Садржај
- I. УВОДНЕ ОДРЕДБЕ
- II. ЕЛЕКТРОНСКИ ДОКУМЕНТ
- Пуноважност и доказна снага електронског документа
- Израда електронског документа
- Форма приказа електронског документа
- Оригинал и копија
- Овера дигитализованог акта
- Овера одштампаног примерка електронског документа
- Потврда о пријему електронског документа
- Дуплирање електронских докумената
- Достављање електронских докумената између органа јавне власти и странака
- Достављање електронских докумената између органа јавне власти
- III. ЕЛЕКТРОНСКА ИДЕНТИФИКАЦИЈА
- 1. Шеме електронске идентификације
- Услови које мора да испуњава шема електронске идентификације
- Нивои поузданости шема електронске идентификације
- Регистар пружалаца услуга електронске идентификације и шема електронске идентификације
- Коришћење шема електронске идентификације у електронском пословању и у општењу са органом јавне власти
- Одговорност при електронској идентификацији
- Безбедносни услови које треба да испуњавају пружаоци услуга електронске идентификације
- 2. Прекогранична сарадња у области електронске идентификације
- 1. Шеме електронске идентификације
- IV. УСЛУГЕ ОД ПОВЕРЕЊА
- 1. Опште одредбе
- Одговорност пружаоца услуга од поверења и терет доказивања
- Одговорност корисника услуга од поверења за чување средстава и података за формирање електронског потписа односно печата
- Безбедносни услови које треба да испуњавају пружаоци услуга од поверења
- Надлежност Министарства
- Надлежности Министарства у оквиру прекограничне сарадње у области услуга од поверења
- 2. Опште одредбе за квалификоване услуге од поверења
- Успостављање односа између пружаоца и корисника квалификоване услуге од поверења
- Услови за пружање квалификованих услуга од поверења
- Осигурање од професионалне одговорности
- Провера идентитета корисника квалификоване услуге од поверења
- Оцењивање испуњености услова за пружање квалификованих услуга од поверења
- Почетак пружања квалификованих услуга од поверења
- Престанак пружања услуге издавања квалификованих електронских сертификата
- Државни орган као пружалац квалификованих услуга од поверења
- Јавна листа квалификованих услуга од поверења
- Знак поузданости за квалификоване услуге од поверења
- Прекогранично признавање квалификованих услуга од поверења
- 1. Опште одредбе
- V. ПОЈЕДИНЕ ВРСТЕ УСЛУГА ОД ПОВЕРЕЊА
- 1. Електронски потпис и електронски печат
- Напредни електронски потпис и напредни електронски печат
- Садржај квалификованог електронског сертификата
- Опозив и суспензија квалификованог електронског сертификата
- Чување документације о издатим и опозваним квалификованим сертификатима
- Квалификована средства за креирање електронског потписа и печата
- Сертификација квалификованих средстава за креирање електронског потписа односно печата
- Поступак валидације квалификованог електронског потписа и квалификованог електронског печата
- Услуга квалификоване валидације квалификованих електронских потписа и квалификованих електронских печата
- Правно дејство електронског потписа
- Правно дејство електронског печата
- 2. Електронски временски жиг
- 3. Електронска достава
- 4. Аутентикација веб сајтова
- 5. Електронско чување документа
- VI. ИНСПЕКЦИЈСКИ НАДЗОР
- VII. КАЗНЕНЕ, ПРЕЛАЗНЕ И ЗАВРШНЕ ОДРЕДБЕ
„Службени гласник РС“, број 94/2017
I. УВОДНЕ ОДРЕДБЕ
Предмет
Члан 1.
Овим законом уређују се електронски документ, електронска идентификација и услуге од поверења у електронском пословању.
Значење појединих израза
Члан 2.
Поједини изрази, у смислу овог закона, имају следеће значење:
1) електронско пословање је употреба података у електронском облику, средстава електронске комуникације и електронске обраде података у обављању послова физичких и правних лица;
2) електронски облик података је дигитални запис података погодан за електронску обраду и пренос путем средстава електронске комуникације;
3) електронска трансакција је пословна активност између две или више страна која се обавља електронским путем;
4) електронски документ је скуп података састављен од слова, бројева, симбола, графичких, звучних и видео материјала, у електронском облику;
5) производ је хардвер, софтвер односно хардвер са припадајућим софтвером, или њихове одговарајуће компоненте, намењен електронској обради, електронском преносу односно чувању података;
6) интероперабилност је способност два или више система или њихових компоненти да размењују податке и омогуће заједничку употребу података и знања;
7) орган јавне власти је државни орган, орган аутономне покрајине, орган јединице локалне самоуправе, предузећа, установе, организације и појединци којима су поверени послови из надлежности Републике Србије, односно јавна овлашћења;
8) физичко лице у својству регистрованог субјекта је физичко лице које је регистровано за обављање одређене делатности у складу са законом;
9) аутентикација је процес провере идентитета правног лица, физичког лица или физичког лица у својству регистрованог субјекта укључујући проверу интегритета и порекла података за које се претпоставља да их је то лице створило, односно послало;
10) идентификациони подаци представљају скуп података на основу којих је могуће једнозначно утврдити идентитет правног лица, физичког лица или физичког лица у својству регистрованог субјекта;
11) електронска идентификација је поступак коришћења личних идентификационих података у електронском облику који једнозначно одређују правно лице, физичко лице или физичко лице у својству регистрованог субјекта;
12) средство електронске идентификације је материјално односно нематеријално средство које садржи идентификационе податке и којим се доказује идентитет приликом аутентикације;
13) шема електронске идентификације је систем издавања средства електронске идентификације правном лицу, физичком лицу или физичком лицу у својству регистрованог субјекта;
14) услуга електронске идентификације је услуга која омогућава коришћење одређене шеме електронске идентификације у електронским трансакцијама при чему се у оквиру те услуге пружају гаранције да идентификациони подаци из средства електронске идентификације одговарају лицу коме је средство издато;
15) услуга од поверења је електронска услуга која олакшава пословну активност између две или више страна при чему се заснива на томе да пружалац услуге странама гарантује веродостојност појединих података, а која је као таква одређена овим законом;
16) пружалац услуга од поверења је правно лице или физичко лице у својству регистрованог субјекта које пружа једну или више услуга од поверења;
17) поуздајућа страна је правно или физичко лице које се поуздаје у услугу електронске идентификације односно услугу од поверења;
18) квалификована услуга од поверења је услуга од поверења која испуњава услове утврђене овим законом за квалификовану услугу од поверења;
19) пружалац квалификоване услуге од поверења је правно лице или физичко лице у својству регистрованог субјекта које пружа једну или више квалификованих услуга од поверења;
20) електронски потпис је скуп података у електронском облику који су придружени или логички повезани са другим (потписаним) подацима у електронским облику тако да се електронским потписом потврђује интегритет тих података и идентитет потписника;
21) електронски печат је скуп података у електронском облику који су придружени или логички повезани са другим (печатираним) подацима у електронском облику тако да се електронским печатом потврђује интегритет тих података и идентитет печатиоца;
22) подаци за креирање електронског потписа односно печата су јединствени подаци које користи потписник односно печатилац за креирање електронског потписа односно печата и који су логички повезани са одговарајућим подацима за валидацију електронског потписа односно печата;
23) подаци за валидацију електронског потписа односно печата су подаци на основу којих се проверава да ли електронски потпис односно печат одговара подацима који су потписани односно печатирани;
24) сертификат за електронски потпис односно печат је електронска потврда којом се потврђује веза између података за валидацију електронског потписа односно печата и идентитета потписника односно печатиоца;
25) потписник је физичко лице које је креирало електронски потпис и чији су идентификациони подаци наведени у сертификату на основу кога је креиран тај електронски потпис, то јест сертификату којим се потврђује веза између идентитета тог потписника и података за валидацију електронског потписа који одговарају подацима за креирање електронског потписа које је потписник користио при креирању тог електронског потписа;
26) печатилац је правно лице, физичко лице или физичко лице у својству регистрованог субјекта у чије име се креира електронски печат и чији су идентификациони подаци наведени у сертификату на основу кога је креиран тај електронски печат, односно у сертификату којим се потврђује веза између идентитета тог печатиоца и података за валидацију електронског печата који одговарају подацима за креирање електронског печата који су по овлашћењу печатиоца коришћени при креирању тог електронског печата;
27) средство за креирање електронског потписа односно печата је техничко средство (софтвер односно хардвер) које се користи за креирање електронског потписа односно печата уз коришћење података за креирање електронског потписа односно печата;
28) валидација је поступак провере и потврђивања исправности електронског потписа односно електронског печата;
29) напредни електронски потпис је електронски потпис који испуњава додатне услове за обезбеђивање вишег нивоа поузданости потврђивања интегритета података и идентитета потписника у складу са овим законом;
30) квалификовани електронски потпис је напредни електронски потпис који је креиран квалификованим средством за креирање електронског потписа и који се заснива на квалификованом сертификату за електронски потпис;
31) квалификовано средство за креирање електронског потписа је средство које испуњава услове прописане овим законом;
32) квалификовани сертификат за електронски потпис је сертификат за електронски потпис који издаје квалификовани пружалац услуга од поверења и који испуњава услове предвиђене овим законом;
33) напредни електронски печат је електронски печат који испуњава додатне услове за обезбеђивање вишег нивоа поузданости потврђивања интегритета података и идентитета печатиоца у складу са овим законом;
34) квалификовани електронски печат је напредни електронски печат који је креиран квалификованим средством за креирање електронског печата и који је заснован на квалификованом сертификату за електронски печат;
35) квалификовано средство за креирање електронског печата је средство које испуњава услове прописане овим законом;
36) квалификовани сертификат за електронски печат је сертификат за електронски печат који издаје квалификовани пружалац услуга од поверења и испуњава услове предвиђене овим законом;
37) сертификат за аутентикацију веб сајта је потврда помоћу које је могуће извршити аутентикацију веб сајта и којом се веб сајт повезује са идентитетом физичког или правног лица коме је сертификат издат;
38) квалификовани сертификат за аутентикацију веб сајта је сертификат за аутентикацију веб сајта коју издаје квалификовани пружалац услуга од поверења и испуњава услове предвиђене овим законом;
39) електронски временски жиг је званично време придружено подацима у електронском облику којим се потврђује да су ти подаци постојали у том временском тренутку;
40) квалификовани електронски временски жиг је електронски временски жиг који испуњава услове утврђене овим законом за квалификовани електронски временски жиг;
41) услуга електронске доставе је услуга преноса података електронским путем у оквиру које пружалац услуге обезбеђује доказе о поступању са пренесеним подацима, укључујући доказ слања и пријема података, чиме се пренесени подаци штите од ризика губитка, крађе, оштећења односно било којих неовлашћених промена;
42) конверзија је превођење документа из једног облика у други тако да је очуван садржај документа;
43) дигитализација је конверзија документа из облика који није електронски у електронски облик;
44) дигитализовани документ је документ који је настао дигитализацијом изворног докумената;
45) тело за оцењивање усаглашености је тело овлашћено за спровођење оцењивања усаглашености квалификованог пружаоца услуга од поверења и квалификоване услуге од поверења коју он пружа са условима за пружање квалификованих услуга од поверења.
Примена
Члан 3.
Пружалац услуга од поверења пружа услуге од поверења у складу са овим законом.
Одредбе овог закона не примењују се на услуге од поверења које се пружају у оквиру затвореног система, односно ограниченог круга учесника, који може бити одређен споразумом, интерним актом или прописом, и које немају утицај на треће стране, односно не обавезују трећа лица ван тог система.
Обрада и заштита података
Члан 4.
Пружалац услуга од поверења односно услуге електронске идентификације приликом обраде података о личности поступа у складу са законом којим се уређује заштита података о личности.
У оквиру електронске трансакције стране се могу представљати псеудонимом ако прописом, уговором или на други обавезујући начин није другачије одређено.
Пристанак на идентификацију и аутентикацију
Члан 5.
Поступак електронске идентификације и аутентикације може бити покренут само на захтев правног или физичког лица које је предмет идентификације, осим ако је прописом другачије одређено.
Доступност и приступ особама са инвалидитетом
Члан 6.
Услуге од поверења, услуге електронске идентификације и производи који се користе за пружање тих услуга једнако су доступни и особама с инвалидитетом.
II. ЕЛЕКТРОНСКИ ДОКУМЕНТ
Пуноважност и доказна снага електронског документа
Члан 7.
Електронском документу не може се оспорити пуноважност, доказна снага, као ни писана форма само зато што је у електронском облику.
Израда електронског документа
Члан 8.
Електронски документ се израђује применом једне од доступних и употребљивих информационо комуникационих технологија, ако законом није другачије одређено.
Електронски документ који представља архивску грађу израђује се у форми која задовољава услове прописане овим законом за поуздану припрему за електронско чување.
Форма приказа електронског документа
Члан 9.
Електронски документ садржи унутрашњу и спољну форму приказа.
Унутрашња форма приказа састоји се од техничко-програмске форме записивања садржине електронског документа.
Спољна форма приказа састоји се од визуелног или другог разумљивог приказа садржине електронског документа.
Ако документ садржи електронски потпис или електронски печат, та чињеница треба да буде јасно исказана у спољној форми електронског документа.
Уколико електронски документ садржи електронски потпис или печат физичког лица или овлашћеног лица правног субјекта, свака друга форма потписа или печата истог физичког лица или овлашћеног лица правног субјекта је излишна.
Оригинал и копија
Члан 10.
Електронски документ који је изворно настао у електронском облику сматра се оригиналом.
Електронски документ који има истоветан дигитални запис оригиналном електронском документу сматра се оригиналом.
Копија електронског документа на папиру израђује се штампањем спољне форме електронског документа.
Електронски документ који је настао дигитализацијом изворног документа чија форма није електронска, сматра се копијом изворног документа.
Овера дигитализованог акта
Члан 11.
Акт који је дигитализован има исту доказну снагу као оригинални акт ако су кумулативно испуњени следећи услови и то:
1) да је дигитализација акта обављена на један од следећих начина, односно под надзором:
(1) физичког односно овлашћеног лица физичког лица у својству регистрованог субјекта или овлашћеног лица правног лица чији је то акт, или
(2) лицa које је овлашћено за оверу потписа, рукописа и преписа у складу са законом који уређује оверу потписа, рукописа и преписа, или
(3) лица које је посебним законом овлашћено за оверу дигитализованог акта;
2) да је истоветност дигитализованог акта са оригиналом потврђена квалификованим електронским печатом или квалификованим електронским потписом лица из подтач. (1)–(3) овог става или лица на кога су пренете надлежности на основу којих је акт донет.
Овлашћено лице органа јавне власти може у поступцима који се спроводе у вршењу јавних овлашћења дигитализовати акт и оверити дигитализовани акт квалификованим електронским печатом органа или својим квалификованим електронским потписом, чиме се потврђује истоветност дигитализованог акта са оригиналном исправом.
Дигитализовани акт који је оверен од стране органа из става 2. овог члана има исту доказну снагу као оригинал у оквиру спровођења тог поступка.
Овера одштампаног примерка електронског документа
Члан 12.
Одштампани примерак електронског документа има исту доказну снагу као оригинални акт, ако су кумулативно испуњени следећи услови и то:
1) да је штампање електронског документа извршено под надзором:
(1) физичког лица, овлашћеног лица физичког лица у својству регистрованог субјекта, односно овлашћеног лица правног лица чији је то акт, или
(2) лицa које је овлашћено за оверу потписа, рукописа и преписа у складу са законом који уређује оверу потписа, рукописа и преписа;
2) да је истоветност одштампаног примерка електронског документа са оригиналом потврђена, уз назнаку да је реч о одштампаном примерку електронског документа:
(1) својеручним потписом физичког лица, или
(2) својеручним потписом овлашћеног лица физичког лица у својству регистрованог субјекта, односно овлашћеног лица правног лица, као и печатом физичког лица у својству регистрованог субјекта, односно правног лица, ако постоји законска обавеза да акт садржи печат, или
(3) од стране лицa које је овлашћено за оверу потписа, рукописа и преписа у складу са законом који уређује оверу потписа, рукописа и преписа.
Овлашћено лице органа јавне власти може у поступцима који се спроводе у вршењу јавних овлашћења одштампати електронски документ на папиру и оверити одштампани примерак електронског документа на начин из става 1. тачка 2) подтачка (2) овог члана, при чему одштампани примерак електронског документа обавезно садржи печат утврђен законом којим се уређује печат државних и других органа.
Одштампани примерак електронског документа који је оверен од стране органа из става 2. овог члана има исту доказну снагу као оригинал у оквиру спровођења тог поступка.
Потврда о пријему електронског документа
Члан 13.
Потврда о пријему електронског документа је доказ да је тај документ примљен од стране примаоца.
Потврду о пријему електронског документа издаје прималац електронског документа или пружалац услуге електронске доставе.
Потврда о пријему електронског документа може бити сачињена у форми електронског документа.
Обавеза издавања потврде о пријему електронског документа и елементи садржаја потврде уређују се прописима или вољом странака, ако законом није другачије одређено.
Дуплирање електронских докумената
Члан 14.
Сваки примљени електронски документ сматра се посебним документом, осим ако је више пута примљен истоветан документ и прималац је знао или је морао знати да је реч о истоветном документу.
Достављање електронских докумената између органа јавне власти и странака
Члан 15.
Поднесак израђен као електронски документ физичка и правна лица (странке) достављају органима јавне власти путем електронске поште на адресу електронске поште која је од стране органа јавне власти одређена за пријем електронских поднесака, путем услуге квалификоване електронске доставе на адресу за квалификовану електронску доставу која је од стране органа јавне власти одређена за пријем електронских докумената или другим електронским путем ако је законом који уређује тај поступак предвиђена могућност електронског општења, односно ако питање електронске доставе тим законом није другачије уређено.
Електронски документ из става 1. овог члана орган јавне власти доставља странци на адресу електронске поште, односно адресу за квалификовану електронску доставу, која је од стране странке одређена за пријем електронских докумената или другим електронским путем, у складу са прописом.
Достављање електронских докумената између органа јавне власти
Члан 16.
Достављање електронских докумената између органа јавне власти обавља се путем електронске поште, сервисне магистрале органа, услуге квалификоване електронске доставе или другим електронским путем, у складу са прописом.
III. ЕЛЕКТРОНСКА ИДЕНТИФИКАЦИЈА
1. Шеме електронске идентификације
Услови које мора да испуњава шема електронске идентификације
Члан 17.
Шема електронске идентификације мора:
1) да садржи податке за идентификацију лица на издатим средствима за идентификацију, који јединствено одређују правно или физичко лице;
2) да обезбеди да издавалац средстава електронске идентификације обезбеди идентификационе податке у оквиру средства електронске идентификације који одговарају лицу коме је средство издато;
3) да јасно дефинише техничке и друге услове који омогућавају поуздајућој страни проверу идентитета;
4) да испуњава услове за ниво поузданости у који се разврстава, из члана 18. овог закона.
Нивои поузданости шема електронске идентификације
Члан 18.
Шеме електронске идентификације разврставају се према нивоу поузданости на:
1) шеме основног нивоа поузданости, које обезбеђују ограничено поверење у идентитет којим се лице представља и користе средства и процедуре чија сврха је да смање ризик злоупотребе односно неистинитог представљања;
2) шеме средњег нивоа поузданости, које обезбеђују значајно поверење у идентитет којим се лице представља и користе средства и процедуре чија сврха је да значајно смање ризик злоупотребе односно неистинитог представљања;
3) шеме високог нивоа поузданости, које обезбеђују високо поверење у идентитет којим се лице представља и користе средства и процедуре чија сврха је да онемогуће злоупотребу односно неистинито представљање.
Влада, на предлог министарства надлежног за послове информационог друштва (у даљем тексту: Министарство), уређује ближе услове које морају да испуне шеме електронске идентификације за одређене нивое поузданости, а нарочито:
1) начин доказивања и провере идентитета физичког односно правног лица које захтева издавање средстава електронске идентификације;
2) начин издавања средстава електронске идентификације;
3) механизам аутентикације, путем кога физичко односно правно лице коришћењем средстава идентификације потврђује свој идентитет другој страни у електронској трансакцији;
4) услове које треба да испуни издавалац средстава електронске идентификације;
5) услове које треба да испуне други учесници који су укључени у поступак издавања средстава електронске идентификације;
6) техничке и безбедносне карактеристике средстава електронске идентификације која се издају;
7) минималне техничке и организационе услове у циљу обезбеђивања интероперабилности шема електронске идентификације у складу са домаћим и међународним стандардима из ове области.
Регистар пружалаца услуга електронске идентификације и шема електронске идентификације
Члан 19.
Пружалац услуге електронске идентификације подноси Министарству захтев за упис у Регистар пружалаца услуга електронске идентификације и шема електронске идентификације, који води Министарство.
Регистар из става 1. овог члана од података о личности садржи податке о одговорним лицима, и то: име, презиме, функцију и контакт податке као што су адреса, број телефона и адреса електронске поште.
Министарство прописује садржај и начин вођења регистра из става 1. овог члана, као и начин подношења захтева за упис у регистар, у складу са законом који уређује општи управни поступак, потребну документацију уз захтев, образац захтева и начин објављивања података из регистра.
Коришћење шема електронске идентификације у електронском пословању и у општењу са органом јавне власти
Члан 20.
За утврђивање идентитета у електронском пословању могу се користити шеме електронске идентификације које су уписане у регистар из члана 19. овог закона, као и шеме електронске идентификације које нису уписане у регистар.
Исказ воље не може се оспорити само зато што су, уместо потписа, коришћене шеме електронске идентификације из става 1. овог члана.
Шема електронске идентификације која је уписана у регистар из члана 19. овог закона (у даљем тексту: регистрована шема електронске идентификације) може се користити за утврђивање идентитета странке у општењу са органом јавне власти.
У општењу странке са органима јавне власти идентитет странке утврђен на основу регистроване шеме електронске идентификације високог нивоа поузданости замењује потпис странке на поднеску.
Прописом може бити одређено да се у случају из става 4. овог члана може користити шема електронске идентификације средњег или основног нивоа поузданости, ако су ризик од злоупотребе и могућа штета од злоупотребе такви да није неопходно користити шему високог нивоа поузданости.
Одговорност при електронској идентификацији
Члан 21.
Издавалац средстава електронске идентификације одговоран је за штету која је настала због тога што средство за идентификацију није издато у складу са шемом електронске идентификације која испуњава услове из члана 17. овог закона.
За штету насталу услед неисправно спроведеног поступка аутентикације одговорна је страна која спроводи тај поступак, ако је штету проузроковала намерно или непажњом.
Безбедносни услови које треба да испуњавају пружаоци услуга електронске идентификације
Члан 22.
Пружаоци услуга електронске идентификације предузимају потребне техничке, физичке и организационе мере за управљање ризицима који угрожавају поуздано и безбедно пружање тих услуга.
Техничким и организационим мерама осигурава се да ниво безбедности одговара степену ризика и предвиђеном нивоу поузданости шеме електронске идентификације, узимајући у обзир најновија доступна технолошка решења, а посебно се предузимају мере за спречавање безбедносних инцидената и ограничавање штетних последица евентуалних инцидената, као и за обавештавање заинтересованих страна о нежељеним ефектима безбедносних инцидената.
2. Прекогранична сарадња у области електронске идентификације
Интероперабилност техничких система
Члан 23.
Министарство сарађује са надлежним међународним телима по питањима прекограничне интероперабилности шема електронске идентификације и предузима мере из своје надлежности како би се успоставио што виши ниво интероперабилности шема електронске идентификације на националном нивоу.
Пријављивање
Члан 24.
Министарство Европској комисији може пријављивати регистроване шеме електронског идентитета које испуњавају услове из Уредбе ЕУ бр. 910/2014 Европског парламента и Савета (у даљем тексту: Уредба eIDAS).
IV. УСЛУГЕ ОД ПОВЕРЕЊА
1. Опште одредбе
Одговорност пружаоца услуга од поверења и терет доказивања
Члан 25.
Пружалац услуге од поверења одговоран је за штету насталу услед тога што није поступио у складу са овим законом уколико је штету проузроковао намерно или непажњом.
Терет доказивања намере или непажње пружаоца услуга од поверења је на физичком или правном лицу које захтева накнаду штете из става 1. овог члана.
Терет доказивања да штета није настала услед намере или непажње квалификованог пружаоца услуга од поверења из става 1. овог члана је на том пружаоцу услуга.
Пружалац услуга од поверења није одговоран за штету насталу због коришћења услуге којом је прекорачено назначено ограничење, ако је корисник услуге од поверења о таквом ограничењу унапред обавештен.
Одговорност корисника услуга од поверења за чување средстава и података за формирање електронског потписа односно печата
Члан 26.
Корисник услуге од поверења дужан је да чува средства и податке за формирање електронског потписа односно печата од неовлашћеног приступа и употребе, и да исте користи у складу са одредбама овог закона.
Безбедносни услови које треба да испуњавају пружаоци услуга од поверења
Члан 27.
Пружаоци услуга од поверења, укључујући пружаоце квалификованих услуга од поверења, предузимају потребне техничке и организационе мере за управљање ризицима који угрожавају поуздано и безбедно пружање тих услуга од поверења.
Техничким и организационим мерама осигурава се да ниво безбедности одговара степену ризика, узимајући у обзир најновија доступна технолошка решења, а посебно се предузимају мере за спречавање безбедносних инцидената и ограничавање штетних последица евентуалних инцидената, као и за обавештавање заинтересованих страна о нежељеним ефектима безбедносних инцидената.
Пружаоци услуга од поверења, укључујући пружаоце квалификованих услуга од поверења, без одлагања, а најкасније у року од 24 сата од сазнања, обавештавају Министарство о сваком нарушавању безбедности или губитку интегритета услуге који имају значајан утицај на пружање услуга од поверења или на заштиту података о личности који се обрађују у оквиру пружања услуге. У случају када се нарушена безбедност односи на заштиту података о личности пружалац услуге од поверења обавештава и Повереника за информације од јавног значаја и заштиту података о личности.
Ако би угрожавање безбедности или губитак интегритета услуге од поверења могли неповољно утицати на кориснике услуга од поверења, пружалац услуга од поверења о повреди безбедности или губитку интегритета услуге, без одлагања, обавештава корисника услуга од поверења.
Министарство обавештава јавност или захтева од пружаоца услуга од поверења да то учини, ако утврди да је објављивање података о повреди безбедности или губитка интегритета услуге у јавном интересу.
Министарство ће остварити сарадњу са одговарајућим институцијама других држава по питању размене података о нарушавању безбедности и интегритета, у складу са одговарајућим потврђеним међународним споразумима.
Надлежност Министарства
Члан 28.
Министарство врши следеће послове:
1) води регистар пружаоца квалификованих услуга од поверења;
2) разматра извештаје о провери испуњености услова за пружање квалификованих услуга од поверења;
3) врши инспекцијски надзор над радом пружаоца услуга од поверења;
4) налаже ванредну проверу испуњености услова за пружање квалификованих услуга од поверења, у складу са законом;
5) сарађује са надлежним органом за заштиту података о личности, и обавештава га без одлагања уколико дође до сазнања да пружаоци квалификованих услуга од поверења не поступају у складу са прописима о заштити података о личности;
6) проверава постојање и правилну примену одредаба о плановима прекида активности у случајевима када пружалац квалификоване услуге од поверења прекине своје активности, укључујући начин на који се одржава доступност информација које издаје и прима пружалац квалификоване услуге од поверења;
7) сарађује са надзорним телима из члана 17. Уредбe eIDAS;
8) обавештава јавност о угрожавању безбедности или губитку целовитости услуга од поверења који имају значајан утицај на пружену услугу од поверења или у њој садржане личне податке.
Надлежности Министарства у оквиру прекограничне сарадње у области услуга од поверења
Члан 29.
Министарство обавља и послове:
1) обавештава надлежна тела страних држава о угрожавању безбедности или губитку целовитости који имају значајан утицај на пружену услугу од поверења или у њој садржане личне податке;
2) извештава Европску комисију о својим активностима у складу са Уредбом eIDAS, почев од дана ступања Републике Србије у чланство у Европској унији.
2. Опште одредбе за квалификоване услуге од поверења
Успостављање односа између пружаоца и корисника квалификоване услуге од поверења
Члан 30.
О пружању квалификоване услуге од поверења закључује се уговор између пружаоца и корисника квалификоване услуге од поверења, на захтев корисника.
Пружалац квалификоване услуге од поверења дужан је да, пре закључивања уговора из става 1. овог члана, обавести лице које је поднело захтев за пружање квалификоване услуге од поверења о свим важним околностима коришћења услуге, а нарочито о:
1) прописима и правилима који се односе на коришћење квалификоване услуге од поверења;
2) евентуалним ограничењима у коришћењу квалификоване услуге од поверења;
3) мерама које треба да реализују корисници квалификоване услуге од поверења и о потребној технологији за безбедно коришћење квалификоване услуге од поверења.
Корисник квалификоване услуге од поверења може користити услуге од поверења једног или више пружалаца услуга од поверења.
Услови за пружање квалификованих услуга од поверења
Члан 31.
Пружалац квалификованих услуга од поверења мора:
1) имати запослене који поседују неопходну стручност, искуство и квалификације за примену административних и управљачких процедура које одговарају домаћим и међународним стандардима и који су прошли одговарајућу обуку у области информационе безбедности и заштите података о личности;
2) бити осигуран од одговорности за штету насталу вршењем квалификоване услуге од поверења;
3) користити сигурне уређаје и производе који су заштићени од неовлашћене промене и гарантују техничку безбедност и поузданост процеса које подржавају;
4) користити сигурне системе за чување података који су му поверени тако:
(1) да су јавно расположиви само када је добијена сагласност лица чији су то подаци,
(2) да само овлашћена лица могу уносити податке и вршити измене,
(3) да се може проверавати аутентичност података;
5) спроводити мере против фалсификовања и крађе података;
6) чувати у одговарајућем временском периоду све релевантне информације које се односе на податке који су креирани или примљени од стране пружаоца квалификованих услуга од поверења, а посебно за сврху пружања доказа у правним поступцима. Чување се може вршити електронским путем;
7) водити ажурну, тачну и безбедним мерама заштићену базу података издатих електронских сертификата;
8) имати ажуран план завршетка рада који осигурава континуитет квалификованих услуга од поверења;
9) осигурати обраду личних података у складу са законима Републике Србије.
Пружалац квалификоване услуге од поверења дужан је да донесе акта којима одређује:
1) опште услове за пружање услуге који су јавно доступни;
2) процедуре и поступке које пружалац квалификоване услуге од поверења користи како би обезбедио пружање услуге у складу са прописима и општим условима из тачке 1) овог става.
Влада, на предлог Министарства, ближе уређује услове за пружање квалификоване услуге од поверења из става 1. овог члана и садржај аката из става 2. овог члана, укључујући одређивање међународних стандарда који се примењују.
Осигурање од професионалне одговорности
Члан 32.
Министарство прописује најнижи износ осигурања од ризика одговорности за штету насталу вршењем услуге квалификоване услуге од поверења.
Провера идентитета корисника квалификоване услуге од поверења
Члан 33.
При издавању квалификованог сертификата за услуге од поверења пружалац квалификоване услуге од поверења проверава податке о идентитету физичког односно правног лица који су садржани у квалификованом сертификату, у складу са законом.
Проверу података из става 1. овог члана пружалац квалификоване услуге од поверења врши:
1) уз физичко присуство физичког лица или овлашћеног представника правног лица или
2) путем јавне исправе која служи као средство идентификације на даљину, у складу са законом.
О промени података из става 1. овог члана, физичко односно правно лице дужно је да, без одлагања, обавести пружаоца квалификоване услуге од поверења.
Оцењивање испуњености услова за пружање квалификованих услуга од поверења
Члан 34.
Оцењивање испуњености услова за пружање квалификованих услуга од поверења (у даљем тексту: оцењивање испуњености услова) обавља тело за оцењивање усаглашености које је, у складу са законом којим се уређује акредитација, акредитовано за оцењивање усаглашености пружаоца квалификованих услуга од поверења и квалификованих услуга од поверења које они пружају.
Након спроведеног оцењивања испуњености услова тело за оцењивање усаглашености сачињава извештај о оцењивању усаглашености.
Оцењивање испуњености услова врши се пре почетка пружања квалификованих услуга од поверења и најмање једном у 24 месеца.
Након завршеног оцењивања испуњености услова пружалац услуге од поверења доставља Министарству извештај о оцењивању усаглашености, у року од три радна дана од дана када га је примио.
Министарство може наложити ванредно оцењивање испуњености услова ако се утврде неправилности у пружању квалификованих услуга од поверења или ако наступи инцидент који је у значајној мери угрозио или нарушио информациону безбедност.
Ванредно оцењивање испуњености услова врши тело за оцењивање усаглашености које није повезано са вршењем претходног оцењивања.
Трошкове оцењивања испуњености услова, укључујући ванредна оцењивања, сноси пружалац квалификоване услуге од поверења.
Министарство утврђује листу стандарда које мора да испуни тело за оцењивање усаглашености, обавезну садржину извештаја о оцењивању усаглашености и поступак оцењивања испуњености услова односно оцењивања усаглашености квалификованих услуга од поверења.
Почетак пружања квалификованих услуга од поверења
Члан 35.
Пружалац квалификованих услуга од поверења подноси Министарству захтев за упис у Регистар пружалаца квалификованих услуга од поверења, који води Министарство.
Пружалац квалификованих услуга од поверења мора бити уписан у регистар из става 1. овог члана пре отпочињања пружања квалификованих услуга од поверења.
Уз захтев из става 1. овог члана прилажу се докази о чињеницама исказаним у захтеву укључујући извештај о оцењивању усаглашености из члана 34. став 4. овог закона којим је оцењено да подносилац захтева и квалификоване услуге од поверења које он намерава да пружа испуњавају услове из овог закона.
Министарство решава о упису пружаоца квалификованих услуга од поверења у регистар из става 1. овог члана у року од 60 дана од дана подношења уредног захтева.
У поступку решавања из става 4. овог члана Министарство може захтевати прилагање додатних доказа, као и додатну проверу техничких и безбедносних компоненти и оперативног рада.
Ако пружалац услуга престане да испуњава услове прописане овим законом Министарство доноси решење о његовом брисању из регистра из става 1. овог члана.
Регистар из става 1. овог члана од података о личности садржи податке о одговорним лицима, и то: име, презиме, функцију и контакт податке као што су адреса, број телефона и адреса електронске поште.
Министарство прописује садржај и начин вођења регистра из става 1. овог члана, начин подношења захтева за упис у регистар из става 1. овог члана у складу са прописима који уређују општи управни поступак, потребну документацију уз захтев, образац захтева и начин провере испуњености услова за пружање квалификоване услуге од поверења.
Престанак пружања услуге издавања квалификованих електронских сертификата
Члан 36.
Издавалац квалификованих електронских сертификата који намерава да престане са обављањем делатности дужан је да о намери раскида уговора обавести сваког корисника квалификоване услуге од поверења и Министарство, најмање три месеца пре настанка намераваног престанка обављања делатности.
Издавалац квалификованих електронских сертификата који престаје са обављањем послова дужан је да обезбеди код другог пружаоца услуга од поверења наставак обављања услуге за кориснике квалификоване услуге од поверења којима је издао сертификат, а ако за то нема могућности, дужан је да опозове све издате сертификате и о предузетим мерама одмах обавести Министарство.
Издавалац квалификованих електронских сертификата дужан је да достави сву документацију и неопходна техничка средства у вези са обављањем услуга од поверења другом издаваоцу на кога преноси обавезе обављања једне или више услуга од поверења.
Ако издавалац квалификованих електронских сертификата не поступи у складу са ставом 3. овог члана, дужан је да достави сву документацију Министарству које ће извршити опозив свих сертификата, без одлагања, а на трошак издаваоца квалификованих електронских сертификата.
У случају привремене забране вршења услуга, сертификати издати до дана настанка узрока због којих је изречена мера забране, остају у важности.
Државни орган као пружалац квалификованих услуга од поверења
Члан 37.
Државни орган може постати пружалац услуга од поверења на основу уредбе Владе ако испуњава све услове за пружање услуга предвиђених законом.
Уредба треба да садржи врсту услуге од поверења коју може да пружа орган из става 1. овог члана, начин обављања и ближе одређење поступка обављања поверених услуга од поверења.
Јавна листа квалификованих услуга од поверења
Члан 38.
Министарство објављује Јавну листу квалификованих услуга од поверења, у електронском облику који је погодан за аутоматску обраду.
Подаци у Јавној листи квалификованих услуга од поверења изводе се из Регистра из члана 35. овог закона.
Јавна листа квалификованих услуга од поверења потписује се напредним електронским печатом.
Форму и начин објављивања Јавне листе квалификованих услуга од поверења прописује Министарство.
Форма и начин објављивања Јавне листе квалификованих услуга од поверења из става 4. овог члана треба да буду усклађени са техничким условима за листе од поверења из члана 22. Уредбе eIDAS.
Знак поузданости за квалификоване услуге од поверења
Члан 39.
Знак поузданости за квалификоване услуге од поверења (у даљем тексту: Знак поузданости) je знак којим се на једноставан, препознатљив и јасан начин означава квалификована услуга од поверења.
Регистровани пружаоци квалификованих услуга од поверења имају право да користе Знак поузданости за квалификоване услуге од поверења које пружају.
Знак поузданости из става 1. користи се до ступања Републике Србије у чланство у Европској унији.
Министарство прописује изглед, састав, величину и дизајн Знака поузданости за квалификоване услуге од поверења.
Прекогранично признавање квалификованих услуга од поверења
Члан 40.
Квалификована услуга од поверења коју пружа страни пружалац услуге од поверења у реципроцитету је са домаћом услугом од поверења у земљи страног пружаоца услуге, што је регулисано потврђеним међународним споразумом.
V. ПОЈЕДИНЕ ВРСТЕ УСЛУГА ОД ПОВЕРЕЊА
Врсте услуга
Члан 41.
Услуге од поверења се пружају у областима:
1) електронског потписа и електронског печата;
2) електронског временског жига;
3) електронске доставе;
4) аутентикације веб сајтова;
5) електронског чувања докумената.
Квалификоване услуге од поверења су:
1) издавање квалификованих сертификата за електронски потпис;
2) услуга управљања квалификованим средством за креирање електронског потписа;
3) услуга валидације квалификованог електронског потписа;
4) издавање квалификованих сертификата за електронски печат;
5) услуга управљања квалификованим средством за креирање електронског печата;
6) услуга валидације квалификованог електронског печата;
7) издавање квалификованих електронских временских жигова;
8) услуга квалификоване електронске доставе;
9) услуга издавања квалификованих сертификата за аутентикацију веб сајтова;
10) услуга квалификованог електронског чувања докумената.
Пружалац услуга од поверења односно квалификованих услуга од поверења може пружати једну или више услуга из ст. 1. и 2. овог члана.
1. Електронски потпис и електронски печат
Напредни електронски потпис и напредни електронски печат
Члан 42.
Напредни електронски потпис односно напредни електронски печат мора:
1) на недвосмислен начин да буде повезан са потписником односно печатиоцем;
2) да омогућава утврђивање идентитета потписника, односно печатиоца;
3) да буде израђен коришћењем података за израду електронског потписа односно електронског печата које потписник односно печатилац може, уз висок ниво поузданости, користити под својом искључивом контролом;
4) да буде повезан са електронски потписаним односно електронски печатираним подацима, на начин да се може утврдити било која накнадна измена тих података.
Садржај квалификованог електронског сертификата
Члан 43.
Квалификовани електронски сертификат мора да садржи:
1) ознаку, у форми погодној за аутоматску обраду, да се електронски сертификат користи као квалификовани сертификат за електронски потпис, односно печат;
2) скуп података који јединствено идентификују квалификованог пружаоца услуге од поверења за издавање квалификованог електронског сертификата укључујући, најмање, земљу порекла пружаоца и назив пружаоца;
3) скуп података који јединствено идентификују потписника односно печатиоца укључујући најмање:
(1) за потписника:
– име и презиме или псеудоним, а уколико је употребљен псеудоним то мора бити јасно обележено у оквиру квалификованог електронског сертификата;
– ЈМБГ, уколико је у захтеву за издавање сертификата потписник захтевао да сертификат садржи ЈМБГ;
(2) за печатиоца: назив, држава и матични број односно јединствена идентификациона ознака у складу са правном регулативом те државе, уколико постоји;
4) податке за проверу електронског потписа односно електронског печата, који одговарају подацима за креирање тог електронског потписа односно електронског печата;
5) податке о почетку и крају важења квалификованог електронског сертификата;
6) серијски број квалификованог електронског сертификата, који мора бити јединствен у оквиру издаваоца квалификованог електронског сертификата;
7) напредни електронски потпис или напредни електронски печат издаваоца квалификованог електронског сертификата;
8) локацију на којој је, без накнаде, доступан сертификат напредног електронског потписа односно напредног електронског печата из тачке 7) овог става;
9) локацију услуге путем које се проверава статус валидности квалификованог електронског сертификата;
10) ознаку да су подаци за креирање електронског потписа односно печата, који одговарају подацима за проверу електронског потписа односно печата из квалификованог електронског сертификата, садржани у квалификованом средству за креирање електронског потписа односно печата, уколико је тај услов испуњен.
Квалификовани електронски сертификати, поред обележја из става 1. овог члана, могу укључивати додатна обележја.
Министарство ближе прописује услове које морају да испуњавају квалификовани електронски сертификати из става 1. овог члана.
Опозив и суспензија квалификованог електронског сертификата
Члан 44.
Издавалац квалификованих сертификата дужан је да изврши опозив издатих сертификата, када:
1) опозив сертификата захтева власник сертификата или његов пуномоћник;
2) власник сертификата изгуби пословну способност, или је престао да постоји или су се промениле околности које битно утичу на важење сертификата;
3) утврди да је податак у сертификату погрешан;
4) утврди да су подаци за проверу квалификованог електронског потписа односно печата или систем пружаоца квалификованих услуга од поверења угрожени на начин који утиче на безбедност и поузданост сертификата;
5) утврди да су подаци за електронско потписивање односно печатирање или систем власника сертификата угрожени на начин који утиче на поузданост и безбедност електронског потписа;
6) престаје са радом или му је рад забрањен.
Издавалац квалификованих сертификата дужан је да обавести корисника квалификоване услуге од поверења о опозиву сертификата у року од 24 часа од примљеног обавештења, односно настанка околности због којих се сертификат опозива.
Корисник квалификоване услуге од поверења дужан је да одмах затражи опозив свог квалификованог електронског сертификата у случају губитка или оштећења уређаја или података за креирање сертификата.
У случају опозива квалификовани електронски сертификат трајно престаје да важи од тренутка опозива.
У случају суспензије квалификовани електронски сертификат губи важност током периода трајања суспензије.
Подаци о суспензији и периоду трајања суспензије квалификованог електронског сертификата уписују се у базу података издатих сертификата коју води издавалац квалификованих електронских сертификата и морају бити видљиви током трајања суспензије у оквиру услуга којима се пружају информације о статусу сертификата.
Чување документације о издатим и опозваним квалификованим сертификатима
Члан 45.
Издавалац квалификованих електронских сертификата дужан је да чува комплетну документацију о издатим и опозваним квалификованим електронским сертификатима, као средство за доказивање и верификацију у управним, судским и другим поступцима, најмање десет година по престанку важења сертификата.
Подаци из става 1. овог члана могу се чувати у електронској форми.
Квалификована средства за креирање електронског потписа и печата
Члан 46.
Квалификовано средство за креирање електронског потписа односно печата мора да, помоћу одговарајућих техничких решења и поступака, обезбеди:
1) поверљивост података за креирање електронског потписа односно печата;
2) да се подаци за креирање електронског потписа, односно печата појављују само једном;
3) да се подаци за креирање електронског потписа, односно печата не могу добити изван средства за креирање електронског потписа, односно печата употребом доступне технологије у разумном времену;
4) да је електронски потпис, односно печат поуздано заштићен од фалсификовања употребом доступне технологије;
5) могућност поуздане заштите података за креирање електронског потписа, односно печата од неовлашћеног коришћења.
Средства за креирање квалификованог електронског потписа, односно печата, приликом креирања електронског потписа односно печата, не смеју променити податке који се потписују односно печатирају или онемогућити потписнику, односно печатиоцу увид у те податке пре процеса креирања квалификованог електронског потписа односно печата.
Квалификовано средство за креирање електронског потписа, односно печата корисник квалификоване услуге од поверења може користити путем услуге управљања квалификованим средством за креирање електронског потписа, односно печата, што такође представља квалификовану услугу од поверења.
Изузетно од става 1. овог члана, квалификовани пружалац услуга од поверења из става 3. овог члана може израдити копију података за израду електронског потписа, односно печата у сврху заштите од губитка података ако:
1) израда и чување копија података за креирање квалификованог електронског потписа односно печата не умањују прописани ниво заштите тих података;
2) број израђених копија података за креирање електронског потписа односно печата није већи него што је то неопходно за обезбеђивање континуитета пружања услуге.
Министарство ближе прописује услове које мора да испуњава средство за креирање квалификованог електронског потписа односно печата.
Сертификација квалификованих средстава за креирање електронског потписа односно печата
Члан 47.
У складу са законом којим се уређују технички захтеви за производе и оцењивање усаглашености, Министарство именује тело за оцену усаглашености средстава за креирање квалификованог електронског потписа односно печата са прописом из члана 46. (у даљем тексту: именовано тело).
Прописом из члана 46. се, такође, ближе уређују услови које мора да испуњава именовано тело.
Министарство води Регистар квалификованих средстава за креирање електронских потписа и електронских печата на основу извештаја које добија од именованих тела.
Именовано тело без одлагања, а најкасније у року од 7 дана од настале промене, обавештава Министарство о издатим и повученим потврдама о усаглашености средстава за креирање електронских потписа односно печата.
Министарство у електронском облику објављује податке из Регистра квалификованих средстава за креирање електронских потписа и електронских печата.
У Регистар квалификованих средстава за креирање електронских потписа и електронских печата уписују се и квалификована средства за креирање електронског потписа и електронског печата са списка који, према члану 31. Уредбе eIDAS, објављује Европска комисија.
Министарство прописује садржај и начин вођења регистра из става 3. овог члана, начин подношења захтева за упис у регистар у складу са прописима који уређују општи управни поступак, потребну документацију уз захтев и образац захтева.
Поступак валидације квалификованог електронског потписа и квалификованог електронског печата
Члан 48.
Поступком валидације утврђује се да електронски потпис представља исправан квалификовани електронски потпис када:
1) је утврђено да је сертификат који прати електронски потпис у тренутку потписивања представљао квалификовани електронски сертификат;
2) је утврђено да је квалификовани електронски сертификат издат од стране пружаоца услуге издавања квалификованих сертификата за електронски потпис и да је важио у тренутку потписивања;
3) је утврђено да подаци за валидацију електронског потписа из квалификованог електронског сертификата одговарају комбинацији електронског потписа и података који су потписани електронским потписом;
4) је поуздајућој страни тачно приказан скуп података из квалификованог електронског сертификата који јединствено идентификују потписника;
5) су поуздајућој страни тачно приказани подаци који су потписани електронским потписом;
6) је коришћење псеудонима јасно назначено поуздајућој страни, у случају да је приликом електронског потписивања коришћен псеудоним;
7) је утврђено да је електронски потпис креиран коришћењем квалификованог средства за креирање електронског потписа;
8) је утврђено да није нарушен интегритет података који су потписани електронским потписом;
9) је утврђено да електронски потпис испуњава услове за напредни електронски потпис из овог закона.
Систем који се користи за валидацију квалификованог електронског потписа обезбеђује тачан резултат поступка валидације поуздајућој страни и омогућава јој идентификовање било ког проблема од значаја за поузданост.
Одредбе ст. 1. и 2. овог члана сходно се примењују на електронски печат.
Министарство ближе прописује услове за поступак валидације квалификованог електронског потписа и квалификованог електронског печата.
Услуга квалификоване валидације квалификованих електронских потписа и квалификованих електронских печата
Члан 49.
Пружалац услуге квалификоване валидације квалификованих електронских потписа односно печата обезбеђује:
1) валидацију квалификованог електронског потписа односно печата у складу са чланом 48. овог закона;
2) да поуздајућа страна која користи услугу добије резултат поступка валидације електронским путем на аутоматизован начин, који је поуздан и ефикасан;
3) да је резултат поступка валидације из тачке 2) овог става печатиран напредним електронским печатом или потписан напредним електронским потписом пружаоца услуге.
Министарство ближе прописује услове за пружање услуге квалификоване валидације квалификованих електронских потписа и квалификованих електронских печата.
Правно дејство електронског потписа
Члан 50.
Електронском потпису не може се оспорити пуноважност или доказна снага само због тога што је у електронском облику или што не испуњава услове за квалификовани електронски потпис.
Квалификовани електронски потпис има исто правно дејство као и својеручни потпис.
Квалификовани електронски потпис може да замени оверу својеручног потписа, ако је то прописано посебним законом.
Одредбе ст. 1. и 2. овог члана не примењују се на правне послове за које је посебним законом предвиђено да се не могу предузети у електронској форми.
Уговори и други правни послови за које је посебним законом предвиђено да се сачињавају у форми овере потписа, јавно потврђене (солемнизоване) исправе, или у форми јавнобележничког записа не могу се сачинити у складу са ст. 1. и 2. овог члана већ у складу са прописима којима се уређује овера потписа, потврђивање и сачињавање исправа о правним пословима.
Правно дејство електронског печата
Члан 51.
Електронском печату не може се оспорити пуноважност или доказна снага само због тога што је у електронском облику или што не испуњава услове за квалификовани електронски печат.
За квалификовани електронски печат важи правна претпоставка очуваности интегритета и тачности порекла података за које је везан.
Акт органа јавне власти који се доноси у вршењу јавних овлашћења у облику електронског документа уместо печата односно потписа службеног лица и печата садржи квалификовани електронски печат тог органа.
Квалификовани електронски печат на поднеску у поступку који органи јавне власти спроводе у вршењу јавних овлашћења у облику електронског документа има исто правно дејство као и својеручни потпис, односно печат.
Одредбе ст. 1–4. овог члана не примењују се на правне послове за које је посебним законом предвиђено да се не могу предузети у електронској форми.
Уговори и други правни послови за које је посебним законом предвиђено да се сачињавају у форми овере потписа, јавно потврђене (солемнизоване) исправе, или у форми јавнобележничког записа не могу се сачинити у складу са ст. 1–4. овог члана већ у складу са прописима којима се уређује овера потписа, потврђивање и сачињавање исправа о правним пословима.
2. Електронски временски жиг
Услови за квалификоване електронске временске жигове
Члан 52.
Квалификовани електронски временски жиг мора:
1) да је повезан са координираним универзалним временом (UTC) тако да се спречава свака могућност промене података која се не може открити;
2) да је заснован на прецизном временском извору;
3) да је издат од стране пружаоца услуге издавања квалификованог временског жига;
4) да је потписан, односно печатиран од стране пружаоца услуге издавања квалификованог временског жига помоћу напредног електронског потписа или напредног електронског печата.
Министарство прописује ближе услове за квалификоване електронске временске жигове.
Правно дејство електронског временског жига
Члан 53.
Електронском временском жигу не може се оспорити пуноважност или доказна снага само због тога што је у електронском облику или што не испуњава услове за квалификован временски жиг.
За квалификовани електронски временски жиг и податке којима је тај временски жиг придружен важи правна претпоставка тачности датума и времена исказаног у временском жигу и очуваности интегритета тих података у односу на тај временски тренутак.
3. Електронска достава
Услови за услуге квалификоване електронске доставе
Члан 54.
Услуга квалификоване електронске доставе мора:
1) да је пружана од стране једног или више пружаоца квалификованих услуга од поверења;
2) да, уз висок ниво поузданости, обезбеђује идентификацију пошиљаоца;
3) да обезбеђује идентификацију примаоца приликом доставе података;
4) у процесу слања и пријема електронске поруке, да користи напредни електронски потпис или напредни електронски печат пружаоца услуге квалификоване електронске доставе у сврху спречавања непримећене промене података;
5) да обезбеди да измена података извршена у сврху слања или пријема података мора бити јасно назначена пошиљаоцу и примаоцу;
6) да обезбеди да време и датум слања, пријема и евентуалне измене података морају бити назначени квалификованим електронским временским жигом;
7) да, у случају да се подаци преносе између два или више пружалаца услуге квалификоване електронске доставе, обезбеди да се услови из овог става примењују на сваког од њих.
Потврда о електронској достави
Члан 55.
Пружалац услуге квалификоване електронске доставе пошиљаоцу електронске поруке издаје:
1) потврду пријема електронске поруке од стране пружаоца услуге;
2) потврду доставе електронске поруке примаоцу.
Потврде из става 1. овог члана пружалац услуге доставља аутоматски у електронском облику потписане напредним електронским печатом, а на захтев их може издати у електронском или папирном облику.
Потврда из става 1. тач. 1) и 2) овог члана садржи:
1) идентификациону ознаку електронске поруке коју је доделио пружалац услуге;
2) податке о пошиљаоцу и примаоцу, који од података о личности могу да садрже податке из члана 43. став 1. тачка 3) овог закона као и адресу за електронску доставу;
3) податке који повезују потврду са садржајем електронске поруке;
4) датум и време пријема електронске поруке од стране пружаоца услуге, односно датум и време доставе електронске поруке пружаоцу услуге.
Потврда из става 1. тачка 2) овог члана сматра се доставницом у електронском облику у смислу закона којим се уређује управни поступак, при чему се датум и време доставе из става 3. тачка 4) овог члана сматрају датумом и временом уручења.
Датум и време пријема поднеска који је странка у управном поступку упутила органу путем квалификоване електронске доставе сматра се да је датум и време доставе из става 3. тачка 4) овог члана.
Ако дође до техничких проблема приликом електронског достављања односно пријема података, пружалац услуге квалификоване електронске доставе дужан је да о томе обавести пошиљаоца и примаоца.
Министарство прописује ближе услове за услуге квалификоване електронске доставе из члана 54. овог закона и садржај потврда из става 3. овог члана.
Размена електронских порука између пружалаца услуге квалификоване електронске доставе
Члан 56.
Ако се електронска порука преноси преко два или више пружалаца услуга квалификоване електронске доставе, тада се између пружалаца услуга електронска порука размењује путем Централног система за размену порука квалификоване електронске доставе (у даљем тексту: Централни систем).
Пружаоци услуге квалификоване електронске доставе у обавези су:
1) да обезбеде повезивање са Централним системом;
2) да у оквиру своје услуге омогуће пријем и слање порука и када је пошиљалац или прималац поруке корисник другог пружаоца услуге квалификоване електронске доставе.
Централни систем успоставља и о његовом функционисању стара се Министарство.
Правно дејство услуге електронске доставе
Члан 57.
Подацима послатим или примљеним путем услуге електронске доставе не може се оспорити правна снага и допуштеност као доказ у правном промету само из разлога што су у електронској форми или из разлога што не испуњавају све услове услуге квалификоване електронске доставе.
За податке из електронске поруке послате или примљене путем услуге квалификоване електронске доставе важи правна претпоставка интегритета података, слања података од назначеног пошиљаоца, пријем од стране назначеног примаоца, поузданости датума и времена слања или примања.
4. Аутентикација веб сајтова
Квалификовани сертификати за аутентикацију веб сајтова
Члан 58.
Аутентикација веб сајта користи се за потврду идентитета веб сајта од стране корисника квалификоване услуге од поверења, којом се гарантује његова поузданост коришћења.
За аутентикацију веб сајта користи се квалификовани сертификат који издаје пружалац квалификованих услуга од поверења.
Квалификовани сертификат за аутентикацију веб сајта мора да испуњава услове из члана 59. овог закона.
Садржај квалификованих сертификата за аутентикацију веб сајтова
Члан 59.
Квалификовани сертификати за аутентикацију веб сајтова садрже:
1) ознаку, која се може препознати при аутоматској обради, да је сертификат издат као квалификовани сертификат за аутентикацију веб сајтова;
2) скуп података који недвосмислено представљају пружаоца услуге издавања квалификованих сертификата за аутентикацију веб сајтова, што обавезно укључује државу седишта, пословно име и матични број тог пружаоца услуге;
3) име и презиме или псеудоним физичког лица коме је издат сертификат, односно пословно име и матични број правног лица коме је издат сертификат;
4) адресу, односно седиште физичког или правног лица коме је издат сертификат;
5) назив интернет домена физичког или правног лица коме је издат сертификат;
6) податке о почетку и крају рока важења сертификата;
7) идентификациону ознаку сертификата која мора да буде јединствена за пружаоца услуге издавања квалификованих сертификата за аутентикацију веб сајтова;
8) напредан електронски потпис или напредан електронски печат пружаоца услуге издавања квалификованих сертификата за аутентикацију веб сајтова;
9) локацију на којој је, без накнаде, доступан сертификат напредног електронског потписа односно напредног електронског печата из тачке 8) овог става;
10) локацију услуге путем које се проверава статус валидности квалификованог електронског сертификата.
5. Електронско чување документа
Припрема докумената за електронско чување
Члан 60.
Припрема докумената за електронско чување односи се на:
1) документа која су изворно настала у електронском облику који је погодан за чување;
2) конверзију документа у другачији електронски облик погодан за чување;
3) дигитализацију документа која су изворно настала у облику који није електронски у облик погодан за чување.
Документ припремљен за електронско чување може обухватити и додатне податке који описују документ или су изведени из документа.
Припрема докумената за поуздано електронско чување
Члан 61.
Припрема документа за поуздано електронско чување мора:
1) да обезбеди да сви битни елементи садржаја изворног документа буду верно пренети у документ припремљен за електронско чување, узимајући у обзир природу и сврху документа, тј. очуван је интегритет садржаја документа;
2) да обезбеди да је очувана употребљивост садржаја изворног документа;
3) да обезбеди да су укључени сви елементи садржаја изворног документа који су од значаја за аутентичност;
4) да обезбеди потврду верности изворног документа и тачност додатно укључених података квалификованим електронским печатом или потписом са придруженим временским жигом;
5) да обезбеди спровођење контроле тачности и квалитета конверзије као и отклањање грешака насталих у поступку конверзије;
6) да обезбеди да се допуне садржаја, унете забележбе и подаци о предузетим радњама чувају одвојено од изворних докумената;
7) да обезбеди да се о предузетим радњама у поступку припреме за електронско чување води уредна евиденција.
Ако је прописани рок за чување документа дужи од пет година, документ припремљен за чување треба да буде у формату који је погодан за дугорочно чување.
Влада, на предлог Министарства, уређује ближе услове које мора да испуњава поуздана припрема документа за електронско чување и формате документа који су погодни за дуготрајно чување.
Поуздано електронско чување документа
Члан 62.
Поуздано електронско чување докумената који у изворном облику садрже квалификовани електронски потпис односно печат, као потврду интегритета и порекла тих докумената, врши се тако да се током чувања користе поступци и технолошка решења којима се обезбеђује могућност доказивања валидности квалификованог електронског потписа односно печата током целог периода чувања.
Поуздано електронско чување докумената припремљених у складу са чланом 61. овог закона, којима је квалификованим електронским потписом односно печатом из члана 61. став 1. тачка 4) потврђена верност изворном документу и тачност додатно укључених података, врши се тако да се током чувања користе поступци и технолошка решења којима се обезбеђује могућност доказивања валидности квалификованог електронског потписа односно печата током целог периода чувања.
Министарство прописује ближе услове за поступке и технолошка решења из ст. 1. и 2. овог члана.
Министарство надлежно за послове културе уређује ближе услове, задатке, послове, стандарде и процесе дигитализације културног наслеђа и савременог стваралаштва који се односе на поступке и технолошка решења из чл. 61. и 62. овог закона.
Услуга квалификованог електронског чувања докумената
Члан 63.
Услуга квалификованог електронског чувања докумената је квалификована услуга од поверења путем које се пружа поуздано електронско чување докумената у складу са чл. 60– 62. овог закона.
Пружалац услуге квалификованог електронског чувања документа може се определити да услугу квалификованог електронског чувања докумената ограничи само на чување докумената који у изворном облику садрже квалификовани електронски потпис односно печат.
За документ који се чува у оквиру услуге квалификованог електронског чувања докумената важи правна претпоставка верности изворном документу, о чему пружалац услуге квалификованог електронског чувања документа издаје потврду.
Ако се документ чува у оквиру услуге квалификованог електронског чувања докумената тако да период чувања предвиђен том услугом обухвата прописани период чувања датог документа, изворни документ може бити уништен, осим ако није другачије прописано.
VI. ИНСПЕКЦИЈСКИ НАДЗОР
Послови инспекције за електронску идентификацију и услуге од поверења у електронском пословању
Члан 64.
Инспекција за електронску идентификацију и услуге од поверења у електронском пословању врши инспекцијски надзор над применом овог закона и радом пружалаца услуга електронске идентификације и пружалаца услуга од поверења (у даљем тексту: пружаоци услуга) преко инспектора за електронску идентификацију и услуге од поверења (у даљем тексту: инспектор).
У оквиру инспекцијског надзора пружалаца услуга инспектор утврђује да ли су испуњени услови прописани овим законом и прописима донетим за спровођење овог закона.
Овлашћења инспектора
Члан 65.
Инспектор је овлашћен да у поступку инспекцијског надзора:
1) налаже отклањање утврђених неправилности и за то остави рок;
2) забрањује употребу неадекватних поступака и инфраструктуре, и даје рок пружаоцу услуга у којем је дужан да обезбеди адекватне поступке и инфраструктуру;
3) привремено забрањује вршење услуге пружаоца услуга до отклањања неадекватности поступака и инфраструктуре;
4) наређује привремени опозив неког или свих сертификата издатих од стране пружаоца услуге, ако постоји основана сумња да се ради о неадекватном поступку или фалсификату.
VII. КАЗНЕНЕ, ПРЕЛАЗНЕ И ЗАВРШНЕ ОДРЕДБЕ
Члан 66.
Новчаном казном од 50.000 до 2.000.000 динара казниће се за прекршај пружалац квалификоване услуге од поверења – правно лице ако:
1) не предузима потребне техничке и организационе мере за управљање ризицима који угрожавају поуздано и безбедно пружање тих услуга од поверења (члан 27. став 1);
2) без одлагања, а најкасније у року од 24 сата од сазнања, не обавести Министарство о сваком нарушавању безбедности или губитку интегритета услуге који имају значајан утицај на пружање услуга од поверења или на заштиту података о личности који се обрађују у оквиру пружања услуге (члан 27. став 3);
3) о повреди безбедности или губитку интегритета услуге, без одлагања, не обавести корисника услуге од поверења, ако би угрожавање безбедности или губитак интегритета услуге од поверења могло неповољно утицати на кориснике услуга од поверења (члан 27. став 4);
4) пре закључења уговора из члана 30. став 1. овог закона не обавести лице које је поднело захтев за пружање квалификоване услуге од поверења о свим важним околностима коришћења услуге из члана 30. став 2. тач. 1)–3) овог закона (члан 30. став 2);
5) не испуњава услове из члана 31. (члан 31);
6) при издавању квалификованог сертификата за услуге од поверења не провери податке о идентитету физичког односно правног лица који су садржани у квалификованом сертификату, у складу са чланом 33. став 2. закона (члан 33. ст. 1. и 2);
7) не изврши проверу испуњености услова пре почетка пружања квалификованих услуга од поверења, односно најмање једном у 24 месеца (члан 34. став 3);
8) не изврши налог за ванредно оцењивање испуњености услова (члан 34. став 5);
9) пре отпочињања пружања квалификованих услуга од поверења не буде уписан у Регистар пружаоца квалификованих услуга од поверења (члан 35. став 2);
10) издавалац квалификованих електронских сертификата, који намерава да престане са обављањем делатности, о намери раскида уговора не обавести сваког корисника квалификоване услуге од поверења и Министарство најмање три месеца пре настанка о намераваном престанку обављања делатности (члан 36. став 1);
11) у случају престанка са обављањем послова не обезбеди код другог пружаоца услуга од поверења наставак обављања услуге за кориснике којима је издао сертификат, или не опозове све издате сертификате и о предузетим мерама одмах не обавести Министарство (члан 36. став 2);
12) не достави сву документацију у вези са обављањем услуга од поверења другом издаваоцу на кога преноси обавезе обављања једне или више услуга од поверења, односно Министарству (члан 36. ст. 3. и 4);
13) квалификовани електронски сертификат не садржи све податке из члана 43. став 1. овог закона (члан 43. став 1);
14) издавалац квалификованих сертификата не изврши опозив издатих сертификата, у случајевима из члана 44. став 1. (члан 44. став 1);
15) издавалац квалификованих сертификата не обавести корисника квалификоване услуге од поверења о опозиву сертификата у року од 24 часа од примљеног обавештења, односно настанка околности због којих се сертификат опозива (члан 44. став 2);
16) издавалац квалификованих сертификата не чува комплетну документацију о издатим и опозваним квалификованим сертификатима као средство за доказивање и верификацију у управним, судским и другим поступцима најмање десет година по престанку важења сертификата (члан 45);
17) не обезбеди повезивање са Централним системом и не омогући пријем и слање порука и у случају када је пошиљалац или прималац поруке корисник другог пружаоца услуге квалификоване електронске доставе (члан 56. став 2);
18) поуздано електронско чување докумената припремљених у складу са чланом 61. овог закона, којима је квалификованим електронским потписом односно печатом из члана 61. став 1. тачка 4) потврђена верност изворном документу и тачност додатно укључених података, се не врши тако да се током чувања користе поступци и технолошка решења којима се обезбеђује могућност доказивања валидности квалификованог електронског потписа односно печата током целог периода чувања (члан 62. став 2).
За прекршај из става 1. овог члана казниће се и одговорно лице пружаоца услуге од поверења новчаном казном од 5.000 до 100.000 динара.
За прекршај из става 1. овог члана казниће се пружалац услуге од поверења – физичко лице у својству регистрованог субјекта новчаном казном од 10.000 до 500.000 динара.
Члан 67.
Новчаном казном од 50.000 до 200.000 динара казниће се за прекршај корисник квалификоване услуге од поверења – правно лице ако:
1) у случају промене података из става 1. члана 33. овог закона не обавести без одлагања пружаоца квалификоване услуге од поверења (члан 33. став 3);
За прекршај из става 1. овог члана казниће се и одговорно лице у правном лицу новчаном казном од 5.000 до 50.000 динара.
За прекршај из става 1. овог члана казниће се корисник услуге од поверења – физичко лице у својству регистрованог субјекта новчаном казном од 10.000 до 100.000 динара.
За прекршај из става 1. овог члана казниће се корисник услуге од поверења – физичко лице новчаном казном од 5.000 до 50.000 динара.
Члан 68.
Новчаном казном од 50.000 до 2.000.000 динара казниће се за прекршај регистрован пружалац услуге електронске идентификације – правно лице ако:
1) шема електронске идентификације не испуњава услове из члана 17. (члан 17);
2) не предузима потребне техничке и организационе мере за управљање ризицима који угрожавају поуздано и безбедно пружање тих услуга из члана 22. став 2. овог закона (члан 22. ст. 1. и 2);
За прекршај из става 1. овог члана казниће се и одговорно лице пружаоца услуге електронске идентификације новчаном казном од 5.000 до 100.000 динара.
За прекршај из става 1. овог члана казниће се пружалац услуге електронске идентификације – физичко лице у својству регистрованог субјекта новчаном казном од 10.000 до 500.000 динара.
Члан 69.
Новчаном казном од 50.000 до 2.000.000 динара казниће се за прекршај пружалац услуге из члана 64. овог закона ако не поступи по налогу инспектора у остављеном року из члана 65. став 1. овог закона.
За прекршај из става 1. овог члана казниће се и одговорно лице пружаоца услуге новчаном казном од 5.000 до 100.000 динара.
За прекршај из става 1. овог члана казниће се пружалац услуге – физичко лице у својству регистрованог субјекта новчаном казном од 10.000 до 500.000 динара.
Члан 70.
Новчаном казном од 5.000 до 100.000 динара казниће се за прекршај одговорно лице у државном органу, као и органу аутономне покрајине или јединице локалне самоуправе ако у поступку који спроводи у вршењу јавних овлашћења не призна пуноважност, односно оспори доказну снагу електронском документу сачињеном у складу са овим законом, односно дигитализованог акта овереног у складу са чланом 11. овог закона, само због тога што је достављен у таквом формату (члан 7).
Новчаном казном од 20.000 до 150.000 динара казниће се за прекршај одговорно лице у државном органу, као и органу аутономне покрајине или јединице локалне самоуправе, ако у поступку који спроводи у вршењу јавних овлашћења не призна пуноважност електронском документу, укључујући и акте органа јавних власти, потписаном квалификованим електронским потписом или квалификованим електронским печатом, ако је за пуноважност тог документа прописана обавеза својеручног потписивања, односно стављања печата (чл. 50. и 51).
Члан 71.
Новчаном казном од 50.000 до 2.000.000 динара казниће се за прекршај правно лице које је орган јавне власти у смислу овог закона, изузев органа из члана 70. овог закона, ако у поступку који спроводи у вршењу јавних овлашћења не призна пуноважност, односно оспори доказну снагу електронском документу сачињеном у складу са овим законом, односно дигитализованог акта овереног у складу са чланом 11. овог закона, само због тога што је достављен у таквом формату (члан 7).
За прекршај из става 1. овог члана казниће се и одговорно лице у правном лицу из става 1. овог члана новчаном казном од 5.000 до 100.000 динара.
За прекршај из става 1. овог члана казниће се орган јавне власти ако је физичко лице новчаном казном од 5.000 до 100.000 динара.
Новчаном казном од 100.000 до 2.000.000 динара казниће се за прекршај правно лице које је орган јавне власти у смислу овог закона, изузев органа из члана 70. овог закона, ако у поступку који спроводи у вршењу јавних овлашћења не призна пуноважност електронском документу, укључујући и акте органа јaвних власти, потписаном квалификованим електронским потписом или квалификованим електронским печатом, ако је за пуноважност тог документа прописана обавеза својеручног потписивања, односно стављања печата (чл. 50. и 51).
За прекршај из става 4. овог члана казниће се и одговорно лице у правном лицу из става 4. овог члана новчаном казном од 20.000 до 150.000 динара.
За прекршај из става 4. овог члана казниће се орган јавне власти ако је физичко лице новчаном казном од 20.000 до 150.000 динара.
2. Прелазне и завршне одредбе
Спровођење закона
Члан 72.
Подзаконска акта из члана 18. став 2, члана 19. став 3, члана 31. став 3, члана 35. став 8, члана 46. став 5. и члана 47. став 7. овог закона донеће се у року од шест месеци од дана ступања на снагу овог закона.
Подзаконска акта из члана 34. став 8, члана 38. став 4, члана 39. став 4, члана 43. став 3, члана 48. став 4, члана 49. став 2. и члана 52. став 2. овог закона донеће се у року од 12 месеци од дана ступања на снагу овог закона.
Подзаконска акта из члана 55. став 7, члана 61. став 3. и члана 62. ст. 3. и 4. овог закона донеће се у року од 18 месеци од дана ступања на снагу овог закона.
Престанак важења досадашњих прописа, наставак примене подзаконских аката и наставак рада на основу претходне регистрације
Члан 73.
Даном ступања на снагу овог закона престаје да важи Закон о електронском потпису („Службени гласник РС”, број 135/04) и Закон о електронском документу („Службени гласник РС”, број 51/09).
Подзаконски акти донети на основу закона из става 1. овог члана примењиваће се и после престанка важења наведених закона, све до доношења одговарајућих прописа сагласно овом закону, осим ако су у супротности са одредбама овог закона.
Даном ступања на снагу овог закона сертификациона тела за издавање квалификованих електронских сертификата која су регистрована на основу Закона о електронском потпису настављају са радом као квалификовани пружаоци услуге издавања квалификованих сертификата за електронски потпис.
Даном ступања на снагу овог закона издаваоци временског жига који су регистровани на основу Закона о електронском документу настављају са радом као квалификовани пружаоци услуге издавања квалификованих електронских временских жигова.
Сертификациона тела из става 3. овог члана и издаваоци временског жига из става 4. овог члана дужни су да у року од 12 месеци од дана ступања на снагу овог закона ускладе своје пословање са одредбама овог закона и доставе Министарству извештај о оцењивању усаглашености из члана 34. овог закона.
Министарство врши оцењивање усаглашености из члана 34. овог закона до акредитације првог тела за оцењивање усаглашености, у складу са прописима.
Ступање на снагу закона
Члан 74.
Овај закон ступа на снагу осам дана од дана објављивања у „Службеном гласнику Републике Србије”.
Повезани текстови
- МФ организује вебинар на тему „Функционалности и промене које су део ажурирања 3.6 на Систему електронских фактура“
- МФ организује вебинар на тему „Повезивања авансних рачуна са другим врстама докумената на корисничком интерфејсу Система електронских фактура“
- МФ организује вебинар на тему „Корисни савети и различите врсте подешавања на корисничком интерфејсу Система електронских фактура“
- МФ организује вебинар на тему „Одговори на корисничка питања постављена током вебинара у вези са поступањима приликом коришћења Система електронских фактура“
- МФ организује вебинар на тему „Статуси докумената и инструкције за кориснике током оперативног коришћења Система електронских фактура“