Zakon o elektronskom potpisu Republike Srpske

 

Na osnovu Amandmana XL. tačka 2. na Ustav Republike Srpske (“Službeni glasnik Republike Srpske”, broj 28/94), d o n o s i m

 

UKAZ

O PROGLAŠENJU ZAKONA O ELEKTRONSKOM POTPISU REPUBLIKE SRPSKE

Proglašavam Zakon o elektronskom potpisu Republike Srpske, koji je Narodna skupština Republike Srpske usvojila na Osmoj sjednici, održanoj 10. decembra 2015. godine, a Vijeće naroda 21. decembra 2015. godine konstatiralo da usvojenim Zakonom o elektronskom potpisu Republike Srpske nije ugrožen vitalni nacionalni interes ni jednog konstituirajućeg naroda u Republici Srpskoj.

 

Broj: 01-020-4135/15

22. decembra 2015. godine

Banja Luka

 

Predsjednik Republike,

Milorad Dodik, s.r.

ZAKON

O ELEKTRONSKOM POTPISU REPUBLIKE SRPSKE

GLAVA I.

OSNOVNE ODREDBE

Član 1.

Ovim zakonom uređuju se pravo fizičkih i pravnih lica na upotrebu elektronskog potpisa u upravnim, sudskim i drugim postupcima, poslovnim i drugim radnjama, te prava, obveze i odgovornosti fi zičkih i pravnih lica koja pružaju usluge izrade, verifikacije i validacije elektronskog potpisa, vremenskog žiga, elektronskog pečata i certifi kata za autentifi kaciju mrežnih stranica na teritoriji Republike Srpske (u daljem tekstu: Republika), ako posebnim zakonom nije drugačije određeno.

 

Član 2.

Pojedini izrazi koji se koriste u ovom zakonu imaju sljedeće značenje:

1) elektronski dokument - jednoobrazno povezan cjelovit skup podataka koji su elektronski oblikovani (izrađeni pomoću računara i drugih elektronskih uređaja), poslani, primljeni ili sačuvani na elektronskom, magnetnom, optičkom ili drugom mediju i koji sadrži osobine kojima se utvrđuje autor, utvrđuje vjerodostojnost sadržaja, te dokazuje vrijeme kada je dokument sačinjen, 2) korisnik pravno lice, odnosno samostalni preduzetnik ili fi zičko lice koje koristi usluge certifi kacionog tijela,

3) potpisnik - lice koje posjeduje sredstvo za izradu elektronskog potpisa, a koje potpisuje u svoje ime ili u ime pravnog lica, odnosno samostalnog preduzetnika,

4) podaci za izradu elektronskog potpisa - jedinstveni podaci, kao što su kodovi ili privatni kriptografski ključevi koje potpisnik koristi za izradu elektronskog potpisa,

5) sredstvo za izradu elektronskog potpisa – odgovarajuća računarska oprema i računarski program koje potpisnik koristi pri izradi elektronskog potpisa,

6) sredstvo za izradu kvalifi ciranog elektronskog potpisa - odgovarajuća računarska oprema i računarski program koje potpisnik koristi pri izradi elektronskog potpisa i koji ispunjavaju uvjete utvrđene ovim zakonom,

7) podaci za verifi kaciju elektronskog potpisa - podaci, kao što su kodovi ili javni kriptografski ključevi koji se koriste radi provjere validnosti elektronskog potpisa,

8) sredstvo za verifi kaciju elektronskog potpisa – odgovarajuća računarska oprema i računarski program koji se koriste za provjeru podataka za verifikaciju potpisa,

9) certifi kaciono tijelo - pravno lice, odnosno samostalni preduzetnik koji je registriran i koji obavlja poslove u skladu sa Zakonom o obrtničko-preduzetničkoj djelatnosti, koje izdaje elektronske certifi kate ili pruža druge usluge koje su u vezi sa elektronskim potpisima,

10) vremenski žig - zvanično vrijeme pridruženo elektronskom dokumentu ili grupi elektronskih dokumenata kojim se potvrđuje sadržaj elektronskog dokumenta u to vrijeme, odnosno sadržaj svakog dokumenta u grupi,

11) elektronski pečat - skup podataka u elektronskom obliku koji su pridruženi ili su logički povezani sa drugim podacima u elektronskom obliku radi osiguranja izvornosti i cjelovitosti tih podataka,

12) kvalifi cirani elektronski pečat - elektronski pečat koji je kreiran pomoću sredstva za izradu kvalificiranog elektronskog pečata i koji se zasniva na kvalificiranom certifi katu za elektronski pečat,

13) autor elektronskog pečata - pravno lice, odnosno samostalni preduzetnik koji kreira elektronski pečat,

14) certifi kat za autentifi kaciju mrežnih stranica – potvrda pomoću koje je moguće izvršiti autentifi kaciju mrežnih stranica, te kojom se mrežne stranice povezuju sa fizičkim ili pravnim licem kojem je izdat certifi kat i

15) kvalifi cirani certifi kat za autentifi kaciju mrežnih stranica - potvrda koju je izdalo certifi kaciono tijelo i koja ispunjava uvjete iz člana 18. ovog zakona.

 

GLAVA II.

ELEKTRONSKI POTPIS I KVALIFICIRANI ELEKTRONSKI POTPIS

Član 3.

Elektronski potpis je skup podataka u elektronskom obliku koji su pridruženi ili su logički povezani sa drugim podacima u elektronskom obliku i koji služe za identifikaciju potpisnika i autentičnost potpisanog elektronskog dokumenta.

 

Član 4.

Kvalifi cirani elektronski potpis je elektronski potpis koji:

1) je povezan isključivo sa potpisnikom,

2) pouzdano identifi kuje potpisnika,

3) nastaje korištenjem sredstava kojima potpisnik može samostalno da upravlja i koja su isključivo pod nadzorom potpisnika i 4) je direktno povezan sa podacima na koje se odnosi, i to na način koji nedvosmisleno omogućava uvid u bilo koju izmjenu izvornih podataka.

 

Član 5.

Kvalifi cirani elektronski potpis u odnosu na podatke u elektronskom obliku ima istu pravnu snagu kao i svojeručni potpis, odnosno svojeručni potpis i pečat, u odnosu na podatke u papirnom obliku.

 

Član 6.

(1) Elektronski potpis smatra se pravno valjanim i dopušteno ga je koristiti u sudskim i drugim postupcima ako ispunjava uvjete propisane ovim zakonom.

(2) Elektronski potpis se ne može osporavati u sudskim i drugim postupcima isključivo na osnovu toga što je u elektronskom obliku ili zbog toga što ne ispunjava sve zahtjeve za kvalificirani elektronski potpis.

 

Član 7.

(1) Elektronski potpis izrađuje se sredstvima za izradu elektronskog potpisa.

(2) Kvalificiran elektronski potpis izrađuje se sredstvima za izradu kvalifi ciranog elektronskog potpisa koja moraju da ispunjavaju uvjete iz člana 8. ovog zakona.

 

Član 8.

(1) Sredstvo za izradu kvalifi ciranog elektronskog potpisa mora ispunjavati sljedeće uvjete:

1) da osigura da se podaci za izradu kvalifi ciranog elektronskog potpisa mogu pojaviti samo jednom, te da je osigurana njihova tajnost u razumnoj mjeri,

2) da osigura da se podaci za izradu kvalifi ciranog elektronskog potpisa ne mogu, uz razumne sigurnosne mjere, ponoviti, te da je potpis zaštićen od falsifi ciranja korištenjem postojeće raspoložive tehnologije i

3) da osigura da podaci za izradu kvalifi ciranog elektronskog potpisa budu pouzdano zaštićeni od neovlaštenog korištenja od strane trećih lica.

(2) Sredstvo za izradu kvalifi ciranog elektronskog potpisa ne može prilikom izrade kvalifi ciranog elektronskog potpisa promijeniti podatke koji se potpisuju ili onemogućiti potpisniku uvid u te podatke prije procesa potpisivanja.

(3) Izuzetno od odredbe stava 1. ovog člana, certifi kaciono tijelo koje izdaje kvalifi cirane elektronske certifikate i koje upravlja podacima za izradu elektronskog potpisa u ime potpisnika može kopirati podatke za izradu elektronskog potpisa isključivo u svrhu izrade rezervnih kopija, pod uvjetom da su ispunjeni sljedeći uvjeti:

1) sigurnost kopiranih skupova podataka mora biti na jednakom nivou sigurnosti izvornih skupova podataka i

2) broj kopiranih skupova podataka ne prelazi broj neophodan za osiguravanje kontinuiteta usluge.

(4) Ministar nauke i tehnologije (u daljem tekstu: ministar) pravilnikom propisuje koje se mjere zaštite elektronskog potpisa i kvalifi ciranog elektronskog potpisa moraju preduzeti, tehničko-tehnološke postupke za izradu kvalificiranog elektronskog potpisa i uvjete koje treba da ispune sredstva za izradu elektronskog potpisa i kvalifi ciranog elektronskog potpisa.

 

Član 9.

Sredstvo za verifi kaciju kvalificiranog elektronskog potpisa mora ispunjavati sljedeće uvjete:

1) mora se osigurati da podaci koji se koriste za verifi kaciju elektronskog potpisa odgovaraju podacima prikazanim licu koje obavlja verifi kaciju,

2) potpis mora biti pouzdano verifi ciran, a rezultat te verifikacije na ispravan način prikazan,

3) lice koje obavlja verifikaciju mora imati mogućnost uvida u sadržaj potpisanih podataka, 4) mora se osigurati pouzdana provjera autentičnosti i valjanosti certifi kata koji se zahtijeva u vrijeme provjere potpisa,

5) identitet potpisnika mora biti prikazan na ispravan način,

6) upotreba pseudonima, ako je pseudonim bio korišten u trenutku potpisivanja, mora biti jasno naznačena i

7) mora se osigurati da se pouzdano otkriju bilo kakve promjene u potpisanim podacima.

 

GLAVA III.

VREMENSKI ŽIG

Član 10.

Vremenski žig je skup podataka u elektronskom obliku koji povezuje druge podatke u elektronskom obliku sa određenim vremenom i na taj način dokazuje da su ti podaci postojali u to vrijeme.

 

Član 11.

Kvalificirani vremenski žig mora ispunjavati sljedeće uvjete:

1) mora povezivati datum i vrijeme sa podacima na takav način da se može, u razumnoj mjeri, isključiti mogućnost neovlaštene promjene podataka,

2) mora se zasnivati na izvoru tačnog vremena koji je povezan sa koordiniranim univerzalnim vremenom (UTC engl. Coordinated Universal Time) i

3) mora biti potpisan pomoću kvalifi ciranog elektronskog potpisa ili pečaćen pomoću kvalifi ciranog elektronskog pečata ili na neki drugi odgovarajući način koji osigurava jednak nivo sigurnosti.

 

Član 12.

(1) Certifikaciono tijelo koje izdaje vremenski žig dužno je da, na osnovu zahtjeva za formiranje vremenskog žiga, osigura formiranje propisane strukture podataka vremenskog žiga, kao i pouzdano utvrđivanje vremena njegovog nastanka i elektronsko potpisivanje strukture podataka vremenskog žiga.

(2) Certifikaciono tijelo koje izdaje vremenski žig dužno je da osigura pouzdan sistem skladištenja relevantnih informacija koje se odnose na vremenski žig u propisanom periodu, posebno u svrhu dokazivanja za potrebe određenih postupaka.

(3) Na vremenski žig i s njim povezane usluge primjenjuju se odredbe ovog zakona koje se odnose na certifikat.

(4) Ministar pravilnikom propisuje uvjete koje mora da ispunjava sistem za formiranje vremenskog žiga, sadržaj zahtjeva za formiranje vremenskog žiga, sadržaj strukture podataka vremenskog žiga i postupak označavanja vremena koje je sadržano u vremenskom žigu.

 

GLAVA IV.

ELEKTRONSKI PEČAT

Član 13.

(1) Elektronski pečat je skup podataka u elektronskom obliku koji su pridruženi ili su logički povezani sa drugim podacima u elektronskom obliku i koji osiguravaju autentičnost i cjelovitost tih podataka.

(2) Kvalifi cirani elektronski pečat mora ispunjavati sljedeće uvjete:

1) mora biti povezan isključivo sa autorom pečata,

2) mora pouzdano identifi cirati autora pečata,

3) nastaje korištenjem sredstava kojima potpisnik može samostalno da upravlja i koja su isključivo pod nadzorom potpisnika i

4) mora biti direktno povezan sa podacima na koje se odnosi, i to na način koji nedvosmisleno omogućava uvid u bilo koju izmjenu izvornih podataka.

 

Član 14.

(1) Elektronski pečat smatra se pravno valjanim i dopušteno ga je koristi u sudskim i drugim postupcima ako ispunjava uvjete propisane ovim zakonom.

(2) U pogledu sredstva za izradu kvalifi ciranog elektronskog pečata i sredstva za verifi kaciju kvalificiranog elektronskog pečata primjenjuju se odredbe čl. 8. i 9. ovog zakona koje se odnose na kvalifi irani elektronski potpis.

 

GLAVA V.

ELEKTRONSKI CERTIFIKATI I CERTIFIKACIONA

TIJELA

Član 15.

(1) Elektronski certifi kat za elektronski potpis je potvrda u elektronskom obliku koja povezuje podatke za verifikaciju elektronskog potpisa sa nekim licem i potvrđuje identitet tog lica.

(2) Elektronski certifi kat za elektronski pečat je potvrda u elektronskom obliku koja povezuje podatke za verifikaciju elektronskog pečata sa pravnim licem, odnosno samostalnim preduzetnikom i potvrđuje naziv tog pravnog lica, odnosno samostalnog preduzetnika.

(3) Elektronski certifi kat za autentifi kaciju mrežnih stranica je elektronska potvrda pomoću koje je moguće izvršiti autentifi kaciju mrežnih stranica i kojom se te mrežne stranice povezuju sa fi zičkim ili pravnim licem, odnosno samostalnim preduzetnikom kojima je izdat certifikat.

 

Član 16.

(1) Kvalifi cirani elektronski certifi kat za elektronski potpis je potvrda u elektronskom obliku kojom certifikaciono tijelo potvrđuje kvalifi cirani elektronski potpis.

(2) Kvalifi cirani elektronski certifi kat iz stava 1. ovog člana mora sadržavati:

1) oznaku o tome da je riječ o kvalifi ciranom elektronskom certifikatu;

2) identifi kacioni skup podataka o certifi kacionom tijelu koje izdaje kvalifi cirani elektronski certifikat, uključujući i naziv države u kojoj ima sjedište, i:

1. naziv pravnog lica i broj sudskog registra, kada je to primjenljivo, ako elektronski certifi kat izdaje pravno lice,

2. naziv samostalnog preduzetnika, ako elektronski certifikat izdaje preduzetnik;

3) ime potpisnika ili pseudonim, ako se potpisnik koristi pseudonimom;

4) podatke za verifi kaciju elektronskog potpisa koji odgovaraju podacima za izradu elektronskog potpisa;

5) podatke o početku i kraju važenja elektronskog certifikata;

6) identifi kacionu oznaku izdatog elektronskog certifi kata;

7) kvalifi cirani elektronski potpis ili kvalifi cirani elektronski pečat certifi kacionog tijela;

8) lokaciju na kojoj je besplatno dostupan certifi kat koji podržava kvalifi cirani elektronski potpis ili kvalificirani elektronski pečat iz tačke 7) ovog člana;

9) lokaciju usluga koje se mogu koristiti za provjeru statusa kvalificiranog certifikata;

10) informaciju o tome ako su podaci za izradu elektronskog potpisa koji su povezani sa podacima za verifikaciju elektronskog potpisa smješteni u sredstvu za izradu kvalificiranog elektronskog potpisa.

 

Član 17.

Kvalificirani elektronski certifikat za elektronski pečat mora sadržavati:

1) oznaku o tome da je certifikat izdat kao kvalificirani elektronski certifi kat za elektronske pečate;

2) identifi kacioni skup podataka o certifikacionom tijelu koje izdaje kvalifi cirani elektronski certifikat, uključujući i naziv države u kojoj ima sjedište, i:

1. naziv pravnog lica i broj sudskog registra, kada je to primjenljivo, ako elektronski certifi kat izdaje pravno lice,

2. naziv samostalnog preduzetnika, ako elektronski certifikat izdaje preduzetnik;

3) naziv autora pečata i, kada je to primjenljivo, registarski broj;

4) podatke za verifi kaciju elektronskog pečata koji odgovaraju podacima za izradu elektronskog pečata;

5) podatke o početku i kraju roka važenja certifi kata;

6) identifikacionu oznaku izdatog elektronskog certifi kata;

7) kvalificirani elektronski potpis ili kvalifi cirani elektronski pečat certifi kacionog tijela;

8) lokaciju na kojoj je besplatno dostupan certifi kat koji podržava kvalificirani elektronski potpis ili kvalificirani elektronski pečat iz tačke 7) ovog člana;

9) lokaciju usluga koje se mogu koristiti za provjeru statusa kvalificiranog certifikata;

10) informaciju o tome ako su podaci za izradu elektronskog pečata koji su povezani sa podacima za verifikaciju elektronskog pečata smješteni u sredstvu za izradu kvalifi ciranog elektronskog pečata.

 

Član 18.

Kvalificirani elektronski certifi kat za autentifikaciju mrežnih stranica mora sadržavati:

1) oznaku o tome da je certifi kat izdat kao kvalificirani elektronski certifi kat za autentifi kaciju mrežnih stranica;

2) identifi kacioni skup podataka o certifi kacionom tijelu koje izdaje kvalifi cirane elektronske cetrtifikate za autentifi kaciju mrežnih stranica, uključujući i naziv države u kojoj certifikaciono tijelo ima sjedište, i:

1. naziv pravnog lica i broj sudskog registra, kada je to primjenljivo, ako elektronski certifikat izdaje pravno lice,

2. naziv samostalnog preduzetnika, ako elektronski certifikat izdaje samostalni preduzetnik;

3) identifi kacioni skup podataka o korisniku certifi kata:

1. najmanje ime lica kojem je izdat certifi kat ili pseudonim, ako ga koristi, ukoliko je riječ o samostalnom preduzetniku ili fi zičkom licu,

2. naziv pravnog lica i broj sudskog registra, kada je to primjenljivo, ukoliko se radi o pravnom licu;

4) adresu, uključujući najmanje oznaku grada i države, korisnika kome je izdat certifikat;

5) naziv(-e) domene(-a) kojom(-ima) upravlja korisnik certifikata;

6) podatke o početku i kraju roka važenja certifi kata;

7) identifikacionu oznaku izdatog elektronskog certifi kata;

8) kvalificirani elektronski potpis ili kvalifi cirani elektronski pečat certifi kacionog tijela;

9) lokaciju na kojoj je besplatno dostupan certifi kat koji podržava kvalificirani elektronski potpis ili kvalificirani elektronski pečat iz tačke 8) ovog člana i

10) lokaciju usluga koje se mogu koristiti za provjeru statusa kvalificiranog certifi kata.

 

Član 19.

(1) Certifi kaciono tijelo koje izdaje nekvalificirane elektronske certifikate ne treba posebnu dozvolu za obavljanje usluga.

(2) Certifi kaciono tijelo može obavljati usluge elektronske certifikacije ako ima:

1) organizaciju rada koja osigurava kvalitet izdavanja elektronskih certifikata,

2) financijska i materijalna sredstva koja su dovoljna za trajnije izdavanje elektronskih certifi kata i pokrivanje moguće štete, naknade na ime osiguranja i slično,

3) zaposleno lice koje je kvalifi cirano za izvršavanje odgovarajućih stručno-tehničkih poslova usluga izdavanja elektronskih certifikata, vođenje registra certifi kata i zaštite osobnih podataka,

4) tehnički i programski osnov koji osigurava međunarodne standarde za provođenje usluge elektronske certifikacije,

5) sistem fi zičke zaštite uređaja, opreme i podataka i

6) rješenja za zaštitu od neovlaštenog pristupa, kao i sigurnosna rješenja za čuvanje informacija.

 

Član 20.

(1) Ministarstvo nauke i tehnologije (u daljem tekstu: Ministarstvo) vodi evidenciju o certifi kacionim tijelima u Republici (u daljem tekstu: evidencija), koja je javno dostupna.

(2) Certifi kaciona tijela koja izdaju certifi kate na komercijalnom osnovu dužna su da prijave Ministarstvu početak obavljanja usluga elektronske certifi kacije najmanje 14 dana prije početka rada.

(3) Ministarstvo upisuje certifi kaciono tijelo u evidenciju odmah nakon što certifi kaciono tijelo podnese prijavu kojom obavještava Ministarstvo o početku obavljanja usluga.

(4) Ministar pravilnikom propisuje sadržaj evidencije, način vođenja evidencije, obrasce prijave za upis u evidenciju, obrasce prijave za upis promjena, kao i vrstu, sadržaj i način dostavljanja dokumentacije neophodne za upis u evidenciju.

 

Član 21.

(1) Pored uvjeta iz člana 19. ovog zakona, certifikaciono tijelo koje izdaje kvalificirane elektronske certifikate mora da ispunjava i sljedeće uvjete:

1) prikazuje pouzdanost neophodnu za pružanje usluga elektronske certifikacije;

2) osigurava sigurno i ažurno vođenje registra certifi kata, te provođenje sigurnog i trenutnog prekida, odnosno opoziva usluge elektronske certifi kacije na zahtjev korisnika;

3) omogućava tačno utvrđivanje datuma i vremena (sat i minuta) izdavanja ili opoziva elektronskog certifi kata;

4) provjerava na odgovarajući način i u skladu sa propisima identitet i, ako je potrebno, druga obilježja korisnika kojima se izdaje elektronski certifi kat;

5) ima zaposlena lica sa specijalističkim znanjima, iskustvom i stručnim kvalifi kacijama potrebnim za vršenje usluge izdavanja elektronskih certifi kata, a naročito u odnosu na: upravljačke sposobnosti, stručnost u primjeni tehnologija elektronskog potpisa i odgovarajućih sigurnosnih procedura i sigurnu primjenu odgovarajućih administrativnih i upravljačkih postupaka koji su usaglašeni sa priznatim standardima;

6) ima pouzdane sisteme i proizvode koji su zaštićeni od promjena i osiguravaju tehničku i kriptografsku sigurnost procesa;

7) preduzima mjere protiv falsifi ciranja i krađe podataka;

8) ima osigurana potrebna fi nancijska sredstva za rad, posebno za snošenje rizika od odgovornosti za štetu;

9) ima osiguran pouzdan sistem skladištenja relevantnih informacija koje se odnose na kvalifi cirane elektronske certifikate u propisanom periodu/roku, posebno u svrhu dokazivanja za potrebe određenih postupaka;

10) ne čuva i ne kopira podatke iz certifi kata za korisnike kojima se pruža usluga elektronske certifi kacije;

11) informiše korisnike koji traže uslugu elektronske certifi kacije o tačnim uvjetima korištenja usluga, uključujući bilo koja ograničenja u korištenju, kao i postupke za rješavanje pritužbi i žalbi, s tim da te informacije moraju:

1. biti napisane i pripremljene na jednom od jezika konstituirajućih naroda u Republici Srpskoj, na ćirilici ili latinici i mogu se dostaviti elektronskim putem,

2. relevantni dijelovi tih informacija biti na raspolaganju na zahtjev trećih lica koja koriste elektronski certifikat;

12) ima osiguran pouzdan sistem čuvanja elektronskih certifi kata u obliku koji omogućava njihovu provjeru kako bi:

1. unos i promjene radila samo ovlaštena lica,

2. mogla biti utvrđena provjera autentičnosti informacija iz certifikata,

3. elektronski certifi kat bio javno raspoloživ za pretraživanje samo u onim slučajevima za koje je vlasnik certifikata, odnosno korisnik dao saglasnost i

4. bilo koja tehnička promjena koja bi mogla da naruši sigurnosne zahtjeve bila poznata certifikacionom tijelu.

(2) Ministar pravilnikom detaljnije propisuje uvjete koje moraju ispunjavati certifi kaciona tijela iz ovog člana i člana 19. ovog zakona, kao i najniži iznos obveznog osiguranja iz stava 1. tačka 8) ovog člana kojim je certifi kaciono tijelo obvezno da osigura rizik od odgovornosti za štetu koja nastane obavljanjem usluga elektronske certifi kacije.

 

Član 22.

(1) Certifikaciono tijelo iz člana 21. ovog zakona, koje izdaje kvalifi cirane elektronske certifi kate, može da obavlja usluge na osnovu dozvole koju izdaje Ministarstvo.

(2) Na osnovu zahtjeva certifi kacionog tijela za izdavanje dozvole, ministar imenuje Komisiju za provjeru ispunjenosti uvjeta za obavljanje usluga izdavanja kvalifi ciranih elektronskih certifi kata (u daljem tekstu: Komisija), koja ima tri člana.

(3) U Komisiju se imenuju stručnjaci iz oblasti informacionih tehnologija, koji imaju iskustvo u oblasti primjene elektronskog potpisa i koji poznaju sistem infrastrukture javnog ključa.

(4) Članovi Komisije imaju pravo na naknadu za svoj rad, koja se utvrđuje rješenjem ministra.

(5) Na osnovu preporuke Komisije, ministar donosi rješenje kojim se rješava po zahtjevu za izdavanje dozvole.

(6) Dozvola za izdavanje kvalifi ciranih elektronskih certifikata (u daljem tekstu: dozvola) ima značenje rješenja izdatog u upravnom postupku.

(7) Dozvola se izdaje u roku od 30 dana od dana podnošenja urednog zahtjeva.

(8) U postupku za izdavanje dozvole, u pitanjima koja nisu uređena ovim zakonom primjenjuju se odredbe Zakona o općem upravnom postupku.

 

Član 23.

(1) Zajedno sa izdavanjem dozvole iz člana 22. stav 5. ovog zakona, certifi kaciono tijelo upisuje se u Registar certifikacionih tijela u Republici Srpskoj (u daljem tekstu: Registar), koji vodi Ministarstvo i koji je javno dostupan.

(2) Certifi kaciono tijelo može početi da obavlja usluge danom upisa u Registar.

(3) Certifi kaciona tijela koja su upisana u Registar mogu to da naznače u izdatim kvalifi ciranim elektronskim certifikatima.

(4) Ministar pravilnikom propisuje sadržaj i način vođenja Registra, obrasce zahtjeva za izdavanje dozvole i potrebnih priloga uz zahtjev, obrasce zahtjeva za upis promjena i potrebnih priloga, kao i postupak izdavanja dozvole i upisa u Registar.

 

Član 24.

(1) Elektronske certifi kate može izdavati i organ uprave ako ispunjava sve uvjete propisane ovim zakonom i propisima donesenim na osnovu ovog zakona.

(2) Djelokrug, sadržaj i nosioci poslova elektronske certifikacije u organima uprave i za organe uprave utvrđuju se uredbom Vlade Republike Srpske.

 

GLAVA VI.

PRAVA, OBVEZE I ODGOVORNOSTI KORISNIKA I

CERTIFIKACIONIH TIJELA

Član 25.

(1) Korisnici su slobodni u izboru certifi kacionog tijela.

(2) Korisnik može koristiti usluge certifi kacije od jednog certifikacionog tijela ili više njih.

(3) Korisnici mogu koristiti i usluge certifi kacionog tijela u inozemstvu.

(4) Korisnici koriste usluge certifi kacije na osnovu ugovora sa odabranim certifi kacionim tijelom.

 

Član 26.

(1) Elektronski certifi kat može se izdati svakom korisniku na njegov zahtjev, na osnovu nesumnjivo utvrđenog identiteta i ostalih podataka o korisniku koji je podnio zahtjev.

(2) Identitet korisnika se utvrđuje na osnovu osobne karte, putne isprave ili drugog identifi kacionog dokumenta korisnika ili ovlaštenog predstavnika korisnika, koji sadrži fotografiju lica i koji je važeći u trenutku podnošenja zahtjeva.

(3) Certifi kaciono tijelo izdaje elektronski certifi kat za svakog pojedinačnog korisnika na osnovu ugovora potpisanog sa korisnikom.

 

Član 27.

(1) Svaki korisnik obvezan je da preduzme sve potrebne organizacione i tehničke mjere zaštite od gubitaka i štete koje može uzrokovati drugim korisnicima, certifi kacionom tijelu ili trećim licima.

(2) Obveza korisnika je da sredstva i podatke za izradu elektronskog potpisa i elektronskog pečata koristi pažljivo i u skladu sa odredbama ovog zakona, te da ih zaštiti i čuva od neovlaštenog pristupa i upotrebe.

 

Član 28.

(1) Sve potrebne podatke i informacije o promjenama koje utiču ili mogu uticati na tačnost certifikata korisnik je obvezan da odmah prijavi, odnosno dostavi certifi kacionom tijelu.

(2) Korisnik je obvezan da odmah zatraži opoziv svog certifikata u svim slučajevima gubitka ili oštećenja sredstava ili podataka za izradu elektronskog potpisa i elektronskog pečata.

 

Član 29.

Korisnik je odgovoran za nepravilnosti koje su nastale zbog neispunjavanja obveza utvrđenih odredbama čl. 27. i 28. ovog zakona.

 

Član 30.

Certifikaciono tijelo koje izdaje kvalifi cirane elektronske certifikate ima obvezu da:

1) osigura da svaki kvalifi cirani elektronski certifi kat sadrži sve potrebne podatke u skladu sa čl. 16, 17. i 18. ovog zakona, 2) utvrdi identitet korisnika za kojeg provodi usluge certifikacije,

3) osigura tačnost i cjelovitost podataka koje unosi u evidenciju izdatih certifikata,

4) u svaki certifi kat unese osnovne podatke o svom identitetu,

5) omogući svakom zainteresiranom licu uvid u identifi kacione podatke certifi kacionog tijela i uvid u dozvolu za izdavanje kvalifi ciranih elektronskih certifi kata,

6) vodi tačnu i zaštićenu evidenciju elektronskih certifikata,

7) vodi tačnu i zaštićenu evidenciju opozvanih elektronskih certifikata,

8) osigura vidljiv podatak o tačnom datumu i vremenu (sat i minuta) izdavanja, odnosno opoziva elektronskih certifikata u evidenciji izdatih elektronskih certifi kata,

9) čuva sve podatke i dokumentaciju o izdatim i opozvanim elektronskim certifi katima, u skladu sa važećim propisima, kao sredstvo dokazivanja u sudskim, upravnim i drugim postupcima, pri čemu podaci i prateća dokumentacija mogu biti i u elektronskom obliku i

10) primjenjuje odredbe zakona i drugih propisa kojima je uređena zaštita osobnih podataka.

 

Član 31.

(1) Certifikaciono tijelo obvezno je da izvrši opoziv certifikata, najkasnije u roku od 24 sata, korisnicima:

1) koji su to izričito zatražili,

2) za koje je utvrđena netačnost ili nepotpunost podataka u evidenciji certifi kata,

3) za koje je primljena službena obavijest o gubitku poslovne sposobnosti i

4) za koje je primljena službena obavijest o smrti.

(2) Opoziv stupa na snagu odmah nakon njegove objave u evidenciji opozvanih certifi kata.

(3) Certifi kaciono tijelo obvezno je da ažurno vodi evidenciju svih opozvanih elektronskih certifi kata.

(4) Obveza certifi kacionog tijela je da obavijesti korisnika o opozivu certifi kata u roku od 24 sata od primljene obavijesti, odnosno nastanka okolnosti zbog kojih se elektronski certifi kat opoziva.

(5) Od trenutka kada je opozvan, certifi kat gubi pravno djejstvo i njegov status se ne može ponovo aktivirati.

 

Član 32.

(1) Certifikaciono tijelo obvezno je da, u slučaju prestanka poslovanja, o namjeri raskida ugovora obavijesti svakog korisnika, kao i da prestanak poslovanja prijavi Ministarstvu.

(2) Obveza certifikacionog tijela je da osigura kod drugog certifi kacionog tijela nastavak obavljanja usluga certifikacije za korisnike kojima je izdalo certifikate najmanje za period važenja originalnog certifi kata, a ukoliko za to nema mogućnosti, dužno je da opozove sve izdate certifi kate.

(3) Certifikaciono tijelo koje prestaje da pruža usluge elektronske certifi kacije obvezno je da dostavi svu dokumentaciju u vezi sa obavljenim uslugama certifikacije drugom certifi kacionom tijelu na koga prenosi obveze obavljanja usluga certifi kacije.

 

Član 33.

(1) Kvalificirani certifikati koje su izdala certifikaciona tijela sa sjedištem u jednoj od zemalja članica Evropske unije imaju istu pravnu snagu kao i kvalifi cirani certifi kati izdati u Republici Srpskoj.

(2) Kvalificirani certifi kati koje su izdala certifi kaciona tijela sa sjedištem u inozemstvu izvan Evropske unije imaju istu pravnu snagu kao i kvalifi cirani certifi kati izdati u Republici Srpskoj, u slučaju da je ispunjen najmanje jedan od sljedećih uvjeta:

1) certifikaciono tijelo ispunjava uvjete propisane ovim zakonom za izdavanje kvalifi ciranih certifikata i registrirano je u Republici Srpskoj,

2) domaće certifi kaciono tijelo koje je upisano u Registar garantira za takav kvalifi cirani certifi kat,

3) bilateralnim ili multilateralnim sporazumom između Republike Srpske ili Bosne i Hercegovine i drugih zemalja ili međunarodnih organizacija određeno je da se priznaje i

4) kvalifi cirani certifi kat ili certifi kaciono tijelo priznato je na osnovu bilateralnog ili multilateralnog sporazuma između Evropske unije i trećih zemalja ili međunarodnih organizacija.

 

GLAVA VII.

NADZOR

Član 34.

(1) Nadzor nad primjenom ovog zakona i radom certifikacionih tijela vrši Republička uprava za inspekcijske poslove posredstvom nadležnih inspektora.

(2) Nadzor nad radom certifi kacionih tijela na poslovima prikupljanja, upotrebe i zaštite osobnih podataka vrše organi određeni propisima kojima se uređuje zaštita osobnih podataka.

 

Član 35.

U okviru inspekcijskog nadzora certifi kacionih tijela inspektor:

1) utvrđuje da li su ispunjeni uvjeti propisani ovim zakonom i propisima donesenim na osnovu ovog zakona,

2) kontrolira pravilnost primjene propisanih postupaka i organizaciono-tehničkih mjera, primjenu internih pravila koja su u vezi sa uvjetima propisanim ovim zakonom i propisima donesenim na osnovu ovog zakona,

3) vrši kontrolu postupka izdavanja, čuvanja i opoziva elektronskih certifi kata i

4) vrši kontrolu zakonitosti obavljanja drugih usluga certifikacionih tijela.

 

Član 36.

(1) U vršenju inspekcijskog nadzora inspektor ima pravo i dužnost da:

1) pregleda akte i dokumentaciju koja je povezana sa djelatnošću izdavanja certifi kata,

2) provjerava poslovne prostorije certifi kacionog tijela, informacioni sistem, računarsku mrežu, ostalu opremu, tehničku dokumentaciju, kao i sigurnosne mjere koje se preduzimaju i

3) izvrši uvid u cjelokupnu dokumentaciju radi osiguravanja dokaza ili tačnog utvrđivanja eventualne neregularnosti.

(2) Inspektor je dužan da čuva kao službenu tajnu sve podatke o certifikatima i osobne podatke o korisniku certifikata.

(3) Certifikaciono tijelo je dužno da u cilju provođenja inspekcijskog nadzora omogući inspektoru pristup u svoje poslovne prostorije i omogući uvid u podatke o poslovanju, uvid u poslovnu dokumentaciju, pristup registru korisnika i računarskoj opremi i uređajima koji se primjenjuju u postupku izdavanja certifi kata.

 

Član 37.

(1) Nadležni inspektor rješenjem:

1) zabranjuje primjenu neadekvatnih postupaka i infrastrukture i daje rok certifi kacionom tijelu u kojem je ono dužno da osigura adekvatne postupke i infrastrukturu, 2) zabranjuje licima koja ne posjeduju specijalistička znanja, iskustvo i stručne kvalifi kacije potrebne za vršenje usluge izdavanja elektronskih certifi kata, rad na poslovima izdavanja certifi kata i daje rok za osiguranje adekvatnog kadra,

3) privremeno zabranjuje poslovanje certifi kacionog tijela do otklanjanja neadekvatnosti postupaka i infrastrukture,

4) nalaže opoziv jednog ili više certifi kata izdatih od certifikacionog tijela, ako postoji osnovana sumnja da je riječ o neadekvatnom postupku ili falsifi katu i

5) nalaže opoziv svih certifi kata izdatih od certifi kacionog tijela, što dovodi do prestanka rada certifikacionog tijela, ako postoji osnovana sumnja da je riječ o neadekvatnom postupku ili falsifikatu.

(2) U slučaju privremene zabrane poslovanja certifikacionog tijela iz stava 1. tačka 3) ovog člana, certifikati izdati do dana nastanka uzroka zbog kojih je izrečena mjera zabrane i dalje važe.

(3) U slučaju opoziva svih certifi kata, odnosno prestanka rada certifi kacionog tijela iz stava 1. tačka 5) ovog člana, inspektor će odmah obavijestiti Ministarstvo i zatražiti brisanje iz evidencije, odnosno Registra.

(4) Ukoliko se tokom inspekcijske kontrole utvrdi da certifikaciono tijelo koje izdaje kvalifi cirane elektronske certifkate i koje je upisano u Registar više ne ispunjava uvjete propisane ovim zakonom, nadležni inspektor o tome odmah obavještava Ministarstvo.

(5) Ministarstvo je dužno da certifi kaciono tijelo, odmah po dobivanju obavijesti od strane nadležnog inspektora, briše iz Registra.

 

GLAVA VIII.

KAZNENE ODREDBE

Član 38.

Novčanom kaznom od 500 KM do 1.500 KM kaznit će se za prekršaj fi zičko lice koje neovlašteno pristupi i upotrijebi podatke i sredstva za izradu elektronskog potpisa i kvalificiranog elektronskog potpisa.

 

Član 39.

(1) Novčanom kaznom od 500 KM do 1.500 KM kaznit će se za prekršaj korisnik - fi zičko lice ili samostalni preduzetnik koji:

1) nepažljivo i neodgovorno koristi sredstva i podatke za izradu elektronskog potpisa i elektronskog pečata (član 27. stav 2),

2) certifikacionom tijelu ne dostavi potrebne podatke i informacije o promjenama koje utiču ili mogu uticati na tačnost elektronskog certifikata (član 28. stav 1) i

3) odmah ne dostavi certifi kacionom tijelu zahtjev za opoziv certifikata (član 28. stav 2).

(2) Za prekršaj iz stava 1. ovog člana korisnik - pravno lice će se kazniti novčanom kaznom od 1.000 KM do 3.000 KM.

(3) Odgovorno lice u pravnom licu kaznit će se za prekršaj iz stava 1. ovog člana novčanom kaznom od 500 KM do 1.000 KM.

 

Član 40.

(1) Novčanom kaznom od 1.000 KM do 15.000 KM kaznit će se za prekršaj certifikaciono tijelo koje:

1) izdaje kvalifi cirani elektronski certifi kat koji ne sadrži sve potrebne podatke (član 16. stav 2, čl. 17. i 18),

2) ne prijavi Ministarstvu početak obavljanja usluga elektronske certifi kacije (član 20. stav 2),

3) čuva i kopira podatke iz certifi kata (član 21. stav 1. tačka 10),

4) ne obavijesti korisnika kojem izdaje elektronski certifikat o svim bitnim uvjetima upotrebe izdatog certifikata (član 21. stav 1. tačka 11), 5) ne utvrdi identitet korisnika kojem izdaje kvalifi cirani elektronski certifi kat (član 30. tačka 2),

6) ne vodi ažurno i sigurnosnim mjerama zaštićenu evidenciju certifikata (član 30. tačka 6),

7) ne prekine usluge certifi kacije, odnosno ne izvrši opoziv izdatih certifi kata u propisanim slučajevima (član 31. stav 1),

8) ne vodi ažurno evidenciju svih opozvanih certifikata (član 31. stav 2),

9) ne obavijesti u propisanom roku korisnika o izvršenom opozivu elektronskog certifi kata (član 31. stav 3),

10) ne čuva kompletnu dokumentaciju o izdatim i opozvanim certifikatima u predviđenom roku (član 30. tačka 9),

11) pravovremeno ne obavijesti korisnike kojima je izdao elektronske certifi kate i Ministarstvo o prestanku poslovanja (član 32. stav 1) i

12) ne omogući nadležnim inspekcijskim organima pristup u svoje poslovne prostorije i uvid u podatke o poslovanju, uvid u poslovnu dokumentaciju, pristup registru korisnika, računarskoj opremi i uređajima (član 36. stav 3).

(2) Odgovorno lice u certifi kacionom tijelu kaznit će se za prekršaj iz stava 1. ovog člana novčanom kaznom od 500 KM do 1.000 KM.

 

Član 41.

(1) Novčanom kaznom od 1.000 KM do 15.000 KM kaznit će se za prekršaj certifi kaciono tijelo - izdavalac vremenskog žiga koji:

1) formira vremenski žig koji ne sadrži sve podatke propisane zakonom i podzakonskim aktima donesenim na osnovu ovog zakona (član 11. stav 2),

2) ne čuva na siguran način i u propisanim rokovima podatke o izdatim vremenskim žigovima (član 12. stav 2) i

3) ne omogući nadležnim inspekcijskim organima pristup u svoje poslovne prostorije i ne omogući uvid u podatke o poslovanju, uvid u poslovnu dokumentaciju, pristup registru korisnika, računarskoj opremi i uređajima (član 36. stav 3).

(2) Odgovorno lice u certifi kacionom tijelu kaznit će se za prekršaj iz stava 1. ovog člana novčanom kaznom od 500 KM do 1.000 KM.

 

GLAVA IX.

PRIJELAZNE I ZAVRŠNE ODREDBE

Član 42.

Vlada Republike Srpske donijet će uredbu iz člana 24. stav 2. ovog zakona u roku od tri mjeseca od dana stupanja na snagu ovog zakona.

 

Član 43.

Ministar će u roku od šest mjeseci od dana stupanja na snagu ovog zakona donijeti:

1) Pravilnik o tehničko-tehnološkim postupcima za izradu kvalificiranog elektronskog potpisa i drugih usluga povjerenja i mjerama zaštite elektronskog potpisa i drugih usluga povjerenja (član 8. stav 4),

2) Pravilnik o izdavanju vremenskog žiga (član 12. stav 4),

3) Pravilnik o evidenciji certifikacionih tijela (član 20. stav 4),

4) Pravilnik o posebnim uvjetima koje moraju da ispunjavaju certifikaciona tijela (član 21. stav 2) i

5) Pravilnik o postupku izdavanja dozvole i upisa u Registar certifi kacionih tijela za izdavanje kvalificiranih elektronskih certifikata (član 23. stav 4).

 

Član 44.

Do donošenja podzakonskih akata iz čl. 42. i 43. ovog zakona primjenjivat će se podzakonski akti doneseni na osnovu ranije važećeg zakona, ako nisu u suprotnosti sa odredbama ovog zakona.

 

Član 45.

Stupanjem na snagu ovog zakona prestaje važiti Zakon o elektronskom potpisu Republike Srpske (“Službeni glasnik Republike Srpske”, br. 59/08 i 68/13).

 

Član 46.

Ovaj zakon stupa na snagu osmog dana od dana objave u “Službenom glasniku Republike Srpske”.

 

 

Broj: 02/1-021-1563/15

10. decembra 2015. godine

Banja Luka

 

Po ovlaštenju predsjednika

Narodne skupštine,

Nenad Stevandić, s.r.