se originalom.
Elektronski dokument koji ima istovetan digitalni zapis originalnom elektronskom dokumentu smatra se originalom.
Kopija elektronskog dokumenta na papiru izrađuje se štampanjem spoljne forme elektronskog dokumenta.
Elektronski dokument koji je nastao digitalizacijom izvornog dokumenta čija forma nije elektronska, smatra se kopijom izvornog dokumenta.
Overa digitalizovanog akta
Član 11.
Akt koji je digitalizovan ima istu dokaznu snagu kao originalni akt ako su kumulativno ispunjeni sledeći uslovi i to:
1) da je digitalizacija akta obavljena na jedan od sledećih načina, odnosno pod nadzorom:
(1) fizičkog odnosno ovlašćenog lica fizičkog lica u svojstvu registrovanog subjekta ili ovlašćenog lica pravnog lica čiji je to akt, ili
(2) lica koje je ovlašćeno za overu potpisa, rukopisa i prepisa u skladu sa zakonom koji uređuje overu potpisa, rukopisa i prepisa, ili
(3) lica koje je posebnim zakonom ovlašćeno za overu digitalizovanog akta;
2) da je istovetnost digitalizovanog akta sa originalom potvrđena kvalifikovanim elektronskim pečatom ili kvalifikovanim elektronskim potpisom lica iz podtač. (1)-(3) ovog stava ili lica na koga su prenete nadležnosti na osnovu kojih je akt donet.
Ovlašćeno lice organa javne vlasti može u postupcima koji se sprovode u vršenju javnih ovlašćenja digitalizovati akt i overiti digitalizovani akt kvalifikovanim elektronskim pečatom organa ili svojim kvalifikovanim elektronskim potpisom, čime se potvrđuje istovetnost digitalizovanog akta sa originalnom ispravom.
Digitalizovani akt koji je overen od strane organa iz stava 2. ovog člana ima istu dokaznu snagu kao original u okviru sprovođenja tog postupka.
Overa odštampanog primerka elektronskog dokumenta
Član 12.
Odštampani primerak elektronskog dokumenta ima istu dokaznu snagu kao originalni akt, ako su kumulativno ispunjeni sledeći uslovi i to:
1) da je štampanje elektronskog dokumenta izvršeno pod nadzorom:
(1) fizičkog lica, ovlašćenog lica fizičkog lica u svojstvu registrovanog subjekta, odnosno ovlašćenog lica pravnog lica čiji je to akt, ili
(2) lica koje je ovlašćeno za overu potpisa, rukopisa i prepisa u skladu sa zakonom koji uređuje overu potpisa, rukopisa i prepisa;
2) da je istovetnost odštampanog primerka elektronskog dokumenta sa originalom potvrđena, uz naznaku da je reč o odštampanom primerku elektronskog dokumenta:
(1) svojeručnim potpisom fizičkog lica, ili
(2) svojeručnim potpisom ovlašćenog lica fizičkog lica u svojstvu registrovanog subjekta, odnosno ovlašćenog lica pravnog lica, kao i pečatom fizičkog lica u svojstvu registrovanog subjekta, odnosno pravnog lica, ako postoji zakonska obaveza da akt sadrži pečat, ili
(3) od strane lica koje je ovlašćeno za overu potpisa, rukopisa i prepisa u skladu sa zakonom koji uređuje overu potpisa, rukopisa i prepisa.
Ovlašćeno lice organa javne vlasti može u postupcima koji se sprovode u vršenju javnih ovlašćenja odštampati elektronski dokument na papiru i overiti odštampani primerak elektronskog dokumenta na način iz stava 1. tačka 2) podtačka (2) ovog člana, pri čemu odštampani primerak elektronskog dokumenta obavezno sadrži pečat utvrđen zakonom kojim se uređuje pečat državnih i drugih organa.
Odštampani primerak elektronskog dokumenta koji je overen od strane organa iz stava 2. ovog člana ima istu dokaznu snagu kao original u okviru sprovođenja tog postupka.
Potvrda o prijemu elektronskog dokumenta
Član 13.
Potvrda o prijemu elektronskog dokumenta je dokaz da je taj dokument primljen od strane primaoca.
Potvrdu o prijemu elektronskog dokumenta izdaje primalac elektronskog dokumenta ili pružalac usluge elektronske dostave.
Obaveza izdavanja potvrde o prijemu elektronskog dokumenta i elementi sadržaja potvrde uređuju se propisima ili voljom stranaka, ako zakonom nije drugačije određeno.
Dupliranje elektronskih dokumenata
Član 14.
Svaki primljeni elektronski dokument smatra se posebnim dokumentom, osim ako je više puta primljen istovetan dokument i primalac je znao ili je morao znati da je reč o istovetnom dokumentu.
III. ELEKTRONSKA IDENTIFIKACIJA
1. Digitalni identifikacioni novčanik
Svojstva digitalnog identifikacionog novčanika
Član 15.
Digitalni identifikacioni novčanik omogućava korisniku da na jednostavan i transparentan način:
1) pod isključivom kontrolom korisnika, na bezbedan način zahteva, dobija, bira, kombinuje, čuva, briše, deli i predstavlja lične identifikacione podatke, i kada je to potrebno, u kombinaciji sa elektronskom potvrdom atributa, da se autentifikuje pouzdajućim stranama, u režimu rada na mreži i kada je to prikladno, u režimu rada van mreže, radi pristupanja javnim i privatnim uslugama, uz mogućnost selektivnog otkrivanja podataka;
2) kreira pseudonime i čuva ih u kriptovanom obliku, lokalno, na svom uređaju, u okviru digitalnog identifikacionog novčanika;
3) bezbedno izvrši autentifikaciju digitalnog identifikacionog novčanika drugog lica, prima i deli lične identifikacione podatke i elektronske potvrde atributa, na siguran način, između dva digitalna identifikaciona novčanika;
4) pristupi evidenciji svih transakcija izvršenih upotrebom digitalnog identifikacionog novčanika, korišćenjem kontrolne table digitalnog identifikacionog novčanika, koja korisniku omogućava da:
(1) pregleda ažuran popis pouzdajućih strana sa kojima je posredstvom digitalnog identifikacionog novčanika ostvario konekciju, a gde je to moguće i sve razmenjene podatke;
(2) na jednostavan način zahteva da pouzdajuća strana obriše njegove podatke o ličnosti u skladu sa zakonom kojim se uređuje zaštita podataka o ličnosti;
(3) na jednostavan način prijavi pouzdajuću stranu organu nadležnom za zaštitu podataka o ličnosti, ako posumnja da je primio nezakonit ili sumnjiv zahtev za podacima;
5) vrši potpisivanje korišćenjem kvalifikovanog elektronskog potpisa, odnosno pečatiranje korišćenjem kvalifikovanog elektronskog pečata;
6) preuzme, u meri u kojoj je to tehnički izvodljivo, podatke korisnika, elektronske potvrde atributa i konfiguracije;
7) ostvaruje pravo korisnika na prenosivost podataka. Digitalni identifikacioni novčanik posebno treba da:
1) podržava opšte protokole i interfejse:
(1) za izdavanje ličnih identifikacionih podataka, kvalifikovanih i nekvalifikovanih elektronskih potvrda atributa, ili kvalifikovanih i nekvalifikovanih elektronskih sertifikata digitalnom identifikacionom novčaniku;
(2) kako bi se pouzdajućoj strani omogućilo da zahteva i potvrđuje validnost ličnih identifikacionih podataka i elektronskih potvrda atributa;
(3) za deljenje i prikazivanje pouzdajućoj strani ličnih identifikacionih podataka, elektronskih potvrda atributa, ili selektivno otkrivenih podataka, u režimu rada na mreži i kada je to prikladno, u režimu rada van mreže;
(4) omogući bezbedno uključivanje korisnika, upotrebom sredstava elektronske identifikacije visokog nivoa pouzdanosti, u skladu sa ovim zakonom;
(5) za komunikaciju digitalnih identifikacionih novčanika dva korisnika, u svrhu bezbednog preuzimanja, validacije i razmene ličnih identifikacionih podataka i elektronskih potvrda atributa;
(6) za autentifikaciju i identifikaciju pouzdajućih strana, kroz uspostavljanje autentifikacionih mehanizama utvrđenih ovim zakonom;
(7) kako bi se pouzdajućim stranama omogućila provera autentičnosti i validnosti digitalnih identifikacionih novčanika;
(8) kako bi se od pouzdajuće strane moglo zahtevati brisanje ličnih identifikacionih podataka, u skladu sa zakonom kojim se uređuje zaštita podataka o ličnosti;
(9) za prijavu pouzdajuće strane organu nadležnom za zaštitu podataka o ličnosti, u slučaju sumnje da je primljen nezakonit ili sumnjiv zahtev za podacima;
(10) za kreiranje kvalifikovanog elektronskog potpisa, odnosno pečata, upotrebom kvalifikovanog sredstva za kreiranje elektronskog potpisa, odnosno pečata;
2) pružaocima usluga od poverenja koji izdaju elektronske potvrde atributa ne pruža informacije o upotrebi tih potvrda korišćenjem digitalnog identifikacionog novčanika;
3) obezbeđuje autentifikaciju i identifikaciju pouzdajućih strana, kroz uspostavljanje autentifikacionih mehanizama utvrđenih ovim zakonom;
4) ispunjava uslove propisane članom 17. ovog zakona za šeme visokog nivoa pouzdanosti, naročito kada je reč o dokazivanju pouzdanosti identiteta i upravljanju sredstvima elektronske identifikacije i njihove autentifikacije;
5) u slučaju elektronske potvrde atributa sa ugrađenim politikama otkrivanja, primenjuje odgovarajući mehanizam obaveštavanja korisnika da pouzdajuća strana ili korisnik digitalnog identifikacionog novčanika, koji su podneli zahtev za tu elektronsku potvrdu atributa imaju ovlašćenja za pristup toj potvrdi;
6) obezbeđuje da lični identifikacioni podaci koji su sadržani u sredstvu elektronske identifikacije posredstvom koje je digitalni identifikacioni novčanik obezbeđen, jedinstveno predstavljaju fizičko ili pravno lice, odnosno fizičko lice u svojstvu registrovanog subjekta, kao i njihovog zastupnika;
7) omogućava svim fizičkim licima besplatno korišćenje kvalifikovanog elektronskog potpisa.
Korisnik digitalnog identifikacionog novčanika ima potpunu kontrolu nad njegovim korišćenjem i korišćenjem podataka u okviru njega.
Izdavanje, korišćenje i opoziv digitalnog identifikacionog novčanika
Član 16.
Digitalni identifikacioni novčanik izdaje organ državne uprave nadležan za projektovanje, usklađivanje, razvoj i funkcionisanje sistema elektronske uprave (u daljem tekstu: kancelarija), kao sredstvo elektronske identifikacije, korišćenjem šeme elektronske identifikacije visokog nivoa pouzdanosti.
Kancelarija obezbeđuje interoperabilnost i korišćenje digitalnog identifikacionog novčanika u skladu sa uslovima za izdavanje sredstva elektronske identifikacije utvrđenim ovim zakonom.
Podaci o ličnosti na osnovu kojih se koristi digitalni identifikacioni novčanik čuvaju se logički odvojeno od svih drugih podataka koje čuva pružalac usluge od poverenja.
Izdavanje, korišćenje i opoziv digitalnog identifikacionog novčanika, kao i mehanizme za validaciju podataka sadržanih u digitalnom identifikacionom novčaniku vrši se bez naknade.
Kancelarija može opozvati digitalni identifikacioni novčanik:
1) na izričit zahtev korisnika;
2) ako je ugrožena sigurnost digitalnog identifikacionog novčanika;
3) nakon smrti korisnika ili prestanka obavljanja delatnosti pravnog lica, odnosno fizičkog lica u svojstvu registrovanog subjekta.
Digitalni identifikacioni novčanik izrađuje se u skladu sa domaćim i međunarodnim standardima informacione bezbednosti.
Kancelarija omogućava korisnicima da na jednostavan način mogu prijaviti tehničke probleme ili druge incidente koji negativno utiču na korišćenje Digitalnog identifikacionog novčanika i pruža im tehničku podršku u njihovom otklanjanju.
Kancelarija obezbeđuje teničke mere koje pružaocima elektronskih potvrda atributa kao i drugoj strani, nakon izdavanja elektronske potvrde atributa, onemogućava praćenje, povezivanje ili korelaciju transakcija ili ponašanja korisnika.
Kancelarija bez odlaganja obaveštava sve korisnike digitalnog identifikacionog novčanika o svakom bezbednosnom incidentu koji bi mogao kompromitovati ili ugroziti digitalni identifikacioni novčanik ili podatke sadržane u njemu, naročito ako je došlo do opoziva ili suspenzije digitalnog identifikacionog novčanika u skladu sa odredbama ovog zakona.
Fizičkim i pravnim licima koji ne koriste digitalni identifikacioni novčanik ne sme se ograničiti niti otežati pristup uslugama, tržištu rada i sloboda preduzetništva.
Vlada, na predlog ministarstva nadležnog za poslove informacionog društva (u daljem tekstu: Ministarstvo), uređuje bliže uslove za izdavanje, korišćenje i opoziv digitalnog identifikacionog novčanika.
Registracija pouzdajuće strane za korišćenje digitalnog identifikacionog novčanika
Član 17.
Pouzdajuća strana koja namerava da koristi digitalni identifikacioni novčanik za pružanje usluga svojim korisnicima, dužna je da se za takvu vrstu usluge registruje u javnom registru pouzdajućih strana koji uspostavlja i vodi Kancelarija.
Prilikom registracije, pouzdajuća strana dužna je da priloži:
1) podatke neophodne za autentifikaciju, i to: poslovno ime i sedište, matični broj, poreski identifikacioni broj;
2) identifikacione podatke ovlašćenog lica, i to: ime i prezime, jedinstven matični broj i adresu elektronske pošte;
3) način i svrhu korišćenja digitalnog identifikacionog novčanika uključujući podatke koji će se u pružanju usluge zahtevati od korisnika.
Pouzdajuća strana bez odlaganja prijavljuje Kancelariji svaku promenu podataka iz stava 2. ovog člana.
Pouzdajuća strana prilikom pružanja usluga ne sme tražiti druge podatke od korisnika sadržanih u digitalnom identifikacionom novčaniku osim onih koje je prilikom registracije prijavila, u skladu sa stavom 2. tačka 3. ovog člana.
Kancelarija u okviru digitalnog identifikacionog novčanika obezbeđuje mehanizam za autentifikaciju pouzdajuće strane prilikom korišćenja ličnih identifikacionih podataka i elektronskih potvrda atributa.
Pouzdajuća strana odgovorna je za sprovođenje postupka autentifikacije i validacije ličnih identifikacionih podataka, kao i elektronske potvrde atributa koje preuzima iz digitalnog identifikacionog novčanika korisnika.
Pouzdajuća strana prihvata korišćenje pseudonima ako prilikom pružanja usluga nije neophodna identifikacija korisnika.
Posrednik koji realizuje uslugu u ime pouzdajuće strane ima iste obaveze kao i pouzdajuća strana i ne sme čuvati podatke o sadržaju transakcije.
Ministarstvo propisuje sadržaj i način vođenja registra iz stava 1. ovog člana, način podnošenja zahteva za upis u registar, sadržinu i formu zahteva,potrebnu dokumentaciju i način objavljivanja podataka iz registra.
Sertifikacija digitalnog identifikacionog novčanika
Član 18.
Ocenu usaglašenosti digitalnog identifikacionog novčanika i sredstava elektronske identifikacije u okviru kojeg se oni stavljaju na raspolaganje, sa uslovima propisanih u čl. 15. i 16. Ovog zakona, vrši telo za ocenjivanje usaglašenosti koje je akreditovano u skladu sa zakonom kojim se uređuje postupak akreditacije.
Pri oceni usaglašenosti digitalnog identifikacionog novčanika, proverava se usaglašenost sa tehničkim i bezbednosnim standardima.
Sertifikacija iz stava 1. ovog člana važi pet godina, uz sprovođenje procene ranjivosti na svake dve godine.
Ako se prilikom procene utvrdi ranjivost sertifikacija se poništava.
Listu akreditovanih tela za ocenu usaglašenosti iz stava 1. ovog člana utvrđuje Ministarstvo. Ministarstvo propisuje bliže uslove za ocenu usaglašenosti iz st. 1. i 2. ovog člana.
Bezbednosni incidenti u vezi sa digitalnim novčanikom
Član 19.
Ako se utvrdi nepravilnost, ranjivost odnosno bezbednosni incident pri korišćenju digitalnog identifikacionog novčanika, mehanizma za validaciju ili sredstva elektronske identifikacije u okviru koje se koristi digitalni identifikacioni novčanik, na način koji utiče na njihovu pouzdanost ili na pouzdanost drugih digitalnih identifikacionih novčanika, Kancelarija bez odlaganja privremeno obustavlja korišćenje digitalnog identifikacionog novčanika.
Ako je nepravilnost, ranjivost odnosno bezbednosni incident iz stava 1. izazvao ili može da izazove ozbiljne posledice po bezbednost digitalnog identifikacionog novčanika, Kancelarija povlači iz upotrebe digitalni identifikacioni novčanik.
Kada se nepravilnost, ranjivost, odnosno bezbednosni incident pri korišćenju digitalnog identifikacionog novčanika iz stava 1. ovog člana otkloni i steknu uslovi za bezbedno i pouzdano korišćenje digitanog novčanika, Kancelarija ga ponovo stavlja na raspolaganje.
Ako se nepravilnost, ranjivost, odnosno bezbednosni incident iz stava 1. ovog člana ne otkloni u roku od 90 dana od dana privremene obustave, Kancelarija povlači iz upotrebe digitalni identifikacioni novčanik i opoziva njegovu valjanost.
O incidentima i preduzetim merama iz st. 1-3. ovog člana Kancelarija obaveštava korisnike, pouzdajuće strane koji ih koriste, kao i Ministarstvo.
Ministarstvo bliže propisuje mere iz st. 1-4. ovog člana.
2. Šeme elektronske identifikacije
Uslovi koje mora da ispunjava šema elektronske identifikacije
Član 20.
Šema elektronske identifikacije mora:
1) da sadrži podatke za identifikaciju lica na izdatim sredstvima za elektronsku identifikaciju, koji jedinstveno određuju pravno ili fizičko lice;
2) da obezbedi da pružalac usluge elektronske identifikacije obezbedi identifikacione podatke u okviru sredstva elektronske identifikacije koji odgovaraju licu kome je sredstvo izdato;
3) da jasno definiše tehničke i druge uslove koji omogućavaju pouzdajućoj strani proveru identiteta;
4) da ispunjava uslove za nivo pouzdanosti u koji se razvrstava, iz člana 21. ovog zakona.
Nivoi pouzdanosti šema elektronske identifikacije
Član 21.
Šeme elektronske identifikacije razvrstavaju se prema nivou pouzdanosti na:
1) šeme osnovnog nivoa pouzdanosti, koje obezbeđuju ograničeno poverenje u identitet kojim se lice predstavlja i koriste sredstva i procedure čija svrha je da smanje rizik zloupotrebe odnosno neistinitog predstavljanja;
2) šeme srednjeg nivoa pouzdanosti, koje obezbeđuju značajno poverenje u identitet kojim se lice predstavlja i koriste sredstva i procedure čija svrha je da značajno smanje rizik zloupotrebe odnosno neistinitog predstavljanja;
3) šeme visokog nivoa pouzdanosti, koje obezbeđuju visoko poverenje u identitet kojim se lice predstavlja i koriste sredstva i procedure čija svrha je da onemoguće zloupotrebu odnosno neistinito predstavljanje.
Vlada, na predlog Ministarstva, uređuje bliže uslove koje moraju da ispune šeme elektronske identifikacije za određene nivoe pouzdanosti, a naročito:
1) način dokazivanja i provere identiteta fizičkog odnosno pravnog lica koje zahteva izdavanje sredstava elektronske identifikacije;
2) način izdavanja sredstava elektronske identifikacije;
3) mehanizam autentifikacije, putem koga fizičko odnosno pravno lice korišćenjem sredstava identifikacije potvrđuje svoj identitet drugoj strani u elektronskoj transakciji;
4) uslove koje treba da ispuni pružalac usluge elektronske identifikacije;
5) uslove koji se odnose na podatke koji se koriste u procesu prekogranične saradnje za fizička i pravna lica prilikom korišćenja registrovanih šema elektronske identifikacije, a koji od podataka o ličnosti sadrže ime i prezime, datum rođenja, adresu stanovanja i pol a u svrhu pouzdane provere identiteta lica;
6) uslove koje treba da ispune drugi učesnici koji su uključeni u postupak izdavanja sredstava elektronske identifikacije;
7) tehničke i bezbednosne karakteristike sredstava elektronske identifikacije koja se izdaju;
8) minimalne tehničke i organizacione uslove u cilju obezbeđivanja interoperabilnosti šema elektronske identifikacije u skladu sa domaćim i međunarodnim standardima iz ove oblasti.
Upis u Registar pružalaca usluga elektronske identifikacije i šema elektronske identifikacije
Član 22.
Registar pružalaca usluga elektronske identifikacije i šema elektronske identifikacije predstavlja skup podataka o pružaocima usluge elektronske identifikacije i o šemama elektronske identifikacije, koji vodi Ministarstvo.
Pružalac usluge elektronske identifikacije podnosi Ministarstvu zahtev i potrebnu dokumentaciju za upis u Registar pružalaca usluga elektronske identifikacije i šema elektronske identifikacije.
Registar iz stava 1. ovog člana od podataka o ličnosti sadrži podatke o odgovornim licima, i to: ime, prezime, funkciju i kontakt podatke kao što su službena adresa, broj službenog telefona i
službena adresa elektronske pošte u svrhu dostupnosti podataka korisnicima usluge o pružaocu usluge elektronske identifikacije.
Sastavni deo Registra iz stava 1. ovog člana su i šeme elektronske identifikacije sa liste koju, u skladu sa članom 9. Uredbe EU br. 1183/2024 Evropskog parlamenta i Saveta (u daljem tekstu: Uredba eIDAS), objavljuje Evropska komisija.
Ministarstvo propisuje sadržaj i način vođenja Registra iz stava 1. ovog člana, kao i način podnošenja zahteva za upis u taj registar, u skladu sa zakonom koji uređuje opšti upravni postupak, potrebnu dokumentaciju uz zahtev, obrazac zahteva i način objavljivanja podataka iz tog registra.
Sertifikacija šema elektronske identifikacije
Član 23.
Telo za ocenjivanje usaglašenosti, koje je akreditovano u skladu sa zakonom kojim se uređuje postupak akreditacije izdaje sertifikat kojim potvrđuje usklađenost šema elektronske identifikacije sa bezbednosnim i tehničkim zahtevima propisanim ovim zakonom.
Ocena usklađenosti, odnosno sertifikacija obuhvata tehničke, organizacione i bezbednosne aspekte šema elektronske identifikacije.
Sertifikacija se vrši u skladu sa:
1) zahtevima iz ovog zakona i propisa donetih na osnovu njega;
2) nacionalnim standardima za bezbednost i zaštitu podataka;
3) međunarodnim standardima kao što su ISO/IEC 27001 i ISO/IEC 29115,
4) preporukama nadležnih međunarodnih tela za informacionu bezbednost.
Pružalac usluge elektronske identifikacije uz zahtev za sertifikaciju šeme elektronske identifikacije dostavlja:
1) tehničku specifikaciju sistema;
2) opis mera za zaštitu podataka;
3) izveštaj o proceni rizika i ranjivosti;
4) opis procedura za nadzor i otklanjanje ranjivosti i
5) dokaz o usklađenosti sa relevantnim standardima.
Sertifikat o usaglašenosti važi najviše pet godina, uz obavezu sprovođenja redovne procene ranjivosti najmanje svake dve godine.
Ako se utvrdi ranjivost izdate šeme elektronske identifikacije, telo koje je izdalo šemu bez odlaganja ga suspenduje.
Kada se ranjivost iz stava 6. ovog člana otkloni šema elektronske identifikacije se ponovo stavlja na raspolaganje korisniku.
Ako se ranjivost iz stava 6. ovog člana ne otkloni u roku od 90 dana od suspenzije sertifikat se opoziva i povlači iz upotrebe.
Telo koje je izdalo sertifikat obaveštava korisnika, Kancelariju, kao i Ministarstvo o bezbednosnim incidentima i preduzetim merama iz st. 6-8. ovog člana.
Ministarstvo:
1) vodi registar akreditovanih tela za ocenu usaglašenosti iz stava 1. ovog člana;
2) nadzire rad akreditovanih tela za ocenu usaglašenosti kroz redovne izveštaje i inspekcije;
3) osigurava transparentnost procesa sertifikacije kroz objavljivanje informacija o sertifikovanim šemama elektronske identifikacije u javnom registru.
Ministarstvo bliže uređuje uslove i kriterijume za sertifikaciju u skladu sa tehnološkim razvojem i preporukama međunarodnih tela.
Korišćenje šema elektronske identifikacije u elektronskom poslovanju i u opštenju sa organom javne vlasti
Član 24.
Za utvrđivanje identiteta u elektronskom poslovanju mogu se koristiti šeme elektronske identifikacije koje su upisane u registar iz člana 22. ovog zakona, kao i šeme elektronske identifikacije koje nisu upisane u registar.
Iskaz volje ne može se osporiti samo zato što su, umesto potpisa, korišćene šeme elektronske identifikacije iz stava 1. ovog člana.
Šema elektronske identifikacije koja je upisana u registar iz člana 22. ovog zakona (u daljem tekstu: registrovana šema elektronske identifikacije) može se koristiti za utvrđivanje identiteta stranke u opštenju sa organom javne vlasti.
U opštenju stranke sa organima javne vlasti identitet stranke utvrđen na osnovu registrovane šeme elektronske identifikacije visokog nivoa pouzdanosti zamenjuje potpis stranke na podnesku.
Propisom može biti određeno da se u slučaju iz stava 4. ovog člana može koristiti šema elektronske identifikacije srednjeg ili osnovnog nivoa pouzdanosti, ako su rizik od zloupotrebe i moguća šteta od zloupotrebe takvi da nije neophodno koristiti šemu visokog nivoa pouzdanosti.
Odgovornost pri elektronskoj identifikaciji
Član 25.
Izdavalac sredstva elektronske identifikacije odgovoran je za štetu nastalu usled toga što je izdao sredstvo elektronske identifikacije protivno uslovima propisanim ovim zakonom i šemom elektronske identifikacije.
Strana koja sprovodi postupak autentifikacije odgovara za štetu nastalu usled nepropisno sprovedenog postupka autentifikacije.
Lica koja učestvuju u postupku elektronske identifikacije odgovaraju za štetu koju prouzrokuju svojim radnjama ili propustima, u skladu sa svojim ovlašćenjima i odgovornostima utvrđenim ovim zakonom.
Odredbe ovog člana primenjuju se u skladu sa zakonom kojim se uređuju obligacioni odnosi.
U slučaju međunarodne saradnje u oblasti elektronske identifikacije, primenjuju se odredbe utvrđene međunarodnim sporazumima.
Bezbednosni uslovi koje treba da ispunjavaju pružaoci usluga elektronske identifikacije
Član 26.
Pružalac usluga elektronske identifikacije preduzima potrebne tehničke, fizičke i organizacione mere za upravljanje rizicima koji ugrožavaju pouzdano i bezbedno pružanje tih usluga.
Tehničkim i organizacionim merama osigurava se da nivo bezbednosti odgovara stepenu rizika i predviđenom nivou pouzdanosti šeme elektronske identifikacije, uzimajući u obzir najnovija dostupna tehnološka rešenja, a posebno se preduzimaju mere za sprečavanje bezbednosnih incidenata i ograničavanje štetnih posledica eventualnih incidenata, kao i za obaveštavanje zainteresovanih strana o neželjenim efektima bezbednosnih incidenata.
Pružalac usluga elektronske identifikacije dužan je da najmanje jednom godišnje sprovodi procenu rizika, identifikuje pretnje i slabosti, utvrdi i revidira mere zaštite koje su primerene stepenu rizika i nivou pouzdanosti šeme.
Rezultati procene i mere iz stava 3. ovog člana moraju biti dokumentovani i dostupni Ministarstvu, u skladu sa propisima, tehničkim standardima, dobrom praksom i tehnološkim dostignućima.
3. Prekogranična saradnja u oblasti elektronske identifikacije
Interoperabilnost i prekogranično potvrđivanje identiteta
Član 27.
Ministarstvo sarađuje sa nadležnim međunarodnim telima po pitanjima prekogranične interoperabilnosti šema elektronske identifikacije i preduzima mere iz svoje nadležnosti kako bi se uspostavila interoperabilnost šema elektronske identifikacije na nacionalnom nivou.
Radi ostvarivanja prekogranične interoperabilanosti uspostavlja se okvir interoperabilnosti koji:
1) je tehnološki neutralan;
2) primenjuje odgovarajuće evropske i međunarodne standarde, naročito u oblasti informacione bezbednosti;
3) omogućava primenu privatnosti po dizajnu, uključujući minimalnu obradu podataka, selektivno otkrivanje identiteta, kriptografsku zaštitu i sprečavanje profilisanja, u skladu sa propisima o zaštiti podataka o ličnosti.
Kancelarija uspostavlja i upravlja čvorom u okviru interoperabilnosti koji omogućava prekograničnu autentifikaciju lica, čime se obezbeđuje da se infrastruktura elektronske identifikacije Republike Srbije poveže sa infrastrukturom elektronske identifikacije druge države.
U procesu upravljanja čvorom iz stava 3. ovog člana Kancelarija:
1) obezbeđuje povezivanje sa čvorovima drugih država kroz okvir interoperabilnosti čije su šeme elektronske identifikacije sastavni deo Registra iz člana 22. ovog zakona, odnosno koje su priznate na osnovu međunarodnog sporazuma;
2) primenjuje tehničke i organizacione mere zaštite radi sprečavanja neovlašćenog pristupa podacima koji se razmenjuju i obezbeđuje integritet podatka, koji se prenose između čvorova upotrebom odgovarajućih tehničkih rešenja i prakse;
3) obezbeđuje da se podaci o ličnosti ne čuvaju ili zadržavaju u čvoru;
4) koristi tehnička rešenja koja obezbeđuju integritet i autentičnost podataka, a koja se koriste prilikom prekogranične razmene podataka;
5) obezbeđuje da čvor ispunjava propisane uslove koji se odnose na format poruka, strukturu podataka i protokole razmene, u skladu sa važećim nacionalnim standardima i regulativom, čime se obezbeđuje tehnička interoperabilnost i pravna valjanost prekogranične elektronske identifikacije;
6) obezbeđuje dostavljanje metapodataka o upravljanju čvorom u standardizovanom, mašinski čitljivom obliku koji je pogodan za automatsku obradu podataka, na bezbedan i pouzdan način;
7) obezbeđuje automatsku obradu parametara koji se odnose na bezbednost, uz primenu tehničkih i organizacionih mera koje omogućavaju kontinuirano praćenje, evidentiranje, analizu i reagovanje na bezbednosne događaje, u skladu sa važećim nacionalnim standardima i regulativom, bez ugrožavanja privatnosti ili integriteta podataka;
8) čuva podatke koji bi u slučaju incidenta omogućavali utvrđivanje mesta i vrste incidenta u zakonskom roku.
9) omogućava prenos podataka koji obezbeđuju pouzdano predstavljanje fizičkog ili pravnog lica, na osnovu upotrebe registrovane šeme elektronske identifikacije prilikom prekogranične saradnje u skladu sa zakonom.
U postupcima prekogranične elektronske identifikacije primenjuju se tehnološka rešenja koja omogućavaju nedvosmisleno utvrđivanje i uparivanje identiteta fizičkih i pravnih lica, na osnovu elektronskih identifikacionih sredstava izdatih u skladu sa priznatim i registrovanim šemama elektronske identifikacije, a u skladu sa važećim tehničkim standardima i propisima.
Kancelarija sprovodi tehničke i organizacione mere u čvoru na način koji sprečava profilisanje korisnika i obezbeđuje zaštitu podataka o ličnosti, u skladu sa propisima kojima se uređuje zaštita podataka o ličnosti i elektronska identifikacija u prekograničnom kontekstu.
Propisom Vlade iz člana 21. stav 2. ovog zakona bliže se uređuju uslovi iz stava 4. ovog člana koji se odnose na čvor.
Pristup hardverskim i softverskim funkcijama
Član 28.
Kancelarija je dužna da izdavaocima sredstava za elektronsku identifikaciju koji ta sredstva stavljaju u promet omogući:
1) interoperabilnost, uključujući tehničke, organizacione i pravne mere neophodne za obezbeđivanje pristupa operativnim sistemima, hardverskim i softverskim funkcijama relevantnim za pružanje usluga elektronske identifikacije;
2) besplatan pristup operativnim sistemima, hardverskim i softverskim funkcijama iz tačke 1 ovog stava.
Obaveze iz ovog člana tumače se u skladu sa principima ravnopravnog pristupa, transparentnosti i nediskriminacije, uzimajući u obzir propise i odgovarajuće međunarodne standarde.
Prijavljivanje
Član 29.
Ministarstvo može priznati sertifikate izdate u inostranstvu, pod uslovom da su usklađeni sa međunarodnim standardima i da su izdati od strane tela koja ispunjavaju zahteve propisane ovim zakonom.
Ministarstvo Evropskoj komisiji može prijavljivati registrovane šeme elektronskog identiteta koje ispunjavaju uslove iz Uredbe eIDAS.
IV. USLUGE OD POVERENjA
1. Opšte odredbe
Odgovornost pružaoca usluga od poverenja i teret dokazivanja
Član 30.
Pružalac usluge od poverenja odgovoran je za štetu nastalu usled toga što nije postupio u skladu sa ovim zakonom ukoliko je štetu prouzrokovao namerno ili nepažnjom.
Teret dokazivanja namere ili nepažnje pružaoca usluga od poverenja je na fizičkom ili pravnom licu koje zahteva naknadu štete iz stava 1. ovog člana.
Teret dokazivanja da šteta nije nastala usled namere ili nepažnje kvalifikovanog pružaoca usluga od poverenja iz stava 1. ovog člana je na tom pružaocu usluga.
Pružalac usluga od poverenja nije odgovoran za štetu nastalu zbog korišćenja usluge kojom je prekoračeno naznačeno ograničenje, ako je korisnik usluge od poverenja o takvom ograničenju unapred obavešten, i ako su ta ograničenja poznata trećim licima.
Odgovornost korisnika usluga od poverenja za čuvanje sredstava i podataka za formiranje elektronskog potpisa odnosno pečata
Član 31.
Korisnik usluge od poverenja dužan je da čuva sredstva i podatke za formiranje elektronskog potpisa odnosno pečata od neovlašćenog pristupa i upotrebe, i da iste koristi u skladu sa odredbama ovog zakona.
Uslovi koje treba da ispunjavaju pružaoci usluga od poverenja
Član 32.
Pružaoci usluga od poverenja treba da usvoje odgovarajuće politike i procedure i preduzmu druge relevantne mere u cilju upravljanja pravnim, poslovnim, operativnim i drugim direktnim ili indirektnim rizicima po pružanje usluge od poverenja i da pored preduzimanja mera iz zakona koji uređuje informacionu bezbednost obuhvata mere upravljanja rizikom prilikom:
1) registracije i pristupa korisnika uslugama od poverenja;
2) sprovođenja administrativnih provera neophodnih za pružanje usluga od poverenja;
3) upravljanja i sprovođenja usluga od poverenja.
Pružaoci usluga od poverenja bez odlaganja, a najkasnije 24 sata od saznanja, obaveštavaju Ministarstvo i druge nadležne organe, ugrožene korisnike, kao i javnost ukoliko je to u javnom interesu, o svakoj bezbednosnoj kompromitaciji ili smetnjama u pružanju usluge ili primeni mera iz stava 2. ovog člana koje imaju značajan uticaj na pružanje usluge od poverenja ili na zaštitu podataka o ličnosti koji se obrađuju u okviru pružanja usluge.
Ako bi ugrožavanje bezbednosti ili gubitak integriteta usluge od poverenja mogli nepovoljno uticati na korisnike usluga od poverenja, pružalac usluga od poverenja o povredi bezbednosti ili gubitku integriteta usluge, bez odlaganja, obaveštava korisnika usluga od poverenja, a ako bi pojedinačno obaveštavanje predstavljalo nerazuman utrošak vremena i sredstava, putem sredstava javnog informisanja, veb prezentacije ministarstva i na drugi pogodan način.
Ministarstvo obaveštava javnost ili zahteva od pružaoca usluga od poverenja da to učini, ako utvrdi da je objavljivanje podataka o povredi bezbednosti ili gubitka integriteta usluge u javnom interesu.
Ministarstvo sarađuje sa nadležnim organima drugih država u vezi sa razmenom podataka o narušavanju bezbednosti i integriteta usluga od poverenja, u skladu sa međunarodnim sporazumima.
Ministarstvo propisuje standarde, tehničke specifikacije i procedure za ispunjenje uslova iz stava 1. ovog člana.
Nadležnost Ministarstva
Član 33.
Ministarstvo vrši sledeće poslove:
1) vodi registar pružaoca kvalifikovanih usluga od poverenja;
2) razmatra izveštaje o proveri ispunjenosti uslova za pružanje kvalifikovanih usluga od poverenja;
3) vrši inspekcijski nadzor nad radom pružaoca usluga od poverenja;
4) nalaže vanrednu proveru ispunjenosti uslova za pružanje kvalifikovanih usluga od poverenja, u skladu sa zakonom;
5) sarađuje sa nadležnim organom za zaštitu podataka o ličnosti, i obaveštava ga bez odlaganja ukoliko dođe do saznanja da pružaoci kvalifikovanih usluga od poverenja ne postupaju u skladu sa propisima o zaštiti podataka o ličnosti;
6) proverava postojanje i pravilnu primenu odredaba o planovima prekida aktivnosti u slučajevima kada pružalac kvalifikovane usluge od poverenja prekine svoje aktivnosti, uključujući način na koji se održava dostupnost informacija koje izdaje i prima pružalac kvalifikovane usluge od poverenja;
7) sarađuje sa nadzornim telima Evropske unije;
8) obaveštava javnost o ugrožavanju bezbednosti ili gubitku celovitosti usluga od poverenja koji imaju značajan uticaj na pruženu uslugu od poverenja ili u njoj sadržane lične podatke.
Nadležnosti Ministarstva u okviru prekogranične saradnje u oblasti usluga od poverenja
Član 34.
Ministarstvo obavlja i poslove:
1) obaveštava nadležna tela stranih država o ugrožavanju bezbednosti ili gubitku celovitosti koji imaju značajan uticaj na pruženu uslugu od poverenja ili u njoj sadržane lične podatke;
2) izveštava Evropsku komisiju o svojim aktivnostima u skladu sa Uredbom eIDAS, počev od dana stupanja Republike Srbije u članstvo u Evropskoj uniji.
2. Kvalifikovane usluge od poverenja
Uspostavljanje odnosa između pružaoca i korisnika kvalifikovane usluge od poverenja
Član 35.
O pružanju kvalifikovane usluge od poverenja zaključuje se ugovor između pružaoca i korisnika kvalifikovane usluge od poverenja, na zahtev korisnika.
Pružalac kvalifikovane usluge od poverenja dužan je da, pre zaključivanja ugovora iz stava 1. ovog člana, na sveobuhvatan i lako dostupan način, u razumljivom obliku, obavesti lice koje je podnelo zahtev za pružanje kvalifikovane usluge od poverenja o svim važnim okolnostima korišćenja usluge, a naročito o:
1) propisima i pravilima koji se odnose na korišćenje kvalifikovane usluge od poverenja;
2) eventualnim ograničenjima u korišćenju kvalifikovane usluge od poverenja;
3) merama koje treba da realizuju korisnici kvalifikovane usluge od poverenja i o potrebnoj tehnologiji za bezbedno korišćenje kvalifikovane usluge od poverenja.
Korisnik kvalifikovane usluge od poverenja može koristiti usluge od poverenja jednog ili više pružalaca usluga od poverenja.
Uslovi za pružanje kvalifikovanih usluga od poverenja
Član 36.
Pružalac kvalifikovanih usluga od poverenja dužan je da, pored uslova iz člana 32. ovog zakona:
1) ima zaposlene koji poseduju neophodnu stručnost, iskustvo i kvalifikacije za primenu administrativnih i upravljačkih procedura koje odgovaraju domaćim i međunarodnim standardima i koji su prošli odgovarajuću obuku u oblasti informacione bezbednosti i zaštite podataka o ličnosti, u odnosu na uslugu koju pruža;
2) se osigura od odgovornosti za štetu nastalu pružanjem kvalifikovane usluge od poverenja;
3) koristi pouzdane uređaje i proizvode koji su zaštićeni od neovlašćene promene i garantuju tehničku bezbednost i pouzdanost procesa koje podržavaju, uključujući korišćenje odgovarajućih kriptografskih tehnika;
4) koristi pouzdane sisteme za čuvanje podataka koji su mu povereni tako:
(1) da su podaci dostupni samo uz saglasnost lica čiji su to podaci,
(2) da samo ovlašćena lica mogu unositi podatke i vršiti izmene,
(3) da se može proveravati autentičnost podataka;
5) sprovodi mere protiv zloupotrebe i krađe podataka;
6) čuva u odgovarajućem vremenskom periodu, ne dužem od deset godina, sve relevantne informacije koje se odnose na podatke koji su kreirani ili primljeni od strane pružaoca kvalifikovanih usluga od poverenja, a posebno za svrhu pružanja dokaza u pravnim postupcima, osim ako posebnim zakonom nije predviđen drugačiji period čuvanja;
7) vodi ažurnu, tačnu i bezbednim merama zaštićenu bazu podataka izdatih elektronskih sertifikata u slučaju kada pruža uslugu izdavanja kvalifikovanih elektronskih sertifikata, kao i bazu podataka koji su kreirani ili primljeni od strane pružaoca kvalifikovanih usluga od poverenja u okviru pružanja kvalifikovanih usluga od poverenja;
8) ima ažuran plan završetka rada koji osigurava kontinuitet kvalifikovanih usluga od poverenja;
9) osigura obradu ličnih podataka u skladu sa zakonom;
10) obezbedi da se prostorije i oprema koju koristi za pružanje kvalifikovanih usluga od poverenja nalaze na teritoriji Republike Srbije;
11) podatke i dokumenta koja se nalaze u njegovom informacionom sistemu ne prenosi van teritorije Republike Srbije, osim ako drugačije nije predviđeno propisima i međunarodnim ugovorima.
Pružalac kvalifikovane usluge od poverenja dužan je da donese akta kojima uređuje:
1) opšte uslove za pružanje usluge koji su javno dostupni;
2) politike pružanja usluga i praktična pravila za pružanje usluga koje pružalac kvalifikovane usluge od poverenja koristi kako bi obezbedio pružanje usluge u skladu sa propisima i opštim uslovima iz tačke 1) ovog stava;
3) informacionu bezbednost.
Pružalac kvalifikovanih usluga od poverenja dužan je da pisanim putem obavesti Ministarstvo o svakoj planiranoj izmeni u pružanju kvalifikovanih usluga od poverenja najkasnije 30 dana pre uvođenja te izmene, odnosno o nameri prestanka obavljanja delatnosti najkasnije 90 dana pre prestanka.
Pružalac usluga od poverenja koji izdaje kvalifikovane elektronske sertifikate dužan je da dostavlja Ministarstvu podatke o broju sertifikata izdatih od početka pružanja usluge do 31. decembra kalendarske godine i podatke o broju važećih sertifikata na dan 31. decembar kalendarske godine.
Ažurni podaci iz stava 3. ovog člana dostavljaju se redovno, najkasnije do 15. januara za prethodnu godinu, kao i po potrebi, vanredno, na zahtev Ministarstva.
Vlada, na predlog Ministarstva, bliže uređuje uslove za pružanje kvalifikovane usluge od poverenja iz stava 1. ovog člana i sadržaj akata iz stava 2. ovog člana, uključujući određivanje međunarodnih standarda koji se primenjuju.
Osiguranje od profesionalne odgovornosti
Član 37.
Ministarstvo propisuje najniži iznos osiguranja od rizika odgovornosti za štetu nastalu vršenjem usluge kvalifikovane usluge od poverenja.
Provera identiteta korisnika kvalifikovane usluge od poverenja izdavanja kvalifikovanog sertifikata
Član 38.
Pružalac kvalifikovanih usluga od poverenja prilikom pružanja usluga dužan je da prilikom izdavanja kvalifikovanog sertifikata ili kvalifikovane elektronske potvrde atributa proveri identitet fizičkog ili pravnog lica kojem se sertifikat, odnosno potvrda atributa izdaje, uz primenu jedne ili više metoda, i to:
1) korišćenjem digitalnog identifikacionog novčanika ili drugog sredstva elektronske identifikacije u okviru šeme elektronske identifikacije visokog nivoa pouzdanosti;
2) korišćenjem kvalifikovanog elektronskog potpisa, odnosno pečata;
3) korišćenjem drugih metoda identifikacije kojima se obezbeđuje visok nivo pouzdanosti;
4) uz prisustvo fizičkog lica, odnosno ovlašćenog predstavnika pravnog lica uz podnošenje odgovarajućih dokaza kao što je lična karta ili putna isprava, odnosno drugi identifikacioni dokument sa fotografijom.
Provera identiteta korisnika kvalifikovane usluge od poverenja izdavanja kvalifikovane elektronske potvrde atributa
Član 39.
Pružalac kvalifikovanih usluga od poverenja prilikom izdavanja kvalifikovane elektronske potvrde atributa, pored provere identiteta na način iz člana 38. ovog zakona, za proveru atributa:
1) koristi digitalni identifikacioni novčanik ili druga sredstva elektronske identifikacije u okviru šeme elektronske identifikacije visokog nivoa pouzdanosti;
2) koristi kvalifikovan elektronski potpis, odnosno pečat;
3) koristi kvalifikovanu elektronsku potvrdu atributa koja sadrži informaciju o atributu;
4) proverava atribute prisutnog fizičkog lica koja zahteva uslugu u svoje ime, odnosno u ime pravnog lica na osnovu podnetih odgovarajućih dokaza.
Pružalac kvalifikovane usluge od poverenja dužan je da obezbedi periodičnu proveru podataka i sertifikata, a naročito o statusu fizičkog i pravnog lica kojem je izdao kvalifikovani sertifikat, kao i da izvrši opoziv sertifikata u slučaju promene podataka u skladu sa zakonom.
Ocenjivanje ispunjenosti uslova za pružanje kvalifikovanih usluga od poverenja
Član 40.
Ocenjivanje ispunjenosti uslova za pružanje kvalifikovanih usluga od poverenja (u daljem tekstu: ocenjivanje ispunjenosti uslova) obavlja telo za ocenjivanje usaglašenosti koje je, u skladu sa zakonom kojim se uređuje akreditacija, akreditovano za ocenjivanje usaglašenosti pružaoca kvalifikovanih usluga od poverenja i kvalifikovanih usluga od poverenja koje oni pružaju.
Nakon sprovedenog ocenjivanja ispunjenosti uslova telo za ocenjivanje usaglašenosti sačinjava izveštaj o ocenjivanju usaglašenosti.
Ocenjivanje ispunjenosti uslova vrši se pre početka pružanja kvalifikovanih usluga od poverenja i najmanje jednom u 24 meseca.
Nakon završenog ocenjivanja ispunjenosti uslova pružalac usluge od poverenja dostavlja Ministarstvu izveštaj o ocenjivanju usaglašenosti, u roku od tri radna dana od dana kada ga je primio.
Ministarstvo može zahtevati vanredno ocenjivanje ispunjenosti uslova kako bi potvrdilo da pružalac kvalifikovanih usluga od poverenja i kvalifikovane usluge od poverenja koje on pruža ispunjavaju uslove propisane ovim zakonom, a posebno ako se utvrde nepravilnosti u pružanju kvalifikovanih usluga od poverenja, odnosno ako nastupi incident koji je u značajnoj meri ugrozio ili narušio informacionu bezbednost.
Vanredno ocenjivanje ispunjenosti uslova vrši telo za ocenjivanje usaglašenosti koje nije povezano sa vršenjem prethodnog ocenjivanja.
Troškove ocenjivanja ispunjenosti uslova, uključujući vanredna ocenjivanja, snosi pružalac kvalifikovane usluge od poverenja.
Ako pružalac kvalifikovane usluge od poverenja ne ispunjava neki od uslova propisanih ovim zakonom, Ministarstvo mu nalaže otklanjanje utvrđenih nedostataka u roku ne dužem od 90 dana.
Ako pružalac kvalifikovane usluge od poverenja u zadatom roku ne otkloni utvrđene nepravilnosti i ne ispuni propisane uslove, Ministarstvo donosi rešenje o ukidanju statusa kvalifikovanog pružaoca usluga od poverenja i obustavljanju pružanja odgovarajuće usluge od poverenja koju pruža i dostavlja ga, u skladu sa zakonom.
Ako organ nadležan za zaštitu podataka o ličnosti prilikom vršenja nadzora utvrdi da je pružalac kvalifikovane usluge od poverenja vršio obradu podataka o ličnosti suprotno zakonu i donese rešenje kojim se zahteva prestanak obrade, Ministarstvo privremeno preduzima odgovarajuće mere u skladu sa ovim zakonom i zakonom kojim se uređuje inspekcijski nadzor.
Svaku izmenu kvalifikovanog statusa iz st. 9-10. ovog člana Ministarstvo ažurira u registru pružalaca kvalifikovanih usluga od poverenja.
Ministarstvo utvrđuje listu standarda koje mora da ispuni telo za ocenjivanje usaglašenosti, obaveznu sadržinu izveštaja o ocenjivanju usaglašenosti i postupak ocenjivanja ispunjenosti uslova odnosno ocenjivanja usaglašenosti kvalifikovanih usluga od poverenja.
Upis u Registar pružalaca kvalifikovanih usluga od poverenja
Član 41.
Registar pružalaca kvalifikovanih usluga od poverenja predstavlja skup podataka o pružaocima kvalifikovanih usluga od poverenja i o kvalifikovanim uslugama od poverenja koji vodi Ministarstvo.
Pružalac kvalifikovanih usluga od poverenja podnosi Ministarstvu zahtev za upis u Registar pružalaca kvalifikovanih usluga od poverenja.
Uz zahtev iz stava 1. ovog člana prilažu se dokazi o činjenicama iskazanim u zahtevu uključujući izveštaj o ocenjivanju usaglašenosti iz člana 40. stav 4. ovog zakona kojim je ocenjeno da podnosilac zahteva i kvalifikovane usluge od poverenja koje on namerava da pruža ispunjavaju uslove iz ovog zakona.
Ministarstvo rešava o upisu pružaoca kvalifikovanih usluga od poverenja u registar iz stava 1. ovog člana u roku od 60 dana od dana podnošenja urednog zahteva.
U postupku rešavanja iz stava 4. ovog člana Ministarstvo može zahtevati prilaganje dodatnih dokaza, kao i dodatnu proveru tehničkih i bezbednosnih komponenti i operativnog rada.
Ako pružalac kvalifikovanih usluga od poverenja ispunjava uslove utvrđene ovim zakonom, Ministarstvo rešenjem utvrđuje vrstu usluge koju pruža, i vrši upis u registar iz stava 1. ovog člana.
Pružalac kvalifikovanih usluga od poverenja može početi da pruža kvalifikovanu uslugu od poverenja nakon upisa u registar iz stava 5. ovog člana.
Ako pružalac usluga prestane da ispunjava uslove propisane ovim zakonom Ministarstvo donosi rešenje o njegovom brisanju iz registra iz stava 1. ovog člana.
Registar iz stava 1. ovog člana od podataka o ličnosti sadrži podatke o odgovornim licima, i to: ime, prezime, funkciju i kontakt podatke kao što su službena adresa, službeni broj telefona i službena adresa elektronske pošte u svrhu dostupnosti podataka o pružaocu kvalifikovane usluge od poverenja sa kojim se zaključuje ugovor o pružanju usluge.
Ministarstvo propisuje sadržaj i način vođenja registra iz stava 1. ovog člana, način podnošenja zahteva za upis u registar iz stava 1. ovog člana u skladu sa propisima koji uređuju opšti upravni postupak, potrebnu dokumentaciju uz zahtev, obrazac zahteva i način provere ispunjenosti uslova za pružanje kvalifikovane usluge od poverenja.
Prestanak pružanja usluge izdavanja kvalifikovanih elektronskih sertifikata
Član 42.
Izdavalac kvalifikovanih elektronskih sertifikata koji namerava da prestane sa obavljanjem delatnosti dužan je da o nameri raskida ugovora obavesti svakog korisnika kvalifikovane usluge od poverenja i Ministarstvo, najmanje 90 dana pre nastanka nameravanog prestanka obavljanja delatnosti.
Izdavalac kvalifikovanih elektronskih sertifikata koji prestaje sa obavljanjem poslova dužan je da obezbedi kod drugog pružaoca usluga od poverenja nastavak obavljanja usluge za korisnike kvalifikovane usluge od poverenja kojima je izdao sertifikat, a ako za to nema mogućnosti, dužan je da opozove sve izdate sertifikate i o preduzetim merama odmah obavesti Ministarstvo.
Izdavalac kvalifikovanih elektronskih sertifikata dužan je da dostavi svu dokumentaciju i neophodna tehnička sredstva u vezi sa obavljanjem usluga od poverenja drugom izdavaocu na koga prenosi obaveze obavljanja jedne ili više usluga od poverenja.
Ako izdavalac kvalifikovanih elektronskih sertifikata ne postupi u skladu sa stavom 3. ovog člana, dužan je da dostavi svu dokumentaciju Ministarstvu koje će izvršiti opoziv svih sertifikata, bez odlaganja, a na trošak izdavaoca kvalifikovanih elektronskih sertifikata.
U slučaju privremene zabrane vršenja usluga, sertifikati izdati do dana nastanka uzroka zbog kojih je izrečena mera zabrane, ostaju u važnosti.
Upotreba kvalifikovanih elektronskih sertifikata i kvalifikovanih elektronskih vremenskih žigova u softverskim rešenjima organa javne vlasti
Član 43.
Organ javne vlasti dužan je da u pružanju usluga elektronske uprave u smislu zakona kojim se uređuje elektronska uprava u softverskim rešenjima omogući upotrebu kvalifikovanih elektronskih sertifikata i kvalifikovanih elektronskih vremenskih žigova izdatih od svih pružalaca kvalifikovanih usluga od poverenja upisanih u Registar iz člana 35. ovog zakona.
Državni organ kao pružalac kvalifikovanih usluga od poverenja
Član 44.
Državni organ može pružati kvalifikovane usluge od poverenja ukoliko ispunjava uslove za pružanje usluga predviđene ovim zakonom.
Ocenjivanje ispunjenosti uslova državnog organa za pružanje usluge od poverenja vrši ministarstvo, odnosno inspektor za elektronsku identifikaciju i usluge od poverenja, nakon podnetog zahteva.
Izuzetno od stava 2. ovog člana ocenjivanje ispunjenosti uslova vrši se na osnovu interne kontrole u saradnji sa nadležnim ministarstvom samo u slučaju kada je pružalac kvalifikovane usluge od poverenja ministarstvo nadležno za poslove odbrane, uz obavezu dostavljanja izveštaja o izvršenoj internoj kontroli nadležnom ministarstvu.
Nakon provere ispunjenosti uslova Vlada uredbom utvrđuje da državni organ može da obavlja kvalifikovanu uslugu od poverenja koja je bila predmet ocenjivanja iz stava 2. ovog člana.
Ministarstvo vrši upis državnog organa u registar iz člana 35. ovog zakona, na osnovu uredbe iz stava 4. ovog člana.
Javna lista kvalifikovanih usluga od poverenja
Član 45.
Javna lista kvalifikovanih usluga od poverenja na automatizovan način pouzdajućoj strani obezbeđuje pouzdanu informaciju o statusu pružaoca kvalifikovanih usluga od poverenja i njihovih kvalifikovanih usluga u skladu sa podacima upisanim u registar iz člana 41. ovog zakona.
Javna lista kvalifikovanih usluga od poverenja sadrži informaciju o relevantnim proteklim događajima u vezi sa statusom sadašnjih i bivših pružalaca i njihovih usluga tokom vremena, uključujući informaciju o početku pružanja, gubitku celovitosti usluge od poverenja, privremenoj zabrani, prestanku pružanja usluge, brisanju iz registra i drugim događajima zabeleženim u okviru poslova vođenja registra, inspekcijskog nadzora ili događajima prijavljenim od strane pružaoca, a koji utiču na prihvatljivost kvalifikovane usluge od poverenja i postupak utvrđivanja njenog statusa u određenom vremenskom trenutku.
U Javnu listu kvalifikovanih usluga od poverenja upisuju se podaci iz st. 1. i 2. ovog člana kao i drugi podaci utvrđeni propisom Ministarstva iz stava 6. ovog člana i odgovarajućim standardima.
Pružaoci kvalifikovanih usluga od poverenja dužni su da, na zahtev Ministarstva, u roku od sedam dana, dostave podatke iz stava 3. ovog člana, kao i da o svakoj promeni podataka iz stava 3. ovog člana obaveste Ministarstvo bez odlaganja.
Podaci o sertifikatu kojim je podržan potpis Javne liste kvalifikovanih usluga od poverenja, uključujući sha-256 otisak objavljuju se u “Službenom glasniku Republike Srbije”.
Ministarstvo propisuje tehničke uslove, formu i način objavljivanja javne liste kvalifikovanih usluga od poverenja i uslove koje ministarstvo nadležno za objavljivanje javne liste kvalifikovanih usluga od poverenja mora da obezbedi pri njenom formiranju, potpisivanju i objavljivanju.
Forma i način objavljivanja javne liste kvalifikovanih usluga od poverenja iz stava 6. ovog člana treba da budu usklađeni sa tehničkim uslovima za liste od poverenja iz člana 22. Uredbe eIDAS.
Znak pouzdanosti za kvalifikovane usluge od poverenja
Član 46.
Znak pouzdanosti za kvalifikovane usluge od poverenja (u daljem tekstu: Znak pouzdanosti) je znak kojim se na jednostavan, prepoznatljiv i jasan način označava kvalifikovana usluga od poverenja.
Registrovani pružaoci kvalifikovanih usluga od poverenja imaju pravo da koriste Znak pouzdanosti za kvalifikovane usluge od poverenja koje pružaju.
Znak pouzdanosti iz stava 1. koristi se do stupanja Republike Srbije u članstvo u Evropskoj uniji.
Ministarstvo propisuje izgled, sastav, veličinu i dizajn Znaka pouzdanosti za kvalifikovane usluge od poverenja.
Prekogranično priznavanje kvalifikovanih usluga od poverenja
Član 47.
Usluge od poverenja koje pružaju pružaoci kvalifikovanih usluga od poverenja osnovani u drugoj državi ili međunarodnoj organizaciji mogu biti priznate kao pravno ekvivalentne kvalifikovanim uslugama od poverenja koje pružaju pružaoci kvalifikovanih usluga od poverenja registrovani u Republici Srbiji, ako je to predviđeno međunarodnim sporazumom koji zaključi Republika Srbija sa drugom državom ili međunarodnom organizacijom, kao i aktom Vlade.
Usluge od poverenja iz stava 1 ovog člana priznaće se ako:
1) druga država ili međunarodna organizacija uspostave, održavaju i objavljuju javnu listu kvalifikovanih usluga od poverenja u mašinski čitljivom formatu;
2) su uslovi za pružaoce usluga od poverenja i usluge koje oni pružaju odgovaraju uslovima koji važe za kvalifikovane pružaoce usluga od poverenja u Republici Srbiji.
Stav 1. ovog člana ne primenjuje se na uslugu elektronskog arhiviranja.
Vlada, na predlog ministarstva, propisuje postupak međusobnog priznavanja usluga od poverenja iz drugih država po principu reciprociteta.
V. POJEDINE VRSTE USLUGA OD POVERENjA
Vrste usluga
Član 48.
Usluge od poverenja se pružaju u oblastima:
1) elektronskog potpisa i elektronskog pečata;
2) elektronskog vremenskog žiga;
3) elektronske dostave;
4) autentifikacije veb sajtova;
5) elektronskog arhiviranja;
6) elektronske potvrde atributa;
7) vođenja elektronskih evidencija. Kvalifikovane usluge od poverenja su:
1) izdavanje kvalifikovanih sertifikata za elektronski potpis;
2) usluga upravljanja kvalifikovanim sredstvom za kreiranje elektronskog potpisa na daljinu;
3) usluga validacije kvalifikovanog elektronskog potpisa;
4) izdavanje kvalifikovanih sertifikata za elektronski pečat; 4b) usluga čuvanja kvalifikovanog elektronskog potpisa;
5) usluga upravljanja kvalifikovanim sredstvom za kreiranje elektronskog pečata na daljinu;
6) usluga validacije kvalifikovanog elektronskog pečata; 6a) usluga čuvanja kvalifikovanog elektronskog pečata;
7) izdavanje kvalifikovanih elektronskih vremenskih žigova;
8) usluga kvalifikovane elektronske dostave;
9) usluga izdavanja kvalifikovanih sertifikata za autentifikaciju veb sajtova; 9a) usluga izdavanja kvalifikovanih elektronskih potvrda atributa;
10) usluga kvalifikovanog elektronskog arhiviranja; 10a) usluga vođenja elektronske evidencije;
Pružalac usluga od poverenja odnosno kvalifikovanih usluga od poverenja može pružati jednu ili više usluga iz st. 1. i 2. ovog člana.
1. Elektronski potpis i elektronski pečat
Napredni elektronski potpis i napredni elektronski pečat
Član 49.
Napredni elektronski potpis odnosno napredni elektronski pečat mora:
1) na nedvosmislen način da bude povezan sa potpisnikom, odnosno pečatiocem;
2) da omogućava utvrđivanje identiteta potpisnika, odnosno pečatioca;
3) da bude izrađen korišćenjem podataka za izradu elektronskog potpisa odnosno elektronskog pečata koje potpisnik odnosno pečatilac može, uz visok nivo pouzdanosti, koristiti pod svojom isključivom kontrolom;
4) da bude povezan sa elektronski potpisanim odnosno elektronski pečatiranim podacima, na način da se može utvrditi bilo koja naknadna izmena tih podataka.
Sadržaj kvalifikovanog elektronskog sertifikata
Član 50.
Kvalifikovani elektronski sertifikat mora da sadrži:
1) oznaku, u formi pogodnoj za automatsku obradu, da se elektronski sertifikat koristi kao kvalifikovani sertifikat za elektronski potpis, odnosno pečat;
2) skup podataka koji jedinstveno identifikuju kvalifikovanog pružaoca usluge od poverenja za izdavanje kvalifikovanog elektronskog sertifikata uključujući, najmanje, zemlju porekla pružaoca i naziv pružaoca;
3) skup podataka koji jedinstveno identifikuju potpisnika odnosno pečatioca uključujući najmanje:
(1) za potpisnika:
ime i prezime ili pseudonim, a ukoliko je upotrebljen pseudonim to mora biti jasno obeleženo u okviru kvalifikovanog elektronskog sertifikata;
JMBG, ukoliko je u zahtevu za izdavanje sertifikata potpisnik zahtevao da sertifikat sadrži JMBG;
evidencijski broj stranca ukoliko je u zahtevu za izdavanje sertifikata potpisnik zahtevao da sertifikat sadrži evidencijski broj stranca;
broj strane putne isprave iz mašinski čiljive zone putne isprave, odnosno broj strane lične karte i oznaku zemlje izdavaoca putne isprave, odnosno strane lične karte, kao identifikacionu oznaku stranca koju dodeljuje Republika Srbija;
(2) za pečatioca: naziv, država i matični broj odnosno jedinstvena identifikaciona oznaka u skladu sa pravnom regulativom te države, ukoliko postoji;
4) podatke za proveru elektronskog potpisa odnosno elektronskog pečata, koji odgovaraju podacima za kreiranje tog elektronskog potpisa odnosno elektronskog pečata;
5) podatke o početku i kraju važenja kvalifikovanog elektronskog sertifikata;
6) serijski broj kvalifikovanog elektronskog sertifikata, koji mora biti jedinstven u okviru izdavaoca kvalifikovanog elektronskog sertifikata;
7) napredni elektronski potpis ili napredni elektronski pečat izdavaoca kvalifikovanog elektronskog sertifikata;
8) lokaciju na kojoj je, bez naknade, dostupan sertifikat naprednog elektronskog potpisa odnosno naprednog elektronskog pečata iz tačke 7) ovog stava;
9) informaciju o servisima koji vrše proveru validnosti sertifikata;
10) lokaciju usluge putem koje se proverava status validnosti kvalifikovanog elektronskog sertifikata;
11) oznaku da su podaci za kreiranje elektronskog potpisa odnosno pečata, koji odgovaraju podacima za proveru elektronskog potpisa odnosno pečata iz kvalifikovanog elektronskog sertifikata, sadržani u kvalifikovanom sredstvu za kreiranje elektronskog potpisa odnosno pečata, ukoliko je taj uslov ispunjen.
Kvalifikovani elektronski sertifikati, pored obeležja iz stava 1. ovog člana, mogu uključivati dodatna obeležja.
Ministarstvo bliže propisuje uslove koje moraju da ispunjavaju kvalifikovani elektronski sertifikati iz stava 1. ovog člana.
Opoziv i suspenzija kvalifikovanog elektronskog sertifikata
Član 51.
Izdavalac kvalifikovanih sertifikata dužan je da izvrši opoziv izdatih sertifikata, kada:
1) opoziv sertifikata zahteva vlasnik sertifikata ili njegov punomoćnik;
2) vlasnik sertifikata izgubi poslovnu sposobnost, ili je prestao da postoji ili su se promenile okolnosti koje bitno utiču na važenje sertifikata;
3) utvrdi da je podatak u sertifikatu pogrešan;
4) utvrdi da su podaci za proveru kvalifikovanog elektronskog potpisa odnosno pečata ili sistem pružaoca kvalifikovanih usluga od poverenja ugroženi na način koji utiče na bezbednost i pouzdanost sertifikata;
5) utvrdi da su podaci za elektronsko potpisivanje odnosno pečatiranje ili sistem vlasnika sertifikata ugroženi na način koji utiče na pouzdanost i bezbednost elektronskog potpisa;
6) prestaje sa radom ili mu je rad zabranjen.
Izdavalac kvalifikovanih sertifikata dužan je da obavesti korisnika kvalifikovane usluge od poverenja o opozivu sertifikata u roku od 24 časa od primljenog obaveštenja, odnosno nastanka okolnosti zbog kojih se sertifikat opoziva.
Korisnik kvalifikovane usluge od poverenja dužan je da odmah zatraži opoziv svog kvalifikovanog elektronskog sertifikata u slučaju gubitka ili oštećenja uređaja ili podataka za kreiranje sertifikata.
U slučaju opoziva kvalifikovani elektronski sertifikat trajno prestaje da važi od trenutka opoziva.
U slučaju suspenzije kvalifikovani elektronski sertifikat gubi važnost tokom perioda trajanja suspenzije.
Podaci o suspenziji i periodu trajanja suspenzije kvalifikovanog elektronskog sertifikata upisuju se u bazu podataka izdatih sertifikata koju vodi izdavalac kvalifikovanih elektronskih sertifikata i moraju biti vidljivi tokom trajanja suspenzije u okviru usluga kojima se pružaju informacije o statusu sertifikata.
Čuvanje dokumentacije o izdatim i opozvanim kvalifikovanim sertifikatima
Član 52.
Izdavalac kvalifikovanih elektronskih sertifikata dužan je da čuva kompletnu dokumentaciju o izdatim i opozvanim kvalifikovanim elektronskim sertifikatima, kao sredstvo za dokazivanje i verifikaciju u upravnim, sudskim i drugim postupcima, najmanje deset godina po prestanku važenja sertifikata.
Podaci iz stava 1. ovog člana mogu se čuvati u elektronskoj formi.
Kvalifikovana sredstva za kreiranje elektronskog potpisa i pečata
Član 53.
Kvalifikovano sredstvo za kreiranje elektronskog potpisa odnosno pečata mora da, pomoću odgovarajućih tehničkih rešenja i postupaka, obezbedi:
1) poverljivost podataka za kreiranje elektronskog potpisa odnosno pečata;
2) da se podaci za kreiranje elektronskog potpisa, odnosno pečata pojavljuju samo jednom;
3) da se podaci za kreiranje elektronskog potpisa, odnosno pečata ne mogu dobiti izvan sredstva za kreiranje elektronskog potpisa, odnosno pečata upotrebom dostupne tehnologije u razumnom vremenu;
4) da je elektronski potpis, odnosno pečat pouzdano zaštićen od falsifikovanja upotrebom dostupne tehnologije;
5) mogućnost pouzdane zaštite podataka za kreiranje elektronskog potpisa, odnosno pečata od neovlašćenog korišćenja.
Sredstva za kreiranje kvalifikovanog elektronskog potpisa, odnosno pečata, prilikom kreiranja elektronskog potpisa odnosno pečata, ne smeju promeniti podatke koji se potpisuju odnosno pečatiraju ili onemogućiti potpisniku, odnosno pečatiocu uvid u te podatke pre procesa kreiranja kvalifikovanog elektronskog potpisa odnosno pečata.
Kvalifikovano sredstvo za kreiranje elektronskog potpisa, odnosno pečata na daljinu (u daljem tekstu: usluga upravljanja kvalifikovanim sredstvom na daljinu) korisnik kvalifikovane usluge od poverenja može koristiti putem usluge upravljanja kvalifikovanim sredstvom za kreiranje elektronskog potpisa, odnosno pečata, što takođe predstavlja kvalifikovanu uslugu od poverenja.
Izuzetno od stava 1. ovog člana, kvalifikovani pružalac usluga od poverenja iz stava 3. ovog člana može izraditi kopiju podataka za izradu elektronskog potpisa, odnosno pečata u svrhu zaštite od gubitka podataka ako:
1) izrada i čuvanje kopija podataka za kreiranje kvalifikovanog elektronskog potpisa odnosno pečata ne umanjuju propisani nivo zaštite tih podataka;
2) broj izrađenih kopija podataka za kreiranje elektronskog potpisa odnosno pečata nije veći nego što je to neophodno za obezbeđivanje kontinuiteta pružanja usluge.
Pružalac kvalifikovane usluge od poverenja koji pruža uslugu upravljanja kvalifikovanim sredstvima za kreiranje elektronskog potpisa na daljinu kreira, odnosno upravlja podacima za kreiranje kvalifikovanog elektronskog potpisa i, na zahtev korisnika, izrađuje rezervne kopije tih podataka u svrhu zaštite od gubitka podataka.
Ministarstvo bliže propisuje uslove koje mora da ispunjava sredstvo za kreiranje kvalifikovanog elektronskog potpisa odnosno pečata.
Kvalifikovana usluga upravljanja kvalifikovanim sredstvima za kreiranje elektronskog potpisa, odnosno pečata, na daljinu
Član 54.
Pružalac usluge od poverenja koji upravlja kvalifikovanim sredstvima za kreiranje elektronskog potpisa na daljinu je dužan da:
1) kreira ili upravlja podacima za kreiranje elektronskog potpisa na zahtev potpisnika i isključivo u njegovo ime;
2) pravi rezervne kopije podataka za kreiranje elektronskog potpisa samo u svrhu zaštite od gubitka podataka, pod sledećim uslovima:
(1) da se bezbednost rezervnih kopija podataka održava na istom nivou kao i bezbednost izvornih podataka;
(2) da je broj rezervnih kopija podataka ograničen na minimum neophodan za osiguranje kontinuiteta usluge;
3) ispunjava sve zahteve utvrđene za sertifikat za kvalifikovano sredstvo na daljinu za kreiranje elektronskog potpisa, u skladu sa propisima.
Na pružaoca usluge od poverenja koji upravlja kvalifikovanim sredstvima za kreiranje elektronskog pečata na daljinu shodno se primenjuje stav 1. ovog člana.
Ministarstvo propisuje bliže uslove, standarde i procedure koje moraju da ispunjavaju pružaoci kvalifikovane usluge od poverenja za upravljanje kvalifikovanim sredstvima za kreiranje elektronskog potpisa, odnosno pečata, na daljinu.
Sertifikacija kvalifikovanih sredstava za kreiranje elektronskog potpisa odnosno pečata i upis u Registar kvalifikovanih sredstava za kreiranje elektronskih potpisa i elektronskih pečata
Član 55.
U skladu sa zakonom kojim se uređuju tehnički zahtevi za proizvode i ocenjivanje usaglašenosti, Ministarstvo imenuje telo za ocenjivanje usaglašenosti sredstava za kreiranje kvalifikovanog elektronskog potpisa odnosno pečata (u daljem tekstu: imenovano telo) koje vrši ocenu usaglašenosti u skladu sa propisom iz člana 53. ovog zakona.
Propisom iz člana 53. ovog zakona bliže se uređuju i uslovi koje mora da ispunjava imenovano telo.
Ministarstvo vodi Registar kvalifikovanih sredstava za kreiranje elektronskih potpisa i elektronskih pečata.
Zahtev za upis u Registar iz stava 5. ovog zakona podnosi se Ministarstvu, na osnovu izveštaja, odnosno izdate potvrde o usaglašenosti koje dobija od imenovanih tela.
Imenovano telo bez odlaganja, a najkasnije u roku od sedam dana od nastale promene, obaveštava Ministarstvo o izdatim i povučenim potvrdama o usaglašenosti sredstava za kreiranje elektronskih potpisa odnosno pečata.
Potvrda o usaglašenosti kvalifikovanog sredstva za kreiranje elektronskog potpisa ili pečata važi najviše pet godina, pod uslovom da se procena ranjivosti vrši najmanje jednom u dve godine.
Ranjivosti koje utvrde prilikom vršenja procene iz stava 6. Ovog člana mogu se otkloniti u roku od 30 dana ili se potvrda o usaglašenosti poništava.
Sastavni deo Registra iz stava 3. ovog člana su i kvalifikovana sredstva za kreiranje elektronskog potpisa i elektronskog pečata sa liste koju objavljuje Evropska komisija.
Za kvalifikovana sredstva za kreiranje elektronskih potpisa i elektronskih pečata iz stava 8. ovog člana ne podnosi se zahtev za upis u Registar kvalifikovanih sredstava za kreiranje elektronskih potpisa i elektronskih pečata.
Ministarstvo propisuje sadržaj i način vođenja Registra iz stava 3. ovog člana, način podnošenja zahteva za upis u taj registar u skladu sa propisima koji uređuju opšti upravni postupak, potrebnu dokumentaciju uz zahtev i obrazac zahteva.
Validacija kvalifikovanog elektronskog potpisa i kvalifikovanog elektronskog pečata
Član 56.
Postupkom validacije utvrđuje se da elektronski potpis predstavlja ispravan kvalifikovani elektronski potpis kada:
1) je utvrđeno da je sertifikat koji prati elektronski potpis u trenutku potpisivanja predstavljao kvalifikovani elektronski sertifikat;
2) je utvrđeno da je kvalifikovani elektronski sertifikat izdat od strane pružaoca usluge izdavanja kvalifikovanih sertifikata za elektronski potpis i da je važio u trenutku potpisivanja;
3) je utvrđeno da podaci za validaciju elektronskog potpisa iz kvalifikovanog elektronskog sertifikata odgovaraju kombinaciji elektronskog potpisa i podataka koji su potpisani elektronskim potpisom;
4) je pouzdajućoj strani tačno prikazan skup podataka iz kvalifikovanog elektronskog sertifikata koji jedinstveno identifikuju potpisnika;
5) su pouzdajućoj strani tačno prikazani podaci koji su potpisani elektronskim potpisom;
6) je korišćenje pseudonima jasno naznačeno pouzdajućoj strani, u slučaju da je prilikom elektronskog potpisivanja korišćen pseudonim;
7) je utvrđeno da je elektronski potpis kreiran korišćenjem kvalifikovanog sredstva za kreiranje elektronskog potpisa;
8) je utvrđeno da nije narušen integritet podataka koji su potpisani elektronskim potpisom;
9) je utvrđeno da elektronski potpis ispunjava uslove za napredni elektronski potpis iz ovog zakona.
Sistem koji se koristi za validaciju kvalifikovanog elektronskog potpisa obezbeđuje tačan rezultat postupka validacije pouzdajućoj strani i omogućava joj identifikovanje bilo kog problema od značaja za pouzdanost.
Odredbe st. 1. i 2. ovog člana shodno se primenjuju na elektronski pečat.
Ministarstvo bliže propisuje uslove za postupak validacije kvalifikovanog elektronskog potpisa i kvalifikovanog elektronskog pečata.
Validacija naprednih elektronskih potpisa i naprednih elektronskih pečata zasnovanih na kvalifikovanim sertifikatima
Član 57.
Validacija naprednog elektronskog potpisa zasnovanog na kvalifikovanom sertifikatu potvrđuje ispravnost potpisa, ako su ispunjeni sledeći uslovi:
1) sertifikat koji prati elektronski potpis je u vreme potpisivanja predstavljao kvalifikovani sertifikat za elektronski potpis;
2) kvalifikovani sertifikat je izdat od strane pružaoca kvalifikovane usluge od poverenja i bio je važeći u vreme potpisivanja;
3) podaci za validaciju potpisa odgovaraju podacima dostavljenim pouzdajućoj strani;
4) jedinstveni set podataka koji identifikuje potpisnika je ispravno dostavljen pouzdajućoj strani;
5) korišćenje pseudonima je jasno naznačeno pouzdajućoj strani, u slučaju da je prilikom elektronskog potpisivanja korišćen pseudonim;
6) obezbeđen je integritet potpisanih podataka;
7) zahtevi za napredne elektronske potpise su bili ispunjeni u vreme potpisivanja.
Sistem koji se koristi za validaciju naprednog elektronskog potpisa mora da omogući korisniku da sazna tačan rezultat procesa validacije i otkrije sve bezbednosne nepravilnosti.
Odredbe st. 1. i 2. ovog člana shodno se primenjuju na elektronski pečat.
Ministarstvo bliže propisuje standarde, specifikacije i procedure za validaciju naprednih elektronskih potpisa zasnovanih na kvalifikovanim sertifikatima.
Kvalifikovana usluga validacije kvalifikovanih elektronskih potpisa i kvalifikovanih elektronskih pečata
Član 58.
Pružalac kvalifikovane usluge validacije kvalifikovanih elektronskih potpisa odnosno pečata obezbeđuje:
1) validaciju kvalifikovanog elektronskog potpisa odnosno pečata u skladu sa članom 56. ovog zakona;
2) da pouzdajuća strana koja koristi uslugu dobije rezultat postupka validacije elektronskim putem na automatizovan način, koji je pouzdan i efikasan;
3) da je rezultat postupka validacije iz tačke 2) ovog stava pečatiran naprednim elektronskim pečatom ili potpisan naprednim elektronskim potpisom pružaoca usluge.
Ministarstvo bliže propisuje uslove i način, odnosno standarde, specifikacije i procedure za pružanje kvalifikovane usluge validacije kvalifikovanih elektronskih potpisa i kvalifikovanih elektronskih pečata.
Kvalifikovana usluga čuvanja kvalifikovanih elektronskih potpisa i kvalifikovanih elektronskih pečata
Član 59.
Pružalac kvalifikovane usluge čuvanja elektronskih potpisa, odnosno pečata obezbeđuje pouzdanost kvalifikovanog elektronskog potpisa, odnosno pečata i nakon njegovog prestanka važenja.
Ministarstvo bliže propisuje standarde, specifikacije i procedure za pružanje kvalifikovane usluge čuvanja elektronskih potpisa, odnosno pečata.
Pravno dejstvo elektronskog potpisa
Član 60.
Elektronskom potpisu ne može se osporiti punovažnost ili dokazna snaga samo zbog toga što je u elektronskom obliku ili što ne ispunjava uslove za kvalifikovani elektronski potpis.
Kvalifikovani elektronski potpis ima isto pravno dejstvo kao i svojeručni potpis.
Kvalifikovani elektronski potpis može da zameni overu svojeručnog potpisa, ako je to propisano posebnim zakonom.
Odredbe st. 1. i 2. ovog člana ne primenjuju se na pravne poslove za koje je posebnim zakonom predviđeno da se ne mogu preduzeti u elektronskoj formi.
Ugovori i drugi pravni poslovi za koje je posebnim zakonom predviđeno da se sačinjavaju u formi overe potpisa, javno potvrđene (solemnizovane) isprave, ili u formi javnobeležničkog zapisa ne mogu se sačiniti u skladu sa st. 1. i 2. ovog člana već u skladu sa propisima kojima se uređuje overa potpisa, potvrđivanje i sačinjavanje isprava o pravnim poslovima.
Pravno dejstvo elektronskog pečata
Član 61.
Elektronskom pečatu ne može se osporiti punovažnost ili dokazna snaga samo zbog toga što je u elektronskom obliku ili što ne ispunjava uslove za kvalifikovani elektronski pečat.
Za kvalifikovani elektronski pečat važi pravna pretpostavka očuvanosti integriteta i tačnosti porekla podataka za koje je vezan.
Odredbe st. 1-2. ovog člana ne primenjuju se na pravne poslove za koje je posebnim zakonom predviđeno da se ne mogu preduzeti u elektronskoj formi.
Ugovori i drugi pravni poslovi za koje je posebnim zakonom predviđeno da se sačinjavaju u formi overe potpisa, javno potvrđene (solemnizovane) isprave, ili u formi javnobeležničkog zapisa ne mogu se sačiniti u skladu sa st. 1-2. ovog člana već u skladu sa propisima kojima se uređuje overa potpisa, potvrđivanje i sačinjavanje isprava o pravnim poslovima.
2. Elektronski vremenski žig
Uslovi za kvalifikovane elektronske vremenske žigove
Član 62.
Kvalifikovani elektronski vremenski žig mora:
1) da je povezan sa koordinisanim univerzalnim vremenom (UTC) tako da se sprečava svaka mogućnost promene podataka koja se ne može otkriti;
2) da je zasnovan na preciznom vremenskom izvoru;
3) da je izdat od strane pružaoca usluge izdavanja kvalifikovanog vremenskog žiga;
4) da je potpisan, odnosno pečatiran od strane pružaoca usluge izdavanja kvalifikovanog vremenskog žiga pomoću naprednog elektronskog potpisa ili naprednog elektronskog pečata.
Ministarstvo propisuje bliže uslove za kvalifikovane elektronske vremenske žigove.
Pravno dejstvo elektronskog vremenskog žiga
Član 63.
Elektronskom vremenskom žigu ne može se osporiti punovažnost ili dokazna snaga samo zbog toga što je u elektronskom obliku ili što ne ispunjava uslove za kvalifikovan vremenski žig.
Za kvalifikovani elektronski vremenski žig i podatke kojima je taj vremenski žig pridružen važi pravna pretpostavka tačnosti datuma i vremena iskazanog u vremenskom žigu i očuvanosti integriteta tih podataka u odnosu na taj vremenski trenutak.
3. Elektronska dostava
Uslovi za pružanje usluge kvalifikovane elektronske dostave
Član 64.
Usluga kvalifikovane elektronske dostave mora:
1) da je pružana od strane jednog ili više pružaoca kvalifikovanih usluga od poverenja;
2) da, uz visok nivo pouzdanosti, obezbeđuje identifikaciju pošiljaoca;
3) da obezbeđuje identifikaciju primaoca prilikom dostave podataka;
4) u procesu slanja i prijema elektronske poruke, da koristi napredni elektronski potpis ili napredni elektronski pečat pružaoca usluge kvalifikovane elektronske dostave u svrhu sprečavanja neprimećene promene podataka;
5) da obezbedi da izmena podataka izvršena u svrhu slanja ili prijema podataka mora biti jasno naznačena pošiljaocu i primaocu;
6) da obezbedi da vreme i datum slanja, prijema i eventualne izmene podataka moraju biti naznačeni kvalifikovanim elektronskim vremenskim žigom;
7) da, u slučaju da se podaci prenose između dva ili više pružalaca usluge kvalifikovane elektronske dostave, obezbedi da se uslovi iz ovog stava primenjuju na svakog od njih.
Ako postupak slanja i prijema podataka ispunjava norme i standarde propisane u članu 65. stav 7. smatra se da su ispunjeni uslovi iz stava 1. ovog člana.
Potvrda o elektronskoj dostavi
Član 65.
Pružalac usluge je u obavezi da prilikom pružanja usluge kvalifikovane elektronske dostave izda dve potvrde pošiljaocu, i to:
1) potvrdu da je primio elektronsku poruku pošiljaoca i prosledio je primaocu;
2) potvrdu da je primalac preuzeo dostavljenu elektronsku poruku.
Potvrde iz stava 1. ovog člana pružalac usluge dostavlja automatski u elektronskom obliku potpisane naprednim elektronskim pečatom, a na zahtev ih može izdati u elektronskom ili papirnom obliku.
Potvrda iz stava 1. tač. 1) i 2) ovog člana sadrži:
1) identifikacionu oznaku elektronske poruke koju je dodelio pružalac usluge;
2) podatke o pošiljaocu i primaocu, koji od podataka o ličnosti mogu da sadrže podatke iz člana 43. stav 1. tačka 3) ovog zakona kao i adresu za elektronsku dostavu;
3) podatke koji povezuju potvrdu sa sadržajem elektronske poruke;
4) datum i vreme prijema i prosleđivanja elektronske poruke od strane pružaoca usluge, odnosno datum i vreme preuzimanja dostavljene elektronske poruke od strane primaoca.
Potvrda iz stava 1. tačka 2) ovog člana smatra se dostavnicom u elektronskom obliku u smislu zakona kojim se uređuje upravni postupak, pri čemu se datum i vreme preuzimanja iz stava 3. tačka 4) ovog člana smatraju datumom i vremenom uručenja.
Datum i vreme prijema podneska koji je stranka u upravnom postupku uputila organu putem kvalifikovane elektronske dostave smatra se da je datum i vreme preuzimanja iz stava 3. tačka 4) ovog člana.
Ako dođe do tehničkih problema prilikom elektronskog dostavljanja odnosno prijema podataka, pružalac usluge kvalifikovane elektronske dostave dužan je da o tome obavesti pošiljaoca i primaoca.
Ministarstvo propisuje bliže uslove, standarde, specifikacije i procedure za pružanje usluge kvalifikovane elektronske dostave iz člana 64. ovog zakona i sadržaj potvrda iz stava 3. ovog člana.
Razmena elektronskih poruka između pružalaca usluge kvalifikovane elektronske dostave
Član 66.
Pružaoci usluge kvalifikovane elektronske dostave u obavezi su da prilikom pružanja usluge kvalifikovane elektronske dostave omoguće prijem i slanje poruka i kada je pošiljalac ili primalac poruke korisnik drugog pružaoca usluge kvalifikovane elektronske dostave.
Razmena elektronskih poruka iz stava 1. ovog člana vrši se na način uređen propisom iz člana 55. ovog zakona koji bliže uređuje uslove za usluge kvalifikovane elektronske dostave.
Pravno dejstvo usluge elektronske dostave
Član 67.
Podacima poslatim ili primljenim putem usluge elektronske dostave ne može se osporiti pravna snaga i dopuštenost kao dokaz u pravnom prometu samo iz razloga što su u elektronskoj formi ili iz razloga što ne ispunjavaju sve uslove usluge kvalifikovane elektronske dostave.
Za podatke iz elektronske poruke poslate ili primljene putem usluge kvalifikovane elektronske dostave važi pravna pretpostavka integriteta podataka, slanja podataka od naznačenog pošiljaoca, prijem od strane naznačenog primaoca, pouzdanosti datuma i vremena slanja ili primanja.
4. Autentifikacija veb sajtova
Kvalifikovani sertifikati za autentifikaciju veb sajtova
Član 68.
Autentifikacija veb sajta koristi se za potvrdu identiteta veb sajta od strane korisnika kvalifikovane usluge od poverenja, kojom se garantuje njegova pouzdanost korišćenja.
Za autentifikaciju veb sajta koristi se kvalifikovani sertifikat koji izdaje pružalac kvalifikovanih usluga od poverenja, u skladu sa zakonom.
Kvalifikovani sertifikat za autentifikaciju veb sajta mora da ispunjava uslove iz člana 69. ovog zakona.
Sadržaj kvalifikovanih sertifikata za autentifikaciju veb sajtova
Član 69.
Kvalifikovani sertifikati za autentifikaciju veb sajtova sadrže:
1) oznaku, koja se može prepoznati pri automatskoj obradi, da je sertifikat izdat kao kvalifikovani sertifikat za autentifikaciju veb sajtova;
2) skup podataka koji nedvosmisleno predstavljaju pružaoca usluge izdavanja kvalifikovanih sertifikata za autentifikaciju veb sajtova, što obavezno uključuje državu sedišta, poslovno ime i matični broj tog pružaoca usluge;
3) ime i prezime ili pseudonim fizičkog lica kome je izdat sertifikat, odnosno poslovno ime i matični broj pravnog lica kome je izdat sertifikat;
4) adresu, odnosno sedište fizičkog ili pravnog lica kome je izdat sertifikat;
5) naziv internet domena fizičkog ili pravnog lica kome je izdat sertifikat;
6) podatke o početku i kraju roka važenja sertifikata;
7) identifikacionu oznaku sertifikata koja mora da bude jedinstvena za pružaoca usluge izdavanja kvalifikovanih sertifikata za autentifikaciju veb sajtova;
8) napredan elektronski potpis, ili napredan elektronski pečat pružaoca usluge izdavanja kvalifikovanih sertifikata za autentifikaciju veb sajtova;
9) lokaciju na kojoj je, bez naknade, dostupan sertifikat naprednog elektronskog potpisa, odnosno naprednog elektronskog pečata iz tačke 8) ovog stava;
10) lokaciju usluge putem koje se proverava status validnosti kvalifikovanog elektronskog sertifikata.
Kvalifikovani sertifikati za autentifikaciju veb sajtova treba da ispune isključivo zahteve utvrđene stavom 1. ovog člana.
Ministarstvo propisuje bliže uslove, standarde, specifikacije i procedure za pružanje usluge izdavanja kvalifikovanog sertifikata za autentifikaciju veb sajtova.
Informaciona bezbednost veb sajtova
Član 70.
Pružalac usluga pretrage veb sajtova putem internet pretraživača dužan je da obezbedi podršku, odnosno interoperabilnost kvalifikovanih sertifikata za autentifikaciju veb sajtova, kao i da se atributi potvrđeni u sertifikatu prikazuju na način prilagođen korisnicima.
Pružalac usluga iz stava 1. ovog člana može preduzeti dodatne mere predostrožnosti ako posumnja u ranjivost jednog ili više kvalifikovanih sertifikata za autentifikaciju veb sajtova, o čemu, bez odlaganja, obaveštava Ministarstvo, Registar nacionalnog internet domena Srbije i pružaoca kvalifikovane usluge od poverenja koji je izdao sertifikat.
Po prijemu obaveštenja iz stava 2. ovog člana Ministarstvo sprovodi inspekcijski nadzor i odlučuje da li je potrebno opozvati sertifikat koji je predmet nadzora.
5. Elektronska potvrda atributa
Kvalifikovana elektronska potvrda atributa
Član 71.
Kvalifikovanu elektronsku potvrdu atributa izdaje pružalac kvalifikovane usluge od poverenja registrovan za pružanje te usluge.
Kvalifikovana elektronska potvrda atributa sadrži:
1) oznaku, koja se može prepoznati pri automatskoj obradi, da je potvrda izdata kao kvalifikovana elektronska potvrda atributa;
2) skup podataka koji nedvosmisleno identifikuju pružaoca usluge od poverenja koji izdaje kvalifikovanu elektronsku potvrdu atributa, uključujući podatke o državi sedišta, poslovnom imenu i matičnom broju;
3) skup podataka koji nedvosmisleno identifikuju lice na koje se odnose potvrđeni atributi, odnosno njegov pseudonim ako ga koristi;
4) potvrđen atribut, odnosno atribute, i po potrebi dodatne informacije o atributu;
5) podatke o početku i kraju roka važenja potvrde;
6) identifikacionu oznaku potvrde jedinstvenu za pružaoca kvalifikovane usluge od poverenja i, po potrebi, identifikacionu oznaku, odnosno naznaku šeme autentičnog izvora atributa kao i naziv tog izvora, odnosno naziv evidencije, odnosno registra u kome se vodi atribut;
7) kvalifikovan elektronski potpis, odnosno kvalifikovan elektronski pečat pružaoca kvalifikovane usluge od poverenja koji izdaje potvrdu;
8) lokaciju na kojoj je, bez naknade, dostupan sertifikat kvalifikovanog elektronskog potpisa, odnosno pečata iz tačke 7) ovog stava;
9) informacije ili lokacija usluge gde se proverava validnost kvalifikovane elektronske potvrde.
Kvalifikovana elektronska potvrda atributa koja je opozvana nakon početnog izdavanja trajno gubi validnost od trenutka opoziva.
Ministarstvo bliže propisuje standarde, specifikacije i procedure za pružanje usluge izdavanja kvalifikovane elektronske potvrde atributa.
Provera atributa upoređivanjem sa izvornim evidencijama
Član 72.
Pružalac kvalifikovane usluge od poverenja koji izdaje elektronske potvrde atributa, na zahtev korisnika, može vršiti proveru autentičnosti atributa iz izvornih evidencija za sledeće atribute o korisniku:
1) adresu prebivališta, odnosno boravišta;
2) godine;
3) pol;
4) bračno stanje;
5) srodstvo;
6) članove domaćinstva;
7) državljanstvo;
8) nivo obrazovanja i titule;
9) zanimanje;
10) stručne licence;
11) ovlašćenja za zastupanje fizičkih i pravnih lica;
12) podatke o advokatima, javnim izvršiteljima, odnosno beležnicima;
13) poslovno ime, adresu sedišta kao i finansijske podatke pravnog lica, odnosno fizičkog lica u svojstvu registrovanog subjekta.
Ministarstvo bliže propisuje standarde, specifikacije i procedure za ocenu usaglašenosti pružaoca usluge izdavanja elektronske potvrde atributa.
Elektronska potvrda atributa koju izdaje organ javne vlasti
Član 73.
Organ javne vlasti koji vodi izvornu evidenciju određenog atributa izdaje, sam ili preko ovlašćenog lica, elektronsku potvrdu atributa koja sadrži:
1) oznaku, koja se može prepoznati pri automatskoj obradi, da je potvrda izdata kao elektronska potvrda atributa koju izdaje organ javne vlasti;
2) skup podataka koji nedvosmisleno identifikuju organ javne vlasti koji izdaje elektronsku potvrdu atributa, poslovno ime i matični broj;
3) skup podataka koji nedvosmisleno identifikuju lice na koje se odnosi potvrđeni atribut a ako se koristi pseudonim, to mora biti jasno naznačeno;
4) potvrđen atribut, odnosno atribute, i po potrebi dodatne informacije o atributu;
5) podatke o početku i kraju roka važenja potvrde;
6) jedinstvena identifikaciona oznaka i naziv evidencije, odnosno registra u kojem se atribut vodi;
7) kvalifikovan elektronski potpis ovlašćenog lica, odnosno kvalifikovan elektronski pečat organa koji izdaje potvrdu;
8) lokaciju na kojoj je, bez naknade, dostupan sertifikat kvalifikovanog elektronskog potpisa, odnosno pečata iz tačke 7) ovog stava;
9) lokaciju na kojoj se može proveriti validnost kvalifikovane elektronske potvrde.
Elektronska potvrda atributa koja je opozvana nakon izdavanja trajno gubi validnost od trenutka opoziva.
Organ javne vlasti koji izdaje elektronsku potvrdu atributa iz stava 1. ovog člana dužan je da ispuni uslove iz člana 36. ovog zakona koji se odnose na pružaoca kvalifikovane usluge od poverenja.
Ministarstvo bliže propisuje standarde, specifikacije i procedure za ocenu usaglašenosti pružaoca usluge izdavanja elektronske potvrde atributa koju izdaje organ javne vlasti.
Elektronske potvrde atributa u okviru digitalnog identifikacionog novčanika
Član 74.
Pružalac usluge od poverenja koji izdaje elektronske potvrde atributa dužan je da na zahtev korisnika digitalnog identifikacionog novčanika izda elektronsku potvrdu atributa koju korisnik može sačuvati i koristiti u svom digitalnom identifikacionom novčaniku.
Pružalac usluge od poverenja izdavanja kvalifikovane elektronske potvrde atributa mora ispunjavati uslove za digitalni identifikacioni novčanik iz čl. 15. i 16. ovog zakona.
Pravno dejstvo elektronske potvrde atributa
Član 75.
Elektronskoj potvrdi atributa ne može se osporiti punovažnost ili dokazna snaga samo zbog toga što je u elektronskom obliku, odnosno zbog toga što ne ispunjava uslove za kvalifikovanu elektronsku potvrdu atributa.
Kvalifikovana elektronska potvrda atributa i potvrda atributa koju izdaje organ javne vlasti imaju punovažnost i dokaznu snagu kao i izdate potvrde, odnosno isprave u papirnom obliku.
Potvrda atributa koju izdaje organ javne vlasti može biti priznata u drugoj državi ili međunarodnoj organizaciji ako je to predviđeno međunarodnim sporazumom koji zaključi Republika Srbija sa drugom državom ili međunarodnom organizacijom.
Zaštita podataka o ličnosti pri izdavanju elektronskih potvrda atributa
Član 76.
Podaci o ličnosti koji se obrađuju prilikom izdavanja elektronske potvrde atributa kao i kvalifikovane elektronske potvrde atributa ne smeju se kombinovati sa drugim podacima o ličnosti koji se obrađuju prilikom pružanja drugih usluga od poverenja.
Podaci o ličnosti koji se obrađuju prilikom izdavanja elektronske potvrde atributa čuvaju se logički odvojeno od drugih podataka koje čuva pružalac usluge od poverenja.
Pružalac kvalifikovane usluge od poverenja dužan je da funkcionalno razdvoji uslugu izdavanja kvalifikovane elektronske potvrde atributa od drugih usluga koje pruža.
6. Elektronsko arhiviranje dokumenta
Kvalifikovana usluga elektronskog arhiviranja
Član 77.
Pružalac kvalifikovane usluge od poverenja elektronskog arhiviranja dužan je da:
1) se registruje kao pružalac kvalifikovane usluge od poverenja u skladu sa zakonom;
2) primenjuje postupke i koristi tehnologije kojima se obezbeđuje trajnost i čitljivost podataka i elektronskih dokumenata najmanje tokom zakonom propisanog roka, odnosno roka utvrđenog listom kategorija arhivske građe i dokumentarnog materijala sa rokovima čuvanja, uz očuvanje integriteta podataka;
3) obezbedi da se podaci i elektronska dokumenta zaštite od gubitka i promena, osim podataka koje se odnose na medij ili elektronski oblik;
4) pouzdajućoj strani omogući automatsko preuzimanje potvrde potpisane, odnosno pečatirane kvalifikovanim elektronskim potpisom, odnosno pečatom, kojom se garantuje integritet podataka i elektronskih dokumenata preuzetih iz elektronskog arhiva u periodu čuvanja.
Ministarstvo bliže propisuje uslove, standarde, specifikacije i procedure koje je potrebno da ispuni pružalac kvalifikovane usluge od poverenja elektronskog arhiviranja.
Pravno dejstvo elektronskog arhiviranja
Član 78.
Podacima i elektronskim dokumentima koji su elektronski arhivirani ne može se osporiti punovažnost ili dokazna snaga samo zbog toga što su u elektronskom obliku, odnosno zbog toga što nisu čuvani korišćenjem kvalifikovane usluge elektronskog arhiviranja.
Pružalac kvalifikovane usluge od poverenja elektronskog arhiviranja garantuje integritet i poreklo podataka i elektronskih dokumenata koji su čuvani u elektronskom arhivu za period čuvanja.
7. Elektronska evidencija
Kvalifikovana usluga vođenja elektronske evidencije
Član 79.
Pružalac kvalifikovane usluge od poverenja vođenja elektronske evidencije dužan je da:
1) uspostavlja i vodi samostalno, odnosno sa drugim pružaocima usluge, elektronsku evidenciju;
2) utvrđuje poreklo zapisa podataka u evidenciji;
3) obezbedi jedinstven sekvencijalni hronološki redosled upisa podataka u evidenciju;
4) beleži podatke tako da je svaka naknadna promena podataka odmah uočljiva, čime se obezbeđuje njihova celovitost, odnosno integritet tokom vremena.
Evidencija koju vodi organ javne vlasti smatra se kvalifikovanom uslugom vođenja elektronske evidencije ako ispunjava uslove iz stava 1. ovog člana i ako se vodi u skladu sa zakonom kojim se uređuje elektronska uprava.
Ministarstvo bliže propisuje uslove, standarde, specifikacije i procedure za pružanje kvalifikovane usluge od poverenja vođenja elektronske evidencije.
Pravno dejstvo elektronskih evidencija
Član 80.
Podacima iz elektronskih evidencija ne može se osporiti punovažnost ili dokazna snaga samo zbog toga što su u elektronskom obliku, odnosno zbog toga što ne ispunjavaju zahteve kvalifikovane usluge vođenja elektronske evidencije.
Pružalac kvalifikovane usluge od poverenja vođenja elektronske evidencije garantuje jedinstven i tačan hronološki redosled, kao i celovitost, odnosno integritet podataka koje evidentira.
U cilju efikasnije razmene i ažuriranja podataka, organi mogu koristiti mehanizam za automatsko obaveštavanje o promenama u podacima, kako bi se podaci u elektronskim evidencijama, odnosno registrima automatizovano ažurirali bez potrebe za pojedinačnim intervencijama, u skladu sa zakonom kojim se uređuje metaregistar.
VI. INSPEKCIJSKI NADZOR
Poslovi inspekcije za elektronsku identifikaciju i usluge od poverenja u elektronskom poslovanju
Član 81.
Inspekcija za elektronsku identifikaciju i usluge od poverenja u elektronskom poslovanju vrši inspekcijski nadzor nad primenom ovog zakona i radom pružalaca usluga elektronske identifikacije i pružalaca usluga od poverenja (u daljem tekstu: pružaoci usluga) preko inspektora za elektronsku identifikaciju i usluge od poverenja (u daljem tekstu: inspektor).
U okviru inspekcijskog nadzora pružalaca usluga inspektor utvrđuje da li su ispunjeni uslovi propisani ovim zakonom i propisima donetim za sprovođenje ovog zakona.
Ovlašćenja inspektora
Član 82.
Inspektor je ovlašćen da u postupku inspekcijskog nadzora:
1) nalaže otklanjanje utvrđenih nepravilnosti i za to ostavi rok;
2) zabranjuje upotrebu neadekvatnih postupaka i infrastrukture, i daje rok pružaocu usluga u kojem je dužan da obezbedi adekvatne postupke i infrastrukturu;
3) privremeno zabranjuje vršenje usluge pružaoca usluga do otklanjanja neadekvatnosti postupaka i infrastrukture;
4) naređuje privremeni opoziv nekog ili svih sertifikata izdatih od strane pružaoca usluge, ako postoji osnovana sumnja da se radi o neadekvatnom postupku ili falsifikatu.
VII. KAZNENE, PRELAZNE I ZAVRŠNE ODREDBE
1. Kaznene odredbe
Član 83.
Novčanom kaznom od 50.000 do 2.000.000 dinara kazniće se za prekršaj pružalac kvalifikovane usluge od poverenja - pravno lice ako:
1) ne preduzima potrebne tehničke i organizacione mere za upravljanje rizicima koji ugrožavaju pouzdano i bezbedno pružanje tih usluga od poverenja (član 32. stav 1);
2) bez odlaganja, a najkasnije u roku od 24 sata od saznanja, ne obavesti Ministarstvo o svakom narušavanju bezbednosti ili gubitku integriteta usluge koji imaju značajan uticaj na pružanje usluga od poverenja (član 32. stav 3);
3) o povredi bezbednosti ili gubitku integriteta usluge, bez odlaganja, ne obavesti korisnika usluge od poverenja, ako bi ugrožavanje bezbednosti ili gubitak integriteta usluge od poverenja moglo nepovoljno uticati na korisnike usluga od poverenja (član 32. stav 4);
4) pre zaključenja ugovora iz člana 35. stav 1. ovog zakona ne obavesti lice koje je podnelo zahtev za pružanje kvalifikovane usluge od poverenja o svim važnim okolnostima korišćenja usluge iz člana 35. stav 2. tač. 1)-3) ovog zakona (član 35. stav 2);
5) ne ispunjava uslove iz člana 36. ovog zakona;
6) pri izdavanju kvalifikovanog sertifikata za usluge od poverenja ne proveri podatke o identitetu fizičkog odnosno pravnog lica koji su sadržani u kvalifikovanom sertifikatu, u skladu sa članom 38. stav 1. ovog zakona (član 38. st. 1. i 2);
7) ne izvrši proveru ispunjenosti uslova pre početka pružanja kvalifikovanih usluga od poverenja, odnosno najmanje jednom u 24 meseca (član 40. stav 3);
8) ne izvrši nalog za vanredno ocenjivanje ispunjenosti uslova (član 40. stav 5);
9) pre otpočinjanja pružanja kvalifikovanih usluga od poverenja ne bude upisan u Registar pružaoca kvalifikovanih usluga od poverenja (član 41. stav 3);
10) izdavalac kvalifikovanih elektronskih sertifikata, koji namerava da prestane sa obavljanjem delatnosti, o nameri raskida ugovora ne obavesti svakog korisnika kvalifikovane usluge od poverenja i Ministarstvo najmanje tri meseca pre nastanka o nameravanom prestanku obavljanja delatnosti (član 42. stav 1);
11) u slučaju prestanka sa obavljanjem poslova ne obezbedi kod drugog pružaoca usluga od poverenja nastavak obavljanja usluge za korisnike kojima je izdao sertifikat, ili ne opozove sve izdate sertifikate i o preduzetim merama odmah ne obavesti Ministarstvo (član 42. stav 2);
12) ne dostavi svu dokumentaciju u vezi sa obavljanjem usluga od poverenja drugom izdavaocu na koga prenosi obaveze obavljanja jedne ili više usluga od poverenja, odnosno Ministarstvu (član 42. st. 3. i 4);
13) kvalifikovani elektronski sertifikat ne sadrži sve podatke iz člana 50. stav 1. ovog zakona (član 50. stav 1);
14) izdavalac kvalifikovanih sertifikata ne izvrši opoziv izdatih sertifikata, u slučajevima iz člana 51. stav 1. (član 51. stav 1) ovog zakona;
15) izdavalac kvalifikovanih sertifikata ne obavesti korisnika kvalifikovane usluge od poverenja o opozivu sertifikata u roku od 24 časa od primljenog obaveštenja, odnosno nastanka okolnosti zbog kojih se sertifikat opoziva (član 51. stav 2);
16) izdavalac kvalifikovanih sertifikata ne čuva kompletnu dokumentaciju o izdatim i opozvanim kvalifikovanim sertifikatima kao sredstvo za dokazivanje i verifikaciju u upravnim, sudskim i drugim postupcima najmanje deset godina po prestanku važenja sertifikata (član 52.);
17) ne obezbedi prijem i slanje poruka i kada je pošiljalac ili primalac poruke korisnik drugog pružaoca usluge kvalifikovane elektronske dostave (član 66. stav 1);
18) pružalac usluga koji omogućava pretragu veb sajtova putem internet pretraživača ne obezbedi podršku, odnosno interoperabilnost kvalifikovanih sertifikata za autentifikaciju veb sajtova, kao i da se podaci o identitetu i dodatni atributi potvrđeni u sertifikatu prikazuju na način prilagođen korisnicima u skladu sa članom 70. ovog zakona;
19) ne izdaje kvalifikovanu elektronsku potvrdu atributa sa sadržajem iz člana 71. stav 2. ovog zakona;
20) ne pruža kvalifikovanu uslugu elektronskog arhiviranja u skladu sa članom 77. ovog zakona;
21) ne pruža kvalifikovanu uslugu od poverenja vođenja elektronske evidencije u skladu sa članom 79. ovog zakona.
Za prekršaj iz stava 1. ovog člana kazniće se i odgovorno lice pružaoca usluge od poverenja novčanom kaznom od 5.000 do 100.000 dinara.
Za prekršaj iz stava 1. ovog člana kazniće se pružalac usluge od poverenja - fizičko lice u svojstvu registrovanog subjekta novčanom kaznom od 10.000 do 500.000 dinara.
Član 84.
Novčanom kaznom od 50.000 do 200.000 dinara kazniće se za prekršaj korisnik kvalifikovane usluge od poverenja - pravno lice ako, u slučaju promene podataka iz stava 1. člana 38. ovog zakona ne obavesti bez odlaganja pružaoca kvalifikovane usluge od poverenja.
Za prekršaj iz stava 1. ovog člana kazniće se i odgovorno lice u pravnom licu novčanom kaznom od 5.000 do 50.000 dinara.
Za prekršaj iz stava 1. ovog člana kazniće se korisnik usluge od poverenja - fizičko lice u svojstvu registrovanog subjekta novčanom kaznom od 10.000 do 100.000 dinara.
Za prekršaj iz stava 1. ovog člana kazniće se korisnik usluge od poverenja - fizičko lice novčanom kaznom od 5.000 do 50.000 dinara.
Član 85.
Novčanom kaznom od 50.000 do 2.000.000 dinara kazniće se za prekršaj registrovan pružalac usluge elektronske identifikacije - pravno lice ako:
1) digitalni identifikacioni novčanik ne ispunjava uslove iz člana 15. i 16. ovog zakona;
2) ne preduzima potrebne tehničke i organizacione mere za upravljanje rizicima koji ugrožavaju pouzdano i bezbedno korišćenje digitalnog identifikacionog novčanika iz člana 15. st. 1. i 2., člana 16. stav 7. i člana 19. ovog zakona;
3) pre otpočinjanja korišćenja digitalnog identifikacionog novčanika ne bude upisan u registar pouzdajuće strane za korišćenje digitalnog identifikacionog novčanika u skladu sa članom 17. ovog zakona;
4) šema elektronske identifikacije ne ispunjava uslove iz člana 21. ovog zakona;
5) ne preduzima potrebne tehničke i organizacione mere za upravljanje rizicima koji ugrožavaju pouzdano i bezbedno pružanje tih usluga iz člana 26. stav 2. ovog zakona.
Za prekršaj iz stava 1. ovog člana kazniće se i odgovorno lice pružaoca usluge elektronske identifikacije novčanom kaznom od 5.000 do 100.000 dinara.
Za prekršaj iz stava 1. ovog člana kazniće se pružalac usluge elektronske identifikacije - fizičko lice u svojstvu registrovanog subjekta novčanom kaznom od 10.000 do 500.000 dinara.
Član 86.
Novčanom kaznom od 50.000 do 2.000.000 dinara kazniće se za prekršaj pružalac usluge iz člana
64. ovog zakona ako ne postupi po nalogu inspektora u ostavljenom roku iz člana 82. stav 1. ovog zakona.
Za prekršaj iz stava 1. ovog člana kazniće se i odgovorno lice pružaoca usluge novčanom kaznom od 5.000 do 100.000 dinara.
Za prekršaj iz stava 1. ovog člana kazniće se pružalac usluge - fizičko lice u svojstvu registrovanog subjekta novčanom kaznom od 10.000 do 500.000 dinara.
Član 87.
Novčanom kaznom od 5.000 do 100.000 dinara kazniće se za prekršaj odgovorno lice u državnom organu, kao i organu autonomne pokrajine ili jedinice lokalne samouprave ako u postupku koji sprovodi u vršenju javnih ovlašćenja ne prizna punovažnost, odnosno ospori dokaznu snagu elektronskom dokumentu sačinjenom u skladu sa ovim zakonom, odnosno digitalizovanog akta overenog u skladu sa članom 11. ovog zakona, samo zbog toga što je dostavljen u takvom formatu (član 7).
Novčanom kaznom od 20.000 do 150.000 dinara kazniće se za prekršaj odgovorno lice u državnom organu, kao i organu autonomne pokrajine ili jedinice lokalne samouprave, ako u postupku koji sprovodi u vršenju javnih ovlašćenja ne prizna punovažnost elektronskom dokumentu, uključujući i akte organa javnih vlasti, potpisanom kvalifikovanim elektronskim potpisom ili kvalifikovanim elektronskim pečatom, ako je za punovažnost tog dokumenta propisana obaveza svojeručnog potpisivanja, odnosno stavljanja pečata (čl. 60. i 61).
Novčanom kaznom od 20.000 do 150.000 dinara kazniće se za prekršaj odgovorno lice u organu javne vlasti ako ne ispunjava uslove iz člana 73. ovog zakona za izdavanje elektronske potvrde atributa u čijim se evidencijama izvorno vodi potvrđen atribut, odnosno koja se izdaje u njegovo ime iz člana 73. ovog zakona.
Novčanom kaznom od 20.000 do 150.000 dinara kazniće se za prekršaj odgovorno lice u organu javne vlasti ako ne izdaje elektronske potvrde atributa u čijim se evidencijama izvorno vodi potvrđen atribut, odnosno koja se izdaje u njegovo ime u skladu sa članom 73. ovog zakona.
Novčanom kaznom od 5.000 do 100.000 dinara kazniće se za prekršaj odgovorno lice u organu javne vlasti ako u postupku koji sprovodi u vršenju javnih ovlašćenja ne prizna punovažnost, odnosno ospori dokaznu snagu elektronskoj potvrdi atributa sačinjenoj u skladu sa ovim zakonom, (član 73).
Član 88.
Novčanom kaznom od 50.000 do 2.000.000 dinara kazniće se za prekršaj pravno lice koje je organ javne vlasti u smislu ovog zakona ako u postupku koji sprovodi u vršenju javnih ovlašćenja ne prizna punovažnost, odnosno ospori dokaznu snagu elektronskom dokumentu sačinjenom u skladu sa ovim zakonom, odnosno digitalizovanog akta overenog u skladu sa članom 11. ovog zakona, samo zbog toga što je dostavljen u takvom formatu (član 7).
Za prekršaj iz stava 1. ovog člana kazniće se i odgovorno lice u pravnom licu iz stava 1. ovog člana novčanom kaznom od 5.000 do 100.000 dinara.
Za prekršaj iz stava 1. ovog člana kazniće se organ javne vlasti ako je fizičko lice novčanom kaznom od 5.000 do 100.000 dinara.
Novčanom kaznom od 100.000 do 2.000.000 dinara kazniće se za prekršaj pravno lice koje je organ javne vlasti u smislu ovog zakona ako u postupku koji sprovodi u vršenju javnih ovlašćenja ne prizna punovažnost elektronskom dokumentu, uključujući i akte organa javnih vlasti, potpisanom kvalifikovanim elektronskim potpisom ili kvalifikovanim elektronskim pečatom, ako je za punovažnost tog dokumenta propisana obaveza svojeručnog potpisivanja, odnosno stavljanja pečata (čl. 60. i 61).
Za prekršaj iz stava 4. ovog člana kazniće se i odgovorno lice u pravnom licu iz stava 4. ovog člana novčanom kaznom od 20.000 do 150.000 dinara.
Za prekršaj iz stava 4. ovog člana kazniće se organ javne vlasti ako je fizičko lice novčanom kaznom od 20.000 do 150.000 dinara.
Novčanom kaznom od 100.000 do 2.000.000 dinara kazniće se za prekršaj pravno lice koje je organ javne vlasti ako u postupku koji sprovodi u vršenju javnih ovlašćenja ne prizna punovažnost, odnosno ospori dokaznu snagu elektronskoj potvrdi atributa sačinjenoj u skladu sa ovim zakonom, (član 73).
2. Prelazne i završne odredbe
Sprovođenje zakona
Član 89.
Podzakonska akta iz člana 16. stav 10, člana 17. stav 9, člana 18. stav 6, člana 19. stav 6, člana 21. stav 2, člana 22. stav 5, člana 23. stav 11, člana 32. stav 6, člana 36. stav 6, člana 41. stav 10, člana 45. stav 6, člana 46. stav 4, člana 47. stav 4, člana 50. stav 3, člana 53. stav 6, člana 54. stav 2, člana 55. stav 10, člana 56. stav 4, člana 57. stav 4, člana 58. stav 2, člana 59. stav 2, člana 62. stav 2, člana 65. stav 7, člana 71. stav 4, člana 72. stav 2, člana 73. stav 4, člana 77. stav 2, člana 79. stav 3. ovog zakona doneće se u roku od 12 meseci od dana stupanja na snagu ovog zakona.
Uspostavljanje digitalnog identifikacionog novčanika
Član 90.
Kancelarija će uspostaviti digitalni identifikacioni novčanik iz člana 15. ovog zakona u roku od 12 meseci od dana stupanja na snagu ovog zakona.
Prestanak važenja dosadašnjih propisa, nastavak primene podzakonskih akata i nastavak rada na osnovu prethodne registracije
Član 91.
Danom stupanja na snagu ovog zakona prestaje da važi Zakon o elektronskom dokumentu, elektronskoj identifikaciji i uslugama od poverenja u elektronskom poslovanju (“Službeni glasnik RS”, broj 94/2017, 52/2021).
Podzakonski akti doneti na osnovu zakona iz stava 1. ovog člana primenjivaće se i posle prestanka važenja navedenih zakona, sve do donošenja odgovarajućih propisa saglasno ovom zakonu, osim ako su u suprotnosti sa odredbama ovog zakona.
Danom stupanja na snagu ovog zakona pružaoci usluga elektronske identifikacije i šema elektronske identifikacije koji su registrovani na osnovu Zakona o elektronskom dokumentu, elektronskoj identifikaciji i uslugama od poverenja u elektronskom poslovanju (“Službeni glasnik rs”, broj 94/2017, 52/2021) nastavljaju sa radom kao registrovani pružaoci usluga elektronske identifikacije za šeme elektronske identifikacije koje su registrovane u skladu sa tim zakonom.
Danom stupanja na snagu ovog zakona pružaoci kvalifikovanih usluga od poverenja koji su registrovani na osnovu zakona o elektronskom dokumentu, elektronskoj identifikaciji i uslugama od poverenja u elektronskom poslovanju (“Službeni glasnik RS”, broj 94/2017, 52/2021) nastavljaju sa radom kao kvalifikovani pružaoci usluge za koju su bili registrovani.
Danom stupanja na snagu ovog zakona pružaoci usluga od poverenja dugotrajnog čuvanja koji su registrovani na osnovu zakona o elektronskom dokumentu, elektronskoj identifikaciji i uslugama od poverenja u elektronskom poslovanju (“Službeni glasnik RS”, broj 94/2017, 52/2021) nastavljaju sa radom kao kvalifikovani pružaoci usluge elektronskog arhiviranja i kvalifikovani pružaoci usluge čuvanja kvalifikovanog elektronskog potpisa, odnosno pečata.
Pružaoci usluga iz stava 3. ovog člana dužni su da u roku od 24 meseci od dana stupanja na snagu ovog zakona usklade svoje poslovanje sa odredbama ovog zakona i dostave Ministarstvu sertifikat o usaglašenosti iz člana 23. ovog zakona.
Pružaoci usluga od poverenja iz st. 4. i 5. ovog člana dužni su da u roku od 24 meseci od dana stupanja na snagu ovog zakona usklade svoje poslovanje sa odredbama ovog zakona i dostave Ministarstvu izveštaj o ocenjivanju usaglašenosti iz člana 40. ovog zakona.
Ministarstvo vrši ocenjivanje usaglašenosti iz člana 40. ovog zakona do akreditacije prvog tela za ocenjivanje usaglašenosti, u skladu sa propisima.
Danom stupanja na snagu ovog zakona sredstva za kreiranje elektronskog potpisa odnosno pečata upisana u registar kvalifikovanih sredstava za kreiranje elektronskih potpisa i elektronskih pečata na osnovu Zakona o elektronskom dokumentu, elektronskoj identifikaciji i uslugama od poverenja u elektronskom poslovanju (“Službeni glasnik rs”, broj 94/2017, 52/2021) upisuju se u registar iz člana 55. ovog zakona.
Stupanje na snagu zakona
Član 92.
Ovaj zakon stupa na snagu osam dana od dana objavljivanja u “Službenom glasniku Republike Srbije”.
Izvor: Vebsajt Ministarstva informisanja i telekomunikacija, 26.12.2025.