I. OPĆE ODREDBE

Svrha Zakona

Članak 1.

(1) Ovim se Zakonom:

1. Utvrđuju nadležna tijela i zadaće nadležnih tijela za provedbu Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ (SL L 257/73 28.08.2014. – u daljnjem tekstu: Uredba (EU) br. 910/2014),

2. Utvrđuju tijela za nadzor nad provedbom Uredbe (EU) br. 910/2014,

3. Određuje tijelo nadležno za akreditaciju tijela za ocjenu sukladnosti,

4. Utvrđuju prava, obveze i odgovornosti potpisnika i pružatelja usluga povjerenja.

5. Određuju prekršajne odredbe za postupanje protivno Uredbi (EU) br. 910/2014.

Pojmovi

Članak 2.

(1) Pojmovi u smislu ovoga Zakona imaju jednako značenje kao pojmovi korišteni u Uredbi (EU) br. 910/2014.

(2) Pojam pravne osobe iz članka 3. stavka 24., stavka 29. i stavka 38. Uredbe (EU) br. 910/2014, označava pravne osobe javnoga prava i pravne osobe privatnoga prava.

II. NADLEŽNA TIJELA

Nadležno tijelo za područje identifikacije

Članak 3.

(1) Nadležno tijelo za provedbu Uredbe (EU) br. 910/2014 te ovoga Zakona u pogledu odredbi kojima se uređuje elektronička identifikacija od članka 6. do članka 12. Uredbe (EU) br. 910/2014 je središnje tijelo državne uprave nadležno za poslove e-Hrvatske.

(2) Središnje tijelo državne uprave iz stavka 1. ovoga članka obavlja sljedeće poslove:

1. prijavljivanje (i uklanjanje) nacionalnih sustava za elektroničku identifikaciju Europskoj komisiji radi njihove objave u Službenom listu EU;

2. suradnja s tijelima za zaštitu osobnih podataka.

Nadležno tijelo za usluge povjerenja

Članak 4.

(1) Nadležno tijelo za provedbu Uredbe (EU) br. 910/2014 te ovoga Zakona u pogledu odredbi kojima se uređuju usluge povjerenja od članka 13. do članka 45. Uredbe (EU) br. 910/2014, je središnje tijelo državne uprave nadležno za poslove gospodarstva.

(2) Središnje tijelo državne uprave iz stavka 1. ovoga članka obavlja sljedeće poslove:

1. nadzor nad pružateljima usluga povjerenja, dodjeljivanje i ukidanje kvalificiranog statusa, analizu izvješća o ocjeni sukladnosti, reviziju, zahtijevanje od pružatelja usluga povjerenja da otklone svako nepoštivanje odredbi Uredbe (EU) br. 910/2014;

2. izrada, vođenje i objavljivanje pouzdanih popisa pružatelja i kvalificiranih pružatelja usluga povjerenja;

3. međusobna suradnja s nadzornim tijelima u drugim državama članicama EU (pružanje uzajamne pomoći, razmjena dobre prakse);

4. obavješćivanje drugih tijela i javnosti o povredama sigurnosti;

5. periodično godišnje izvješćivanje Europske komisije o svojim glavnim aktivnostima (do 31.03. za prethodnu kalendarsku godinu).

(3) Čelnik središnjeg tijela državne uprave nadležnog za poslove gospodarstva će pravilnikom propisati druge metode identifikacije koje po pitanju pouzdanosti pružaju sigurnost jednaku fizičkoj prisutnosti, a kojima pružatelj usluga povjerenja provjerava identitet i ako je to primjenjivo, posebna obilježja fizičke ili pravne osobe kojoj se izdaje kvalificirani certifikat.

Nacionalno akreditacijsko tijelo

Članak 5.

(1) Tijelom nadležnim za akreditaciju Tijela za ocjenjivanje sukladnosti kvalificiranih pružatelja usluga povjerenja i kvalificiranih usluga povjerenja koje on pruža, sukladno odredbama članka 3., točke 18. te članka 20. Uredbe (EU) br. 910/2014., određuje se nacionalno akreditacijsko tijelo.

Ovlaštenja

Članak 6.

(1 ) Čelnici središnjih tijela državne uprave nadležnih za obavljanje poslova gospodarstva, poslova e-Hrvatske te poslova elektroničkih komunikacija, ovlašteni su donositi pravilnike, naredbe i naputke za provedbu pravno obvezujućih provedbenih i delegiranih akata Europske unije donesenih na temelju Uredbe (EU) br. 910/2014.

Suradnja

Članak 7.

(1) Tijela iz članka 3. i 4. surađuju međusobno te s drugim nadležnim tijelima u Republici Hrvatskoj, kao i s tijelima drugih država članica nadležnima za nadzor nad primjenom Uredbe (EU) br. 910/2014 te, prema potrebi i s drugim odgovarajućim nadležnim tijelima u skladu sa zakonodavstvom Europske unije i nacionalnim zakonodavstvima država članica.

(2) U sklopu suradnje iz stavka 1. ovoga članka, tijela iz članka 3. i članka 4., osim međusobno, razmjenjuju informacije i:

1. s tijelima drugih država članica nadležnima za nadzor nad primjenom Uredbe (EU) br. 910/2014,

2. s Europskom komisijom te, prema potrebi, s drugim javnim tijelima,

3. s drugim tijelima nadležnima prema zakonima kojima se uređuje zaštita osobnih podataka.

(3) Dostavljanje informacija iz stavka 2. ovoga članka ne smatra se kršenjem obveze čuvanja povjerljivih podataka.

(4) Tijelo koje primi informacije iz stavka 2. ovoga članka dužno ih je čuvati kao povjerljive i može ih koristiti samo u svrhu za koju su mu dostavljene, a dostupnima trećima može ih učiniti u skladu s posebnim propisima.

  
III. NADZORNA TIJELA

Članak 8.

(1) Nadzor nad provedbom Uredbe (EU) br. 910/2014 te ovoga Zakona u pogledu odredbi kojima se uređuje elektronička identifikacija od članka 6. do članka 12. Uredbe (EU) br. 910/2014 provodi središnje tijelo državne uprave nadležno za poslove e-Hrvatske.

(2) Nadzor nad provedbom Uredbe (EU) br. 910/2014 te ovoga Zakona u pogledu odredbi kojima se uređuju usluge povjerenja od članka 13. do članka 45. Uredbe (EU) br. 910/2014, provodi središnje tijelo državne uprave nadležno za poslove gospodarstva.

(3) Nadzor nad radom pružatelja usluga povjerenja i kvalificiranih pružatelja usluga povjerenja te nacionalnih sustava elektroničkih identifikacija u području prikupljanja, uporabe i zaštite osobnih podataka potpisnika, mogu provoditi i državna te druga tijela određena zakonom i drugim propisima koji uređuju zaštitu osobnih podataka.

(4) U okviru nadzora ovlašteno tijelo koje vrši nadzor pružatelja usluga povjerenja i kvalificiranih pružatelja usluga povjerenja:

- utvrđuje jesu li ispunjeni uvjeti propisani Uredbom (EU) br. 910/2014 i provedbenim propisima donesenim na temelju Uredbe (EU) br. 910/2014;

- nadzire pravilnost primjene propisanih postupaka i organizacijsko-tehničkih mjera te primjenu internih pravila koja su u svezi s uvjetima propisanima Uredbom (EU) br. 910/2014 i provedbenim propisima donesenim na temelju Uredbe (EU) br. 910/2014.

(5) Ukoliko pružatelj usluga povjerenja i kvalificirani pružatelj usluga povjerenja ne ispunjavaju uvjete propisane Uredbom (EU) br. 910/2014 i provedbenim propisima donesenim na temelju Uredbe (EU) br. 910/2014, ovlašteno tijelo može donijeti odluku kojim se privremeno zabranjuje pružanje usluga povjerenja i kvalificiranih usluga povjerenja.

(6) Pružatelj usluga povjerenja i kvalificirani pružatelj usluga povjerenja, dužan je radi provedbe nadzora omogućiti ovlaštenom tijelu za provedbu nadzora neograničen uvid u podatke o poslovanju, uvid u poslovnu dokumentaciju, pristup registru potpisnika i pridruženoj računalnoj opremi i uređajima.

IV. PRAVA, OBVEZE I ODGOVORNOSTI POTPISNIKA I PRUŽATELJA USLUGA POVJERENJA

Članak 9.

(1) Svaki potpisnik dužan je poduzeti sve potrebne mjere zaštite od gubitaka i šteta koje može uzrokovati drugim potpisnicima, pružateljima usluga povjerenja ili trećim osobama.

Članak 10.

(1) Potpisnik je dužan pažnjom dobrog domaćina koristiti i čuvati sredstva i podatke za izradu elektroničkog potpisa, koristiti sredstva i podatke za izradu elektroničkog potpisa u skladu s odredbama ovoga Zakona, zaštititi i čuvati sredstva i podatke za izradu elektroničkog potpisa od neovlaštenog pristupa i uporabe.

Članak 11.

(1) Potpisnik je dužan dostaviti pružatelju usluge povjerenja sve potrebne podatke i informacije o promjenama koje utječu ili mogu utjecati na točnost elektroničkog potpisa u roku od 7 (sedam) dana od nastalih promjena.

(2) Potpisnik je dužan zatražiti opoziv svog certifikata odmah po saznanju u svim slučajevima gubitka ili oštećenja sredstava ili podataka za izradu svoga elektroničkog potpisa.

Članak 12.

(1) Potpisnik odgovara za štetu koja nastane zbog neispunjavanja njegovih obveza utvrđenih ovim Zakonom.

(2) Potpisnik može iznimno biti oslobođen odgovornosti u slučajevima kada može dokazati da oštećena strana nije poduzela ili je pogrešno poduzela radnje vezane za validaciju elektroničkog potpisa.

Članak 13.

(1) Pružatelj usluga povjerenja ima, uz obveze navedene u Uredbi (EU) br. 910/2014, i obveze:

1. omogućiti svakoj zainteresiranoj osobi uvid u identifikacijske podatke pružatelja usluga povjerenja,

2. čuvati sve podatke i dokumentaciju o izdanim certifikatima najmanje 10 (deset) godina pri čemu podaci i prateća dokumentacija mogu biti i u elektroničkom obliku,

3. primjenjivati odredbe zakona i drugih propisa kojima je uređena zaštita osobnih podataka.

Članak 14.

(1) Pružatelj usluga povjerenja dužan je prekinuti uslugu certificiranja, odnosno izvršiti opoziv certifikata, onim potpisnicima:

1. koji su to izričito zatražili,

2. za koje je utvrđena netočnost ili nepotpunost podataka u Evidenciji certifikata,

3. za koje je primljena službena obavijest o smrti,

4. za koje je primljena službena obavijest o gubitku poslovne sposobnosti,

5. za koje je utvrđeno da podatke za izradu elektroničkog potpisa koriste protivno   pozitivnim propisima Republike Hrvatske.

(2) Pružatelj usluga povjerenja dužan je ažurno voditi evidenciju svih opozvanih certifikata.

(3) Pružatelj usluga povjerenja dužan je obavijestiti potpisnika o opozivu certifikata u roku od 24 sata od primljene obavijesti odnosno nastanka okolnosti zbog koje se certifikat opoziva.

(4) Čelnik središnjeg tijela državne uprave nadležnog za poslove gospodarstva pravilnikom će propisati pravila o privremenoj suspenziji certifikata za elektroničke potpise i certifikata za elektroničke pečate u slučajevima kada certifikat privremeno izgubi svoju valjanost, a koji su slučajevi različiti od opoziva certifikata.

Članak 15.

(1) Pružatelj usluga povjerenja koji izdaje kvalificirane certifikate mora čuvati svu dokumentaciju o izdanim i opozvanim certifikatima kao sredstvo dokazivanja i verifikacije u sudskim, upravnim i drugim postupcima, u roku od najma nje 10 godina od prestanka valjanosti certifikata na kojeg se ta dokumentacija odnosi.

Prestanak pružanja usluga povjerenja

Članak 16.

(1) Pružatelj usluga povjerenja dužan je o mogućem prestanku obavljanja usluga obavijestiti svakog korisnika usluge povjerenja kao i tijelo državne uprave nadležno za poslove gospodarstva, odnosno nadzorno tijelo, najmanje tri mjeseca prije isteka ugovorom povjerenih mu usluga povjerenja.

(2) Pružatelj usluga povjerenja, koji prestaje s pružanjem tih usluga, dužan je osigurati kod drugog pružatelja usluga povjerenja nastavak obavljanja usluga povjerenja za potpisnike kojima je izdao certifikate, a ukoliko za to nema mogućnosti, dužan je opozvati sve izdane certifikate i o tome odmah i neodgodivo obavijestiti tijelo državne uprave nadležno za poslove gospodarstva, odnosno nadzorno tijelo.

(3) Pružatelj usluga povjerenja koji prekida s obavljanjem usluga povjerenja dužan je dostaviti svu dokumentaciju u svezi s obavljenim uslugama povjerenja drugom davatelju usluga povjerenja na kojega prenosi obveze s osnove obavljanja usluga povjerenja.

Članak 17.

(1) Odredbe gore citiranih članaka glave IV. PRAVA, OBVEZE I ODGOVORNOSTI POTPISNIKA I PRUŽATELJA USLUGA POVJERENJA, na odgovarajući se način primjenjuju na usluge izdavanja elektroničkih pečata, vremenskih žigova i elektroničke preporučene dostave.

V. PREKRŠAJNE ODREDBE

Fizičke osobe

Članak 18.

(1) Novčanom kaznom od 2.000,00 do 10.000,00 kuna kaznit će se za prekršaj fizička osoba koja:

– neovlašteno pristupi i uporabi podatke i sredstva za izradu elektroničkog potpisa, naprednog elektroničkog potpisa, kvalificiranoga potpisa, elektroničkog pečata, naprednog elektroničkog pečata, kvalificiranog elektroničkog pečata.

(2) Novčanom kaznom od 2.000,00 do 10.000,00 kuna kaznit će se za prekršaj potpisnik, odnosno fizička osoba ili odgovorna osoba pravne osobe koja zastupa potpisnika, a koja:

1. nepažljivo i neodgovorno koristi sredstva i podatke za izradu elektroničkog potpisa, naprednog elektroničkog potpisa, kvalificiranoga potpisa, elektroničkog pečata, naprednog elektroničkog pečata, kvalificiranog elektroničkog pečata;

2. davatelju usluga certificiranja u roku 7 (sedam) dana od nastalih promjena ne dostavi potrebne podatke i informacije o promjenama koje utječu ili mogu utjecati na točnost elektroničkog potpisa, naprednog elektroničkog potpisa, kvalificiranoga potpisa, elektroničkog pečata, naprednog elektroničkog pečata, kvalificiranog elektroničkog pečata;

3. davatelju usluga certificiranja pravodobno ne dostavi zahtjev za opoziv certifikata, odnosno ukoliko odmah po saznanju ne zatraži opoziv svog certifikata u slučajevima gubitka ili oštećenja sredstava/podataka za izradu svog elektroničkog potpisa.

Pravne osobe

Članak 19.

(1) Novčanom kaznom od 5.000,00 do 100.000,00 kuna kaznit će se za prekršaj kvalificirani pružatelj usluga povjerenja koji:

1. ne utvrdi pravovaljano identitet fizičke ili pravne osobe za koju izdaje kvalificirani certifikat (članak 24., stavak 1. Uredbe (EU) br. 910/2014);

2. ne obavijesti nadzorno tijelo o svim promjenama u vezi s pružanjem svojih kvalificiranih usluga povjerenja te o namjeri prestanka obavljanja te djelatnosti najmanje 3 (tri) mjeseca prije isteka ugovorom povjerenih mu usluga povjerenja (članak 24., stavak 2. podstavak (a) Uredbe (EU) br. 910/2014);

3. ne zapošljava osoblje i/ili podizvođače koji posjeduju potrebna stručna znanja, pouzdanost, iskustvo i kvalifikacije i koji su prošli odgovarajuće osposobljavanje u vezi sa sigurnošću i propisima o zaštiti osobnih podataka te ne primjenjuju upravne i upravljačke postupke u skladu s europskim ili međunarodnim normama (članak 24., stavak 2. podstavak (b) Uredbe (EU) br. 910/2014);

4. ne raspolaže dostatnim financijskim sredstvima i/ili nije sklopio odgovarajuće osiguranje od odgovornosti za štetu, u vezi s člankom 13. Uredbe (EU) br. 910/2014 (članak 24., stavak 2. podstavak (c) Uredbe (EU) br. 910/2014);

5. ne obavijesti prije stupanja u ugovorni odnos, na jasan i sveobuhvatan način, svaku osobu koja želi koristiti kvalificiranu uslugu povjerenja o točnim uvjetima korištenja tom uslugom, uključujući bilo kakva ograničenja korištenja (članak 24., stavak 2. podstavak (d) Uredbe (EU) br. 910/2014);

6. ne koristi vjerodostojne sustave i proizvode koji su zaštićeni od preinaka te osiguravaju tehničku sigurnost i pouzdanost postupaka koje ti sustavi i proizvodi podržavaju (članak 24., stavak 2. podstavak (e) Uredbe (EU) br. 910/2014);

7. ne koristi vjerodostojne sustave za pohranu podataka koji su mu dostavljeni, u obliku koji se može provjeriti (članak 24., stavak 2. podstavak (f) Uredbe (EU) br. 910/2014);

8. ne poduzima odgovarajuće mjere protiv krivotvorenja i krađe podataka (članak 24., stavak 2. podstavak (g) Uredbe (EU) br. 910/2014);

9. ne bilježi i ne čini dostupnim tijekom odgovarajućeg razdoblja, uključujući razdoblje nakon prestanka obavljanja djelatnosti kvalificiranog pružatelja usluga povjerenja, sve bitne informacije u vezi s podacima koje izdaje i prima kvalificirani pružatelj usluga povjerenja, a posebno za potrebe predlaganja dokaza u sudskim postupcima i u svrhu osiguravanja kontinuiteta usluge (članak 24., stavak 2. podstavak (h) Uredbe (EU) br. 910/2014);

10. nema uspostavljen i ažuriran plan prekida pružanja usluge radi osiguravanja njezina kontinuiteta u skladu s odredbama koje je potvrdilo nadzorno tijelo sukladno članku 17. stavku 4. točki (i) Uredbe (EU) br. 910/2014 (članak 24., stavak 2. podstavak (i) Uredbe (EU) br. 910/2014);

11. ne osigurava zakonitu obradu osobnih podataka u skladu s Direktivom 95/46/EZ (članak 24., stavak 2. podstavak (j) Uredbe (EU) br. 910/2014);

12. ne uspostavi i ažurira bazu podataka certifikata, kada se radi o kvalificiranim pružateljima usluga povjerenja koji izdaju kvalificirane certifikate (članak 24., stavak 2. podstavak (k) Uredbe (EU) br. 910/2014).

VI. PRIJELAZNE I ZAVRŠNE ODREDBE

Članak 20.

(1) Danom stupanja na snagu ovoga Zakona prestaje važiti Zakon o elektroničkom potpisu (»Narodne novine«, br. 10/02, 80/08, 30/14).

Članak 21.

(1) Ovaj Zakon objavit će se u »Narodnim novinama«, a stupa na snagu 1. srpnja 2016. godine.