Na podlagi druge alinee prvega odstavka 107. člena in prvega odstavka 91. člena ustave Republike Slovenije izdajam
U K A Z
o razglasitvi zakona o elektronskem poslovanju in elektronskem podpisu (ZEPEP)
Razglašam zakon o elektronskem poslovanju in elektronskem podpisu (ZEPEP), ki ga je sprejel Državni zbor Republike Slovenije na seji 13. junija 2000.
Št. 001-22-111/00
Ljubljana, dne 21. junija 2000.
Predsednik
Republike Slovenije
Milan Kučan l. r.
Z A K O N
O ELEKTRONSKEM POSLOVANJU IN ELEKTRONSKEM PODPISU (ZEPEP)
Prvo poglavje
SPLOŠNE DOLOČBE
1. člen
(1) Ta zakon ureja elektronsko poslovanje, ki zajema poslovanje v elektronski obliki na daljavo z uporabo informacijske in komunikacijske tehnologije in uporabo elektronskega podpisa v pravnem prometu, kar vključuje tudi elektronsko poslovanje v sodnih, upravnih in drugih podobnih postopkih, če zakon ne določa drugače.
(2) Če ni dogovorjeno drugače, določbe tega zakona, z izjemo določb 4. in 14. člena, ne veljajo v zaprtih sistemih, ki so v celoti urejeni s pogodbami med znanim številom pogodbenih strank.
2. člen
Posamezni izrazi, uporabljeni v tem zakonu, imajo naslednji pomen:
1. podatki v elektronski obliki so podatki, ki so oblikovani ali shranjeni na elektronski način;
2. elektronsko sporočilo je niz podatkov, ki so poslani ali prejeti na elektronski način, kar vključuje predvsem elektronsko izmenjavo podatkov in elektronsko pošto;
3. elektronski podpis je niz podatkov v elektronski obliki, ki je vsebovan, dodan ali logično povezan z drugimi podatki, in je namenjen preverjanju pristnosti teh podatkov in identifikaciji podpisnika;
4. varen elektronski podpis je elektronski podpis, ki izpolnjuje naslednje zahteve:
– da je povezan izključno s podpisnikom;
– da je iz njega mogoče zanesljivo ugotoviti podpisnika;
– da je ustvarjen s sredstvi za varno elektronsko podpisovanje, ki so izključno pod podpisnikovim nadzorom;
– da je povezan s podatki, na katere se nanaša, tako da je opazna vsaka kasnejša sprememba teh podatkov ali povezave z njimi;
5. časovni žig je elektronsko podpisano potrdilo overitelja, ki potrjuje vsebino podatkov, na katere se nanaša, v navedenem času;
6. pošiljatelj elektronskega sporočila je oseba, ki je sama poslala elektronsko sporočilo ali pa je bilo sporočilo poslano v njenem imenu in v skladu z njeno voljo; posrednik elektronskega sporočila se ne šteje za pošiljatelja tega elektronskega sporočila;
7. naslovnik elektronskega sporočila je oseba, ki ji je pošiljatelj namenil elektronsko sporočilo;
8. prejemnik elektronskega sporočila je oseba, ki je prejela elektronsko sporočilo; posrednik elektronskega sporočila se ne šteje za prejemnika tega elektronskega sporočila;
9. posrednik elektronskega sporočila je oseba, ki za drugo osebo pošlje, prejme, shrani elektronsko sporočilo ali nudi druge storitve v zvezi z elektronskim sporočilom;
10. podpisnik je oseba, ki ustvari ali je v njenem imenu in v skladu z njeno voljo ustvarjen elektronski podpis;
11. informacijski sistem je sistem za oblikovanje, pošiljanje, prejemanje, shranjevanje in druge obdelave podatkov v elektronski obliki;
12. podatki za elektronsko podpisovanje so edinstveni podatki, kot so šifre ali zasebni šifrirni ključi, ki jih podpisnik uporablja za oblikovanje elektronskega podpisa;
13. sredstvo za elektronsko podpisovanje je nastavljena programska ali strojna oprema, ki jo podpisnik uporablja za oblikovanje elektronskega podpisa;
14. sredstvo za varno elektronsko podpisovanje je sredstvo za elektronsko podpisovanje, ki izpolnjuje zahteve iz 37. člena tega zakona;
15. podatki za preverjanje elektronskega podpisa so edinstveni podatki, kot so šifre ali javni šifrirni ključi, ki se uporabljajo za preverjanje elektronskega podpisa;
16. sredstvo za preverjanje elektronskega podpisa je nastavljena programska ali strojna oprema, ki se uporablja za preverjanje elektronskega podpisa;
17. oprema za elektronsko podpisovanje je strojna ali programska oprema ali njune specifične sestavine, ki jih overitelj uporablja za storitve v zvezi z elektronskim podpisovanjem ali ki se uporabljajo za oblikovanje ali preverjanje elektronskih podpisov;
18. potrdilo je potrdilo v elektronski obliki, ki povezuje podatke za preverjanje elektronskega podpisa z določeno osebo (imetnikom potrdila) ter potrjuje njeno identiteto;
19. kvalificirano potrdilo je potrdilo, ki izpolnjuje zahteve iz 28. člena tega zakona in ki ga izda overitelj, ki deluje v skladu z zahtevami iz 29. do 36. člena tega zakona;
20. overitelj je fizična ali pravna oseba, ki izdaja potrdila ali opravlja druge storitve v zvezi z overjanjem ali elektronskimi podpisi.
3. člen
Osebe lahko uredijo svoja razmerja pri ustvarjanju, pošiljanju, prejemanju, shranjevanju ali drugi obdelavi elektronskih sporočil drugače, kot je določeno v tem zakonu, če iz posamezne določbe tega zakona ali iz njenega smisla ne izhaja kaj drugega.
4. člen
Podatkom v elektronski obliki se ne sme odreči veljavnosti ali dokazne vrednosti samo zato, ker so v elektronski obliki.
Drugo poglavje
ELEKTRONSKO POSLOVANJE
1. oddelek
Elektronsko sporočilo
5. člen
(1) Velja, da elektronsko sporočilo izvira od pošiljatelja:
– če ga pošlje pošiljatelj sam, ali
– če ga pošlje oseba, ki jo pooblasti pošiljatelj, ali
– če ga pošlje informacijski sistem, ki ga je programiral pošiljatelj sam, ali je bil sistem programiran po njegovem nalogu, da deluje samodejno, ali
– če je naslovnik za potrditev izvora sporočila uporabil med prejemnikom in pošiljateljem v ta namen vnaprej dogovorjeno tehnologijo in postopek.
(2) Določba prejšnjega odstavka ne velja za primere:
– če je pošiljatelj obvestil prejemnika, da elektronsko sporočilo ni njegovo in je prejemnik imel čas, da ustrezno ravna, ali
– če je prejemnik vedel ali bi bil moral vedeti, če bi ravnal kot skrben gospodar, ali če bi uporabil dogovorjeno tehnologijo in postopek, da elektronsko sporočilo ni pošiljateljevo.
6. člen
Prejemnik je upravičen šteti vsako prejeto elektronsko sporočilo kot posamično sporočilo in ravnati v skladu s tem, razen v primeru, če je bilo elektronsko sporočilo podvojeno in je prejemnik to vedel ali bi bil moral vedeti, če bi ravnal kot skrben gospodar ali če bi uporabil dogovorjeno tehnologijo in postopek.
7. člen
(1) Če je pošiljatelj ob ali pred pošiljanjem elektronskega sporočila ali v samem elektronskem sporočilu zahteval ali se s prejemnikom dogovoril, da se prejem sporočila potrdi, ter navedel, da elektronsko sporočilo pogojuje s potrdilom o prejemu, se šteje, kot da elektronsko sporočilo ni bilo poslano, dokler pošiljatelj ne prejme potrdila o prejemu.
(2) Če pošiljatelj ne navede, da elektronsko sporočilo pogojuje s potrdilom o prejemu in potrdila o prejemu ne prejme v določenem ali dogovorjenem roku ali če ta ni bil določen ali dogovorjen v razumnem roku, lahko pošiljatelj obvesti prejemnika, da ni prejel potrdila o prejemu, in določi razumen rok, v katerem mora prejeti potrdilo o prejemu. Če tudi v tem roku potrdila o prejemu ne prejme po predhodnem obvestilu prejemniku, se šteje elektronsko sporočilo za neposlano.
(3) Če se pošiljatelj s prejemnikom ni dogovoril o obliki potrdila o prejemu elektronskega sporočila, se za potrdilo šteje kakršnakoli samodejna ali druga potrditev prejemnika oziroma kakršnokoli ravnanje prejemnika, ki zadostuje, da pošiljatelj izve ali bi bil lahko izvedel, da je bilo elektronsko sporočilo prejeto.
8. člen
Če pošiljatelj od prejemnika prejme potrdilo o prejemu elektronskega sporočila, se šteje, da je naslovnik prejel to elektronsko sporočilo, ne šteje pa se, da je poslano elektronsko sporočilo enako prejetemu.
9. člen
Če ni drugače dogovorjeno, se šteje, da je elektronsko sporočilo odposlano, ko vstopi v informacijski sistem izven nadzora pošiljatelja ali osebe, ki je elektronsko sporočilo poslala v imenu pošiljatelja in v skladu z njegovo voljo.
10. člen
(1) Če ni drugače dogovorjeno, se šteje za čas prejema elektronskega sporočila tisti čas, ko elektronsko sporočilo vstopi v prejemnikov informacijski sistem.
(2) Če ni drugače dogovorjeno, se ne glede na določbo prejšnjega odstavka šteje za čas prejema elektronskega sporočila, če je prejemnik posebej določil informacijski sistem za prejem elektronskih sporočil, čas, ko elektronsko sporočilo vstopi v ta informacijski sistem, ali če je elektronsko sporočilo poslano drugemu informacijskemu sistemu, čas, ko je prejemnik elektronsko sporočilo prevzel.
(3) Določbe prejšnjega odstavka veljajo tudi, če se informacijski sistem nahaja v drugem kraju, ki se po tem zakonu šteje za kraj prejema elektronskega sporočila.
11. člen
(1) Če ni drugače dogovorjeno, se za kraj, od koder je bilo elektronsko sporočilo poslano, šteje kraj, kjer ima pošiljatelj svoj sedež oziroma stalno prebivališče v času pošiljanja, za kraj prejema elektronskega sporočila pa kraj, kjer ima prejemnik sedež oziroma stalno prebivališče v času prejema.
(2) Če pošiljatelj oziroma prejemnik nima stalnega prebivališča, se za kraj, od koder je bilo elektronsko sporočilo poslano oziroma kjer je bilo prejeto, po prejšnjem odstavku šteje njegovo prebivališče v času pošiljanja oziroma prejema elektronskega sporočila.
2. oddelek
Podatki v elektronski obliki
12. člen
(1) Kadar zakon ali drug predpis določa, da se določeni dokumenti, zapisi ali podatki hranijo, se lahko hranijo tudi v elektronski obliki:
– če so podatki, vsebovani v elektronskem dokumentu ali zapisu, dosegljivi in primerni za kasnejšo uporabo in
– če so podatki shranjeni v obliki, v kateri so bili oblikovani, poslani ali prejeti, ali v kakšni drugi obliki, ki verodostojno predstavlja oblikovane, poslane ali prejete podatke in
– če je iz shranjenega elektronskega sporočila mogoče ugotoviti, od kod izvira, komu je bilo poslano ter čas in kraj njegovega pošiljanja ali prejema in
– če uporabljena tehnologija in postopki v zadostni meri onemogočajo spremembo ali izbris podatkov, ki ju ne bi bilo mogoče enostavno ugotoviti, oziroma obstaja zanesljivo jamstvo glede nespremenljivosti sporočila.
(2) Obveznost hrambe dokumentov, zapisov ali podatkov iz prejšnjega odstavka se ne nanaša na podatke, katerih edini namen je omogočiti, da bo elektronsko sporočilo poslano ali prejeto (komunikacijski podatki).
(3) Kadar zakon ali drug predpis določa, da se določeni podatki predložijo ali shranijo v izvirni obliki, se šteje, da je elektronska oblika sporočila ustrezna, če ustreza pogojem iz prvega odstavka tega člena.
(4) Določbe tega člena ne veljajo za podatke, za katere ta zakon določa strožje ali posebne pogoje hrambe.
13. člen
(1) Kadar zakon ali drug predpis določa pisno obliko, se šteje, da je elektronska oblika enakovredna pisni obliki, če so podatki v elektronski obliki dosegljivi in primerni za kasnejšo uporabo.
(2) Določbe prejšnjega odstavka ne veljajo za:
1. pravne posle, s katerimi se prenaša lastninska pravica na nepremičnini ali s katerimi se ustanavlja druga stvarna pravica na nepremičnini;
2. oporočne posle;
3. pogodbe o urejanju premoženjskih razmerij med zakoncema;
4. pogodbe o razpolaganju s premoženjem oseb, ki jim je odvzeta poslovna sposobnost;
5. pogodbe o izročitvi in razdelitvi premoženja za življenja;
6. pogodbe o dosmrtnem preživljanju in sporazume o odpovedi neuvedenemu dedovanju;
7. darilne obljube in darilne pogodbe za primer smrti;
8. kupne pogodbe s pridržkom lastninske pravice;
9. druge pravne posle, za katere zakon določa, da morajo biti sklenjeni v obliki notarskega zapisa.
Tretje poglavje
ELEKTRONSKI PODPIS
1. oddelek
Splošne določbe
14. člen
Elektronskemu podpisu se ne sme odreči veljavnosti ali dokazne vrednosti samo zaradi elektronske oblike, ali ker ne temelji na kvalificiranem potrdilu ali potrdilu akreditiranega overitelja, ali ker ni oblikovan s sredstvom za varno elektronsko podpisovanje.
15. člen
Varen elektronski podpis, overjen s kvalificiranim potrdilom, je glede podatkov v elektronski obliki enakovreden lastnoročnemu podpisu ter ima zato enako veljavnost in dokazno vrednost.
16. člen
Osebe, ki hranijo dokumente, ki so elektronsko podpisani z uporabo podatkov in sredstev za podpisovanje, morajo hraniti komplementarne podatke in sredstva za preverjanje elektronskega podpisa enako dolgo, kot se hranijo dokumenti.
17. člen
Uporaba podatkov ali sredstev za elektronsko podpisovanje brez vednosti podpisnika ali imetnika potrdila, ki se nanaša na te podatke ali sredstva, je prepovedana.
2. oddelek
Potrdila in overitelji, ki jih izdajajo
18. člen
(1) Overitelj za opravljanje svoje dejavnosti ne potrebuje posebnega dovoljenja.
(2) Overitelj mora začetek opravljanja dejavnosti prijaviti ministrstvu, pristojnemu za gospodarstvo (v nadaljnjem besedilu: ministrstvo), najmanj osem dni pred začetkom. Ob začetku opravljanja dejavnosti ali ob spremembi dejavnosti mora overitelj ministrstvo seznaniti s svojimi notranjimi pravili glede elektronskega podpisovanja in overjanja ter s svojimi postopki in infrastrukturo.
(3) Overitelj, ki opravlja storitve varnega elektronskega podpisovanja, mora v svojih notranjih pravilih upoštevati varnostne zahteve, določene s tem zakonom in na njegovi podlagi izdanimi podzakonskimi predpisi.
(4) Overitelj mora izpolnjevati zahteve iz svojih notranjih pravil tako ob začetku kot tudi neprekinjeno ves čas izvajanja dejavnosti.
19. člen
(1) Overitelj mora nemudoma obvestiti ministrstvo o vseh okoliščinah, ki ga ovirajo ali mu onemogočajo izvajanje dejavnosti v skladu z veljavnimi predpisi ali njegovimi notranjimi pravili.
(2) Overitelj mora nemudoma obvestiti ministrstvo o možnem začetku stečaja ali prisilne poravnave.
20. člen
(1) Overitelj mora preklicati potrdilo iz 18. točke 2. člena tega zakona v času njegove veljavnosti v skladu s svojimi notranjimi pravili, ki urejajo preklice potrdil, vendar vedno nemudoma:
– če preklic potrdila zahteva imetnik potrdila ali njegov pooblaščenec, ali
– ko overitelj izve, da je imetnik potrdila izgubil poslovno sposobnost, umrl, prenehal obstajati ali da so se spremenile okoliščine, ki bistveno vplivajo na veljavnost potrdila, ali
– če je podatek v potrdilu napačen ali je bilo potrdilo izdano na podlagi napačnih podatkov, ali
– če so bili podatki za preverjanje elektronskega podpisa ali informacijski sistem overitelja ogroženi na način, ki vpliva na zanesljivost potrdila, ali
– če so bili podatki za elektronsko podpisovanje ali informacijski sistem imetnika potrdila ogroženi na način, ki vpliva na zanesljivost oblikovanja elektronskega podpisa, ali
– če overitelj preneha z delovanjem ali mu je delovanje prepovedano in njegove dejavnosti ni prevzel drug overitelj, ali
– če preklic odredi pristojno sodišče, sodnik za prekrške ali upravni organ.
(2) Overitelj mora v svojih notranjih pravilih določiti, kdaj in na kakšen način se obvešča o izdaji oziroma preklicu potrdila.
(3) Ne glede na notranja pravila mora overitelj vedno nemudoma obvestiti imetnika preklicanega potrdila. Podatke o preklicu mora posredovati vsaki osebi, ki jih zahteva, ali jih javno objaviti, če overitelj vodi register preklicanih potrdil.
21. člen
Ministrstvo mora nemudoma zagotoviti preklic potrdil overitelja, če overitelj preneha z delovanjem ali je njegovo delovanje prepovedano in njegove dejavnosti ni prevzel drug overitelj, če overitelj potrdila ne prekliče.
22. člen
(1) Imetnik potrdila mora podatke in sredstva za elektronsko podpisovanje hraniti s skrbnostjo dobrega gospodarja in jih uporabljati v skladu z zahtevami tega zakona in na njegovi podlagi izdanih podzakonskih predpisov ter preprečiti nepooblaščen dostop do teh podatkov in sredstev.
(2) Imetnik potrdila mora zahtevati preklic svojega potrdila, če so bili podatki za elektronsko podpisovanje ali informacijski sistem imetnika potrdila izgubljeni ali ogroženi na način, ki vpliva na zanesljivost oblikovanja elektronskega podpisa, ali če obstaja nevarnost zlorabe, ali če so se spremenili podatki, ki so navedeni v potrdilu.
23. člen
Če potrdilo vsebuje podatke o tretji osebi, ki ni imetnik potrdila, je tudi ta upravičena zahtevati preklic potrdila iz razlogov, določenih v drugem odstavku prejšnjega člena.
24. člen
(1) Preklic potrdila učinkuje med imetnikom potrdila in overiteljem od trenutka preklica. Preklic potrdila učinkuje med tretjimi osebami in overiteljem od trenutka objave ali, če preklic ni javno objavljen, od trenutka, ko tretje osebe zanj zvedo.
(2) V preklicu potrdila mora biti naveden čas preklica.
(3) Preklic vedno velja od trenutka preklica naprej. Preklic za nazaj ni dovoljen.
25. člen
Za časovni žig in storitve, povezane z njim, se smiselno uporabljajo določbe, ki urejajo potrdilo in kvalificirano potrdilo.
26. člen
Overitelj mora voditi dokumentacijo o varnostnih ukrepih v skladu s tem zakonom in predpisi, izdanimi na njegovi podlagi, ter o vseh izdanih in preklicanih potrdilih tako, da bodo podatki vedno dostopni ter njihova verodostojnost in nespremenljivost vedno preverljiva, in sicer najmanj pet let od posameznega dogodka ali dejanja.
27. člen
(1) Overitelj mora pred prenehanjem delovanja o tem nemudoma obvestiti ministrstvo in imetnike od njega izdanih potrdil, ter zagotoviti, da vse njegove pravice in obveznosti glede izdanih potrdil prevzame drug overitelj ali da prekliče veljavna potrdila.
(2) Vso dokumentacijo, ki jo je doslej vodil, mora predati drugemu overitelju, ki bo prevzel vse pravice in obveznosti prejšnjega overitelja glede izdanih potrdil, oziroma ministrstvu, če takega overitelja ni.
3. oddelek
Kvalificirana potrdila in overitelji, ki jih izdajajo
28. člen
(1) Iz kvalificiranega potrdila mora biti ugotovljivo:
– navedba, da gre za kvalificirano potrdilo;
– ime ali firma in država stalnega prebivališča ali sedeža overitelja;
– ime oziroma psevdonim imetnika potrdila ali naziv oziroma psevdonim informacijskega sistema z navedbo imetnika potrdila, pod katerega nadzorom je, z obvezno navedbo, da gre za psevdonim;
– dodatni podatki o imetniku potrdila, ki so predpisani za namen, za katerega se bo potrdilo uporabljalo;
– podatki za preverjanje elektronskega podpisa, ki ustrezajo podatkom za elektronsko podpisovanje pod nadzorom imetnika potrdila;
– začetek in konec veljavnosti potrdila;
– identifikacijska oznaka potrdila;
– varen elektronski podpis overitelja, ki je potrdilo izdal;
– morebitne omejitve v zvezi z uporabo potrdila;
– morebitne omejitve transakcijskih vrednosti, za katere se potrdilo lahko uporablja.
(2) Če ni drugače dogovorjeno, potrdilo ne sme vsebovati drugih podatkov.
29. člen
Overitelj, ki izdaja kvalificirana potrdila, mora zagotavljati storitve v zvezi z elektronskim podpisovanjem s skrbnostjo dobrega strokovnjaka.
30. člen
(1) Overitelj, ki izdaja kvalificirana potrdila, mora zagotoviti vodenje registra preklicanih potrdil, ki mora vsebovati zlasti identifikacijsko oznako preklicanega potrdila, da se ga da natančno identificirati. Register ne sme vsebovati podatkov o vzrokih za preklic ali kakršnih koli podatkov, ki niso vsebovani v potrdilu, razen datuma in časa preklica. Register mora biti varno elektronsko podpisan in podpis overjen s kvalificiranim potrdilom z najmanj enako zanesljivostjo kot potrdila, ki se preklicujejo v registru.
(2) Overitelj mora zagotoviti možnost takojšnjega in varnega preklica kvalificiranega potrdila, kot tudi možnost natančne določitve trenutka izdaje in preklica kvalificiranega potrdila.
(3) Overitelj, ki izdaja kvalificirana potrdila in preneha z delovanjem, mora zagotoviti, da drug overitelj, ki izdaja kvalificirana potrdila, vodi preklicana kvalificirana potrdila v svojem registru.
(4) Če overitelj ne zagotovi nadaljevanja dejavnosti preklica, ministrstvo na njegove stroške zagotovi nadaljevanje te dejavnosti pri drugem overitelju.
31. člen
Overitelj, ki izdaja kvalificirana potrdila, mora s pomočjo uradnega osebnega dokumenta s fotografijo za fizične osebe ali z uradno potrjenimi dokumenti za pravne osebe zanesljivo ugotoviti identiteto in druge pomembne lastnosti osebe, ki zahteva potrdilo.
32. člen
(1) Overitelj, ki izdaja kvalificirana potrdila, mora zaposlovati osebje s potrebnim strokovnim znanjem, izkušnjami in usposobljenostjo na področju opravljanih storitev, še posebej na področju upravljanja ter poznavanja tehnologije elektronskega poslovanja in ustreznih varnostnih postopkov, da zagotovi izpolnjevanje vseh določb tega zakona.
(2) Osebje se mora ravnati po administrativnih in upravljavskih postopkih, skladnih z uveljavljenimi pravili stroke.
(3) Vlada Republike Slovenije s podzakonskim predpisom določi vrsto in stopnjo zahtevane strokovne izobrazbe, leta izkušenj ter morebitna dodatna opravljena usposabljanja za izpolnjevanje zahtev iz prvega odstavka tega člena.
33. člen
(1) Overitelj mora uporabljati zanesljive sisteme in opremo, ki so zaščiteni pred spreminjanjem in ki zagotavljajo tehnično in kriptografsko varnost postopkov, v katerih se uporabljajo.
(2) Overitelj mora izvajati varnostne ukrepe zoper ponarejanje potrdil ter v primerih, ko overitelj oblikuje podatke za elektronsko podpisovanje, zagotavljati zaupnost podatkov ves čas postopka oblikovanja takih podatkov.
(3) Overitelj ne sme shranjevati podatkov za elektronsko podpisovanje imetnika potrdila.
(4) Overitelj mora za shranjevanje potrdil uporabljati zanesljive sisteme, ki omogočajo enostavno odkrivanje sprememb ter hkrati omogočajo, da:
1. lahko samo pooblaščene osebe vnašajo nove podatke in spreminjajo obstoječe;
2. je omogočeno preverjanje pristnosti podatkov;
3. so potrdila javno dostopna samo, če je overitelj predhodno dobil dovoljenje imetnika potrdila;
4. uporabnik lahko enostavno opazi kakršnekoli tehnične spremembe, ki bi ogrozile izpolnjevanje teh varnostnih zahtev.
(5) Vlada Republike Slovenije s podzakonskim predpisom predpiše podrobnejša merila za izpolnjevanje zahtev iz tega člena.
34. člen
Overitelj, ki izdaja kvalificirana potrdila, mora zavarovati svojo škodno odgovornost. Najnižji znesek zavarovalne vsote predpiše Vlada Republike Slovenije z uredbo.
35. člen
(1) Overitelj, ki izdaja kvalificirana potrdila, mora shranjevati vse pomembne podatke o kvalificiranih potrdilih, še posebej zaradi dokazovanja overitev v sodnih, upravnih in drugih postopkih, vsaj toliko časa, kot bodo hranjeni podatki, podpisani z elektronskim podpisom, na katerega se nanaša kvalificirano potrdilo, najmanj pa pet let od izdaje potrdila.
(2) Za pomembne podatke o kvalificiranih potrdilih se štejejo zlasti podatki o načinu ugotovitve istovetnosti imetnika potrdila, času in načinu izdaje potrdila, vzroku, času in načinu morebitnega preklica potrdila, roku veljavnosti potrdila ter vseh sporočilih, ki se nanašajo na veljavnost potrdila, izmenjanih med overiteljem in imetnikom.
(3) Podatki iz prvega in drugega odstavka tega člena se lahko shranjujejo v elektronski obliki.
36. člen
(1) Overitelj, ki izdaja kvalificirana potrdila, mora osebo, ki zahteva potrdilo, pred sklenitvijo pogodbe obvestiti o vseh pomembnih okoliščinah uporabe potrdila.
(2) Obvestilo mora vsebovati:
1. podroben povzetek vsebine veljavnih predpisov ter notranjih pravil in drugih pogojev, ki se nanašajo na uporabo potrdila;
2. podatke o morebitnih omejitvah uporabe potrdila;
3. podatke o obstoju prostovoljne akreditacije;
4. podatke o postopkih za reševanje pritožb in mirno razreševanje sporov;
5. podatke o ukrepih imetnika potrdila, potrebnih za varnost elektronskega podpisovanja in preverjanja elektronskih podpisov, ter o ustrezni tehnologiji;
6. opozorilo, da bo morda potrebno elektronsko podpisane podatke ponovno elektronsko podpisati, in sicer preden bo varnost obstoječega elektronskega podpisa s časom zmanjšana.
(3) Obvestilo mora biti napisano v lahko razumljivem jeziku ter v pisni obliki na trajnem nosilcu podatkov.
(4) Ustrezni deli obvestila morajo biti na njihovo zahtevo dostopni tudi tretjim osebam, ki se zanašajo na potrdilo.
4. oddelek
Tehnične zahteve za varno elektronsko podpisovanje
37. člen
(1) Sredstva za varno elektronsko podpisovanje morajo z uporabo ustreznih postopkov in infrastrukture zagotavljati naslednje:
1. podatki za elektronsko podpisovanje morajo biti edinstveni in njihova zaupnost zagotovljena;
2. podatkov za elektronsko podpisovanje ni mogoče v razumnem času ali z razumnimi sredstvi ugotoviti iz podatkov za preverjanje elektronskega podpisa, elektronski podpis pa je učinkovito zaščiten pred poneverjanjem z uporabo trenutno dostopne tehnologije;
3. podpisnik lahko zanesljivo varuje svoje podatke za elektronsko podpisovanje pred nepooblaščenim dostopom.
(2) Sredstvo za varno elektronsko podpisovanje ne sme spremeniti podpisanih podatkov ali preprečiti prikaza podatkov podpisniku pred podpisom.
(3) Vlada Republike Slovenije s podzakonskim predpisom predpiše podrobnejša merila za izpolnjevanje zahtev glede sredstev za varno elektronsko podpisovanje iz tega člena.
38. člen
(1) Med postopkom preverjanja varnega elektronskega podpisa mora biti z uporabo ustreznih postopkov in infrastrukture zagotovljeno naslednje:
1. podatki, ki se uporabljajo za preverjanje elektronskega podpisa, morajo biti enaki podatkom, ki so prikazani uporabniku;
2. podpis mora biti zanesljivo preverjen in rezultati preverjanja ter identiteta podpisnika pravilno prikazani uporabniku;
3. uporabnik lahko zanesljivo ugotovi vsebino podpisanih podatkov;
4. pristnost in veljavnost potrdila morata biti preverjeni v času preverjanja podpisa;
5. raba psevdonima mora biti jasno označena;
6. vse spremembe, ki kakorkoli vplivajo na varnost elektronskega podpisa, morajo biti ugotovljene.
(2) Vlada Republike Slovenije s podzakonskim predpisom predpiše podrobnejša merila za izpolnjevanje zahtev glede postopkov in infrastrukture iz prejšnjega odstavka.
5. oddelek
Odgovornost overiteljev
39. člen
(1) Overitelj odgovarja vsaki osebi, ki se upravičeno zanaša na kvalificirano potrdilo, ki ga je overitelj izdal, za:
– točnost podatkov v potrdilu od trenutka izdaje potrdila ter da potrdilo vsebuje vse predpisane podatke za kvalificirano potrdilo;
– zagotovilo, da je imel imetnik potrdila, naveden v potrdilu, v času izdaje potrdila podatke za elektronsko podpisovanje ustrezne podatkom za preverjanje elektronskega podpisa, navedenim ali označenim v potrdilu;
– zagotovilo, da delujejo podatki za elektronsko podpisovanje in podatki za preverjanje elektronskega podpisa komplementarno v primeru, če overitelj oblikuje oboje podatke;
– takojšen preklic potrdila in objavo preklica, če za preklic obstajajo razlogi;
– izpolnjevanje zahtev tega zakona in na njegovi podlagi izdanih podzakonskih predpisov glede varnih elektronskih podpisov in kvalificiranih potrdil.
(2) Overitelj lahko v kvalificiranem potrdilu označi meje uporabnosti ali najvišje transakcijske vrednosti določenega potrdila in ne odgovarja za posledice uporabe potrdila izven tako določenih meja, če so omejitve prepoznavne tretjim osebam.
(3) Overitelj je odgovoren, če ne dokaže, da je škoda nastala brez njegove krivde.
6. oddelek
Nadzor
40. člen
(1) Inšpekcijsko nadzorstvo nad izvajanjem določb tega zakona opravlja ministrstvo.
(2) V okviru inšpekcijskega nadzorstva ministrstvo:
– preverja, ali so zahteve zakona in na njegovi podlagi izdanih podzakonskih predpisov ustrezno prenesene v notranja pravila overiteljev;
– preverja, ali overitelj ves čas izvajanja dejavnosti izpolnjuje zahteve iz tega zakona in na njegovi podlagi izdanih podzakonskih predpisov ter svojih notranjih pravil;
– v primeru zagotavljanja kvalificiranih potrdil nadzoruje uporabo ustreznih postopkov in potrebne infrastrukture;
– nadzoruje zakonitost izdajanja, hranjenja in preklica potrdil;
– nadzoruje zakonitost izvajanja drugih storitev overiteljev.
(3) Ministrstvo vodi elektronski javni register vseh overiteljev v Republiki Sloveniji. V register vseh overiteljev se na njihovo zahtevo vpišejo tudi tuji overitelji, če izpolnjujejo pogoje iz tega zakona za veljavnost njihovih potrdil v Republiki Sloveniji.
(4) Register overiteljev varno elektronsko podpiše ministrstvo. Kvalificirano potrdilo ministrstva se objavi v Uradnem listu Republike Slovenije.
41. člen
(1) Pri opravljanju inšpekcijskega nadzorstva je inšpektor upravičen:
– pregledovati dokumentacijo in akte, ki se nanašajo na poslovanje overiteljev;
– pregledovati prostore, v katerih se opravljajo storitve overjanja, ter informacijsko tehnologijo, infrastrukturo in drugo opremo ter tehnično dokumentacijo overiteljev;
– preverjati ukrepe in postopke overitelja.
(2) Inšpektor ima pravico za največ petnajst dni zaseči dokumentacijo, če je to potrebno za zavarovanje dokazov ali za natančno ugotovitev nepravilnosti. O tem mora izdati potrdilo.
(3) Podatke o potrdilih in osebne podatke, s katerimi se seznani inšpektor pri izvajanju inšpekcijskega nadzorstva, je dolžan varovati kot uradno tajnost.
(4) Inšpektor z odločbo:
– prepove uporabo neprimernih postopkov in infrastrukture;
– začasno prepove delovanje overitelja, delno ali v celoti;
– prepove delovanje overitelja, če overitelj ne izpolnjuje zahtev tega zakona in na njegovi podlagi izdanih predpisov in če milejši ukrepi niso ali ne bi bili uspešni;
– naloži preklic potrdil, če je verjetno, da so bila potrdila ponarejena.
(5) Zoper odločbo iz prejšnjega odstavka je dovoljena pritožba, o kateri odloči Vlada Republike Slovenije. Pritožba zoper odločbo iz druge alinee prejšnjega odstavka ne zadrži njene izvršitve.
(6) Prepoved delovanja ne vpliva na veljavnost pred tem izdanih potrdil.
7. oddelek
Prostovoljna akreditacija
42. člen
(1) Overitelji, ki dokažejo, da izpolnjujejo vse z zakonom in na njegovi podlagi izdanimi podzakonskimi predpisi predpisane pogoje za svoje delovanje, lahko zahtevajo, da jih akreditacijski organ vpiše v register akreditiranih overiteljev.
(2) V register akreditiranih overiteljev se na njihovo zahtevo vpišejo tudi tuji overitelji, če izpolnjujejo pogoje iz tega zakona za veljavnost njihovih potrdil v Republiki Sloveniji.
(3) Overitelji, ki so vpisani v register akreditiranih overiteljev (akreditirani overitelji), lahko poslujejo z navedbo svoje akreditiranosti.
(4) Overitelji, ki so vpisani v register akreditiranih overiteljev, lahko označijo to dejstvo v izdanih potrdilih.
43. člen
(1) Akreditacijski organ vodi javni elektronski register pri njem prostovoljno akreditiranih overiteljev.
(2) Register akreditiranih overiteljev varno elektronsko podpiše akreditacijski organ. Kvalificirano potrdilo akreditacijskega organa se objavi v Uradnem listu Republike Slovenije.
44. člen
(1) Akreditacijski organ izvaja nadzor in ukrepe glede akreditiranih overiteljev.
(2) Akreditacijski organ:
– izdaja splošna priporočila za delovanje overiteljev ter priporočila in standarde za delovanje akreditiranih overiteljev v skladu z zakonom in na njegovi podlagi izdanimi podzakonskimi predpisi;
– preverja, ali so zahteve zakona in na njegovi podlagi izdanih podzakonskih predpisov ustrezno prenesene v notranja pravila akreditiranih overiteljev;
– preverja, ali overitelj ves čas izvajanja dejavnosti izpolnjuje zahteve tega zakona in na njegovi podlagi izdanih podzakonskih predpisov ter svojih notranjih pravil;
– nadzoruje uporabo ustreznih postopkov in infrastrukture pri akreditiranih overiteljih;
– nadzoruje zakonitost izdajanja, hranjenja in preklica potrdil akreditiranih overiteljev;
– nadzoruje zakonitost izvajanja drugih storitev akreditiranih overiteljev.
(3) Akreditacijski organ lahko priporoči:
– spremembo notranjih pravil akreditiranega overitelja;
– akreditiranemu overitelju prenehanje nadaljnje uporabe neprimernih postopkov in infrastrukture.
(4) Če overitelj ne upošteva priporočil akreditacijskega organa, ga akreditacijski organ z odločbo izbriše iz registra akreditiranih overiteljev.
(5) Zoper odločbo iz prejšnjega odstavka je v petnajstih dneh po prejemu odločbe dovoljena pritožba, o kateri odloči minister, pristojen za gospodarske dejavnosti.
(6) Odločbo o pritožbi je minister dolžen izdati v tridesetih dneh po prejemu pritožbe. Odločba o pritožbi je dokončna.
45. člen
Naloge akreditacijskega organa opravlja Agencija za telekomunikacije.
8. oddelek
Veljavnost tujih potrdil
46. člen
(1) Kvalificirana potrdila overitelja s sedežem v Evropski uniji so enakovredna domačim kvalificiranim potrdilom.
(2) Kvalificirana potrdila overiteljev s sedežem v tretjih državah so enakovredna domačim:
1. če overitelj izpolnjuje pogoje iz 29. do 36. člena tega zakona in je prostovoljno akreditiran v Republiki Sloveniji ali eni izmed držav članic Evropske unije;
2. če domači overitelj, ki izpolnjuje pogoje iz 29. do 36. člena tega zakona, jamči za taka potrdila enako, kot bi bila njegova;
3. če tako določa dvostranski ali večstranski sporazum med Republiko Slovenijo in drugimi državami ali mednarodnimi organizacijami;
4. če tako določa dvostranski ali večstranski sporazum med Evropsko unijo in tretjimi državami ali mednarodnimi organizacijami.
Četrto poglavje
KAZENSKE DOLOČBE
47. člen
(1) Z denarno kaznijo od 500.000 tolarjev do 5,000.000 tolarjev se za prekršek kaznuje overitelj, če:
1. ne ugotovi zanesljivo identitete ali drugih pomembnih lastnosti osebe, ki zaprosi za kvalificirano potrdilo (31. člen);
2. izda kvalificirano potrdilo, ki ne vsebuje vseh zahtevanih podatkov oziroma vsebuje podatke, ki jih ne bi smelo vsebovati (28. člen);
3. ne prekliče potrdila ali kvalificiranega potrdila v primerih, ko to zahteva zakon ali njegova notranja pravila (20. in 23. člen);
4. v preklicu ne navede časa preklica potrdila ali kvalificiranega potrdila ali če potrdilo ali kvalificirano potrdilo prekliče za nazaj (20. in 24. člen);
5. prosilca za potrdilo ali kvalificirano potrdilo ne obvesti o vseh predpisanih podatkih (36. člen);
6. pred prenehanjem delovanja ne obvesti ministrstva in ne zagotovi, da skrb za vsa veljavna potrdila ali kvalificirana potrdila prevzame drug overitelj ali jih ne prekliče (27. člen);
7. ne preda vse dokumentacije drugemu overitelju oziroma ministrstvu (27. člen);
8. ne obvesti ministrstva o možnem začetku stečaja ali prisilne poravnave ali o drugih okoliščinah, ki mu preprečujejo izpolnjevanje predpisanih zahtev (19. člen);
9. ne vodi predpisane dokumentacije (26. člen);
10. ne omogoči inšpektorju vpogleda ali zasega svoje dokumentacije ali ne posreduje potrebnih informacij in pojasnil (41. člen);
11. ne prijavi začetka opravljanja dejavnosti ali ne predloži notranjih pravil (18. člen);
12. izdaja kvalificirana potrdila in ne vodi ali pomanjkljivo vodi register preklicanih potrdil (30. člen);
13. izdaja kvalificirana potrdila in ne izvaja ustreznih varnostnih ukrepov za preprečitev nepooblaščenega zbiranja ali kopiranja podatkov za elektronsko podpisovanje s svoje strani ali s strani tretjega (33. člen);
14. navkljub prepovedi opravljanja dejavnosti s strani ministrstva dejavnost še naprej opravlja (41. člen);
15. neupravičeno uporablja označbo akreditiranega overitelja (42. člen).
(2) Če je overitelj pravna oseba, se z denarno kaznijo od 50.000 tolarjev do 100.000 tolarjev kaznuje za prekršek tudi odgovorna oseba pravne osebe, ki stori prekršek iz prejšnjega odstavka.
48. člen
Z denarno kaznijo od 50.000 tolarjev do 150.000 tolarjev se kaznuje za prekršek imetnik potrdila oziroma njegova odgovorna oseba, če gre za pravno osebo, če:
1. ne zahteva preklica potrdila ali kvalificiranega potrdila (22. člen);
2. uporablja podatke in sredstva za elektronsko podpisovanje v nasprotju z zahtevami tega zakona in na njegovi podlagi izdanih podzakonskih predpisov (22. člen).
49. člen
Z denarno kaznijo od 50.000 tolarjev do 150.000 tolarjev se kaznuje za prekršek posameznik, ki brez vednosti podpisnika ali imetnika potrdila uporabi njegove podatke ali sredstva za elektronsko podpisovanje (17. člen).
Peto poglavje
PREHODNE IN KONČNE DOLOČBE
50. člen
(1) Vlada Republike Slovenije izda podzakonski predpis, s katerim podrobneje uredi:
1. merila za ugotavljanje zanesljivosti in za ugotavljanje izpolnjevanja tehničnih zahtev iz 33., 37. in 38. člena tega zakona;
2. strokovno izobrazbo, znanje in izkušnje iz 32. člena tega zakona;
3. minimalno zavarovalno vsoto, s katero mora razpolagati overitelj za kritje odgovornosti;
4. obliko, objavo in dostopnost notranjih pravil overiteljev;
5. časovno veljavnost kvalificiranih potrdil, rok za ponoven elektronski podpis že podpisanih elektronskih podatkov in postopek v zvezi s tem;
6. področje uporabe, zahteve in dopustna odstopanja pri opravljanju storitev v zvezi z varnimi časovnimi žigi;
7. vrsto in obliko označbe akreditiranega overitelja;
8. tehnične pogoje za elektronsko poslovanje v javni upravi.
(2) Vlada Republike Slovenije izda podzakonske predpise iz prejšnjega odstavka najkasneje v šestdesetih dneh po objavi tega zakona v Uradnem listu Republike Slovenije.
51. člen
Minister, pristojen za gospodarske dejavnosti, lahko natančneje predpiše način izvajanja posameznih določb tega zakona.
52. člen
Do uveljavitve zakona, ki bo uredil pogoje za elektronsko poslovanje pri overjanju podpisa pred notarjem ali drugim pristojnim organom, se za te primere ne uporablja določba 15. člena tega zakona.
53. člen
4. točka drugega odstavka 46. člena tega zakona se začne uporabljati z dnem sprejema Republike Slovenije v članstvo Evropske unije.
54. člen
Dokler Agencija za telekomunikacije ne prevzame nalog po tem zakonu, opravlja naloge iz njene pristojnosti po tem zakonu Center vlade za informatiko.
55. člen
Ta zakon začne veljati šestdeseti dan po objavi v Uradnem listu Republike Slovenije.
Št. 043-03/00-2/1
Ljubljana, dne 13. junija 2000.
Predsednik
Državnega zbora
Republike Slovenije
Janez Podobnik, dr. med. l. r.