NACRT ZAKONA O ELEKTRONSKOJ IDENTIFIKACIJI I ELEKTRONSKOM POTPISU
I. OSNOVNE ODREDBE
Predmet
Član 1
Ovim zakonom uređuje se izrada, verifikacija i korišćenje elektronskog potpisa, elektronskog pečata, elektronskog vremenskog pečata i usluga elektronske preporučene dostave u pravnom prometu, upravnim sudskim i drugim postupcima i izdavanje certifikata koji se odnose na te usluge, certifikovanje za autentifikaciju internet stranica, kao i uslovi za priznavanje sredstava elektronske identifikacije drugih država.
Elektronska identifikacija
Član 2
Korišćenje elektronskog potpisa, elektronskog pečata, elektronskog vremenskog pečata, elektronskog dokumenta i usluge elektronske preporučene dostave u pravnom prometu, upravnim sudskim i drugim postupcima podrazumijeva elektronsku identifikaciju fizičkih i pravnih lica koji koriste te usluge, u skladu sa ovim zakonom.
Elektronska identifikacija je postupak korišćenja ličnih identifikacionih podataka u elektronskom obliku koje na jedinstven način predstavljaju fizičko ili pravno lice.
Usluge povjerenja
Član 3
Izradu, verifikaciju i čuvanje elektronskih potpisa, elektronskih pečata i elektronskih vremenskih pečata, usluge elektronske preporučene dostave i izdavanje
certifikata koji se odnose na te usluge, izradu i verifikaciju certifikata za autentifikaciju internet stranice i usluge čuvanja elektronskih potpisa, elektronskog pečata i izdavanje certifikata koji se odnose na te usluge (u daljem tekstu: usluge povjerenja) vrši pravno ili fizičko lice, koje ispunjava uslove propisane ovim zakonom (u daljem tekstu: davalac usluge povjerenja).
Usluge povjerenja za organe državne uprave može vršiti i organ državne uprave nadležan za poslove informacionog društva (u daljem tekstu: Ministarstvo).
Ocjenjivanje usaglašenosti kvalifikovanih usluga povjerenja
Član 4
Ocjenjivanje usaglašenosti usluga povjerenja za koje su ovim zakonom propisani posebni zahtjevi (u daljem tekstu: kvalifikovane usluge povjerenja), kao i uslova koje u skladu sa ovim zakonom moraju ispunjavati pravno ili fizičko lice koje vrši kvalifikovanu uslugu povjerenja (u daljem tekstu: kvalifikovani davalac usluge povjerenja) vrši Ministarstvo.
Kvalifikovani davalac usluge povjerenja mora biti upisan u registar davalaca kvalifikovane usluge povjerenja, koji vodi Ministarstvo.
Dostupnost usluga povjerenja licima sa invaliditetom
Član 5
Usluge povjerenja i proizvodi koji se koriste prilikom pružanja tih usluga, kad je to moguće, dostupni su licima invaliditetom.
Proizvodi koji se koriste prilikom pružanja usluga povjerenja podrazumijevaju odgovarajuću računarsku opremu (hardver) ili računarski program (softver) koji su namijenjeni za korišćenje u svrhu pružanja usluga povjerenja.
Zaštita podataka o ličnosti
Član 6
Na obradu podataka o ličnosti primjenjuju se propisi kojima se uređuje zaštita podataka o ličnosti.
Korišćenje pseudonima u elektronskim transakcijama nije zabranjeno.
Upotreba rodno osjetljivog jezika
Član 7
Izrazi koji se u ovom zakonu koriste za fizička lica u muškom rodu podrazumijevaju iste izraze u ženskom rodu.
Izrazi
Član 8
Izrazi koji se koriste u ovom zakonu imaju sljedeća značenja:
1) lični identifikacioni podaci obuhvataju skup podataka u elektronskom obliku koji omogućavaju da se utvdi identitet fizičkog ili pravnog lica;
2) sistem elektronske identifikacije je sistem za izdavanje sredstava elektronske identifikacije;
3) sredstvo elektronske identifikacije je računarska oprema (hardver) ili računarski program (softver), koje sadrži lične idenfifikacione podatke u elektronskom obliku, a koji se koriste za autentifikaciju usluga u elektronskom obliku;
4) autentifikacija je elektronski postupak koji omogućava potvrđivanje elektronske identifikacije fizičkog ili pravnog lica ili porijekla i integriteta podataka u elektronskom obliku;
5) korisnik je fizičko ili pravno lice koje se oslanja na elektronsku identifikaciju ili uslugu povjerenja;
6) potpisnik je fizičko lice koje posjeduje sredstvo za izradu elektronskog potpisa kojim se potpisuje u svoje ime ili u ime fizičkog ili pravnog lica;
7) podaci za izradu elektronskog potpisa su jedinstveni podaci (kodovi ili privatni kriptografski ključevi), koje potpisnik koristi za izradu elektronskog potpisa;
8) autor elektronskog pečata je pravno lice koje posjeduje sredstvo za izradu elektronskog pečata i izrađuje elektronski pečat;
9) podaci za izradu elektronskog pečata su jedinstveni podaci koje autor elektronskog pečata koristi za izradu elektronskog pečata;
10) certifikat za elektronski pečat je elektronska potvrda koja povezuje podatke za verifikaciju elektronskog pečata sa pravnim licem i potvrđuje naziv tog pravnog lica;
11) kvalifikovani certifikat za elektronski pečat je certifikat za elektronski pečat koji izdaje kvalifikovani davalac usluge povjerenja i koji ispunjava posebne uslove propisane ovim zakonom;
12) sredstvo za izradu elektronskog pečata je odgovarajuća računarska oprema ili računarski program koji se koristi za izradu elektronskog pečata;
13) sredstvo za izradu kvalifikovanog elektronskog pečata je sredstvo za izradu elektronskog pečata koje ispunjava posebne uslove propisane ovim zakonom;
14) elektronski dokument je skup podataka koji su elektronski oblikovani, poslati, primljeni ili skladišteni na elektronskom, magnetnom, optičkom ili drugom mediju, i koji sadrži svojstva pomoću kojih se identifikuje stvaralac, utvrđuje vjerodostojnost sadržaja i dokazuje nepromjenjivost sadržaja u vremenu, a uključuje sve oblike pisanog teksta, podatke, slike, crteže, karte, zvuk, muziku, govor i slično;
15) podaci za verifikaciju su podaci koji se koriste za verifikaciju elektronskog potpisa ili elektronskog pečata;
16) verifikacija je postupak kojim se potvrđuje da su elektronski potpis ili elektronski pečat validni;
17) organ vlasti je državni organ, organ državne uprave, organ lokalne samouprave, odnosno lokalne uprave i pravno lice koje vrši javna ovlašćenja.
II. ELEKTRONSKI POTPIS I ELEKTRONSKI PEČAT
Elektronski potpis
Član 9
Elektronski potpis je skup podataka u elektronskom obliku koji su pridruženi ili su logički povezani sa elektronskim dokumentom i koji služe za potpis i elektronsku identifikaciju potpisnika i zasniva se na certifikatu za izradu elektronskog potpisa.
Napredni elektronski potpis
Član 10
Napredni elektronski potpis je elektronski potpis kojim se pouzdano garantuje identitet potpisnika i integritet elektronskog dokumenta, a koji ispunjava uslove propisane ovim zakonom.
Napredni elektronski potpis mora da:
1) bude isključivo povezan sa potpisnikom;
2) nedvosmisleno identifikuje potpisnika;
3) nastaje korišćenjem sredstva za izradu elektronskog potpisa kojim potpisnik može samostalno da upravlja i koje je isključivo pod njegovim nadzorom;
4) sadrži direktnu povezanost sa podacima na koje se odnosi, i to na način koji nedvosmisleno omogućava uvid u bilo koju izmjenu izvornih podataka.
Napredni elektronski potpis koji se zasniva na elektronskom certifikatu izdatom u državi članici Evropske unije priznaje se kao napredni elektronski potpis u Crnoj Gori, ako su ispunjeni uslovi iz stava 2 ovog člana.
Kvalifikovani elektronski potpis
Član 11
Kvalifikovani elektronski potpis je napredni elektronski potpis koji je izrađen pomoću kvalifikovanog sredstva za izradu elektronskog potpisa i zasniva se na kvalifikovanom certifikatu za elektronski potpis.
Punovažnost elektronskog potpisa
Član 12
Elektronskom potpisu ne može se osporiti punovažnost i prihvatljivost samo zbog toga što:
1) je u elektronskom obliku;
2) se ne zasniva na kvalifikovanom certifikatu za elektronski potpis.
Pravno dejstvo elektronskog potpisa i naprednog elektronskog potpisa
Član 13
Ne može se odbiti prijem elektronskog dokumenta sa elektronskim potpisom ili naprednim elektronskim potpisom samo zato što je u elektronskom obliku.
Pravno dejstvo kvalifikovanog elektronskog potpisa
Član 14
Kvalifikovani elektronski potpis ima jednako pravno dejstvo kao svojeručni potpis, odnosno svojeručni potpis i pečat u odnosu na podatke u papirnom obliku i prihvatljiv je kao dokazno sredstvo u postupcima pred državnim organima, organima državne uprave, organima lokalne samouprave i lokalne uprave i pravnim licima koja vrše javna ovlašćenja.
Certifikat za elektronski potpis
Član 15
Certifikat za elektronski potpis je dokument u elektronskom obliku potpisan od davaoca usluga povjerenja koji povezuje podatke za provjeru elektronskog potpisa sa nekim licem i potvrđuje identitet tog lica.
Kvalifikovani certifikat za elektronski potpis
Član 16
Kvalifikovani certifikat za elektronski potpis je certifikat za kvalifikovani elektronski potpis koji sadrži podatke propisane ovim zakonom i kojeg izdaje kvalifikovani davalac usluga povjerenja.
Kalifikovani certifikat za elektronski potpis mora da sadrži:
1) oznaku da se radi o kvalifikovanom certifikatu za elektronski potpis; 2) identifikacioni skup podataka o pravnom ili fizičkom licu koje izdaje kvalifikovani certifikat za elektronski potpis uz navođenje države u kojoj je davalac usluga registrovan, i to:
- za pravno lice: naziv, matični broj i poreski identifikacioni broj, a
- za fizičko lice: ime i prezime, ime oca ili majke, pseudonim ako ga lice ima, datum rođenja, prebivalište, odnosno boravište;
3) identifikacioni skup podataka o potpisniku (lično ime, ime oca ili majke, pseudonim ako ga lice ima, datum rođenja, prebivalište, odnosno boravište); 4) podatke za verifikaciju elektronskog potpisa koji odgovaraju podacima za izradu elektronskog potpisa i koji su pod kontrolom potpisnika;
5) podatke o periodu važenja kvalifikovanog certifikata za elektronski potpis;
6) identifikacionu oznaku izdatog kvalifikovanog certifikata za elektronski potpis koja mora biti jedinstvena za kvalifikovanog davaoca usluga povjerenja;
7) napredni elektronski potpis kvalifikovanog davaoca usluge povjerenja koji izdaje certifikat;
8) lokaciju na kojoj je besplatno dostupan certifikat na kojem se zasniva napredni elektronski potpis ili napredni elektronski pečat kvalifikovanog davaoca usluga povjerenja;
9) lokaciju usluga koje se mogu koristiti za ispitivanje validnosti kvalifikovanog certifikata za elektronski potpis;
10) odgovarajuću naznaku, u obliku pogodnom za automatsku obradu, ako se podaci za izradu elektronskog potpisa koji su povezani sa podacima za verifikaciju elektronskog potpisa nalaze u kvalifikovanom sredstvu za izradu elektronskog potpisa.
Kvalifikovani certifikat, pored podataka iz stava 1 ovog člana, može da sadrži i druge podatke o potpisniku ako to potpisnik zahtijeva, a ti podaci ne utiču na interoprabilnost i priznavanje kvalifikovanih elektronskih potpisa.
Gubitak validnosti kvalifikovanog certifikata za elektronski potpis i privremena suspenzija
Član 17
Kvalifikovani elektronski potpis gubi validnost ako je kvalifikovani certifikat za elektronski potpis na kojem se zasniva opozvan nakon aktivacije, u skladu sa ovim zakonom, i to od trenutka opoziva certifikata.
U slučaju iz stava 1 ovog člana, elektronski potpis se ne može ponovo aktivirati.
Kvalifikovani elektronski potpis gubi validnost za vrijeme suspenzije kvalifikovanog certifikata za elektronski potpis, u smislu člana 49 stav 3 ovog zakona.
U slučaju iz stava 3 ovog člana, elektronski potpis se može ponovo aktivirati, kad se utvrdi da nijesu ispunjeni uslovi za opoziv kvalifikovanog certifikata iz člana 49 stav 1 ovog zakona.
Sredstvo za izradu elektronskog potpisa
Član 18
Sredstvo za izradu elektronskog potpisa je odgovarajuća računarska oprema ili računarski program koje se koristi prilikom izrade elektronskog potpisa uz korišćenje podataka za izradu elektronskog potpisa.
Sredstva iz stava 1 ovog člana izdaju se fizičkim ili pravnim licima putem sistema elektronske identifikacije koji koristi davalac usluga povjerenja za pružanje usluga povjerenja.
Kvalifikovano sredstvo za izradu elektronskog potpisa
Član 19
Kvalifikovano sredstvo za izradu elektronskog potpisa je sredstvo za izradu kvalifikovanog elektronskog potpisa koje ispunjava posebne uslove propisane ovim zakonom.
Kvalifikovano sredstvo za izradu elektronskog potpisa mora da obezbijedi da:
1) se podaci za izradu kvalifikovanog elektronskog potpisa mogu pojaviti samo jedanput i da je ostvarena njihova sigurnost;
2) da se podaci za izradu kvalifikovanog elektronskog potpisa ne mogu izvesti iz tog potpisa;
3) da kvalifikovani elektronski potpis bude zaštićen od falsifikovanja upotrebom trenutno dostupne tehnologije;
4) da podatke za izradu kvalifikovanog elektronskog potpisa potpisnik može pouzdano zaštititi od neovlašćenog korišćenja.
Kvalifikovano sredstvo za izradu elektronskog potpisa ne smije, prilikom izrade kvalifikovanog elektronskog potpisa, promijeniti podatke koji se potpisuju ili onemogućiti potpisniku uvid u te podatke prije procesa izrade kvalifikovanog elektronskog potpisa.
Odredbe st. 1 i 2 ovog člana, shodno se primjenjuju na sredstvo za izradu elektronskog potpisa.
Kreiranje podataka za izradu elektronskog potpisa
Član 20
Kreiranje podataka za izradu elektronskog potpisa i upravljanje tim podacima u ime potpisnika može vršiti isključivo kvalifikovani davalac usluge povjerenja.
Kvalifikovani davalac usluga povjerenja može da duplira podatke za izradu elektronskog potpisa isključivo u svrhu izrade rezervnih kopija, ako su ispunjeni sljedeći uslovi:
1) sigurnost dupliranih skupova podataka za izradu elektronskog potpisa mora da bude na istom nivou kao sigurnost izvornih skupova podataka za izradu elektronskog potpisa;
2) broj dupliranih skupova podataka za izradu elektronskog potpisa ne prelazi broj neophodan za obezbjeđenje kontinuiteta usluge izrade kvalifikovanog elektronskog potpisa.
Certifikovanje kvalifikovanog sredstva za izradu elektronskog potpisa
Član 21
Usaglašenost kvalifikovanih sredstava za izradu elektronskih potpisa sa zahtjevima iz člana 19 ovog zakona ocjenjuje Ministarstvo.
Kvalifikovana sredstva za izradu elektronskih potpisa za koje se utvrdi da su usaglašena sa zahtjevima iz člana 19 ovog zakona, Ministarstvo stavlja na listu certifikovanih kvalifikovanih sredstava za izradu elektronskih potpisa.
Kvalifikovano sredstvo za izradu elektronskog potpisa koje se nalazi na listi iz stava 2 ovog člana, Ministarstvo može brisati sa liste ako, u skladu sa stavom 1 ovog člana, utvrdi da nije usaglašeno sa zahtjevima iz člana 19 ovog zakona.
Lista iz stava 2 ovog člana objavljuje se na internet stranici Ministarstva.
Način ocjenjivanja usaglašenosti iz stava 1 ovog člana, kao i sadržaj liste iz stava 2 ovog člana propisuje Ministarstvo.
Obavještavanje Evropske komisije
Član 22
O nadležnosti da ocjenjuje usaglašenost kvalifikovanih sredstava za izradu elektronskih potpisa iz člana 21 ovog zakona Ministarstvo dostavlja Evropskoj komisiji (u daljem tekstu: Komisija) obavještenje.
Ministarstvo, najkasnije u roku od 30 dana od ocjenjivanja usaglašenosti kvalifikovanih sredstava za izradu elektronskih potpisa sa zahtjevima iz člana 19 ovog zakona, obavještava o tome Komisiju.
Zahtjevi za verifikaciju kvalifikovanog elektronskog potpisa
Član 23
Validnost kvalifikovanog elektronskog potpisa potvrđuje se verifikacijom kvalifikovanog elektronskog potpisa, koja obuhvata utvrđivanje da:
1) je certifikat na kojem se zasniva elektronski potpis, u trenutku potpisivanja bio kvalifikovani certifikat za elektronski potpis izdat u skladu sa ovim zakonom;
2) je kvalifikovani certifikat za elektronski potpis izdao kvalifikovani davalac usluge povjerenja i da je validan u trenutku potpisivanja;
3) podaci za verifikaciju potpisa odgovaraju podacima koji se daju korisniku;
4) je jedinstveni skup podataka koji predstavljaju potpisnika u kvalifikovanom certifikatu za elektronski potpis ispravno dostavljen korisniku;
5) je korišćenje pseudonima, ako je pseudonim korišćen u trenutku potpisivanja, naznačeno korisniku;
6) je kvalifikovani elektronski potpis izrađen kvalifikovanim sredstvom za izradu elektronskog potpisa;
7) nije ugrožen integritet potpisanih podataka;
8) su zahtjevi iz člana 10 ovog zakona ispunjeni u trenutku izrade potpisa.
Verifikacija kvalifikovanog elektronskog potpisa sprovodi se na način koji korisniku obezbjeđuje tačan rezultat verifikacije.
Kvalifikovanu uslugu verifikacije kvalifikovanih elektronskih potpisa može vršiti samo kvalifikovani davalac usluga povjerenja koji vrši verifikaciju u skladu sa stavom 1 ovog člana i koji omogućava korisniku da dobije rezultate postupka verifikacije automatski, na način koji je pouzdan i koji sadrži napredni elektronski potpis ili napredni elektronski pečat davaoca usluge verifikacije.
Način sprovođenja verifikacije kvalifikovanog elektronskog potpisa propisuje Ministarstvo.
Usluga čuvanja kvalifikovanih elektronskih potpisa
Član 24
Uslugu čuvanja kvalifikovanih elektronskih potpisa može pružati samo kvalifikovani davalac usluga povjerenja koji koristi postupke i tehnologije koje mogu produžiti pouzdanost kvalifikovanog elektronskog potpisa na period koji je duži od tehnološkog roka važenja.
Način vršenja usluge čuvanja kvalifikovanih elektronskih potpisa propisuje Ministarstvo.
Elektronski, napredni elektronski i kvalifikovani elektronski pečat
Član 25
Elektronski pečat je skup podataka u elektronskom obliku koji su pridruženi drugim podacima u elektronskom obliku ili su logički povezani sa njima radi obezbjeđenja porijekla i integriteta tih podataka i zasniva se certifikatu za elektronski pecat.
Napredni elektronski pečat je elektronski pečat koji ispunjava posebne zahtjeve u skladu sa ovim zakonom.
Kvalifikovani elektronski pečat je napredni elektronski pečat koji je izrađen pomoću kvalifikovanog sredstva za izradu elektronskog pečata i zasniva se na kvalifikovanom certifikatu za elektronski pečat.
Elektronski vremenski pečat i kvalifikovani elektronski vremenski pečat
Član 26
Elektronski vremenski pečat je skup podataka u elektronskom obliku koji povezuju druge podatke u elektronskom obliku sa određenim vremenom i na taj način dokazuju da su ti podaci postojali u to vrijeme.
Kvalifikovani elektronski vremenski pečat je elektronski vremenski pečat koji ispunjava posebne zahtjeve, i to:
1) povezuje datum i vrijeme sa podacima tako da se sprječava svaka mogućnost promjene podataka;
2) zasnovan je na preciznom vremenskom izvoru koji je povezan sa koordiniranim univerzalnim vremenom (UTC) i
3) potpisan je naprednim elektronskim potpisom ili pečatiran pomoću naprednog elektronskog pečata kvalifikovanog davaoca usluga povjerenja.
Shodna primjena
Član 27
Na pravno dejstvo, punovažnost i prihvatljivost elektronskog pečata, elektronskog vremenskog pečata i kvalifikovanog elektronskog pečata, zahtjeve za napredni elektronski pečat, sadržaj kvalifikovanog elektronskog pečata i elektronskog vremenskog pečata, izdavanje, opoziv i privremenu suspenziju certifikata za elektronski pečat i certifikata za kvalifikovani elektronski pečat, kvalifikovana sredstva za izradu elektronskog pečata i elektronskog vremenskog pečata, ocjenu usaglašenosti kvalifikovanog sredstva za izradu elektronskog pečata i sredstva za izradu elektronskog vremenskog pečata, verifikaciju i čuvanje kvalifikovanog sredstva za izradu elektronskog pečata i sredstva za izradu elektronskog vremenskog pečata shodno se primjenjuju odredbe čl. 9 do 24 ovog zakona.
III. USLUGE ELEKTRONSKE PREPORUČENE DOSTAVE
Usluga elektronske preporučene dostave
Član 28
Usluga elektronske preporučene dostave je usluga koja omogućava prenos podataka pomoću elektronskih sredstava i pruža dokaz o postupanju sa prenesenim podacima, uključujući dokaz o slanju i prijemu podataka, čime se preneseni podaci štite od rizika gubitka, krađe, oštećenja ili bilo kakvih neovlašćenih prepravki.
Pravno dejstvo usluge elektronske preporučene dostave
Član 29
Ne može se odbiti prijem podataka poslatih i primljenih upotrebom usluge elektronske preporučene dostave samo zato što je u elektronskom obliku ili zbog toga što ne ispunjavaju sve zahtjeve kvalifikovane usluge elektronske preporučene dostave.
Uslovi za slanje podataka korišćenjem kvalifikovane usluge elektronske preporučene dostave
Član 30
Za podatke poslate i primljene korišćenjem kvalifikovane usluge elektronske preporučene dostave podrazumijeva se:
1) cjelovitost podataka;
2) slanje podataka od strane identifikovanog pošiljaoca;
3) prijem podataka od strane identifikovanog primaoca;
4) tačnost datuma i vremena slanja i prijema podataka kako su naznačeni kvalifikovanom uslugom elektronske preporučene dostave.
Kvalifikovana usluga elektronske preporučene dostave
Član 31
Kvalifikovana usluga elektronske preporučene dostave je usluga elektronske preporučene dostave koja ispunjava posebne zahtjeve, i to da:
1) je vrši jedan ili više kvalifikovanih davalaca usluga povjerenja;
2) uz visok nivo sigurnosti obezbjeđuje identifikaciju pošiljaoca;
3) obezbjeđuje identifikaciju primaoca prije dostave podataka;
4) je slanje i primanje podataka obezbijeđeno naprednim elektronskim potpisom ili naprednim elektronskim pečatom kvalifikovanog davaoca usluga povjerenja, na način kojim se isključuje mogućnost nezapažene promjene podataka;
5) se pošiljaocu i primaocu podataka jasno naznačava svaka promjena podataka potrebna radi slanja ili primanja podataka;
6) se datum i vrijeme slanja, primanja i eventualne promjene podataka ovjeravaju kvalifikovanim elektronskim vremenskim pečatom.
U slučaju prenosa podataka između dva ili više kvalifikovanih davalaca usluga povjerenja, zahtjevi iz stave 1 ovog člana odnose se na sve kvalifikovane davaoce usluga povjerenja.
Bliže zahtjeve koje moraju da ispunjava kvalifikovana usluga elektronske preporučene dostave propisuje Ministarstvo.
IV. AUTENTIFIKACIJA INTERNET STRANICA
Pojam i certifikati
Član 32
Autentifikacija internet stranica je elektronski postupak koji omogućava potvrđivanje cjelovitosti podataka internet stranice i pouzdanosti korišćenja internet stranice i zasniva se na certifikatu za autentifikaciju internet stranica, odnosno na kvalifikovanom certifikatu za autentifikaciju internet stranica.
Certifikat za autentifikaciju internet stranice je potvrda pomoću koje se može izvršiti autentifikacija internet stranice i kojom se internet stranica povezuje sa fizičkim ili pravnim licem kojem je izdat certifikat
Kvalifikovani certifikat za autentifikaciju internet stranice je certifikat za autentifikaciju internet stranice koji izdaje davalac kvalifikovane usluge povjerenja i koji ispunjava posebne uslove propisane ovim zakonom.
Kvalifikovani certifikati za autentifikaciju internet stranica
Član 33
Kvalifikovani certifikati za autentifikaciju internet stranica mora da sadrži:
1) oznaku u elektronskom obliku pogodnom za automatsku obradu da je se radi o kvalifikovanom certifikatu za autentifikaciju internet stranica;
2) identifikacioni skup podataka o pravnom ili fizičkom licu koje izdaje kvalifikovani certifikat za elektronski potpis uz navođenje države u kojoj je davalac usluga registrovan, i to:
- za pravno lice: naziv, matični broj i poreski identifikacioni broj;
-za fizičko lice: ime i prezime, ime oca ili majke, pseudonim ako ga lice ima, datum rođenja, prebivalište, odnosno boravište;
3) identifikacioni skup podataka o fizičkom licu kojem je izdat certifikat uključujući i to: ime i prezime, ime oca ili majke, pseudonim ako ga lice ima, datum rođenja, prebivalište, odnosno boravište, adresu, grad i državu;
4) naziv domena kojim upravlja fizičko ili pravno lice kojem je izdat certifikat za autentifikaciju internet stranice;
5) podatke o periodu važenja kvalifikovanog certifikata za autentifikaciju internet stranice;
6) identifikacionu oznaku izdatog kvalifikovanog certifikata za autentifikaciju internet stranice koja mora biti jedinstvena za kvalifikovanog davaoca usluga povjerenja;
7) napredni elektronski potpis ili napredni elektronski pečat kvalifikovanog davaoca usluga povjerenja koji izdaje certifikat;
8) lokaciju na kojoj je besplatno dostupan certifikat na kojem se zasniva napredni elektronski potpis ili napredni elektronski pečat kvalifikovanog davaoca usluga povjerenja;
9) lokaciju usluga koje se mogu koristiti za ispitivanje validnosti kvalifikovanog certifikata za autentifikaciju internet stranica.
V. USLOVI ZA VRŠENJE KVALIFIKOVANIH USLUGA POVJERENJA
Uslovi u vezi sa kvalifikovanim davaocima usluga povjerenja
Član 34
Kvalifikovani davalac usluga povjerenja mora da ispunjava sljedeće uslove, i to da:
1) ima ažuriran plan prekida pružanja usluge radi obezbjeđivanja njenog kontinuiteta, koji donosi u skladu sa internim aktima iz člana 35 stav 3 ovog zakona;
2) obezbijedi obradu podataka o ličnosti u skladu sa propisima o zaštiti podataka o ličnosti;
3) obezbijedi, na odgovarajući način i u skladu sa ovim zakonom i internim aktima iz člana 35 stav 3 ovog zakona, provjeru identiteta potpisnika i, po potrebi, drugog obilježja fizičkog i pravnog lica, kojima se izdaje kvalifikovani certifikat za elektronski potpis, odnosno kvalifikovani certifikat za elektronski pečat;
4) ima zaposlena lica sa specijalističkim znanjima, iskustvom i stručnim kvalifikacijama potrebnim za pružanje usluga povjerenja, a naročito u odnosu na: sposobnosti na upravljačkom nivou, stručnost u primjeni tehnologija elektronskog potpisa i odgovarajućih sigurnosnih procedura, zaštitu podataka o ličnosti i primjenu upravnog postupka;
5) koristi pouzdane sisteme i proizvode koji su zaštićeni od neovlašćenih izmjena i koji obezbjeđuju tehničku i kriptografsku sigurnost procesa;
6) preduzima mjere za sprječavanje falsifikovanja certifikata, a u slučajevima u kojima kreira podatke za izradu elektronskog potpisa, garantuje tajnost procesa kreiranja tih podataka i dostavlja certifikate potpisnicima na bezbjedan način;
7) posjeduje finansijska sredstva za osiguranje od rizika i odgovornosti za moguću štetu nastalu izdavanjem kvalifikovanih certifikata, u iznosu koji može pokriti rizik od štete i odgovornosti nastalih korišćenjem kvalifikovanih certifikata koje je izdao, ukoliko za štetu nije odgovoran potpisnik;
8) posjeduje sistem čuvanja svih relevantnih informacija koje se odnose na kvalifikovane certifikate u određenom vremenskom periodu, a naročito radi pružanja evidencije tih certifikata za potrebe sudskih i drugih pravnih postupaka, pri čemu se ti podaci mogu čuvati i u elektronskom obliku, na način koji omogućava provjeru elektronskih potpisa;
9) koristi pouzdan sistem čuvanja kvalifikovanih certifikata u obliku koji omogućava provjeru, kako bi:
- unos i promjene podataka za izradu usluga povjerenja vršila samo ovlašćena lica,
- mogla biti provjerena autentičnost informacija iz kvalifikovanog certifikata,
- podaci bili javno dostupni za pretraživanje na brz i siguran način samo u onim slučajevima za koje je registrovani potpisnik dao odobrenje,
- bilo koja tehnička promjena, koja bi mogla narušiti sigurnosne zahtjeve, bila vidljiva kvalifikovanom davaocu usluga povjerenja.
Bliže uslove iz stava 1 ovog člana propisuje Ministarstvo.
Uslovi za vršenje kvalifikovanih usluga povjerenja za organe državne uprave
Član 35
Ako kvalifikovane usluge povjerenja za organe državne uprave vrši Ministarstvo, mora ispunjavati uslove iz člana 32 stav 1 ovog zakona, osim uslova iz člana 32 stav 1 tačka 8 ovog zakona. Način vršenja kvalifikovanih usluga povjerenja iz stava 1 ovog člana propisuje Vlada Crne Gore.
Pravno dejstvo kvalifikovanih certifikata za usluge povjerenja izdatih u drugoj državi
Član 36
Kvalifikovane usluge povjerenja u Crnoj Gori mogu vršiti i davaoci usluga povjerenja sa sjedištem u drugoj državi. Kvalifikovani usluge povjerenja koje pružaju davaoci usluga povjerenja sa sjedištem u drugoj državi koja nije članica Evropske Unije, imaju isto pravno dejstvo kao i kvalifikovani certifikati izdati u Crnoj Gori, ako:
1) davalac usluga povjerenja ispunjava uslove propisane ovim zakonom za izdavanje kvalifikovanih certifikata i ako je upisan u registar kvalifikovanih davalaca usluga povjerenja u Crnoj Gori ili državi članici Evropske Unije;
2) kvalifikovani davalac usluga povjerenja koji je upisan u registar kvalifikovanih davalaca usluga povjerenja u Crnoj Gori ili kvalifikovani davalac usluga povjerenja registrovan u državi članici Evropske Unije garantuje za takav kvalifikovani certifikat;
3) je u skladu sa međunarodnim ugovorom zaključenim između Crne Gore i druge države ili međunarodne organizacije;
4) je u skladu sa međunarodnim ugovorom zaključenim između Evropske Unije i države koja nije članica Evropsk unije (u daljem tekstu: treća država) ili međunarodne organizacije;
5) davalac usluga povjerenja ispunjava uslove utvrđene propisima Evropske Unije za izdavanje kvalifikovanih certifikata i ako je akreditovan u državi članici Evropske Unije; Certifikati davaoca usluga povjerenja sa sjedištem u državi članici Evropske Unije, koji ne ispunjavaju uslove za izdavanje kvalifikovanog certifikata u skladu sa ovim zakonom, imaju isto pravno dejstvo kao i certifikati izdati u Crnoj Gori u skladu sa ovim zakonom.
VI. EVIDENCIJE I REGISTRI
Prijava o početku vršenja usluge povjerenja
Član 37
Usluge povjerenja može da vrši davalac usluge povjerenja koji je upisan u evidenciju davalaca usluga povjerenja (u daljem tekstu: evidencija), koju vodi Ministarstvo. Upis u evidenciju vrši se na osnovu prijave o početku vršenja usluge povjerenja koju davalac usluge povjerenja podnosi Ministarstvu, najmanje osam dana prije dana koji je u prijavi naznačen kao dan početka vršenja usluga povjerenja. Davalac usluge povjerenja dužan je da o promjenama u vršenju usluga povjerenja Ministarstvu podnese prijavu. Uz prijave iz st. 1 i 3 ovog člana, davalac usluge povjerenja dužan je da priloži interne akte o načinu i postupcima pružanja usluga povjerenja, bezbjednosnom sistemu i tehničkoj infrastrukturi.
Upis u evidenciju davalaca usluga povjerenja
Član 38
Upis u evidenciju vrši se odmah nakon podnošenja prijave o početku obavljanja usluge povjerenja. Evidencija sadrži podatke o davaocu usluge povjerenja koji je podnio prijavu, i to: ime i prezime fizičkog lica, odnosno naziv pravnog lica, adresu i elektronsku adresu davaoca usluga povjerenja, šifru djelatnosti i poreski identifikacioni broj, odnosno jedinstveni matični broj za fizičko lice, registarski broj iz Centralnog registra privrednih subjekata Evidencija sadrži i podatke o sistemu elektronske identifikacije uključujući stepene njegove sigurnosti. Evidencija se vodi u elektronskom obliku pogodnom za automatsku obradu i dostupna je javnosti na internet stranici Ministarstva. Bliži sadržaj i način vođenja evidencije propisuje Ministarstvo.
Rješenje o ispunjenosti uslova za pružanje kvalifikovanih usluga povjerenja
Član 39
Davalac usluga povjerenja koji je upisan u evidenciju, može Ministarstvu podnijeti zahtjev za upis u registar kvalifikovanih davalaca usluga povjerenja (u daljem tekstu: registar). Uz zahtjev iz stava 1 ovog člana, davalac usluga povjerenja dužan je da priloži dokumentaciju kojom dokazuje da ispunjava uslove iz člana 32 ovog zakona. O ispunjenosti uslova za pružanje kvalifikovanih usluga povjerenja propisanih ovim zakonom Ministarstvo donosi rješenje, na osnovu uvida u priloženu dokumentaciju iz stava 1 ovog člana i, po potrebi, na osnovu neposrednog uvida. Rješenje iz stava 3 ovog člana donosi se, u roku od 15 dana od dana podnošenja urednog zahtjeva.
Upis u registar kvalifikovanih davalaca usluga povjerenja
Član 40
Na osnovu rješenja kojim se utvrđuje da podnosilac zahtjeva za upis u registar ispunjava uslove iz člana 32 ovog zakona, odmah nakon njegovog donošenju, Ministarstvo vrši upis podnosioca zahtjeva u registar.
U registar se upisuju i davaoci usluga povjerenja koji imaju sjedište u drugoj državi, na njihov zahtjev, ako ispunjavaju uslove iz člana 32 ovog zakona. Registar sadrži podatke o kvalifikovanom davaocu usluge povjerenja koji je upisan u registar, i to: ime i prezime fizičkog lica, odnosno naziv pravnog lica, adresu i elektronsku adresu davaoca usluga povjerenja, šifru djelatnosti i poreski identifikacioni broj, odnosno jedinstveni matični broj za fizičko lice, registarski broj iz Centralnog registra privrednih subjekata. Registar sadrži i podatke o sistemu elektronske identifikacije uključujući stepene njegove sigurnosti. Registar se vodi u elektronskom obliku pogodnom za automatsku obradu i dostupan je javnosti na internet stranici Ministarstva. Registar potpisuje Ministarstvo naprednim elektronskim potpisom. Ministartvo dostavlja Komisiji podatke o svojoj nadležnosti da vodi i objavljuje registar, kao i o tome gdje se podaci o registru objavljuju, certifikatima korišćenim za potpisivanje ili pečatiranje registra, kao i o svim njegovim izmjenama. Bliži sadržaj i način vođenja registra propisuje Ministarstvo.
Brisanje iz registra kvalifikovanih davalaca usluga povjerenja
Član 41
O svim promjenama u vezi sa vršenjem kvalifikovanih usluga povjerenja, kao i o namjeri da prestane da vrši te usluge, kvalifikovani davalac usluge povjerenja dužan je da obavijesti Ministarstvo. Kad Ministarstvo nakon obavješetenja iz stave 1 ovog člana utvrdi da kvalifikovani davalac usluge povjerenja ne ispunjava uslove iz člana 32 ovog zakona, ili prestane da vrši usluge povjerenja, brisaće tog davaoca usluge iz registra. Brisanje iz registra se može izvršiti i u drugim slučajevima kad se utvrdi da kvalifikovani davalac usluge povjerenja ne ispunjava uslove iz člana 32 ovog zakona. Mogućnost naznake o upisu u registar u certifikatima
Član 42
Kvalifikovani davalac usluge povjerenja koji je upisan u registar može tu činjenicu naznačiti u certifikatima koje izdaje.
Korišćenje oznake povjerenja EU
Član 43
Nakon upisa u registar, kvalifikovani davalac usluga povjerenja može da koristi oznaku povjerenje EU kako bi na jednostavan, prepoznatljiv i jasan način naznačio kvalifikovane usluge povjerenja.
VII. PRAVA, OBAVEZE I ODGOVORNOSTI POTPISNIKA, AUTORA PEČATA I DAVALACA USLUGA POVJERENJA
Izdavanje certifikata
Član 44
Kvalifikovani certifikat može se izdati svakom pravnom i fizičkom licu, na njegov zahtjev, na osnovu utvrđenog identiteta i drugih podataka o pravnom ili fizičkom licu za koje se izdaje kvalifikovani certifikat.
Prava potpisnika
Član 45
Pravno ili fizičko lice samostalno vrši izbor davaoca usluga povjerenja. Pravno ili fizičko lice može koristiti usluge povjerenja jednog ili više davalaca usluga povjerenja. Pravno ili fizičko lice koristi elektronski potpis, elektronski pečat i elektronski vremenski pečat odnosno usluge povjerenja na osnovu ugovora sa odabranim davaocem usluge povjerenja. Pravno ili fizičko lice može koristiti usluge povjerenja davaoca usluge povjerenja koji ima sjedište u drugoj državi.
Obaveza čuvanja sredstava i podataka za izradu elektronskog potpisa ili pečata
Član 46
Potpisnik, odnosno autor pečata dužan je da pažljivo čuva sredstva za izradu elektronskog potpisa, odnosno elektronskog pečata ili elektronskog vremenskog pečata, kao i podatke za izradu elektronskog potpisa, odnosno elektronskog pečata ili elektronskog vremenskog pečata od neovlašćenog pristupa i upotrebe i da ih koristi u skladu sa ovim zakonom.
Obaveze potpisnika i autora pečata
Član 47
Potpisnik, odnosno autor pečata dužan je da dostavi davaocu usluge povjerenja sve potrebne podatke i informacije o promjenama koje utiču ili mogu uticati na tačnost utvrđivanja njegovog identiteta, odmah, a najkasnije u roku od 48 časova od nastanka promjene. Potpisnik, odnosno autor pečata dužan je da odmah zahtijeva opoziv ili suspenziju certifikata koji mu je izdat u slučajevima: 1) gubitka ili oštećenja sredstva za izradu elektronskog potpisa, odnosno elektronskog pečata ili elektronskog vremenskog pečata ili gubitka podataka za izradu elektronskog potpisa, odnosno elektronskog pečata ili elektronskog vremenskog pečata; 2) kad posumnja u povjerljivost podataka za izradu elektronskog potpisa, odnosno elektronskog pečata ili elektronskog vremenskog pečata. Kad je u certifikatu za elektronski potpis navedeno da potpisnik potpisuje u ime drugog fizičkog ili pravnog lica, obavezu da zahtijeva opoziv ili suspenziju certifikata u slučajevima iz stava 2 ovog člana, ima i to lice.
Odgovornost potpisnika i autora pečata
Član 48
Potpisnik, odnosno autor pečata odgovara za nepravilnosti koje su nastale zbog neispunjavanja obaveza iz čl. 44 i 45 ovog zakona. Potpisnik, odnosno autor pečata nije odgovoran za nepravilnosti iz stave 1 ovog člana, ako dokaže da oštećeno lice nije preduzelo ili je pogrešno preduzelo radnje vezane za provjeru elektronskog potpisa, elektronskog pečata odnosno elektronskog vremenskog pečata.
Obaveze davaoca usluge povjerenja
Član 49
Davalac usluga povjerenja ima obavezu da:
1) obezbijedi da svaki kvalifikovani certifikat sadrži podatke iz člana 16 ovog zakona;
2) sprovede potpunu provjeru identiteta potpisnika;
3) obezbijedi tačnost i cjelovitost podataka koje unosi u evidenciju izdatih certifikata;
4) u svaki certifikat unese osnovne podatke o svom identitetu i omogući svakom zainteresovanom licu uvid u te podatke;
5) vodi ažurnu, tačnu i sigurnosnim mjerama zaštićenu evidenciju o validnosti certifikata;
6) obezbijedi vidljiv podatak o tačnom datumu i vremenu (čas i minut) izdavanja, suspenzije, isteka roka i opoziva certifikata, najmanje do dana isteka roka važenja koji je naveden u certifikatu;
7) čuva sve podatke i dokumentaciju o izdatim, suspendovanim, isteklim i opozvanim certifikatima kao sredstvo dokazivanja i verifikacije u sudskim, upravnim i drugim postupcima, najmanje 10 godina od prestanka njihovog važenja, pri čemu podaci i prateća dokumentacija mogu biti u elektronskom obliku;
8) primjenjuje odredbe zakona i drugih propisa kojima je uređena zaštita podataka o ličnosti.
Davanje obavještenja podnosiocima zahtjeva
Član 50
Davalac usluga povjerenja, prije zaključivanja ugovora iz člana 43 stav 3 ovog zakona, mora dati obaviještenje pravnom ili fizičkom licu koje je podnijelo zahtjev za izdavanje certifikata o svim važnim okolnostima za njegovo korišćenje. Obavještenje iz stava 1 ovog člana obavezno sadrži:
1) izvod iz važećih propisa i internih akata iz člana 35 stav 3 ovog zakona;
2) podatke o eventualnim ograničenjima koja se odnose na korišćenje certifikata
3) podatke o odgovarajućoj pravnoj zaštiti ili vansudskom poravnanju, ako na njega davalac usluga pristane u slučaju spora;
4) podatke o mjerama koje treba da realizuju potpisnici, odnosno autori pečata i o tehnologiji potrebnoj za bezbjednu izradu i provjeru elektronskog potpisa.
Opoziv i suspenzija certifikata
Član 51
Davalac usluga povjerenja dužan je da prekine pružanje usluge povjerenja, odnosno izvrši opoziv certifikata u slučajevima kad:
1) opoziv certifikata zahtijeva potpisnik, odnosno autor pečata ili njegov ovlašćeni zastupnik;
2) utvrdi da je podatak u certifikatu pogrešan ili je certifikat izdat na osnovu pogrešnih podataka;
3) primi obavještenje da je potpisnik ili pravno, odnosno fizičko lice u čije ime potpisuje izgubilo poslovnu sposobnost, umrlo ili je prestalo da postoji, odnosno istekao rok važenja ovlašćenja za potpisivanje ili su se promijenile činjenice koje utiču na važenje certifikata;
4) utvrdi da su podaci za izradu elektronskog potpisa ili informacioni sistem potpisnika ugroženi na način koji utiče na pouzdanost i bezbjednost izrade elektronskog potpisa ili kad treće lice te podatke koristi na neprimjeren način;
5) utvrdi da su podaci za provjeru elektronskog potpisa ili informacioni sistem davaoca usluga certifikovanja ugroženi na način koji utiče na bezbjednost i pouzdanost certifikata;
6) prestaje sa radom ili mu je rad zabranjen, a izdatim certifikatima nije istekao rok važenja, osim ako usluge certifikovanja ne prenese na drugog davaoca tih usluga;
7) istekne rok važenja certifikata;
8) primi sudsku odluku ili upravni akt koji se odnose na važenje certifikata;
9) postoje drugi pravni razlozi predviđeni internim aktima iz člana 35 stav 3 ovog zakona.
Davalac usluga povjerenja dužan je na svojoj internet stranici objavli listu opozvanih certifikata.
Ako se činjenice iz stava 1 ovog člana ne mogu odmah utvrditi na nesumnjiv način, davalac usluga povjerenja dužan je da bez odlaganja suspenduje certifikat do utvrđivaja tih činjenica. Suspenzija i opoziv certifikata obavezno sadrže datum i vrijeme donošenja, a proizvode dejstvo od trenutka unošenja u evidenciju suspendovanih i opozvanih certifikata. Davalac usluga povjerenja dužan je da obavijesti potpisnika, odnosno autora pečata o suspenziji ili opozivu certifikata, u roku od 24 časa od primljenog zahtjeva ili obavještenja, odnosno nastanka okolnosti zbog koje se certifikat suspenduje, odnosno opoziva.
Mjere zaštite certifikata
Član 52
Davalac usluga povjerenja dužan je da:
1) primjenjuje organizacione i tehničke mjere zaštite certifikata i podataka vezanih za potpisnike i autore pečata;
2) uspostavi i primjenjuje sistem zaštite pristupa evidenciji certifikata i opozvanih i suspendovanih certifikata koji će omogućiti pristup samo ovlašćenim licima i koji obezbjeđuje provjeru tačnosti prenosa podataka i blagovremeni uvid u eventualne greške tehničkih sredstava.
Mjere i aktivnosti iz stava 1 ovog člana, propisuje Ministarstvo.
Obaveze davaoca usluge povjerenja u slučaju raskida ugovora
Član 53
U slučaju da davalac usluga povjerenja zbog mogućeg stečaja ili potrebe, odnosno namjere prestanka poslovanja, ima namjeru da raskine ugovor iz člana 43 stav 3 ovog zakona, dužan je o tome obavijestiti potpisnika, odnosno autora pečata i Ministarstvo, najmanje tri mjeseca prije dana predviđenog za raskid ugovora. Davalac usluga povjerenja dužan je da obezbijedi nastavak vršenja usluga povjerenja za potpisnike, odnosno autore pečata kojima je izdao certifikate kod drugog davaoca usluga i da mu dostavi kompletnu dokumentaciju u vezi sa izvršenim uslugama
povjerenja, a potpisnike, odnosno autore pečata obavijesti o uslovima povjerenja kod drugog davaoca usluge povjerenja. Ako davalac usluga povjerenja ne obezbijedi nastavak vršenja te usluga kod drugog davaoca usluge povjerenja, dužan je da opozove sve izdate certifikate i o tome, odmah, a najkasnije u roku od 48 časova, obavijestiti Ministarstvo i dostavi mu kompletnu dokumentaciju u vezi sa izvršenim uslugama povjerenja. Ministarstvo je dužno da odmah izvršiti opoziv svih certifikata koje je izdao davalac usluge povjerenja koji iz bilo kog razloga nije opozvao izdate certifikate, a na trošak davaoca usluge povjerenja.
Obaveza povezivanja evidencija
Član 54
Davalac usluga povjerenja dužan je da omogući povezanost svoje evidencije izdatih i evidencije opozvanih i suspendovanih certifikata sa drugim davaocima usluga povjerenja uz primjenu dostupne informacione tehnologije i uz upotrebu tehničkih i programskih sredstava čije je djelovanje u skladu sa važećim međunarodnim standardima.
Osiguranje rizika od odgovornosti
Član 55
Kvalifikovani davalac usluge povjerenja dužan je da osigura rizik od odgovornosti za štete koje nastanu vršenjem usluga povjerenja. Najniži iznos osiguranja iz stava 1 ovog člana utvrđuje Ministarstvo.
Odgovornost za štetu
Član 56
Davalac usluga povjerenja koji izdaje kvalifikovane certifikate ili garantuje za kvalifikovane certifikate drugog davaoca usluga povjerenja odgovoran je za štetu pričinjenu licu koje se pouzdalo u taj certifikat, ako:
1) informacija koju sadrži kvalifikovani certifikat nije tačna u trenutku njegovog izdavanja;
2) certifikat ne sadrži sve elemente propisane za kvalifikovani certifikat;
3) nije obezbijedio da potpisnik, odnosno autore pečata u trenutku izdavanja certifikata posjeduje podatke za izradu elektronskog potpisa, odnosno elektronskog pečata koji odgovaraju podacima za provjeru elektronskog potpisa, odnosno elektronskog pečata koji su dati, odnosno identifikovani u certifikatu;
4) ne obezbijedi da se podaci za izradu i podaci za provjeru elektronskog potpisa, odnosno elektronskog pečata mogu koristiti komplementarno, u slučaju kada te podatke kreira davalac usluge povjerenja;
5) propusti da opozove certifikat u skladu sa odredbama člana 49 ovog zakona;
6) certifikat ne sadrži informacije o ograničenjima koja se odnose na korišćenje.
Davalac usluga povjerenja nije odgovoran za štetu iz stava 1 ovog člana, ako pred sudom ili drugim nadležnim organom dokaže da je postupao sa pažnjom dobrog privrednika. Davalac usluga povjerenja nije odgovoran za štetu koja je nastala zbog korišćenja certifikata mimo ograničenja, ukoliko su ta ograničenja jasno naznačena u certifikatu.
Davalac usluga povjerenja odgovoran je za štetu pričinjenu potpisniku, odnosno autoru pečata ili savjesnom trećem licu zbog nedostataka ili kašnjenja prilikom omogućavanja uvida u podatke o važenju, isteku ili suspenziji certifikata.
Prikupljanje i obrada podataka o ličnosti
Član 57
Davalac usluga povjerenjanja može prikupljati podatke o ličnosti koji su neophodni za izdavanje i održavanje certifikata, neposredno od potpisnika ili posredno uz njegovu izričitu saglasnost. Podaci prikupljeni u skladu sa stavom 1 ovog člana ne mogu biti obrađivani ili korišćeni za druge namjene bez izričite saglasnosti potpisnika. Davalac usluga povjerenja, na zahtjev potpisnika, može u certifikatu, umjesto punog imena potpisnika, unijeti njegov pseudonim nakon provjere njegovog identiteta. Davalac usluga povjerenja dužan je da podatke o identitetu potpisnika da državnom organu koji je zakonom ovlašćen za njihovo prikupljanje i obradu, na njegov zahtjev. Davalac usluga povjerenja može podatke iz stava 1 ovog člana prikupljati neposredno ili angažovanjem drugih fizičkih ili pravnih lica.
Upravljanje rizicima
Član 58
Davaoci usluga povjerenja upravljaju rizicima i preduzimaju mjere u cilju povećanja stepena sigurnosti. Davaoci usluga povjerenja obavještavaju Ministarstvo, najkasnije u roku od 24 časa od saznanja za povredu sigurnosti ili gubitak integriteta koji utiču na uslugu povjerenja. U slučaju da povreda sigurnosti i gubitak integriteta nepovoljno utiču na fizičko ili pravno lice kojem su pružene usluge povjerenja, davalac usluga povjerenja obavještava to fizičko ili pravno lice. U slučaju da se povreda sigurnosti ili gubitak integriteta odnosi na dvije ili više država članica Evropske unije, Ministarstvo obavještava nadzorne organe u drugim državama članicama na koje se to odnosi i Evropskoj agenciji za mreže i informaciono bezbjednost (ENISA). Ministarstvo obavještava javnost ili zahtijeva od davalaca usluga povjerenja da to učine ako utvrdi da je otkrivanje povrede sigurnosti ili gubitka integriteta u javnom interesu. Ministarstvo jednom godišnje dostavlja izvještaj o povredama sigurnosti i gubitku integriteta koje je primio od davaoca usluga povjerenja Evropskoj agenciji za mreže i informacionu bezbjednost (ENISA).
VIII. ELEKTRONSKA IDENTIFIKACIJA
Stepen sigurnosti sistema elektronske identifikacije
Član 59
Sistem elektronske identifikacije davaoca usluga povjerenja koji je upisan u evidenciju, odnosno u registar može imati nizak, značajan ili visok stepen sigurnosti koji se pripisuje sredstvima elektronske identifikacije.
Stepeni sigurnosti iz stava 1 ovog člana koji se odnose na sredstva elektronske identifikacije su:
1) nizak stepen sigurnosti koji pruža ograničen stepen povjerenja u odnosu na traženi ili utvrđeni identitet lica i karakteriše se pozivanjem na tehničke specifikacije, standarde i prateće procedure, uključujući tehničke kontrole čija je svrha smanjenje rizika od zloupotrebe ili promjene identiteta;
2) značajan stepen sigurnosti koji pruža značajan stepen povjerenja u odnosu na traženi ili utvrđeni identitet lica i karakteriše se pozivanjem na tehničke specifikacije, standarde i prateće procedure, uključujući tehničke kontrole čija je svrha značajno smanjenje rizika od zloupotrebe ili promjene identiteta i
3) visok stepen sigurnosti koji pruža viši stepen povjerenja u odnosu na traženi ili utvrđeni identitet lica od sredstava elektronske identifikacije sa značajnim stepenom sigurnosti i karakteriše ga pozivanje na tehničke specifikacije, standarde i s njima povezane postupke, uključujući tehničke kontrole čija je svrha značajno smanjenje rizika od zloupotrebe ili promjene identiteta.
Ministarstvo propisuje minimalne tehničke standarde i procedure u odnosu na koje se za sredstva elektronske identifikacije određuje nizak, značajan i visok stepen sigurnosti.
Prihvatljivost sistema elektronske identifikacije
Član 60
Sistem elektronske identifikacije prihvatljiv je za prijavu iz člana ovog 60 zakona ako:
1) su sredstva elektronske identifikacije priznata od strane države članice Evropske unije;
2) sredstva elektronske identifikacije mogu da se koriste za pristup bilo kojoj usluzi povjerenja koju pruža organ vlasti, a koja zahtijeva elektronsku identifikaciju u državi članici Evropske unije;
3) sistem elektronske identifikacije i sredstva elektronske identifikacije izdata u okviru tog sistema ispunjavaju zahtjeve bilo kojeg stepena sigurnosti utvrđenih u članu 57 ovog zakona;
4) ministarstvo obezbijedi da se lični identifikacioni podaci koji jedinstveno predstavljaju lice o kojem je riječ, u skladu s tehničkim specifikacijama, standardima i procedurama za odgovarajući stepen sigurnosti iz člana 57 ovog zakona, pripisuju fizičkom ili pravnom licu koje koristi lične identifikacione podatke u elektronskom obliku u vrijeme kad su sredstva elektronske identifikacije izdata u okviru tog sistema;
5) davalac usluga povjerenja koji izdaje sredstva elektronske identifikacije u okviru tog sistema obezbijedi da se sredstva elektronske identifikacije pripisuju fizičkom ili pravnom licu koje koristi lične identifikacione podatke u elektronskom obliku u skladu sa odgovarajućim stepenom sigurnosti iz člana 57 ovog zakona;
6) ministarstvo obezbijedi dostupnost autentifikacije na internetu, tako da zainteresovana strana može potvrditi lične identifikacione podatke primljene u elektronskom obliku.
Priznavanje certifikata i sredstava elektronske identifikacije
Član 61
Kvalifikovani certifikati koje izdaju davaoci usluga povjerenja sa sjedištem u jednoj od država članica Evropske Unije imaju isto pravno dejstvo kao i kvalifikovani certifikati izdati u Crnoj Gori.
Kad organ vlasti za uslugu koju pruža na internetu zahtijeva elektronsku identifikaciju pomoću sredstava elektronske identifikacije i autentifikacije radi pristupa toj usluzi, u skladu sa propisima, sredstvo elektronske identifikacije izdato u državi članici Evropske Unije priznaje se za potrebe prekogranične autentifikacije ako:
1) je sredstvo elektronske identifikacije izdato u okviru sistema elektronske identifikacije koji je stavljen na listu notifikovanih sistema elektronske identifikacije koju je objavila Komisija;
2) stepen sigurnosti sredstava elektronske identifikacije odgovara stepenu sigurnosti koji je jednak ili viši od stepena sigurnosti koji zahtijeva organ vlasti za pritup toj usluzi na internetu;
3) organ vlasti primjenjuje značajan ili visok stepen sigurnosti u odnosu na pristupanje toj usluzi na internetu.
Obavještavanje komisije
Član 62
Ministarstvo prijavljuje Komisiji sljedeće informacije i, bez odlaganja, sve njihove naknadne izmjene koje se odnose na:
1) opis sistema elektronske identifikacije, uključujući njegove stepene sigurnosti i izdavaoca ili izdavaoce sredstava elektronske identifikacije u okviru sistema;
2) važeći sistem nadzora i informacije o pravilima o odgovornosti u pogledu:
a) strane koja izdaje sredstvo elektronske identifikacije i
b) strane koja sprovodi proceduru autentifikacije;
3) organ ili organe odgovorne za sistem elektronske identifikacije;
4) subjekt ili subjekte koji upravljaju registracijom jedinstvenih ličnih identifikacionih podataka;
5) opis načina ispunjavanja zahtjeva propisanih u članu 64 ovog zakona;
6) opis autentifikacije iz člana 57 stav 1 tačka 6 ovog zakona;
7) suspenziju ili opoziv certifikata.
Ministarstvo može da podnese zahtjev Komisiji za uklanjanje sistema elektronske identifikacije koji je upisan u evidenciju, odnosno u registar sa liste notifikovanih sistema koju objavljuje komisija.
Povreda sigurnosti
Član 63
U slučaju povrede ili djelimičnog ugrožavanja sistema elektronske identifikacije davaoca usluga povjerenja koji je upisan u evidenciju ili registar, odnosno autentifikacije iz člana 58 stav 1 tačka 6 ovog zakona na način koji utiče na pouzdanost prekogranične autentifikacije tog sistema, Ministarstvo, bez odlaganja, suspenduje ili opoziva tu prekograničnu autentifikaciju ili ugrožene djelove o kojima je riječ i obavještava države članice Evropske unije i Komisiju.
Kad je povreda ili ugrožavanje iz stava 1 ovog člana otklonjeno, Ministarstvo uspostavlja prekograničnu autentifikaciju i bez odlaganja obavještava druge države članice Evropske unije i Komisiju.
Ako povreda ili ugrožavanje iz stava 1 ovog člana nije otklonjeno u roku od tri mjeseca od suspenzije ili opoziva, Ministarstvo obavještava druge države članice Evropske unije i Komisiju o povlačenju sistema elektronske identifikacije.
Odgovornost
Član 64
Ministarstvo je odgovorno za štetu koja je namjerno ili nepažnjom prouzrokovana svakom fizičkom ili pravnom licu nepoštovanjem obaveza prilikom prekogranične transakcije u skladu sa članom 58 tačka 4 i 6.
Strana koja izdaje sredstva elektronske identifikacije odgovara za štetu koja je namjerno ili nepažnjom prouzrokovana svakom fizičkom ili pravnom licu nepoštovanjem obaveza prilikom prekogranične transakcije iz člana 58 tačka 5.
Strana koja sprovodi postupak autentifikacije odgovorna je za štetu koja je namjerno ili nepažnjom prouzrokovana svakom fizičkom ili pravnom licu nepoštovanjem obaveze obezbjeđenja ispravnog sprovođenja autentifikacije iz člana 58 tačka 6 prilikom prekogranične transakcije.
Saradnja i interoperabilnost
Član 65
Sistemi elektronske identifikacije davaoca usluga certifikvanja koji su upisani u evidenciju, odnosno u registar moraju da budu interoperabilni.
U cilju uspostavljanja interoperabilnosti iz stava 1 ovog člana, Ministartvo propisuje okvir za interoperabilnost koji mora da ispunjava sljedeće kriterijume:
1) ima za cilj tehnološku neutralnost i ne pravi razliku između bilo kojih posebnih domaćih tehničkih rješenja za elektronsku identifikaciju unutar određene države;
2) pridržava se evropskih i međunarodnih standarda, kada je to moguće;
3) na obradu ličnih podatak primjenjuje propise o zaštiti podataka o ličnosti.
Član 66
Okvir za interoperabilnost iz člana 63 stav 2 ovog zakona, sastoji se od :
1) minimalnih tehničkih zahtjeva koji se odnose na stepen sigurnosti ;
2) definisanje stepena sigurnosti za notifikovane sisteme;
3) minimalne tehničke zahtjeve za interoperabilnost;
4) pozivanja na najmanji skup ličnih identifikacionih podataka koji na nedvosmislen način predstavljaju fizičko ili pravno lice i kojim raspolažu sistemi elektronske identifikacije;
5) poslovnika;
6) dogovora za rješavanje sporova;
7) zajedničkih operativnih sigurnosnih standarda.
Član 67
Ministarstvo sarađuje sa državama članicama Evropske unije u vezi sa:
1) interoperabilnošću sistema elektronske identifikacije koji su upisani u evidenciju i registar;
2) sigurnošću sistemâ elektronske identifikacije.
Saradnja iz stava 2 ovog člana sastoji se od :
1) razmjene informacija, iskustva i dobre prakse u vezi sa sistemima elektronske identifikacije i naročito u vezi s tehničkim zahtjevima koji se odnose na interoperabilnost i stepene sigurnosti;
2) razmjene informacija, iskustva i dobre prakse u vezi s radom sa stepenima sigurnosti sistemâ elektronske identifikacije u skladu s članom 8;
3) stručnog pregleda sistema elektronske identifikacije obuhvaćenih ovom regulativom
4) pregleda odgovarajućih kretanja u oblasti elektronske identifikacije.
IX. NADZOR
Upravni i inspekcijski nadzor
Član 68
Upravni nadzor nad sprovođenjem ovog zakona vrši Ministarstvo.
Inspekcijski nadzor nad radom davaoca usluga povjerenja i kvalifikovanih davaoca usluga povjerenja vrši inspekcija za usluge informacionog društva, u skladu sa zakonom kojim se uređuje inspekcijksi nadzor i ovim zakonom.
Obaveze inspekcije za usluge informacionog društva
Član 69
Radi obavještavanja Evropske komisije, inspekcija za usluge informacionog društva dužna je da Ministartvu dostavi, do 1. marta tekuće za prethodnu kalendarsku godinu:
1) izvještaj o aktivnostima u prethodnoj kalendarskoj godini;
Revizija kvalifikovanih davaoca usluga povjerenja
Član 70
Inspekcija za usluge informacionog društva vrši reviziju davaoca usluga certifikovanja o njihovom trošku najmanje svaka 24 mjeseca.
Izuzetno od stav 1 inspekcija za usluge informacionog društva može u bilo kojem trenutku da izvrši reviziju ili zahtijeva od Ministarstva da sprovede ocjenjivanje usaglašenosti davalaca usluga povjerenja o njihovom trošku kako bi se utvrdilo da ispunjnvaju uslove utvrđene zakonom.
U slučaju da davalac usluga povjerenja u ostavljenom roku ne otkloni utvrđene nepravilnosti Ministarstvo ukida kvalifikovani status.
X. KAZNENE ODREDBE
Član 71
Novčanom kaznom od 150 eura do 1.000 eura kazniće se za prekršaj fizičko lice koje neovlašćeno pristupi i upotrijebi podatke i sredstva za izradu elektronskog potpisa i naprednog elektronskog potpisa.
Član 72
Novčanom kaznom od 150 do 1.000 eura kazniće se za prekršaj potpisnik, odnosno fizičko lice ili odgovorno lice pravnog lica koje zastupa potpisnika, ako:
1) nepažljivo i neodgovorno koristi sredstva i podatke za izradu elektronskog potpisa (član 44);
2) davaocu usluga certifikovanja, u roku iz člana 28 stav 1 ovog zakona, ne dostavi potrebne podatke i informacije o promjenama koje utiču ili bi mogle uticati na tačnost elektronskog potpisa (član 45 stav 1);
3) davaocu usluga certifikovanja blagovremeno ne dostavi zahtjev za opoziv certifikata (član 45 stav 2).
Član 73
Novčanom kaznom od 1.000 do 10.000 eura kazniće se za prekršaj davalac usluga certifikovanja, ako:
1) nema ažuriran plan prekida pružanja usluge radi obezbjeđivanja njenog kontinuiteta, koji donosi u skladu sa internim aktima iz člana 35 stav 3 ovog zakona (član 32 stav 1 tačka 1);
2) ne obezbijedi obradu podataka o ličnosti u skladu sa propisima o zaštiti podataka o ličnosti (član 32 stav 1 tačka 1);
3) ne obezbijedi, na odgovarajući način i u skladu sa ovim zakonom i internim aktima iz člana 35 stav 3 ovog zakona, provjeru identiteta potpisnika i, po potrebi, drugog obilježja fizičkog i pravnog lica, kojima se izdaje kvalifikovani certifikat za elektronski potpis, odnosno kvalifikovani certifikat za elektronski pečat (član 32 stav 1 tačka 4); ;
4) nema zaposlena lica sa specijalističkim znanjima, iskustvom i stručnim kvalifikacijama potrebnim za pružanje usluga povjerenja, a naročito u odnosu na: sposobnosti na upravljačkom nivou, stručnost u primjeni tehnologija elektronskog potpisa i odgovarajućih sigurnosnih procedura, zaštitu podataka o ličnosti i primjenu upravnog postupka (član 32 stav 1 tačka 5);
5) ne koristi pouzdane sisteme i proizvode koji su zaštićeni od neovlašćenih izmjena i koji obezbjeđuju tehničku i kriptografsku sigurnost procesa (član 32 stav 1 tačka 6);
6) ne preduzima mjere za sprječavanje falsifikovanja certifikata, a u slučajevima u kojima kreira podatke za izradu elektronskog potpisa, garantuje tajnost procesa kreiranja tih podataka i dostavlja certifikate potpisnicima na bezbjedan način (član 32 stav 1 tačka 7);
7) ne posjeduje finansijska sredstva za osiguranje od rizika i odgovornosti za moguću štetu nastalu izdavanjem kvalifikovanih certifikata, u iznosu koji može pokriti rizik od štete i odgovornosti nastalih korišćenjem kvalifikovanih certifikata koje je izdao, ukoliko za štetu nije odgovoran potpisnik(član 32 stav 1 tačka 8); ;
8) ne posjeduje sistem čuvanja svih relevantnih informacija koje se odnose na kvalifikovane certifikate u određenom vremenskom periodu, a naročito radi pružanja evidencije tih certifikata za potrebe sudskih i drugih pravnih postupaka, pri čemu se ti podaci mogu čuvati i u elektronskom obliku, na način koji omogućava provjeru elektronskih potpisa (član 32 stav 1 tačka 9); ;
9) ne koristi pouzdan sistem čuvanja kvalifikovanih certifikata u obliku koji omogućava provjeru podataka iz člana 32 stav 1 tačka 10 (član 32 stav 1 tačka 10);
10) u propisanom roku ne prijavi Ministarstvu početak obavljanja usluga certifikovanja odnosno o promjenama u pružanju usluga povjerenja (član 35 stav 2 i 3);
11) ne obavijesti potpisnika kome izdaje certifikat o svim važnim okolnostima za njegove korišćenje (član 48);
12) ne sprovede potpunu provjeru identiteta potpisnika (član 47 tačka 2);
13) ne vodi ažurnu, tačnu i sigurnosnim mjerama zaštićenu evidenciju o validnosti certifikata (član 47 stav 1 tačka 6);
14) ne izvrši opoziv certifikata u slučajevima iz člana 49 zakona (član 49 stav 1);
15) ne obavijesti u propisanom roku potpisnika o izvršenom opozivu certifikata (član 49 stav 5);
16) blagovremeno ne obavijesti potpisnike kojima je izdao certifikate i nadležni organ o mogućem stečaju ili drugim okolnostima koje mogu dovesti do prekida obavljanja usluga certifikovanja (član 51 stav 1);
17) ne omogući ovlašćenim licima nadležnog organa pristup u svoje poslovne prostorije i uvid u podatke o poslovanju, uvid u poslovnu dokumentaciju, pristup registru potpisnika, računarskoj opremi i uređajima (član 41 stav 1). 18) ne obezbijedi nastavak vršenja usluga povjerenja za potpisnike, odnosno autore pečata kojima je izdao certifikate kod drugog davaoca usluga i da mu dostavi kompletnu dokumentaciju u vezi sa izvršenim uslugama povjerenja, a potpisnike, odnosno autore pečata obavijesti o uslovima povjerenja kod drugog davaoca usluge povjerenja (član 51 stav 2). 19) ne opozove sve izdate certifikate i o tome, odmah, a najkasnije u roku od 48 časova, ne obavijestiti Ministarstvo i ne dostavi mu kompletnu dokumentaciju u vezi sa izvršenim uslugama povjerenja u slučaju kad ne obezbijedi nastavak vršenja usluga (član 51 stav 2)..
20) ne omogući povezanost svoje evidencije izdatih i evidencije opozvanih i suspendovanih certifikata sa drugim davaocima usluga povjerenja uz primjenu dostupne informacione tehnologije i uz upotrebu tehničkih i programskih sredstava čije je djelovanje u skladu sa važećim međunarodnim standardima (člasn 52)
21) Ne osigura rizik od odgovornosti za štete koje nastanu vršenjem usluga povjerenja (čaln 53)
22) ne da podatke o identitetu potpisnika državnom organu koji je zakonom ovlašćen za njihovo prikupljanje I obradu (član 55 stav 4)
Član 74
Novčanom kaznom u iznosu od 500 eura do 20.000 eura kazniće se za prekršaj pravno lice u slučaju da:
1) odbije prijem elektronskog dokumenta sa elektronskim potpisom ili naprednim elektronskim potpisom, samo zbog toga što je u elektronskom obliku (član 13).
2) Odbije prijem podataka poslatih i primljenih upotrebom usluge elektronske preporučene dostave, samo zato što je u elektronskom obliku ili zbog toga što ne ispunjavaju sve zahtjeve kvalifikovane usluge elektronske preporučene dostave (član 29)
Za prekršaj iz stava 1 ovog člana kaziniće se odgovorno lice u pravnom licui organu vlasti novčanom kaznom od 30 eura do 2 000 eura.
XI. PRELAZNE IZAVRŠNE ODREDBE
Član 75
Podzakonski akti za sprovođenje ovog donijeće se u roku od 12 mjeseci od dana stupanja na snagu ovog zakona.
Član 76
Odredbe člana 10 stav 3, čl. 22 i 34, člana 38 stav 2, čl. 7 i 41, 43 stav 4, člana 56 stav 4 i čl. 6, 56, 58, 60 i 61 ovog zakona primjenjivaće se od dana prijema Crne Gore u članstvo Evropske Unije.
Član 77
Danom stupanja na snagu ovog zakona prestaje da važi Zakon o elektronskom potpisu ("Službeni list RCG" br. 55/03 i 31/05, i "Službeni list CG", br. 41/10 i 40/11).
Član 78
Ovaj zakon stupa na snagu osmog dana od dana objavljivanja u Službenom listu Crne Gore.
IZ OBRAZLOŽENJA
II RAZLOZI ZA DONOŠENJE ZAKONA
Cilj donošenja ovog zakona je povećanje povjerenja u elektronske transakcije kroz pravni okvir koji uređuje sigurne i pouzdane elektronske transakcije. Izgradnja povjerenja u internet okruženje je ključna za razvoj informacionog društva kao i za ekonomski i socijalni razvoj praćen modernim tehnologijama. Donošenjem novog zakona o elektronskoj identifikaciji i elektronskom potpisu stvara se pravni osnov za dalji razvoj elektronskog poslovanja u Crnoj Gori. Takođe, vrši se potpuno usaglašavanje normative sa evropskom regulativom.
IV OBJAŠNJENJE OSNOVNIH PRAVNIH INSTITUTA
I Osnovne odredbe - osnovnim odredbama definisani su predmet zakona, elektronska identifikacija, usluge povjerenja, ocjenjivanje usaglašenosti kvalifikovanih usluga povjerenja, dostupnost usluga povjerenja licima sa invaliditetom, zaštita podataka o ličnosti, upotreba rodno osjetljivog jezika kao i izrazi koji se upotrebljavaju u zakonu.
Za potrebe korišćenja elektronskog potpisa, elektronskog pečata, elektronskog
vremenskog pečata, elektronskog dokumenta i usluga elektronske preporučene dostave neophodna je elektronska identifikacija. Elektronska identifikacija je postupak korišćenja ličnih identifikacionih podataka u elektronskom obliku, a ti podaci na jedinstven način predstavljaju fizičko ili pravno lice. Usluge izrade, verifikacije i čuvanja elektronskih potpisa, elektronskih pečata i elektronskih vremenskih pečata, usluge elektronske preporučene dostave i izdavanje certifikata za autentifikaciju internet stranica i dr mogu da vrše fizičkoa ili pravna lica koja ispunjavaju uslove propisane zakonom, a nazivaju se davaoci usluga povjerenja. Sam naziv ’usluga povjerenja ’ i u jezičkom smislu upućuje na jačanje povjerenja u usluge koje se obavljaju putem interneta.
Usluge povjerenja i proizvodi koji se koriste prilikom pružanja tih usluga dostupni su licima sa invaliditetom.
II Elektronski potpis i pečat - ovo poglavlje uređuje elektronski, napredni i kvalifikovani elektronski potpis, pravna dejstva elektronskog potpisa, punovažnost elektronskog potpisa, certifikat za ellektronski potpis, kvalifikovani certifikat za elektronski potpis, posledice opoziva i privremene suspenzije kvalifikovanog certifikata za elektronski potpis, sredstvo za izradu elektronskog potpisa, kvalifikovano sredstvo za izradu elektronskog potpisa, certifikovanje kvalifikovanih sredstava za izradu elektronskog potpisa, obavještavanje Evropske komisije, zahtjeve za verifikaciju elektronskog potpisa, usluge čuvanja kvalifikovanog elektronskog potpisa kao i shodnu primjenu na elektronskik potpis.
Elektronski potpis služi za potpis i elektronsku identifikaciju potpisnika, dok se naprednim elektronsnkim potpisom pouzdano identifikuje identitet potpisnika i integritet podataka. Iako kvalifikovani elektronski potpis predstavlja veći nivo sigurnosti u odnosu na elektronski potpis, Zakonom je propisano da se elektronskom potpisu ne može osporiti punovažnost samo zbog toga što je u elektronskom obliku i zbog toga što se ne zasniva na kvalifikovanom certifikatu za elektronski potpis. Kvalifikovani elektronski potpis ima jednako pravno dejstvo kao svojeručni potpis, odnosno svojeručni potpis i pečat u odnosu na podatke u papirnom obliku i prihvatljiv je kao dokazno sredstvo u postupcima pred državnim organima. Zakonom su propisani uslovi koje mora da ispuni kvalifikovani elektronski potpis, a izdaje ga kvalifikovani davalac usluge povjerenja.
Elektronski potpis se izrađuje pomoću sredstava za izradu elektronskog potpisa koja se izdaju putem sistema elektronske identifikacije. Zakonom su propisani uslovi koje mora da ispuni kvalifikovano sredstvo za izradu elektronskog potpisa. Kreiranje podataka za izradu elektronskog potpisa i upravljanje tim podacima može vršiti isključivo kvalifikovani davalac usluga povjerenja.
Ocjenjivanje usaglašenosti kvalifikovanih sredstava za izradu elektronskih potpisa sa zakonom vrši organ državne uprave nadležan za informaciono društvo koji na osnovu sprovedene ocjene objavljuje listu kvalifikovanih sredstava za izradu elektronskih potpisa i objavljuje je na svojoj internet stranici.
Uslugu čuvanja kvalifikovanih elektronskih potpisa može pružati samo kvalifikovani davalac usluga povjerenja, koristeći tehnologije koje mogu produžiti pouzdanost kvalifikovanog elektronskog potpisa.
Elektronski pečat se zasniva na certifikatu za elektronski pečat i obezbjeđuje porijeklo i integritet podataka koji su u njemu sadržani, dok elektronski vremenski pečat predstavlja skup podataka u elektronskom obliku sa određenim vremenom i na taj način dokazuje da su ti podaci postojali u to vrijeme. Zakonom su propisani posebni uslovi za kvalifikovani elektronski vremenksi pečat.
III Usluge elektronske preporučene dostave - ovim poglavljem uređuju se pravno dejstvo usluge elektronske preporučene dostave, uslovi za slanje podataka korišćenjem kvalifikovane usluge elektronske preporučene dostave kao i kvalifikovana usluga elektronske preporučene dostave za koju su propisani posebni uslovi. Bliže zahtjeve koje mora da ispunjava kvalifikovana usluga elektronske preporučene dostave propisuje organ državne uprave nadležan za informaciono društvo.
IV Autentifikacija internet stranica - Autentifikacija internet stranica je elektronski postupak koji omogućava potvrđivanje cjelovitosti podataka internet stranice i pouzdanosti korišćenja internet stranice i zasniva se na certifikatu za autentifikaciju internet stranica, odnosno na kvalifikovanom certifikatu za autentifikaciju internet stranica. Zakonom su propisani uslovi koje moraju da ispun ekvalifikovani certifikati za autentifikaciju internet stranica.
V Uslovi za vršenje kvalifikovanih usluga povjerenja - ovim poglavljem su obrađeni
uslovi u vezi sa kvalifikovanim davaocima usluga povjerenja za pravna i fizička lica i za organe državne uprave kao i pravno dejstvo kvalifikovanih certifikata za usluge povjerenja izdatih u drugoj državi, s tim što će se odredbe zakona o pravnom dejstvu kvalifikovanih certifikata za usluge povjerenja izdate u drugoj državi primjenjivati od dana prijema Crne Gore u Evropsku uniju.
VI Evidencije i registri - shodno odredbama Zakona, davaocu usluga povjerenja nije potrebna posebna dozvola za obavljanje usluga. Osam dana prije početka rada prijavljuje Ministarstvu početak obavljanja djelatnosti. Ministarstvo vrši upis u evidenciju odmah nakon što zainteresovani subjekti podnesu prijavu o početku obavljanja usluga. Evidencija se vodi u elektronskom obliku i dostupna je na internet stranici Ministarstva. U registar kvalifikovanih davalaca usluga povjerenja upisuju se davaoci usluga koji se Ministartvu obrate zahtjevom i prilože dokaze da ispunjavaju uslove propisane Zakonom. Ministartvo, na osnovu rješenja kojim se utvrđuje da podnosilac zahtjeva ispunjava uslove, vrši upis davaoca usluga povjerenja u registar. Registar se vodi u elektronkom obliku i dostupan je na internet stranici Ministarstva. O svim promjenama u vezi sa vršenjem kvalifikovanih usluga povjerenja davalac obavještava Ministartvo koje na osnovu utvrđenog činjeničnog stanja može davaoca usluga povjerenja brisati iz registra.
VII Prava, obaveze i o dgovornosti potpisnika, autora pečata i davaoca usluga certifikovanja - kvalifikovani certifikat može se izdati svakom pravnom i fizičkom licu na njegov zahtjev, nakon utvrđenog identiteta. Izbor davaoca usluga povjerenja je slobodan, a isto pravno ili fizičko lice može koristiti usluge povjerenja od više davalaca usluga.
Potpisnik odnosno autor pečata mora pažljivo čuvati sredstva za izradu elektronskog potpisa, pečata ili elektronskog vremenkog pečata kao i podatke koji se koriste za njihovu izradu. Zakonom su propisani slučajevi u kojima potpisnik odnosno autor pečata mora tražiti opoziv odnono suspenziju certifikata i u slučaju neispunjavanja obaveza propisanih Zakonom odgovara za nepravilnosti.
Zakonom su propisane obaveze za davaoce usluga povjerenja koji prije zaključenja ugovora sa pravnim ili fizičkim licem moraju iste upoznati o svim važnim okolnostima u vezi sa korišćenjem certifikata. Jasno je definisano u kojim slučajevima davalac usluge povjerenja treba da opozove odnosno suspenduje certifikat. U cilju što pouzdanijeg
pružanja usluga povjerenja, Zakonom su definisane mjere zaštite certifikata koje bliže propisuje Ministarstvo. Davalac usluga povjerenja ima posebne obaveze u odnosu na slučajeve u kojima planira da prestane sa pružanjem usluga, ima obavezu povezivanja evidencije izdatih, opozvanih i suspendovanih certifikata kao i obavezu u vezi sa osiguranjem rizika od odgovornosti za štetu koja nastane vršenjem usluga povjerenja. Posebna pažnja posvećena je obavezama davalaca usluga povjerenja kada obrađuje lične podatke i upravlja rizicima.
VIII Elektronska identifikacija - sistem elektronske identifikacije davaoca usluga povjerenja, koji su upisani u evidenciju odnosno u registar kvalifikovanih davalaca usluga povjerenja, može imati nizak, značajan ili visok stepen sigurnosti. Zakonom su definisani kriterijumi koje mora ispunjavati sistem da bi imao nizak, značajan ili visok sptepen sigurnosti dok će Ministartvo propisati minimalne tehničke standarde i procedure u odnosu na koje se za sredstva elektronske identifikacije određuje nizak, značajan ili visok stepen sigurnosti. Zakonom su propisani i uslovi za prihvatljivost sistema elektronske identifikacije kao i uslovi prekogranične autentifikacije. Po ulasku Crne Gore u Evropsku uniju, Ministarstvo prijavljuje Komisiji podatke o sistemima elektronske identifikacije, nadzornom organu, organima odgovornim za sistem elektronske identifikacije i dr. Takođe, propisani su i uslovi za slučaj povrede sigurnosti u prekograničnim autentifikacijama kao i odgovornost za štetu.
Interoperabilnost je novina u zakonu a istim je propisana obaveza interoperabilnosti sistema koji su upisani u evidenciju odnosno u registar. Okvir za interoperabilnost propisuje Ministarstvo. Propisana je i obaveza saradnje sa državama članicama Evropske unije u vezi sa interoperabilnošću, koja će se primjenjivati od dana punopravnog članstva Crne Gore u EU.
IX Nadzor - upravni nadzor nad primjenom zakona vrši organ državne uprave nadležan za informaciono drustvo dok inspekcijski nadzor nad radom davaoca usluga povjeranja vrši inspekcija za usluge informacionog društva.
X Kaznene odredbe - ovim poglavljem predviđene su sankcije za nepoštovanje zakonskih normi.
XI Prelazne i završne odredbe - podzakonski akti za sprovođenje Zakona donijeće seu roku od 12 mjeseci od dana stupanja na snagu Zakona. Definisana je odložena primjena do prijema Crne Gore u članstvo Evropske unije za pojedine norme. Zakon stupa na snagu osmog dana od dana objavljivanja u Službenom listu Crne Gore.
Izvor: Izvor: Vebsajt Ministarstvo za informaciono društvo i telekomunikacije,12.10.2016.