LOGO-BHS_(2).JPG

Godina X
Utorak, 14. novembra/studenoga 2006. godine
 

Broj/Broj
91 

Godina X
Utorak, 14. novembra 2006. godine
 

ISSN 1512-7486 -    bosanski jezik
ISSN 1512-7494 -    hrvatski jezik
ISSN 1512-7508 -    srpski jezik

 

PARLAMENTARNA SKUP[TINA
BOSNE I HERCEGOVINE 

625 

Na osnovu ~lana IV. 4.a) Ustava Bosne i Hercegovine, Parlamentarna skup{tina Bosne i Hercegovine, na 85. sjednici Predstavni~kog doma, odr`anoj 18. septembra 2006. godine, i na 63. sjednici Doma naroda, odr`anoj 20. septembra 2006. godine, usvojila je 

ZAKON 

O ELEKTRONSKOM POTPISU 

POGLAVLJE I. OP]E ODREDBE 

^lan 1. 

(Predmet Zakona) 

Ovim Zakonom ure|uju se osnove formiranja i upotrebe elektronskog potpisa i pru`anja usluga u vezi s elektronskim potpisom i ovjeravanjem. 

^lan 2. 

(Primjena pojedinih odredbi) 

(1)    Odredbe ovog Zakona primjenjuju se u zatvorenim sistemima, koji su u potpunosti ure|eni ugovorima izme|u poznatog broja ugovornih strana, ako je njihova primjena ugovorena. 

(2)    Odredbe ovog Zakona primjenjuju se u otvorenoj elektronskoj komunikaciji sa sudom i drugim institucijama, ako posebnim zakonom nije druga~ije odre|eno. 

^lan 3. 

(Definicije) 

Pojedini izrazi upotrijebljeni u ovom Zakonu zna~e: 

a)    elektronski potpis su podaci u elektronskom obliku koji prate druge podatke u elektronskom obliku ili su s njima logi~ki povezani i omogu}avaju utvr|ivanje identiteta potpisnika; 

b)    potpisnik je fizi~ko lice kojem su dodijeljeni podaci za formiranje potpisa i odgovaraju}i podaci za provjeru potpisa i kojem je, u njegovo ili u ime tre}eg lica, formiran elektronski potpis, ili ovjerilac koji koristi potvrdu za pru`anje usluga u vezi s elektronskim potpisom ili ovjeravanjem; 

c)    siguran elektronski potpis je elektronski potpis koji je: 

1)    dodijeljen isklju~ivo potpisniku, 

2)    omogu}ava identificiranje potpisnika, 

3)    formiran upotrebom sredstava koja su u potpunosti pod kontrolom potpisnika, 

4)    povezan s podacima na koje se odnosi tako da se mo`e utvrditi svaka naknadna promjena tih podataka, 

5)    zasnovan na kvalificiranoj potvrdi i formiran upotrebom tehni~kih sredstava i postupaka koji su u skladu sa sigurnosnim zahtjevima ovog Zakona i na osnovu njega donesenih podzakonskih propisa; 

d)    podaci za formiranje potpisa su jedinstveni podaci kao {to su {ifre ili posebni {ifrirani klju~evi koje potpisnik koristi za formiranje elektronskog potpisa; 

e)    sredstva za formiranje potpisa su software ili hardware koji se koristi za obradu podataka za formiranje potpisa; 

f)    podaci za provjeru potpisa su jedinstveni podaci kao {to su {ifre ili posebni {ifrirani klju~evi koji se koriste za provjeru elektronskog potpisa; 

g)    sredstva za provjeru potpisa su software ili hardware koji se koristi za provjeru elektronskog potpisa; 

h)    potvrda je elektronska potvrda, s podacima za provjeru potpisa koji su dodijeljeni odre|enom licu ~iji je identitet utvr|en; 

i)    kvalificirana potvrda je potvrda koja sadr`i podatke iz ~lana 6. ovog Zakona i koju je izdao ovjerilac koji zadovoljava odredbe ~lana 8. ovog Zakona; 

j)    ovjerilac je fizi~ko ili pravno lice koje izdaje potvrde ili vremenski pe~at ili obavlja druge usluge u vezi s elektronskim potpisom i ovjeravanjem; 

k)    usluge u vezi s elektronskim potpisom i ovjeravanjem su stavljanje na raspolaganje proizvoda i postupaka povezanih s elektronskim potpisom, izdavanje, obnavljanje i upravljanje potvrdama, registar potvrda, pru`anje usluga opoziva, vremenskog pe~ata, kao i ra~unarske i savjetodavne usluge u vezi s elektronskim potpisom; 

l)    vremenski pe~at je elektronski potpisana potvrda ovjerioca koja potvr|uje da su odre|eni podaci bili prisutni u elektronskom dokumentu, u odre|enom momentu; 

m)    proizvod je software ili hardware ~ije se specifi~ne komponente koriste za formiranje ili provjeru elektronskog potpisa ili koje ovjerilac koristi za pru`anje usluga u vezi s elektronskim potpisom i potvrdama; 

n)    kompromitiranje je naru{avanje sigurnosnih mjera ili sigurnosne tehnike, pri kojem ovjerilac ne mo`e zadr`ati osnovni zahtijevani nivo sigurnosti. 

POGLAVLJE II. PRAVNO DJELOVANJE ELEKTRONSKOG POTPISA 

^lan 4. 

(Op}e pravno djelovanje elektronskog potpisa) 

(1)    U pravnom i poslovnom prometu mogu se koristiti elektronski potpisi formirani postupcima razli~itih nivoa sigurnosti i zasnovani na potvrdama razli~itih klasa. 

(2)    Pravno djelovanje elektronskog potpisa i njegova upotreba kao dokaznog sredstva ne mo`e se isklju~iti zbog ~injenice da je elektronski potpis dostupan jedino u elektronskoj formi ili zbog toga {to nije zasnovan na kvalificiranoj potvrdi, ili kvalificiranoj potvrdi akreditiranog ovjerioca, ili zbog toga {to nije formiran upotrebom tehni~kih sredstava i postupaka iz ~lana 14. ovog Zakona. 

^lan 5. 

(Posebno pravno djelovanje elektronskog potpisa) 

(1)    Siguran elektronski potpis zadovoljava pravne zahtjeve za svojeru~ni potpis i naro~ito pisanu formu, ako posebnim zakonom ili sporazumom ugovornih strana nije druga~ije odre|eno. 

(2)    Siguran elektronski potpis nema pravno djelovanje pisane forme kod: 

a)    pravnih poslova iz oblasti porodi~nog i nasljednog prava koji zahtijevaju pisanu formu ili ispunjavanje stro`ijih zahtjeva forme, 

b)    drugih izjava volje ili pravnih poslova za ~ije se va`enje zahtijeva slu`bena ovjera, sudska ili notarska provjera autenti~nosti ili notarska isprava, 

c)    izjava volje, pravnih poslova ili podnesaka koji zahtijevaju slu`benu ovjeru, sudsku ili notarsku provjeru autenti~nosti ili notarsku ispravu, radi unosa u zemlji{ne knjige, ili drugi slu`beni registar, 

d)    izjava garancija koje su izdala lica iz oblasti svog zanatskog, poslovnog ili stru~nog svojstva. 

(3)    Pretpostavka autenti~nosti sadr`aja potpisane privatne isprave, u smislu odredbi pozitivnih propisa kojima se ure|uje, primjenjuje se i na elektronski dokument na kojem je ostvaren siguran elektronski potpis. 

(4)    Smatra se da pravno djelovanje sigurnog elektronskog potpisa iz st.(1) i (3) ovog ~lana nije nastalo ako se doka`e da nisu bili zadovoljeni sigurnosni zahtjevi iz ovog Zakona i na osnovu njega donesenih podzakonskih propisa, ili da su mjere, preduzete s ciljem da se zadovolje, bile kompromitirane. 

^lan 6. 

(Kvalificirana potvrda) 

(1)    Kvalificirana potvrda mora sadr`avati najmanje sljede}e podatke: 

a)    oznaku da se radi o kvalificiranoj potvrdi, 

b)    ime ili firmu, i naziv dr`ave prebivali{ta ili sjedi{ta ovjerioca, 

c)    ime, odnosno pseudonim potpisnika, uz obavezno nazna~avanje da se radi o pseudonimu, 

d)    dodatne podatke o potpisniku, koji su propisani za namjenu za koju se potvrda upotrebljava, a koji ne smiju biti u suprotnosti s namjenom upotrebe pseudonima, 

e)    podatke za provjeru potpisa koji odgovaraju podacima za formiranje potpisa koji su pod kontrolom potpisnika, 

f)    podatke o po~etku i prestanku va`enja potvrde, 

g)    jedinstvenu oznaku potvrde, 

h)    ograni~enja u vezi s upotrebom potvrde, ako ih ima, 

i)    ograni~enja u pogledu vrijednosti transakcija za koje se potvrda mo`e upotrijebiti, ako ih ima. 

(2)    Na zahtjev lica koje tra`i potvrdu, u kvalificiranoj potvrdi mogu se navesti druge va`ne pravne informacije. 

(3)    Kvalificirana potvrda mora biti potpisana elektronskim potpisom ovjerioca koji je u skladu s odredbama ~lana 3. ta~ka c) alineja 1) do 4) ovog Zakona. 

POGLAVLJE III. OVJERIOCI 

^lan 7. 

(Obavljanje djelatnosti) 

(1)    Za po~etak rada i pru`anje usluga u vezi s elektronskim potpisom i ovjeravanjem ovjeriocu nije potrebna posebna dozvola. 

(2)    Ovjerilac je du`an, bez odlaganja, obavijestiti nadzorni organ o po~etku rada. Ovjerilac je du`an dostaviti interna pravila o pru`anju usluga i sigurnosni koncept za svaku uslugu u vezi s elektronskim potpisom i ovjeravanjem koju pru`a, prilikom po~etka rada, kao i prilikom bilo koje promjene u vezi s pru`anjem usluga. 

(3)    Ovjerilac koji koristi postupke za siguran elektronski potpis du`an je u sigurnosnom konceptu utvrditi na koji }e na~in zadovoljiti sigurnosne zahtjeve propisane ovim zakonom i na osnovu ovog Zakona donesenim podzakonskim propisima. 

(4)    Ovjerilac je du`an ispunjavati zahtjeve iz svojih internih pravila o pru`anju usluga i sigurnosnog koncepta, prilikom po~etka, kao i sve vrijeme obavljanja djelatnosti. 

(5)    Ovjerilac je du`an, bez odlaganja, obavijestiti nadzorni organ o svim okolnostima koje ga spre~avaju ili mu onemogu}avaju obavljanje djelatnosti u skladu s internim pravilima o pru`anju usluga i sigurnosnim konceptom. 

(6)    Ovjerilac koji izdaje potvrde du`an je u sigurnosnom konceptu opisati u kojoj formi se vodi registar potvrda. 

(7)    Ovjerilac mo`e koristiti potvrde koje je sam izdao samo ako je to neophodno za pru`anje usluga u vezi s elektronskim potpisom i ovjeravanjem. 

^lan 8. 

(Ovjerioci koji izdaju kvalificirane potvrde) 

(1)    Ovjerilac koji izdaje kvalificirane potvrde du`an je: 

a)    demonstrirati pouzdanost koja se zahtijeva za pru`anje usluga u vezi s elektronskim potpisom i ovjeravanjem, 

b)    voditi brz i siguran registar potvrda i osigurati pru`anje neodgodive i sigurne usluge opoziva, 

c)    za kvalificirane potvrde, kao i za registar potvrda i pru`anje usluga opoziva, koristiti podatak o vremenu koji je nesumnjivo kvalitetan (npr. siguran vremenski pe~at) i osigurati za sve slu~ajeve da se datum i vrijeme izdavanja ili opoziva potvrde mogu ta~no utvrditi, 

d)    pouzdano provjeriti identitet i, gdje je to primjenjivo, bilo koja druga zna~ajna pravna obilje`ja lica koje tra`i potvrdu, 

e)    zapo{ljavati pouzdana lica, koja za pru`anje usluga imaju potrebna specijalisti~ka znanja, iskustvo i stru~ne kvalifikacije i naro~ito upravlja~ke sposobnosti i poznavanje tehnologije elektronskog potpisa i odgovaraju}ih sigurnosnih postupaka, i primjenjuju administrativne i upravlja~ke postupke i propise, u skladu s va`e}im pravilima struke, 

f)    imati finansijsku sposobnost za obavljanje djelatnosti u skladu s ovim zakonom i na osnovu njega donesenim podzakonskim propisima, i za pokri}e eventualnih zahtjeva za naknadu {tete, 

g)    evidentirati sve okolnosti i ~injenice zna~ajne za kvalificirane potvrde, tokom vremena njihove primjene, tako da se ovjeravanje mo`e dokazati, naro~ito u sudskom postupku, te ~uvati ove podatke trajno i u elektronskom obliku, 

h)    preduzeti odgovaraju}e mjere, tako da ovjerilac ili tre}a lica ne mogu ~uvati ili kopirati podatke za formiranje potpisa. 

(2)    Ovjerilac koji izdaje kvalificirane potvrde je, za pru`anje usluga u vezi s elektronskim potpisom i ovjeravanjem, kao i za formiranje i ~uvanje potvrda, du`an koristiti pouzdane sisteme, proizvode i postupke koji su tehni~ki za{ti}eni od izmjena i koji pru`aju tehni~ku i kriptografsku sigurnost. Du`an je, tako|er, preduzeti odgovaraju}e mjere kojima se osigurava tajnost podataka za formiranje potpisa, da se podaci za kvalificirane potvrde ne mogu neopa`eno iskonstruirati ili falsificirati, i da su ove potvrde, samo uz pristanak potpisnika, dostupne javnosti. Za generiranje i ~uvanje podataka za formiranje potpisa i za formiranje i ~uvanje kvalificiranih potvrda ovjerilac je du`an koristiti tehni~ka sredstva i postupke koji zadovoljavaju odredbe ~lana 14. ovog Zakona. 

(3)    Podaci za formiranje potpisa ovjerioca moraju biti osigurani od neovla{tenog pristupa. 

(4)    Ako ovjerilac koristi postupke za siguran elektronski potpis, u potvrdi, kao i u elektronskom registru potvrda, koji je generalno stalno dostupan upotrebom sredstava informacionih i komunikacionih tehnologija, mora se navesti da se radi o sigurnom elektronskom potpisu. 

(5)    Na zahtjev suda ili druge institucije, ovjerilac je du`an provjeriti siguran elektronski potpis zasnovan na kvalificiranoj potvrdi. 

^lan 9. 

(Izdavanje kvalificiranih potvrda) 

(1)    Ovjerilac je du`an, pomo}u zvani~nog identifikacionog dokumenta s fotografijom za fizi~ka lica, ili uredno ovjerenim dokumentima za pravno lice, pouzdano utvrditi identitet i druge potrebne podatke lica koje tra`i kvalificiranu potvrdu. 

(2)    Zahtjev za kvalificiranu potvrdu mo`e biti podnesen pravnom licu koje ovlasti ovjerilac. Ovo pravno lice du`no je provjeriti identitet lica koje tra`i kvalificiranu potvrdu. 

(3)    Ovjerilac je du`an, u skladu s internim pravilima o pru`anju usluga, navesti u kvalificiranoj potvrdi podatke o ovla{tenju za zastupanje ili druge va`ne pravne informacije, ako se to zahtijeva, i ako lice koje tra`i kvalificiranu potvrdu doka`e te podatke ovjeriocu ili pravnom licu iz stava (2) ovog ~lana. 

(4)    Na zahtjev lica koje tra`i potvrdu, ovjerilac mo`e u potvrdi, u skladu s internim pravilima o pru`anju usluga, navesti pseudonim umjesto imena potpisnika. Pseudonim ne smije biti uvredljiv ili o~igledno zbunjuju}i u vezi s imenom ili potpisom. 

^lan 10. 

(Opoziv potvrde) 

(1)    Ovjerilac je du`an, bez odlaganja, opozvati potvrdu ako: 

a)    opoziv potvrde zahtijeva potpisnik ili u potvrdi imenovani ovla{tenik, 

b)    sazna da je potpisnik izgubio poslovnu sposobnost, umro, ili je prestao postojati ili da su se promijenile ~injenice potvr|ene u potvrdi, 

c)    je potvrda izdata na osnovu neta~nih podataka, 

d)    prestane obavljati djelatnost, a registar potvrda i pru`anje usluga opoziva nije preuzeo drugi ovjerilac, 

e)    opoziv naredi nadzorni organ, 

f)    postoji opasnost od zloupotrebe potvrde. 

(2)    Ako se ~injenice na koje se odnosi stav (1) ovog ~lana ne mogu odmah nesumnjivo utvrditi, ovjerilac je du`an, bez odlaganja, suspendirati potvrdu. 

(3)    Suspenzija i opoziv moraju sadr`avati datum i vrijeme od kada proizvode djelovanje. Ako je postupak opoziva ili suspenzije proveden, djelovanje proizvode od momenta kad se unesu u registar potvrda. Opoziv i suspenzija s povratnim djelovanjem nisu dozvoljeni. Ovjerilac je du`an, bez odlaganja, obavijestiti potpisnika o suspenziji ili opozivu. 

(4)    Nadzorni organ du`an je, bez odlaganja, opozvati potvrde ako: 

a)    ovjerilac prestane obavljati djelatnost, a njegov registar potvrda i pru`anje usluga opoziva nije preuzeo drugi ovjerilac ili 

b)    je ovjeriocu zabranjeno obavljanje djelatnosti, a njegov registar potvrda i pru`anje usluga opoziva nije preuzeo drugi ovjerilac. 

^lan 11. 

(Vremenski pe~at) 

(1)    Ako ovjerilac pru`a usluge vremenskog pe~ata, du`an je u svojim internim pravilima o pru`anju usluga i sigurnosnom konceptu utvrditi na koji na~in }e zadovoljiti zahtjeve za pru`anje usluge utvr|ene ovim zakonom i na osnovu njega donesenim podzakonskim propisima. 

(2)    Za pru`anje usluga sigurnog vremenskog pe~ata, ovjerilac mora koristiti tehni~ka sredstva i postupke koji osiguravaju da je navedeno vrijeme ta~no i autenti~no, i koji su u skladu s odredbama ~lana 14. ovog Zakona. 

^lan 12. 

(Dokumentacija) 

(1)    Ovjerilac je du`an dokumentirati sigurnosne mjere koje je preduzeo u skladu s odredbama ovog Zakona i na osnovu njega donesenih podzakonskih propisa, kao i izdavanje, suspenziju i opoziv potvrda. Podaci i njihova vjerodostojnost te trenutak njihovog upisivanja u sistem protokola moraju biti uvijek dostupni provjeri. 

(2)    Ovjerilac je du`an dostaviti dokumentaciju iz stava (1) ovog ~lana na zahtjev suda ili drugog organa vlasti. 

^lan 13. 

(Prestanak obavljanja djelatnosti) 

(1)    Ovjerilac je du`an, bez odlaganja, obavijestiti nadzorni organ o prestanku obavljanja djelatnosti. Ovjerilac je tako|er du`an, u trenutku prestanka obavljanja djelatnosti, opozvati va`e}e potvrde, ili osigurati da najmanje registar potvrda, i pru`anje usluga opoziva, preuzme drugi ovjerilac. 

(2)    Ovjerilac je du`an, bez odlaganja, obavijestiti potpisnike o prestanku obavljanja djelatnosti i opozivu, ili preuzimanju. 

(3)    Ovjerilac je du`an osigurati da se usluga opoziva pru`a i ako su potvrde opozvane. Ako ovjerilac ne osigura pru`anje usluge opoziva, pru`anje usluge opoziva, na teret ovjerioca, osigurat }e nadzorni organ. 

POGLAVLJE IV. TEHNI^KI SIGURNOSNI ZAHTJEVI 

^lan 14. 

(Tehni~ka sredstva i postupci za siguran elektronski potpis) 

(1)    Za generiranje i ~uvanje podataka za formiranje potpisa te za formiranje sigurnog elektronskog potpisa moraju se koristiti tehni~ka sredstva koja omogu}avaju pouzdano otkrivanje falsificiranja potpisanih podataka i pouzdano spre~avaju neovla{teno kori{}enje postupaka formiranja podataka za elektronski potpis. 

(2)    Tehni~ka sredstva i postupci koji se koriste za formiranje sigurnog elektronskog potpisa moraju osigurati da podaci koji se potpisuju nisu promijenjeni i da podaci koji se potpisuju budu prikazani potpisniku prije potpisivanja; podaci za formiranje potpisa moraju biti osigurani, tako da se ne mogu izvesti, vjerovatno}a da }e se pojaviti samo jednom mora biti blizu sigurnosti, a njihova pouzdanost mora biti zagarantirana. 

(3)    Za formiranje i ~uvanje kvalificiranih potvrda moraju se koristiti tehni~ka sredstva i postupci koji spre~avaju konstruiranje i falsificiranje potvrda. 

(4)    Tehni~ka sredstva i postupci koji se koriste za provjeru sigurno potpisanih podataka moraju osigurati da: 

a)    potpisani podaci nisu promijenjeni, 

b)    elektronski potpis mora biti pouzdano provjeren i rezultati provjere korektno prikazani licu koje radi provjeru, 

c)    lice koje radi provjeru mo`e utvrditi podatake na koje se elektronski potpis odnosi, 

d)    lice koje radi provjeru mo`e pouzdano utvrditi potpisnika ~iji je elektronski potpis ostvaren, i da u slu~aju upotrebe pseudonima, njegova upotreba uvijek bude nazna~ena, 

e)    svaka promjena, koja, na bilo koji na~in, uti~e na sigurnost potpisanih podataka bude vidljiva. 

(5)    Tehni~ka sredstva i postupci za formiranje sigurnog elektronskog potpisa moraju se, zavisno od stanja tehnike, sveobuhvatno i redovno provjeravati. Njihovo zadovoljavanje sigurnosnih zahtjeva ovog Zakona i na osnovu njega donesenih podzakonskih propisa mora potvrditi posebno tijelo (~lan 15.). Potvrde o zadovoljavanju sigurnosnih zahtjeva, koje su izdala tijela dr`ava ~lanica Evropske unije ili ~lanica Evropskog ekonomskog prostora iz ~lana 3. stav 4. Direktive 1999/93 EZ Evropskog parlamenta i Vije}a od 13. decembra 1999. o okviru Zajednice za elektronski potpis (Sl. list Evropskih zajednica, br. L 13 od 19. januara 2000., str. 12), prihvataju se kao i potvrde tijela iz ~lana 15. ovog Zakona. 

(6)    Tehni~ka sredstva i postupci koje, na osnovu ~lana 3. stav 5. Direktive 1999/93 EZ Evropskog parlamenta i Vije}a od 13. decembra 1999. o okviru Zajednice za elektronski potpis, utvrdi Evropska komisija zadovoljavaju sigurnosne zahtjeve ovog Zakona i na osnovu njega donesenih podzakonskih propisa. 

^lan 15. 

(Izdavanje potvrda o ispunjavanju sigurnosnih zahtjeva) 

(1)    Potvrde iz ~lana 14. stav (5) ovog Zakona mo`e izdavati javno ili privatno tijelo koje je za tu svrhu akreditirano kod Instituta za akreditiranje Bosne i Hercegovine. 

(2)    Institut za akreditiranje Bosne i Hercegovine akreditirat }e javno ili privatno tijelo za izdavanje potvrda iz ~lana 14. stav (5) ovog Zakona, na njegov zahtjev, ako: 

a)    demonstrira pouzdanost potrebnu za obavljanje svojih aktivnosti, 

b)    zapo{ljava pouzdana lica, koja za obavljanje aktivnosti imaju specijalisti~ka znanja, iskustvo i stru~ne kvalifikacije, naro~ito poznavanje elektronskog potpisa i odgovaraju}ih sigurnosnih postupaka, kriptografije, komunikacionih i "smart-card" tehnologija i tehni~ke evaluacije ovih sredstava, 

c)    ima zadovoljavaju}a tehni~ka sredstva i ure|aje, i finansijsku i ekonomsku sposobnost za obavljanje aktivnosti, 

d)    garantira potrebnu nezavisnost i nepristrasnost. 

(3)    Podnosilac zahtjeva za akreditaciju mora ispunjavati i kriterije koje utvrdi Evropska komisija, na osnovu ~lana 3. stav 4. Direktive 1999/93 EZ Evropskog parlamenta i Vije}a od 13. decembra 1999. o okviru Zajednice za elektronski potpis. Vije}e ministara Bosne i Hercegovine, na prijedlog ministra nadle`nog za informaciono dru{tvo, }e podzakonskim propisom objaviti ove kriterije. 

(4)    Javno ili privatno tijelo akreditirano za izdavanje potvrda iz ~lana 14. stav (5) ovog Zakona mo`e, za potrebe obavljanja svojih aktivnosti, koristiti izvje{taje o ispitivanju drugih akreditiranih tijela. 

POGLAVLJE V. PRAVA I OBAVEZE 

^lan 16. 

(Op}e obaveze ovjerioca) 

(1)    Ovjerilac je du`an upoznati lice koje tra`i potvrdu jasno i sveobuhvatno s internim pravilima o pru`anju usluga i sigurnosnim konceptom, u pisanoj formi ili upotrebom trajnog nosa~a podataka, prije zaklju~ivanja ugovora. Prilikom izdavanja kvalificirane potvrde ovjerilac je tako|er du`an upoznati imaoca potvrde s uvjetima upotrebe, kao {to su ograni~enja u vezi s upotrebom ili ograni~enja u pogledu vrijednosti transakcija za koje se potvrda mo`e upotrijebiti, i napomenuti dobrovoljnu akreditaciju, i bilo koje posebne postupke za rje{avanje sporova. 

(2)    Informacije na koje se odnosi stav (1) ovog ~lana mogu se, na njihov zahtjev, dostaviti tre}im licima koja doka`u pravni interes za njih. 

(3)    Ovjerilac je du`an upoznati lice koje tra`i potvrdu o tome koja su tehni~ka sredstva i postupci podesni za potpisivanje, i gdje je to primjenjivo, koja tehni~ka sredstva i postupci i drugi ure|aji zadovoljavaju odredbe ovog Zakona o formiranju i provjeri sigurnog elektronskog potpisa. Nadalje, ovjerilac je du`an upoznati lice koje tra`i potvrdu s mogu}im pravnim djelovanjem postupka za elektronski potpis koji je upotrijebljen, obavezama potpisnika i specifi~noj odgovornosti ovjerioca. Imalac potvrde, prije nego {to sigurnosna vrijednost trenutnog elektronskog potpisa bude naru{ena tokom vremena, treba biti obavije{ten o tome (gdje je to primjenjivo i na koji na~in) da treba biti primijenjen novi elektronski potpis. 

^lan 17. 

(Obaveze potpisnika) 

(1)    Potpisnik je du`an ~uvati podatke za formiranje elektronskog potpisa, suzdr`ati se od njihovog proslje|ivanja i sprije~iti neovla{ten pristup tim podacima u mjeri u kojoj je to mogu}e o~ekivati. 

(2)    Potpisnik je du`an, bez odlaganja, ovjeriocu dostaviti sve potrebne podatke i informacije o promjenama koje uti~u ili mogu uticati na ta~nost utvr|ivanja potpisnika. 

(3)    Potpisnik je du`an, bez odlaganja, zatra`iti opoziv potvrde ako su podaci za formiranje elektronskog potpisa neta~ni ili ako postoji osnovana sumnja da su kopirani ili da su neovla{tena lica do{la u posjed ovih podataka, ili ako su se ~injenice potvr|ene u potvrdi promijenile. 

^lan 18. 

(Za{tita li~nih podataka) 

(1)    Ovjerilac mo`e koristiti samo one li~ne podatke koji su potrebni da bi se usluga pru`ila. Ovi podaci mogu se pribaviti samo neposredno od lica o kojem se radi ili uz njegovu saglasnost, od tre}e strane. 

(2)    Ako je kori{ten pseudonim, ovjerilac }e dostaviti podatke o potpisnikovom identitetu ako za utvr|ivanje identiteta postoji preovla|uju}i pravni interes u smislu odredbi propisa kojima se ure|uje za{tita podataka. Ovjerilac je du`an dokumentirati dostavljanje. 

^lan 19. 

(Odgovornost ovjerilaca za {tetu) 

(1)    Ovjerilac koji izdaje potvrde kao kvalificirane ili garantira za takve potvrde u skladu s odredbama ~lana 24. stav (2) ta~ka b) ovog Zakona, odgovoran je za {tetu svakom licu koje se pouzda u potvrdu, za sljede}e: 

a)    ta~nost podataka u kvalificiranoj potvrdi u trenutku njenog izdavanja, i da potvrda sadr`i sve podatke propisane za kvalificiranu potvrdu, 

b)    da je potpisnik, naveden u kvalificiranoj potvrdi, u trenutku izdavanja potvrde bio u posjedu svih podataka za formiranje potpisa, koji odgovaraju podacima za provjeru potpisa sadr`anim u potvrdi, 

c)    da su podaci za formiranje potpisa i s njima usagla{eni podaci za provjeru potpisa zajedno, prilikom primjene proizvoda i postupaka koje mu je ovjerilac stavio na raspolaganje ili, ekvivalentnih koje sam koristi, odgovaraju}i u komplementarnom smislu, 

d)    opoziv potvrde bez odlaganja, po ulaganju odgovaraju}eg zahtjeva, i da je postupak opoziva raspolo`iv, 

e)    da su zadovoljene odredbe ~lana 8. ovog Zakona, i da su za generiranje i ~uvanje podataka za formiranje potpisa i formiranje i ~uvanje kvalificiranih potvrda kori{tena tehni~ka sredstva i postupci koji zadovoljavaju odredbe ~lana 14. ovog Zakona. 

(2)    Ovjerilac koji koristi postupke za siguran elektronski potpis tako|er je odgovoran da proizvodi, postupci i drugi ure|aji, koje koristi ili preporu~uje kao odgovaraju}e za formiranje elektronskog potpisa i prikaz podataka koji se potpisuju, zadovoljavaju odredbe ~lana 14. ovog Zakona. 

(3)    Ovjerilac je odgovoran, ako ne doka`e da je {teta nastala bez njegove krivice. 

(4)    Ako je upotreba kvalificirane potvrde ograni~ena, ovjerilac se ne}e smatrati odgovornim za {tetu koja je nastala u vezi s upotrebom potvrde izvan ograni~enja. Ako kvalificirana potvrda sadr`i ograni~enja u pogledu vrijednosti transakcija za koje se mo`e upotrijebiti, ovjerilac se ne}e smatrati odgovornim za {tetu nastalu u vezi s upotrebom potvrde za transakcije ~ija je vrijednost izvan ovih ograni~enja. 

POGLAVLJE VI. NADZOR 

^lan 20. 

(Nadzorni organ) 

(1)    Nadzorni organ je Ured za nadzor i akreditaciju ovjerilaca pri ministarstvu nadle`nom za informaciono dru{tvo. 

(2)    U okviru inspekcijskog nadzora, nadzorni organ: 

a)    provjerava da li su interna pravila o pru`anju usluga i sigurnosni koncept ovjerilaca u skladu s odredbama ovog Zakona i na osnovu njega donesenih podzakonskih propisa; 

b)    provjerava da li ovjerilac, sve vrijeme obavljanja djelatnosti, zadovoljava odredbe ovog Zakona i na osnovu njega donesenih podzakonskih propisa i svojih internih pravila o pru`anju usluga i sigurnosnog koncepta; 

c)    ako ovjerilac pru`a usluge u vezi sa sigurnim elektronskim potpisom, nadzire upotrebu tehni~kih sredstava i postupaka iz ~lana 14. ovog Zakona; 

d)    provjerava da li tijelo akreditirano za izdavanje potvrda o ispunjavanju sigurnosnih zahtjeva ovog Zakona i na osnovu njega donesenih podzakonskih propisa ispunjava organizacione kriterije iz ~lana 15. ovog Zakona; 

e)    registrira ovjerioce koji podnesu obavje{tenje o po~etku rada i akreditira ovjerioce u skladu s odredbama ~lana 23. ovog Zakona; 

f)    utvr|uje ekvivalentnost izvje{taja o provjeri iz tre}ih dr`ava (~lan 24. stav (3)); 

g)    pru`a uslugu opoziva, ako je ovjerilac prestao pru`ati usluge u vezi s elektronskim potpisom i ovjeravanjem ili mu je pru`anje usluga zabranjeno, a pru`anje usluge opoziva nije preuzeo drugi ovjerilac u smislu ~lana 13. stav (3) i ~lana 21. stav (5) ovog Zakona. 

(3)    Ovjerioci su obavezni nadoknaditi tro{kove aktivnosti nadzornog organa u skladu s propisima donesenim na osnovu ovog Zakona. 

(4)    Nadzorni organ vodi elektronski registar ovjerilaca sa sjedi{tem u Bosni i Hercegovini, akreditiranih ovjerilaca i ovjerilaca sa sjedi{tem u tre}im dr`avama za ~ije potvrde garantira ovjerilac sa sjedi{tem u Bosni i Hercegovini u skladu s odredbama ~lana 24. stav (2) ta~ka b) ovog Zakona. Tako|er, nadzorni organ vodi registar potvrda ovjerilaca koji sadr`i kvalificirane potvrde ovjerilaca za pru`anje usluga u vezi s elektronskim potpisom i ovjeravanjem. Ovakve potvrde mo`e izdavati i nadzorni organ. Ovi registri moraju biti, generalno, stalno dostupni upotrebom sredstava informacionih i komunikacionih tehnologija. Nadzorni organ stavlja svoj sigurni elektronski potpis na registre koje vodi. Potvrda nadzornog organa objavljuje se u "Slu`benom glasniku BiH". 

^lan 21. 

(Mjere nadzora) 

(1)    Prilikom obavljanja inspekcijskog nadzora, nadzorni organ ovla{ten je preduzeti mjere kojima se osigurava da su obaveze odre|ene ovim zakonom i na osnovu njega donesenim podzakonskim propisima ispunjene. Nadzorni organ mo`e zabraniti upotrebu neodgovaraju}ih tehni~kih sredstava i postupaka ili pru`anje svih ili pojedinih usluga u vezi s elektronskim potpisom i ovjeravanjem. Nadzorni organ mo`e opozvati potvrde ovjerioca ili potpisnika, ili narediti ovjeriocu opoziv potvrda. 

(2)    Nadzorni organ }e ovjeriocu zabraniti pru`anje svih ili pojedinih usluga u vezi s elektronskim potpisom i ovjeravanjem ako: 

a)    ovjerilac ili njegova zaposlena lica ne demonstriraju pouzdanost koja se zahtijeva za usluge u vezi s elektronskim potpisom i ovjeravanjem koje pru`aju; 

b)    ovjerilac ili njegova zaposlena lica nemaju potrebna specijalisti~ka znanja, iskustvo i stru~ne kvalifikacije; 

c)    nema na raspolaganju potrebna finansijska sredstva; 

d)    ne pru`a usluge u vezi s elektronskim potpisom i ovjeravanjem u skladu s internim pravilima o pru`anju usluga i sigurnosnim konceptom; 

e)    ne vodi registar potvrda u skladu s odredbama ovog Zakona i na osnovu njega donesenih podzakonskih propisa; 

f)    ne ispunjava obaveze u vezi s opozivom i suspenzijom, u skladu s odredbama ovog Zakona i na osnovu njega donesenih podzakonskih propisa; 

g)    ne ispuni obaveze iz ~lana 7. stav (2) ovog Zakona. 

(3)    Ako nije odredio bla`e mjere iz stava (6) ovog ~lana, nadzorni organ }e ovjeriocu koji izdaje kvalificirane potvrde zabraniti pru`anje svih ili pojedinih usluga u vezi s elektronskim potpisom i ovjeravanjem, ako nisu zadovoljene druge odredbe ovog Zakona i na osnovu njega donesenih podzakonskih propisa kojima se ure|uje pru`anje usluga. 

(4)    Ako nije odredio bla`e mjere iz stava (6) ovog ~lana, nadzorni organ }e ovjeriocu koji koristi postupke za siguran elektronski potpis zabraniti pru`anje svih ili pojedinih usluga u vezi s elektronskim potpisom i ovjeravanjem, ako tehni~ka sredstva i postupci ne zadovoljavaju odredbe ~lana 14. ovog Zakona. 

(5)    Ako nadzorni organ zabrani ovjeriocu pru`anje usluga u vezi s elektronskim potpisom i ovjeravanjem, mora osigurati da se potvrde ovjerioca i potpisnika opozovu ili da drugi ovjerilac, u mjeri u kojoj pristane, preuzme obavljanje djelatnosti ovjerioca kojem je zabranjen rad, a najmanje registar potvrda i pru`anje usluga opoziva. Potpisnici }e biti obavije{teni o zabrani i opozivu ili preuzimanju, bez odlaganja. Ovjerilac je du`an osigurati da se usluga opoziva pru`a i ako su potvrde opozvane. Ako ovjerilac ne osigura pru`anje usluge opoziva, pru`anje usluge na teret ovjerioca osigurat }e nadzorni organ. 

(6)    Nadzorni organ ne}e zabraniti pru`anje usluga u vezi s elektronskim potpisom i ovjeravanjem, ako se bla`im mjerama mo`e posti}i uskla|ivanje s odredbama ovog Zakona i na osnovu njega donesenih podzakonskih propisa. Nadzorni organ mo`e odrediti rokove i uvjete za otklanjanje nedostataka i izdati upozorenje o zabrani u slu~aju da nedostaci koje utvrdi ne budu otklonjeni u razumnom roku koji odredi. 

^lan 22. 

(Provo|enje nadzora) 

(1)    Ovjerilac je du`an odrediti lice koje }e, na zahtjev nadzornog organa, omogu}iti pristup u poslovne prostorije u toku radnog vremena. Ovjerilac je du`an dostaviti ili pripremiti za inspekciju relevantne poslovne knjige, dokumentaciju iz ~lana 12. ovog Zakona i drugu dokumentaciju, i osigurati potrebne informacije i bilo koju drugu potrebnu pomo}. 

(2)    Inspektor je ovla{ten izuzeti dokumentaciju ako je to potrebno za osiguravanje dokaza ili za detaljno utvr|ivanje nepravilnosti, na period od najvi{e 15 dana, o ~emu izdaje potvrdu. 

(3)    Podatke o potvrdama koji su li~ne prirode i podatke koji su za{ti}eni po posebnom zakonu, s kojima se upozna prilikom nadzora, inspektor je du`an ~uvati kao tajnu. 

(4)    Protiv odluke nadzornog organa dozvoljena je `alba @albenom vije}u pri Vije}u ministara Bosne i Hercegovine. @alba ne zadr`ava izvr{enje. 

(5)    Zabrana ne uti~e na va`enje prethodno izdatih potvrda. 

POGLAVLJE VII. DOBROVOLJNA AKREDITACIJA 

^lan 23. 

(Akreditiranje ovjerilaca) 

(1)    Ovjerioce koji koriste postupke za siguran elektronski potpis i koji doka`u da zadovoljavaju odredbe ovog Zakona i na osnovu njega donesenih podzakonskih propisa nadzorni organ akreditirat }e na zahtjev. Nadzorni organ mo`e, pod istim uvjetima, akreditirati i ovjerioce sa sjedi{tem izvan Bosne i Hercegovine, ako su ispunjeni uvjeti za priznavanje njihovih potvrda u Bosni i Hercegovini. Akreditirani ovjerilac mo`e samo uz saglasnost nadzornog organa nazna~avati svoju akreditiranost u pravnom prometu. Ova oznaka mo`e se koristiti za usluge u vezi s elektronskim potpisom i ovjeravanjem, i proizvode, samo ako su zadovoljeni sigurnosni zahtjevi odredbi ~lana 14. ovog Zakona. 

(2)    Dobrovoljna akreditacija ovjerioca treba da bude nazna~ena u kvalificiranoj potvrdi ili da bude dostupna na drugi odgovaraju}i na~in. 

POGLAVLJE VIII. PRIZNAVANJE STRANIH POTVRDA 

^lan 24. 

(Priznavanje potvrda koje su izdali strani ovjerioci) 

(1)    Potvrde koje su izdali ovjerioci sa sjedi{tem u dr`avi ~lanici Evropske unije ili dr`avi koja je ~lanica Evropskog ekonomskog prostora i ~iju validnost Bosna i Hercegovina mo`e provjeriti tretiraju se isto kao i doma}e potvrde. Kvalificirane potvrde ovih ovjerilaca imaju isto pravno djelovanje kao doma}e kvalificirane potvrde. 

(2)    Potvrde koje su izdali ovjerioci sa sjedi{tem u tre}im dr`avama i ~iju validnost Bosna i Hercegovina mo`e provjeriti bit }e priznate u Bosni i Hercegovini. Kvalificirane potvrde ovih ovjerilaca pravno }e se tretirati kao i doma}e kvalificirane potvrde ako: 

a)    ovjerilac zadovoljava odredbe ~lana 8. ovog Zakona, i ako je akreditiran u skladu sa sistemom dobrovoljne akreditacije, u Bosni i Hercegovini, ili u dr`avi ~lanici Evropske unije ili dr`avi koja je ~lanica Evropskog ekonomskog prostora, 

b)    doma}i ovjerilac ili ovjerilac sa sjedi{tem u dr`avi ~lanici Evropske unije ili dr`avi koja je ~lanica Evropskog ekonomskog prostora, i koji zadovoljava odredbe ~lana 8. ovog Zakona, garantira za njegove potvrde u skladu s propisima o odgovornosti, 

c)    se potvrda priznaje kao kvalificirana, ili se ovjerilac smatra ovjeriocem koji izdaje kvalificirane potvrde, na osnovu dvostranog ili vi{estranog me|unarodnog ugovora izme|u Bosne i Hercegovine i drugih dr`ava ili me|unarodnih organizacija, 

d)    se potvrda priznaje kao kvalificirana, ili se ovjerilac smatra ovjeriocem koji izdaje kvalificirane potvrde, na osnovu dvostranog ili vi{estranog me|unarodnog ugovora izme|u Evropske unije i tre}ih dr`ava ili me|unarodnih organizacija. 

(3)    Potvrde o zadovoljavanju sigurnosnih zahtjeva iz ~lana 14. stav (5) ovog Zakona, koje je izdalo tijelo sa sjedi{tem u tre}oj dr`avi, i koje je od te dr`ave priznato kao tijelo koje izdaje takve potvrde, bit }e va`e}e kao i potvrde tijela iz ~lana 15. ovog Zakona, pod uvjetom da nadzorni organ utvrdi da su tehni~ki zahtjevi, ispitivanja i postupci provjere tog tijela ekvivalentni onima koje koriste tijela iz ~lana 15. ovog Zakona. 

POGLAVLJE IX. KAZNENE ODREDBE 

^lan 25. 

(Kaznene odredbe) 

(1)    Svako lice koje upotrijebi podatke za formiranje potpisa drugog lica, bez znanja potpisnika i njegovog pristanka, kaznit }e se za prekr{aj nov~anom kaznom u iznosu do 8000 KM. 

(2)    Nov~anom kaznom u iznosu do 16000 KM kaznit }e se za prekr{aj ovjerilac ako: 

a)    ne opozove potvrdu u skladu s odredbama ~lana 10. stav (1) ovog Zakona; 

b)    ne dokumentira sigurnosne mjere koje je preduzeo u skladu s odredbama ovog Zakona i na osnovu njega donesenih podzakonskih propisa za izdavanje, suspenziju i opoziv potvrda (~lan 12.); 

c)    ne omogu}i pristup u poslovne prostorije, ili ne stavi na uvid relevantne poslovne knjige ili drugu dokumentaciju, uklju~uju}i i dokumentaciju iz ~lana 12. ovog Zakona, ili ne osigura informacije ili bilo koju drugu potrebnu pomo} (~lan 22.); 

d)    ne obavijesti imaoca potvrde ili lice koje tra`i potvrdu u skladu s odredbama ~lana 16. ovog Zakona. 

(3)    Nov~anom kaznom u iznosu do 32000 KM kaznit }e se za prekr{aj ovjerilac ako: 

a)    ne obavijesti nadzorni organ ili ne dostavi interna pravila o pru`anju usluga i sigurnosni koncept (~lan 7. stav (2); 

b)    ne obavijesti nadzorni organ o okolnostima koje ga spre~avaju ili mu onemogu}avaju obavljanje djelatnosti u skladu s internim pravilima o pru`anju usluga i sigurnosnim konceptom (~lan 7. stav (5); 

c)    ne vodi registar potvrda ili ne osigura sigurno i neodgodivo pru`anje usluge opoziva (~lan 8. stav (1) ta~ka b); 

d)    ne preduzme odgovaraju}e mjere kojima se osigurava da podatke za formiranje potpisa ne mogu ~uvati ili kopirati ni ovjerioci ni tre}a lica (~lan 8. stav (1) ta~ka h); 

e)    ne koristi, ne provodi ili ne preporu~i odgovaraju}a tehni~ka sredstva i postupke koji zadovoljavaju odredbe ~lana 14. ovog Zakona; 

f)    nastavi obavljati djelatnost protivno zabrani nadzornog organa (~lan 21. stav (2) do (4); 

g)    ne utvrdi pouzdano identitet ili druge potrebne podatke lica koje tra`i kvalificiranu potvrdu (~lan 9.); 

h)    koristi oznaku akreditiranog ovjerioca protivno odredbama ~lana 23. stav (1) ovog Zakona. 

(4)    Nov~anom kaznom u iznosu od 2 000 KM kaznit }e se za prekr{aj i odgovorno lice pravnog lica, koje u~ini prekr{aj iz st.(2) i (3) ovog ~lana. 

(5)    Ako je ovjerilac fizi~ko lice, za prekr{aj iz st. (2) i (3) ovog ~lana, kaznit }e se nov~anom kaznom u iznosu do 10 000 KM. 

(6)    Nov~anom kaznom u iznosu do 10 000 KM kaznit }e se za prekr{aj potpisnik, ako: 

a)    ne ~uva podatke za formiranje elektronskog potpisa ili ne sprije~i neovla{ten pristup tim podacima (~lan 17. stav (1); 

b)    ne dostavi sve potrebne podatke i informacije o promjenama koje uti~u ili mogu uticati na ta~nost utvr|ivanja potpisnika (~lan 17. stav (2); 

c)    ne zatra`i opoziv potvrde u skladu s ~lanom 17. stav (3) ovog Zakona. 

POGLAVLJE X. PRIJELAZNE I ZAVR[NE ODREDBE 

^lan 26. 

(Podzakonski propisi za provo|enje Zakona) 

(1)    Vije}e ministara Bosne i Hercegovine }e, na prijedlog ministra nadle`nog za informaciono dru{tvo, u skladu s aktuelnim stanjem nauke i tehnike, donijeti podzakonske propise koji su potrebni za provo|enje ovog Zakona. Ovim propisima bit }e obuhva}eni: 

a)    iznos naknade za rad nadzornog organa, 

b)    finansijska sposobnost ovjerioca i minimalan iznos osiguranja za odgovornost od {tete, 

c)    tehni~ki sigurnosni zahtjevi za siguran elektronski potpis, 

d)    prikazivanje podataka koji se potpisuju elektronskim potpisom, 

e)    elektronski potpis za kvalificirane potvrde, 

f)    elektronski potpis nadzornog organa, 

g)    sistemi nadzornog organa, 

h)    za{tita tehni~kih sredstava za siguran elektronski potpis ovjerioca, 

i)    ispitivanje tehni~kih sredstava i postupaka, 

j)    pru`anje usluga u vezi s elektronskim potpisom i ovjeravanjem koje se odnose na kvalificirane potvrde i siguran elektronski potpis, 

k)    zahtjev za izdavanje kvalificirane potvrde, 

l)    kvalificirana potvrda, 

m)    registar potvrda i pru`anje usluga opoziva za kvalificirane potvrde, 

n)    siguran vremenski pe~at, 

o)    sigurnosni koncept i interna pravila o pru`anju usluga za kvalificirane potvrde, 

p)    dokumentacija iz ~lana 12. ovog Zakona, 

r)    obnova elektronskog potpisa, 

s)    nadzor i akreditacija. 

(2)    Vije}e ministara Bosne i Hercegovine donijet }e propise iz stava (1) ovog ~lana najkasnije u roku od {est mjeseci od dana objavljivanja ovog Zakona. 

(3)    Ministar nadle`an za informaciono dru{tvo }e u redovnoj proceduri u roku od dva mjeseca uskladiti unutra{nju organizaciju ministarstva s ~lanom 20. stav (1) ovog Zakona. 

^lan 27. 

(Stupanje na snagu) 

Ovaj Zakon stupa na snagu u roku {est mjeseci od dana objavljivanja u "Slu`benom glasniku BiH". 


PSBiH broj 333/06
20. septembra 2006. godine
Sarajevo 



Predsjedavaju}i
Predstavni~kog doma
Parlamentarne skup{tine BiH
Martin Ragu`, s. r. 


Predsjedavaju}i
Doma naroda
Parlamentarne skup{tine BiH
Goran Milojevi}, s. r. 



Na temelju ~lanka IV.4.a) Ustava Bosne i Hercegovine, Parlamentarna skup{tina Bosne i Hercegovine na 85. sjednici Zastupni~koga doma, odr`anoj 18. rujna 2006, i na 63. sjednici Doma naroda, odr`anoj 20. rujna 2006, usvojila je 

ZAKON 

O ELEKTRONI^KOM POTPISU 

POGLAVLJE I. OP]E ODREDBE 

^lanak 1. 

(Predmet Zakona) 

Ovim se Zakonom ure|uju osnove za izradu i uporabu elektroni~kog potpisa te za pru`anje usluga u svezi s elektroni~kim potpisom i ovjerom. 

^lanak 2. 

(Primjena pojedinih odredaba) 

(1)    Odredbe ovoga Zakona primjenjuju se u zatvorenim sustavima koji su u potpunosti ure|eni ugovorima izme|u poznatog broja ugovornih strana, ukoliko je njihova primjena ugovorena. 

(2)    Odredbe ovoga Zakona primjenjuju se u otvorenoj elektroni~koj komunikaciji sa sudom i drugim institucijama, ukoliko posebnim zakonom nije druk~ije odre|eno. 

^lanak 3. 

(Definicije) 

Pojedini izrazi koji se rabe u ovome Zakonu zna~e: 

a)    elektroni~ki potpis ~ine podaci u elektroni~kom obliku koji prate druge podatke u elektroni~kom obliku ili su s njima logi~ki povezani te omogu}uju utvr|ivanje potpisnikova identiteta; 

b)    potpisnik je fizi~ka osoba kojoj su dodijeljeni podaci za izradu potpisa i odgovaraju}i podaci za provjeru potpisa i kojoj je u njezino ime ili u ime tre}e osobe izra|en elektroni~ki potpis, ili ovjeritelj koji koristi potvrdu za pru`anje usluga u svezi s elektroni~kim potpisom ili ovjerom; 

c)    siguran elektroni~ki potpis je elektroni~ki potpis: 

1)    koji je dodijeljen isklju~ivo potpisniku, 

2)    koji omogu}uje identificiranje potpisnika, 

3)    koji je izra|en uporabom sredstava koja su u potpunosti pod potpisnikovim nadzorom, 

4)    koji je povezan s podacima na koje se odnosi, tako da se mo`e utvrditi svaka naknadna promjena tih podataka, 

5)    koji je utemeljen na kvalificiranoj potvrdi i izra|en uporabom tehni~kih sredstava i postupaka koji su sukladni sigurnosnim zahtjevima ovoga Zakona i podzakonskih propisa donesenih na temelju njega; 

d)    podaci za izradu potpisa su jedinstveni podaci, poput {ifri ili posebnih {ifriranih klju~eva, koje potpisnik koristi za izradu elektroni~kog potpisa; 

e)    sredstva za izradu potpisa su softver ili hardver koji se koristi za obradbu podataka prilikom izrade elektroni~kog potpisa; 

f)    podaci za provjeru potpisa su jedinstveni podaci, poput {ifri ili posebnih {ifriranih klju~eva, koji se koriste za provjeru elektroni~kog potpisa; 

g)    sredstva za provjeru potpisa su softver ili hardver koji se koriste za provjeru elektroni~kog potpisa; 

h)    potvrda je potvrda u elektroni~kom obliku koja sadr`i podatke za provjeru potpisa dodijeljenih odre|enoj osobi ~iji je identitet utvr|en; 

i)    kvalificirana potvrda je potvrda koja sadr`i podatke iz ~lanka 6. ovoga Zakona i koju je izdao ovjeritelj koji zadovoljava odredbe ~lanka 8. ovoga Zakona; 

j)    ovjeritelj je fizi~ka ili pravna osoba koja izdaje potvrde ili vremenski pe~at ili obavlja druge usluge u svezi s elektroni~kim potpisom i ovjerom; 

k)    usluge u svezi s elektroni~kim potpisom i ovjerom su usluge stavljanja na raspolaganje proizvoda i postupaka povezanih s elektroni~kim potpisom, izdavanje, obnavljanje i upravljanje potvrdama, registar potvrda, pru`anje usluga opoziva, vremenskog pe~ata, kao i ra~unalne i savjetodavne usluge u svezi s elektroni~kim potpisom; 

l)    vremenski pe~at je elektroni~ki potpisana potvrda ovjeritelja koja potvr|uje da su odre|eni podaci bili prisutni u elektroni~ki dokument u odre|enom trenutku; 

m)    proizvod je softver ili hardver ~ije se specifi~ne komponente koriste za izradu ili provjeru elektroni~kog potpisa ili koje ovjeritelj rabi za pru`anje usluga u svezi s elektroni~kim potpisom i potvrdom; 

n)    kompromitiranje je naru{avanje sigurnosnih mjera ili sigurnosne tehnike, pri ~emu ovjeritelj ne mo`e zadr`ati osnovnu zahtijevanu razinu sigurnosti. 

POGLAVLJE II. PRAVNO DJELOVANJE ELEKTRONI^KOG POTPISA 

^lanak 4. 

(Op}e pravno djelovanje elektroni~kog potpisa) 

(1)    U pravnom i poslovnom prometu mogu se rabiti elektroni~ki potpisi izra|eni postupcima razli~itih razina sigurnosti i utemeljeni na potvrdama razli~itih klasa. 

(2)    Pravno djelovanje elektroni~kog potpisa i njegova uporaba kao dokaznog sredstva ne mo`e se isklju~iti zbog ~injenice da je elektroni~ki potpis dostupan jedino u elektroni~kom obliku, ili zbog toga {to nije utemeljen na kvalificiranoj potvrdi ili na kvalificiranoj potvrdi akreditiranog ovjeritelja, ili zbog toga {to nije izra|en kori{tenjem tehni~kih sredstava i postupaka iz ~lanka 14. ovoga Zakona. 

^lanak 5. 

(Posebno pravno djelovanje elektroni~kog potpisa) 

(1)    Siguran elektroni~ki potpis udovoljava pravnim zahtjevima za vlastoru~nim potpisom i naro~ito za pisanim oblikom, ukoliko posebnim zakonom ili sporazumom ugovornih strana nije druk~ije odre|eno. 

(2)    Siguran elektroni~ki potpis nema pravno djelovanje pisanog oblika kod: 

a)    pravnih poslova u podru~ju obiteljskog i nasljednog prava koji zahtijevaju pisani oblik ili ispunjavanje stro`ijih zahtjeva za oblikom; 

b)    drugih izjava volje ili pravnih poslova za ~ije se va`enje zahtijeva slu`bena ovjera, sudska ili javnobilje`ni~ka provjera vjerodostojnosti ili javnobilje`ni~ka isprava; 

c)    izjava volje, pravnih poslova ili podnesaka koji zahtijevaju slu`benu ovjeru, sudsku ili javnobilje`ni~ku provjeru vjerodostojnosti ili javnobilje`ni~ku ispravu, radi unosa u zemlji{ne knjige ili u drugi slu`beni registar; 

d)    izjava o jamstvu koje su izdale osobe glede svojeg obrtni~kog, poslovnog ili stru~nog svojstva. 

(3)    Pretpostavka vjerodostojnosti sadr`aja potpisane privatne isprave, u smislu odredaba pozitivnih propisa kojima se ure|uje, primjenjuje se i na elektroni~ki dokument na kojem je ostvaren siguran elektroni~ki potpis. 

(4)    Smatra se da pravno djelovanje sigurnog elektroni~kog potpisa iz st. (1) i (3) ovoga ~lanka nije nastalo ukoliko se doka`e da nije bilo udovoljeno sigurnosnim zahtjevima ovoga Zakona i podzakonskih propisa donesenih na temelju njega ili da su mjere poduzete s ciljem udovoljenja bile kompromitirane. 

^lanak 6. 

(Kvalificirana potvrda) 

(1)    Kvalificirana potvrda mora sadr`avati najmanje sljede}e podatke: 

a)    oznaku kojom se nazna~ava da se radi o kvalificiranoj potvrdi; 

b)    ime ili tvrtku i naziv dr`ave prebivali{ta ili sjedi{ta ovjeritelja; 

c)    ime, odnosno pseudonim potpisnika, uz obvezno nazna~avanje da se radi o pseudonimu; 

d)    dodatne podatke o potpisniku koji su propisani za namjenu za koju se potvrda koristi, a koji ne smiju biti u suprotnosti s namjenom uporabe pseudonima; 

e)    podatke za provjeru potpisa koji odgovaraju podacima za izradu potpisa, {to su pod potpisnikovim nadzorom; 

f)    podatke o po~etku i prestanku va`enja potvrde; 

g)    jedinstvenu oznaku potvrde; 

h)    ograni~enja u svezi s kori{tenjem potvrde, ukoliko ih ima; 

i)    ograni~enja glede vrijednosti transakcija za koje se potvrda mo`e koristiti, ukoliko ih ima. 

(2)    Na zahtjev osobe koja tra`i potvrdu, u kvalificiranoj se potvrdi mogu navesti druge va`ne pravne informacije. 

(3)    Kvalificirana potvrda mora biti potpisana elektroni~kim potpisom ovjeritelja koji je sukladan odredbama ~lanka 3. to~ke c) alineja od 1) do 4) ovoga Zakona. 

POGLAVLJE III. OVJERITELJI 

^lanak 7. 

(Obavljanje djelatnosti) 

(1)    Za po~etak rada i pru`anje usluga u svezi s elektroni~kim potpisom i ovjerom, ovjeritelju nije potrebna posebna dozvola. 

(2)    Ovjeritelj je du`an bez odgode obavijestiti nadzorno tijelo o po~etku rada. Ovjeritelj je du`an dostaviti interna pravila o pru`anju usluga i sigurnosni koncept za svaku uslugu u svezi s elektroni~kim potpisom i ovjerom koju pru`a na po~etku rada, kao i prilikom bilo koje promjene u svezi s pru`anjem usluga. 

(3)    Ovjeritelj koji koristi postupke za siguran elektroni~ki potpis du`an je u sigurnosnom konceptu utvrditi na koji }e na~in udovoljiti sigurnosnim zahtjevima propisanim ovim Zakonom i podzakonskim propisima donesenim na temelju njega. 

(4)    Ovjeritelj je du`an ispunjavati zahtjeve iz svojih internih pravila o pru`anju usluga i sigurnosnog koncepta na po~etku, kao i za vrijeme obavljanja djelatnosti. 

(5)    Ovjeritelj je du`an bez odgode obavijestiti nadzorno tijelo o svim okolnostima koje ga spre~avaju ili mu onemogu}avaju obavljanje djelatnosti sukladno internim pravilima o pru`anju usluga i sigurnosnom konceptu. 

(6)    Ovjeritelj koji izdaje potvrde du`an je u sigurnosnom konceptu opisati u kojem se obliku vodi registar potvrda. 

(7)    Ovjeritelj mo`e koristiti potvrde koje je sam izdao, samo ako je to nu`no za pru`anje usluga u svezi s elektroni~kim potpisom i ovjerom. 

^lanak 8. 

(Ovjeritelji koji izdaju kvalificirane potvrde) 

(1)    Ovjeritelj koji izdaje kvalificirane potvrde du`an je: 

a)    demonstrirati pouzdanost koja se zahtijeva za pru`anje usluga u svezi s elektroni~kim potpisom i ovjerom; 

b)    voditi brz i siguran registar potvrda te osigurati pru`anje neodgodive i sigurne usluge opoziva; 

c)    za kvalificirane potvrde te za registar potvrda i pru`anje usluga opoziva, koristiti podatak o vremenu koji je nedvojbeno kvalitetan (npr. siguran vremenski pe~at) i za sve slu~ajeve osigurati da se datum i vrijeme izdavanja ili opoziva potvrde mogu to~no utvrditi; 

d)    pouzdano provjeriti identitet i, gdje je to primjenjivo, bilo koja druga zna~ajna pravna obilje`ja osobe koja tra`i potvrdu; 

e)    upo{ljavati pouzdane osobe koje za pru`anje usluga imaju potrebna specijalisti~ka znanja, iskustvo i stru~ne kvalifikacije te, naro~ito, upravlja~ke sposobnosti, poznavanje tehnologije elektroni~kog potpisa i odgovaraju}ih sigurnosnih postupaka i koje primjenjuju administrativne i upravlja~ke postupke i propise, sukladno va`e}im pravilima struke; 

f)    biti financijski sposoban za obavljanje djelatnosti, sukladno ovome Zakonu i podzakonskim propisima donesenim na temelju njega, i za pokri}e eventualnih zahtjeva za naknadu {tete; 

g)    evidentirati sve okolnosti i ~injenice zna~ajne za kvalificirane potvrde tijekom njihove primjene, tako da se ovjera mo`e dokazati, naro~ito u sudbenom postupku, te ~uvati ove podatke trajno i u elektroni~kom obliku; 

h)    poduzeti odgovaraju}e mjere, tako da sam ovjeritelj ili tre}e osobe ne mogu ~uvati ili kopirati podatke za izradu potpisa. 

(2)    Ovjeritelj koji izdaje kvalificirane potvrde je za pru`anje usluga u svezi s elektroni~kim potpisom i ovjerom, kao i za izradu i pohranu potvrda, du`an rabiti pouzdane sustave, proizvode i postupke koji su tehni~ki za{ti}eni od izmjena i koji pru`aju tehni~ku i kriptografsku sigurnost. Tako|er, du`an je poduzeti odgovaraju}e mjere kojima se osigurava tajnost podataka za izradu potpisa kako se podaci za kvalificirane potvrde ne bi mogli neopa`eno iskonstruirati ili krivotvoriti i kako bi ove potvrde, samo uz pristanak potpisnika, bile dostupne javnosti. Za generiranje i pohranu podataka za izradu potpisa i za izradu i pohranu kvalificiranih potvrda, ovjeritelj je du`an koristiti tehni~ka sredstva i postupke koji zadovoljavaju odredbe ~lanka 14. ovoga Zakona. 

(3)    Podaci za izradu ovjeriteljeva potpisa moraju biti osigurani od neovla{tenog pristupa. 

(4)    Ako ovjeritelj koristi postupke za siguran elektronski potpis, u potvrdi, kao i u elektroni~kom registru potvrda koji je op}enito stalno dostupan kori{tenjem sredstava informacijskih i komunikacijskih tehnologija, mora se nazna~iti da se radi o sigurnom elektroni~kom potpisu. 

(5)    Na zahtjev suda ili druge institucije, ovjeritelj je du`an provjeriti siguran elektroni~ki potpis utemeljen na kvalificiranoj potvrdi. 

^lanak 9. 

(Izdavanje kvalificiranih potvrda) 

(1)    Ovjeritelj je du`an pomo}u zvani~nog identifikacijskog dokumenta s fotografijom za fizi~ke osobe ili uredno ovjerenim dokumentima za pravnu osobu pouzdano utvrditi identitet i druge potrebne podatke o osobi koja tra`i kvalificiranu potvrdu. 

(2)    Zahtjev za kvalificiranu potvrdu mo`e biti podnesen pravnoj osobi koju ovlasti ovjeritelj. Ta pravna osoba du`na je provjeriti identitet osobe koja tra`i kvalificiranu potvrdu. 

(3)    Ovjeritelj je du`an, sukladno internim pravilima o pru`anju usluga, u kvalificiranoj potvrdi navesti podatke o ovla{tenju za zastupanje ili druge va`ne pravne informacije, ukoliko se to zahtijeva i ukoliko osoba koja tra`i kvalificiranu potvrdu doka`e te podatke ovjeritelju ili pravnoj osobi iz stavka (2) ovoga ~lanka. 

(4)    Na zahtjev osobe koja tra`i potvrdu, ovjeritelj u potvrdi, sukladno internim pravilima o pru`anju usluga, mo`e navesti pseudonim umjesto potpisnikova imena. Pseudonim ne smije biti uvredljiv ili o~ito zbunjuju}i glede imena ili potpisa. 

^lanak 10. 

(Opoziv potvrde) 

(1)    Ovjeritelj je du`an bez odgode opozvati potvrdu: 

a)    ako opoziv potvrde zahtijeva potpisnik ili potvrdom imenovani ovla{tenik; 

b)    ako dozna da je potpisnik izgubio poslovnu sposobnost, umro ili je prestao postojati ili su se promijenile ~injenice potvr|ene potvrdom; 

c)    ako je potvrda izdana na temelju neto~nih podataka; 

d)    ako prestane obavljati djelatnost, a registar potvrda i pru`anje usluga opoziva nije preuzeo drugi ovjeritelj; 

e)    ako nadzorno tijelo nalo`i opoziv; 

f)    ako postoji opasnost od zlouporabe potvrde. 

(2)    Ukoliko se ~injenice na koje se odnosi stavak (1) ovoga ~lanka ne mogu odmah nedvojbeno utvrditi, ovjeritelj je du`an bez odgode suspendirati potvrdu. 

(3)    Suspenzija i opoziv moraju sadr`avati datum i vrijeme od kada proizvode djelovanje. Ukoliko je postupak opoziva ili suspenzije proveden, djelovanje proizvode od trenutka kada se unesu u registar potvrda. Opoziv i suspenzija s povratnim djelovanjem nisu dopu{teni. Ovjeritelj je du`an bez odgode obavijestiti potpisnika o suspenziji ili opozivu. 

(4)    Nadzorno je tijelo du`no bez odgode opozvati potvrdu: 

a)    ako ovjeritelj prestane obavljati djelatnost, a njegov registar potvrda i pru`anje usluga opoziva nije preuzeo drugi ovjeritelj, 

b)    ako je ovjeritelju zabranjeno obavljanje djelatnosti, a njegov registar potvrda i pru`anje usluga opoziva nije preuzeo drugi ovjeritelj. 

^lanak 11. 

(Vremenski pe~at) 

(1)    Ako ovjeritelj pru`a usluge vremenskog pe~ata, du`an je u svojim internim pravilima o pru`anju usluga i sigurnosnom konceptu utvrditi na koji }e na~in udovoljiti zahtjevima za pru`anje usluge utvr|ene ovim Zakonom i podzakonskim propisima donesenim na temelju njega. 

(2)    Za pru`anje usluga sigurnog vremenskog pe~ata, ovjeritelj mora koristiti tehni~ka sredstva i postupke koji osiguravaju da je navedeno vrijeme to~no i vjerodostojno i koji su sukladni odredbama ~lanka 14. ovoga Zakona. 

^lanak 12. 

(Dokumentacija) 

(1)    Ovjeritelj je du`an dokumentirati sigurnosne mjere koje je poduzeo sukladno odredbama ovoga Zakona i podzakonskih propisa donesenih na temelju njega, kao i radi izdavanja, suspenzije i opoziva potvrda. Podaci i njihova vjerodostojnost te trenutak njihova upisa u sustav protokola uvijek moraju biti dostupni za provjeru. 

(2)    Ovjeritelj je du`an dostaviti dokumentaciju iz stavka (1) ovog ~lanka na zahtjev suda ili drugoga tijela vlasti. 

^lanak 13. 

(Prestanak obavljanja djelatnosti) 

(1)    Ovjeritelj je du`an bez odgode obavijestiti nadzorno tijelo o prestanku obavljanja djelatnosti. Ovjeritelj je tako|er du`an, u trenutku prestanka obavljanja djelatnosti, opozvati valjane potvrde ili osigurati da najmanje registar potvrda i pru`anje usluga opoziva preuzme drugi ovjeritelj. 

(2)    Ovjeritelj je du`an bez odgode obavijestiti potpisnike o prestanku obavljanja djelatnosti i o opozivu ili preuzimanju. 

(3)    Ovjeritelj je du`an osigurati pru`anje usluga opoziva i ako su potvrde opozvane. Ukoliko ovjeritelj ne osigura pru`anje usluge opoziva, pru`anje }e usluge opoziva, na teret ovjeritelja, osigurati nadzorno tijelo. 

POGLAVLJE IV. TEHNI^KI SIGURNOSNI ZAHTJEVI 

^lanak 14. 

(Tehni~ka sredstva i postupci za siguran elektroni~ki potpis) 

(1)    Za generiranje i pohranu podataka za izradu potpisa te za izradu sigurnog elektroni~kog potpisa, moraju se rabiti tehni~ka sredstva koja omogu}uju pouzdano otkrivanje krivotvorenih potpisanih podataka i pouzdano spre~avaju neovla{teno kori{tenje postupaka formiranja podataka za elektroni~ki potpis. 

(2)    Tehni~ka sredstva i postupci koji se koriste za izradu sigurnog elektroni~kog potpisa moraju osigurati da podaci koji se potpisuju nisu promijenjeni te da podaci koji se potpisuju budu prikazani potpisniku prije potpisivanja; podaci za izradu potpisa moraju biti osigurani, tako da se ne mogu izvesti, vjerojatnost da }e se pojaviti samo jednom mora biti blizu sigurnosti, a njihova pouzdanost mora biti zajam~ena. 

(3)    Za izradu i pohranu kvalificiranih potvrda, moraju se koristiti tehni~ka sredstva i postupci koji spre~avaju sa~injavanje i krivotvorenje potvrda. 

(4)    Tehni~ka sredstva i postupci koji se koriste za provjeru sigurno potpisanih podataka moraju osigurati: 

a)    da potpisani podaci nisu promijenjeni; 

b)    elektroni~ki potpis mora biti pouzdano provjeren i rezultati provjere korektno prikazani osobi koja radi provjeru; 

c)    da osoba koja radi provjeru mo`e utvrditi podatake na koje se elektroni~ki potpis odnosi; 

d)    da osoba koja radi provjeru mo`e pouzdano utvrditi potpisnika ~iji je elektroni~ki potpis ostvaren i da, u slu~aju uporabe pseudonima, njegova uporaba uvijek bude nazna~ena; 

e)    vidljivost svake promjene koja na bilo koji na~in utje~e na sigurnost potpisanih podataka. 

(5)    Tehni~ka sredstva i postupci za izradu sigurnog elektroni~kog potpisa moraju se, ovisno o stanju tehnike, sveobuhvatno i redovito provjeravati. Njihovo udovoljavanje sigurnosnim zahtjevima ovoga Zakona i podzakonskih propisa donesenih na temelju njega mora potvrditi posebno tijelo (~lanak 15). Potvrde o udovoljavanju sigurnosnim zahtjevima, koje su izdala tijela dr`ava ~lanica Europske unije ili ~lanica Europskog ekonomskog prostora iz ~lanka 3. stavak 4. Direktive 1999/93 EZ Europskog parlamenta i Vije}a od 13. prosinca 1999. o okviru Zajednice za elektroni~ki potpis ("Slu`beni list Europskih zajednica", broj L 13, od 19. sije~nja 2000, str. 12), prihva}aju se kao i potvrde tijela iz ~lanka 15. ovoga Zakona. 

(6)    Tehni~ka sredstva i postupci koje, na temelju ~lanka 3. stavak 5. Direktive 1999/93 EZ Europskog parlamenta i Vije}a od 13. prosinca 1999. o okviru Zajednice za elektroni~ki potpis, utvrdi Europska komisija, udovoljavaju sigurnosnim zahtjevima ovoga Zakona i podzakonskih propisa donesenih na temelju njega. 

^lanak 15. 

(Izdavanje potvrda o ispunjavanju sigurnosnih zahtjeva) 

(1)    Potvrde iz ~lanka 14. stavak (5) ovoga Zakona mo`e izdavati javno ili privatno tijelo koje je za tu svrhu akreditirano kod Instituta za akreditiranje Bosne i Hercegovine. 

(2)    Institut za akreditiranje Bosne i Hercegovine akreditirat }e javno ili privatno tijelo za izdavanje potvrda iz ~lanka 14. stavak (5) ovoga Zakona na njegov zahtjev: 

a)    ako demonstrira pouzdanost potrebnu za obavljanje svojih djelatnosti; 

b)    ako upo{ljava pouzdane osobe koja za obavljanje djelatnosti imaju specijalisti~ka znanja, iskustvo i stru~ne kvalifikacije, naro~ito poznavanje elektroni~kog potpisa i odgovaraju}ih sigurnosnih postupaka, kriptografije, komunikacijskih i smart-card tehnologija i tehni~ke ocjene tih sredstava; 

c)    ako posjeduje zadovoljavaju}a tehni~ka sredstva i ure|aje te je financijski i ekonomski sposoban obavljati djelatnost; 

d)    ako jam~i potrebnu neovisnost i nepristranost. 

(3)    Podnositelj zahtjeva za akreditiranje mora zadovoljavati i kriterije koje utvrdi Europska komisija, na temelju ~lanka 3. stavak 4. Direktive 1999/93 EZ Europskog parlamenta i Vije}a od 13. prosinca 1999. o okviru Zajednice za elektroni~ki potpis. Vije}e ministara Bosne i Hercegovine, na prijedlog ministra nadle`nog za informacijsko dru{tvo, }e podzakonskim propisom objaviti ove kriterije. 

(4)    Javno ili privatno tijelo akreditirano za izdavanje potvrda iz ~lanka 14. stavak (5) ovoga Zakona za potrebe obavljanja svojih djelatnosti mo`e koristiti izvje{}a o ispitivanju drugih akreditiranih tijela. 

POGLAVLJE V. PRAVA I OBVEZE 

^lanak 16. 

(Op}e obveze ovjeritelja) 

(1)    Ovjeritelj je du`an jasno i sveobuhvatno upoznati osobu koja tra`i potvrdu s internim pravilima o pru`anju usluga i sigurnosnim konceptom, u pisanom obliku ili uporabom trajnog nosa~a podataka prije zaklju~enja ugovora. Prilikom izdavanja kvalificirane potvrde, ovjeritelj je tako|er du`an upoznati imatelja potvrde o uvjetima uporabe, poput ograni~enja u svezi s kori{tenjem ili ograni~enja glede vrijednosti transakcija za koje se potvrda mo`e koristiti, te napomenuti dobrovoljno akreditiranje i bilo koje posebne postupke za rje{avanje sporova. 

(2)    Informacije na koje se odnosi stavak (1) ovoga ~lanka mogu se, na njihov zahtjev, dostaviti tre}im osobama koje doka`u pravni interes glede ovih informacija. 

(3)    Ovjeritelj je du`an upoznati osobu koja tra`i potvrdu o tome koja su tehni~ka sredstva i postupci pogodni za potpisivanje te o tome gdje je to primjenjivo, koja tehni~ka sredstva, postupci i drugi ure|aji zadovoljavaju odredbe ovoga Zakona glede izrade i provjere sigurnog elektroni~kog potpisa. Nadalje, ovjeritelj je du`an upoznati osobu koja tra`i potvrdu o mogu}em pravnom djelovanju postupka za elektroni~ki potpis koji je kori{ten, o potpisnikovim obvezama i o ovjeriteljevoj specifi~noj odgovornosti. Prije nego {to sigurnosna vrijednost trenutnog elektroni~kog potpisa bude naru{ena tijekom vremena, imatelj potvrde treba biti obavije{ten o tome (gdje je to primjenjivo i na koji na~in) da treba biti primijenjen novi elektroni~ki potpis. 

^lanak 17. 

(Obveze potpisnika) 

(1)    Potpisnik je du`an ~uvati podatke za izradu elektroni~kog potpisa i suzdr`ati se od njihovog proslje|ivanja, te sprije~iti neovla{ten pristup tim podacima, u mjeri u kojoj je to mogu}e o~ekivati. 

(2)    Potpisnik je du`an bez odgode ovjeritelju dostaviti sve potrebne podatke i informacije o promjenama koje utje~u ili mogu utjecati na to~nost utvr|ivanja potpisnika. 

(3)    Potpisnik je du`an bez odgode zatra`iti opoziv potvrde ako su podaci za izradu elektroni~kog potpisa neto~ni, ili ako postoji osnovana sumnja da su preslikani, ili da su neovla{tene osobe do{le u posjed tih podataka, ili ako su se ~injenice potvr|ene u potvrdi promijenile. 

^lanak 18. 

(Za{tita osobnih podataka) 

(1)    Ovjeritelj mo`e koristiti samo one osobne podatke koji su potrebni za pru`anje usluge. Ti se podaci mogu pribaviti samo izravno od osobe o kojoj se radi ili od tre}e strane, uz njezinu suglasnost. 

(2)    U slu~aju uporabe pseudonima, ovjeritelj }e dostaviti podatke o potpisnikovu identitetu ako za utvr|ivanje identiteta postoji prevla|uju}i pravni interes u smislu odredaba propisa kojima se ure|uje za{tita podataka. Ovjeritelj je du`an dokumentirati dostavu. 

^lanak 19. 

(Odgovornost ovjeritelja za {tetu) 

(1)    Ovjeritelj koji izdaje potvrde kao kvalificirane ili za njih jam~i, sukladno odredbama ~lanka 24. stavak (2) to~ka b) ovoga Zakona, odgovoran je za {tetu svakoj osobi koja se pouzda u potvrdu za sljede}e: 

a)    da su to~ni podaci u kvalificiranoj potvrdi u trenutku njezinog izdavanja te da potvrda sadr`i sve podatke propisane za kvalificiranu potvrdu; 

b)    da je potpisnik, naveden u kvalificiranoj potvrdi, u trenutku izdavanja potvrde bio u posjedu svih podataka za izradu potpisa, koji odgovaraju podacima za provjeru potpisa sadr`anim u potvrdi; 

c)    da su podaci za izradu potpisa i s njima usugla{eni podaci za provjeru potpisa zajedno, prilikom primjene proizvoda i postupaka koje mu je ovjeritelj stavio na raspolaganje ili njima ekvivalentnih koje sam koristi, odgovaraju}i u komplementarnom smislu; 

d)    da je potvrda opozvana bez odgode, nakon ulaganja odgovaraju}eg zahtjeva, i da je postupak opoziva raspolo`iv; 

e)    da su zadovoljene odredbe ~lanka 8. ovoga Zakona te da su za generiranje i pohranu podataka za izradu potpisa i za izradu i pohranu kvalificiranih potvrda kori{tena tehni~ka sredstva i postupci koji zadovoljavaju odredbe ~lanka 14. ovoga Zakona. 

(2)    Ovjeritelj koji koristi postupke za siguran elektroni~ki potpis tako|er je odgovoran da proizvodi, postupci i drugi ure|aji koje koristi ili preporu~uje kao odgovaraju}e za izradu elektroni~kog potpisa i prikaz podataka koji se potpisuju zadovoljavaju odredbe ~lanka 14. ovoga Zakona. 

(3)    Ovjeritelj je odgovoran ukoliko ne doka`e da je {teta nastala bez njegove krivnje. 

(4)    Ukoliko je kori{tenje kvalificirane potvrde ograni~eno, ovjeritelj se ne}e smatrati odgovornim za {tetu nastalu u svezi s kori{tenjem potvrde izvan ograni~enja. Ako kvalificirana potvrda sadr`i ograni~enja glede vrijednosti transakcija za koje se mo`e koristiti, ovjeritelj se ne}e smatrati odgovornim za {tetu nastalu u svezi s kori{tenjm potvrde za transakcije ~ija je vrijednost izvan ovih ograni~enja. 

POGLAVLJE VI. NADZOR 

^lanak 20. 

(Nadzorno tijelo) 

(1)    Nadzorno tijelo je Ured za nadzor i akreditiranje ovjeritelja pri ministarstvu nadle`nom za informacijsko dru{tvo. 

(2)    U sklopu inspekcijskog nadzora, nadzorno tijelo: 

a)    provjerava jesu li interna pravila o pru`anju usluga i sigurnosni koncept ovjeritelja sukladni odredbama ovoga Zakona i podzakonskih propisa donesenih na temelju njega; 

b)    provjerava zadovoljava li ovjeritelj za svo vrijeme obavljanja djelatnosti odredbe ovoga Zakona i podzakonskih propisa donesenih na temelju njega, te odredbe svojih internih pravila o pru`anju usluga i sigurnosnog koncepta; 

c)    ako ovjeritelj pru`a usluge u svezi sa sigurnim elektroni~kim potpisom, nadzire kori{tenje tehni~kih sredstava i postupaka iz ~lanka 14. ovoga Zakona; 

d)    provjerava da li tijelo akreditirano za izdavanje potvrda o udovoljavanju sigurnosnim zahtjevima ovoga Zakona i podzakonskih propisa donesenih na temelju njega ispunjava organizacijske kriterije iz ~lanka 15. ovoga Zakona; 

e)    registrira ovjeritelje koji podnesu obavijest o po~etku rada i akreditira ovjeritelje sukladno odredbama ~lanka 23. ovoga Zakona; 

f)    utvr|uje ekvivalentnost izvje{}a o provjeri iz tre}ih dr`ava (~lanak 24. stavak (3)); 

g)    pru`a uslugu opoziva ako je ovjeritelj prestao pru`ati usluge u svezi s elektroni~kim potpisom i ovjerom ili mu je pru`anje usluga zabranjeno, a pru`anje usluge opoziva nije preuzeo drugi ovjeritelj u smislu ~lanka 13. stavak (3) i ~lanka 21. stavak (5) ovoga Zakona. 

(3)    Ovjeritelji su obvezni naknaditi tro{kove rada nadzornoga tijela, sukladno propisima donesenim na temelju ovoga Zakona. 

(4)    Nadzorno tijelo vodi elektroni~ki registar ovjeritelja sa sjedi{tem u Bosni i Hercegovini, akreditiranih ovjeritelja i ovjeritelja sa sjedi{tem u tre}im dr`avama za ~ije potvrde jam~i ovjeritelj sa sjedi{tem u Bosni i Hercegovini, sukladno odredbama ~lanka 24. stavak (2) to~ka b) ovoga Zakona. Tako|er, nadzorno tijelo vodi registar potvrda ovjeritelja koji sadr`i kvalificirane potvrde ovjeritelja za pru`anje usluga u svezi s elektroni~kim potpisom i ovjerom. Takve potvrde mo`e izdavati i nadzorno tijelo. Ovi registri moraju biti, op}enito, stalno dostupni kori{tenjem sredstava informacijskih i komunikacijskih tehnologija. Nadzorno tijelo stavlja svoj sigurni elektroni~ki potpis na registre koje vodi. Potvrda nadzornog tijela objavljuje se u "Slu`benom glasniku BiH". 

^lanak 21. 

(Nadzorne mjere) 

(1)    Prilikom obavljanja inspekcijskog nadzora, nadzorno je tijelo ovla{teno poduzeti mjere kojima se osigurava ispunjenost obveza odre|enih ovim Zakonom i podzakonskih propisa donesenih na temelju njega. Nadzorno tijelo mo`e zabraniti kori{tenje neodgovaraju}ih tehni~kih sredstava i postupaka ili pru`anje svih ili pojedinih usluga u svezi s elektroni~kim potpisom i ovjerom. Nadzorno tijelo mo`e opozvati potvrde ovjeritelja ili potpisnika ili ovjeritelju nalo`iti opoziv potvrda. 

(2)    Nadzorno }e tijelo ovjeritelju zabraniti pru`anje svih ili pojedinih usluga u svezi s elektroni~kim potpisom i ovjerom: 

a)    ako ovjeritelj ili njegove uposlene osobe ne demonstriraju pouzdanost koja se zahtijeva za usluge koje pru`aju u svezi s elektroni~kim potpisom i ovjerom; 

b)    ako ovjeritelj ili njegove uposlene osobe nemaju potrebna specijalisti~ka znanja, iskustvo i stru~ne kvalifikacije; 

c)    ako nema na raspolaganju potrebna financijska sredstva; 

d)    ako ne pru`a usluge u svezi s elektroni~kim potpisom i ovjerom, sukladno internim pravilima o pru`anju usluga i sigurnosnim konceptom; 

e)    ako ne vodi registar potvrda, sukladno odredbama ovoga Zakona i podzakonskih propisa donesenih na temelju njega; 

f)    ako ne ispunjava obveze u svezi s opozivom i suspenzijom, sukladno odredbama ovoga Zakona i podzakonskih propisa donesenih na temelju njega; 

g)    ako ne ispuni obveze iz ~lanka 7. stavak (2) ovoga Zakona. 

(3)    Ukoliko nije odredilo bla`e mjere iz stavka (6) ovoga ~lanka, nadzorno }e tijelo ovjeritelju koji izdaje kvalificirane potvrde zabraniti pru`anje svih ili pojedinih usluga u svezi s elektroni~kim potpisom i ovjerom u slu~aju da nisu zadovoljene druge odredbe ovoga Zakona i podzakonskih propisa donesenih na temelju njega kojima se ure|uje pru`anje usluga. 

(4)    Ukoliko nije odredilo bla`e mjere iz stavka (6) ovog ~lanka, nadzorno }e tijelo ovjeritelju koji koristi postupke za siguran elektroni~ki potpis zabraniti pru`anje svih ili pojedinih usluga u svezi s elektroni~kim potpisom i ovjerom u slu~aju da tehni~ka sredstva i postupci ne zadovoljavaju odredbe ~lanka 14. ovoga Zakona. 

(5)    Ukoliko nadzorno tijelo zabrani ovjeritelju pru`anje usluga u svezi s elektroni~kim potpisom i ovjerom, mora osigurati opoziv potvrda ovjeritelja i potpisnika ili da drugi ovjeritelj, u mjeri u kojoj pristane, preuzme obavljanje djelatnosti ovjeritelja kojem je zabranjen rad, a najmanje registar potvrda i pru`anje usluga opoziva. Potpisnici }e bez odgode biti obavije{teni o zabrani i opozivu ili o preuzimanju. Ovjeritelj je du`an osigurati da se usluga opoziva pru`a i ako su potvrde opozvane. Ako ovjeritelj ne osigura pru`anje usluge opoziva, pru`anje usluge na teret ovjeritelja osigurat }e nadzorno tijelo. 

(6)    Nadzorno tijelo ne}e zabraniti pru`anje usluga u svezi s elektroni~kim potpisom i ovjerom ako se bla`im mjerama mo`e posti}i uskla|ivanje s odredbama ovoga Zakona i podzakonskih propisa donesenih na temelju njega. Nadzorno tijelo mo`e odrediti rokove i uvjete za otklanjanje nedostataka i izdati upozorenje o zabrani u slu~aju da nedostaci koje utvrdi ne budu otklonjeni u razumnom roku koji odredi. 

^lanak 22. 

(Provo|enje nadzora) 

(1)    Ovjeritelj je du`an odrediti osobu koja }e na zahtjev nadzornog tijela omogu}iti pristup u poslovne prostorije tijekom radnog vremena. Ovjeritelj je du`an dostaviti ili pripremiti za inspekciju relevantne poslovne knjige, dokumentaciju iz ~lanka 12. ovoga Zakona i drugu dokumentaciju, te osigurati potrebne informacije i bilo koju drugu potrebnu pomo}. 

(2)    Istra`itelj je ovla{ten izuzeti dokumentaciju, ukoliko je to potrebno, za osiguranje dokaza ili za detaljno utvr|ivanje nepravilnosti na razdoblje od najvi{e 15 dana, o ~emu izdaje potvrdu. 

(3)    Podatke o potvrdama koji su osobne naravi i podatke koji su za{ti}eni prema posebnom zakonu, s kojima se upozna tijekom nadzora, istra`itelj je du`an ~uvati kao tajnu. 

(4)    Protiv odluke nadzornoga tijela dopu{tena je `alba Prizivnom vije}u pri Vije}u ministara Bosne i Hercegovine. @alba ne zadr`ava izvr{enje. 

(5)    Zabrana ne utje~e na va`enje prethodno izdanih potvrda. 

POGLAVLJE VII. DOBROVOLJNO AKREDITIRANJE 

^lanak 23. 

(Akreditiranje ovjeritelja) 

(1)    Ovjeritelje koji koriste postupke za siguran elektroni~ki potpis i koji doka`u da zadovoljavaju odredbe ovoga Zakona i podzakonskih propisa donesenih na temelju njega, nadzorno }e tijelo akreditirati na zahtjev. Nadzorno tijelo mo`e, pod istim uvjetima, akreditirati i ovjeritelje sa sjedi{tem izvan Bosne i Hercegovine ako su ispunjeni uvjeti za priznavanje njihovih potvrda u Bosni i Hercegovini. Akreditirani ovjeritelj mo`e samo uz suglasnost nadzornoga tijela nazna~avati svoju akreditiranost u pravnom prometu. Ta se oznaka mo`e koristiti za usluge u svezi s elektroni~kim potpisom i ovjerom i proizvodima, samo ako su zadovoljeni sigurnosni zahtjevi odredaba ~lanka 14. ovoga Zakona. 

(2)    Dobrovoljno akreditiranje ovjeritelja treba biti nazna~eno u kvalificiranoj potvrdi ili biti dostupno na drugi odgovaraju}i na~in. 

POGLAVLJE VIII. PRIZNAVANJE STRANIH POTVRDA 

^lanak 24. 

(Priznavanje potvrda koje su izdali strani ovjeritelji) 

(1)    Potvrde koje su izdali ovjeritelji sa sjedi{tem u dr`avi ~lanici Eropske unije ili u dr`avi koja je ~lanica Europskog ekonomskog prostora i ~iju valjanost Bosna i Hercegovina mo`e provjeriti tretiraju se kao i doma}e potvrde. Kvalificirane potvrde ovih ovjeritelja imaju isto pravno djelovanje kao doma}e kvalificirane potvrde. 

(2)    Potvrde koje su izdali ovjeritelji sa sjedi{tem u tre}im dr`avama i ~iju valjanost Bosna i Hercegovina mo`e provjeriti bit }e priznate u Bosni i Hercegovini. Kvalificirane potvrde ovih ovjeritelja pravno }e se tretirati kao i doma}e kvalificirane potvrde: 

a)    ako ovjeritelj zadovoljava odredbe ~lanka 8. ovoga Zakona i ako je akreditiran sukladno sustavu dobrovoljnog akreditiranja u Bosni i Hercegovini ili u dr`avi ~lanici Europske unije ili u dr`avi koja je ~lanica Europskog ekonomskog prostora; 

b)    ako doma}i ovjeritelj ili ovjeritelj sa sjedi{tem u dr`avi ~lanici Europske unije ili dr`avi koja je ~lanica Europskog ekonomskog prostora koji zadovoljava odredbe ~lanka 8. ovoga Zakona jam~i za njegove potvrde, sukladno propisima o odgovornosti; 

c)    ako se potvrda priznaje kao kvalificirana ili se ovjeritelj smatra ovjeriteljem koji izdaje kvalificirane potvrde, na temelju dvostranog ili vi{estranog me|unarodnog ugovora izme|u Bosne i Hercegovine i drugih dr`ava ili me|unarodnih organizacija; 

d)    ako se potvrda priznaje kao kvalificirana ili se ovjeritelj smatra ovjeriteljem koji izdaje kvalificirane potvrde, na temelju dvostranog ili vi{estranog me|unarodnog ugovora izme|u Europske unije i tre}ih dr`ava ili me|unarodnih organizacija. 

(3)    Potvrde o udovoljavanju sigurnosnim zahtjevima iz ~lanka 14. stavak (5) ovoga Zakona koje je izdalo tijelo sa sjedi{tem u tre}oj dr`avi i koje ta dr`ava priznaje kao tijelo koje izdaje takve potvrde, bit }e va`e}e kao i potvrde tijela iz ~lanka 15. ovoga Zakona, pod uvjetom da nadzorno tijelo utvrdi da su tehni~ki zahtjevi, ispitivanja i postupaka provjere kod toga tijela ekvivalentni onima koje koriste tijela iz ~lanka 15. ovoga Zakona. 

POGLAVLJE IX. KAZNENE ODREDBE 

^lanak 25. 

(Kaznene odredbe) 

(1)    Svaka osoba koja koristi podatke za izradu potpisa druge osobe bez znanja potpisnika i njegova pristanka kaznit }e se za prekr{aj nov~anom kaznom u iznosu do 8.000 KM. 

(2)    Nov~anom kaznom u iznosu do 16.000 KM kaznit }e se za prekr{aj ovjeritelj: 

a)    ako ne opozove potvrdu sukladno odredbama ~lanka 10. stavak (1) ovoga Zakona; 

b)    ako ne dokumentira sigurnosne mjere koje je poduzeo sukladno odredbama ovoga Zakona i podzakonskih propisa donesenih na temelju njega za izdavanje, suspenziju i opoziv potvrda (~lanak 12.); 

c)    ako ne omogu}i pristup u poslovne prostorije ili ne stavi na uvid relevantne poslovne knjige ili drugu dokumentaciju, uklju~uju}i i dokumentaciju iz ~lanka 12. ovoga Zakona, ili ne osigura informacije ili bilo koju drugu potrebnu pomo} (~lanak 22.); 

d)    ako ne obavijesti imatelja potvrde ili osobu koja tra`i potvrdu sukladno odredbama ~lanka 16. ovoga Zakona. 

(3)    Nov~anom kaznom u iznosu do 32.000 KM kaznit }e se za prekr{aj ovjeritelj: 

a)    ako ne obavijesti nadzorno tijelo ili ne dostavi interna pravila o pru`anju usluga i sigurnosni koncept (~lanak 7. stavak (2); 

b)    ako ne obavijesti nadzorno tijelo o okolnostima koje ga spre~avaju ili mu onemogu}avaju obavljanje djelatnosti sukladno internim pravilima o pru`anju usluga i sigurnosnim konceptom (~lanak 7. stavak (5); 

c)    ako ne vodi registar potvrda ili ne omogu}i sigurno i neodgodivo pru`anje usluge opoziva (~lanak 8. stavak (1) to~ka b); 

d)    ako ne poduzme odgovaraju}e mjere kojima se osigurava da podatke za izradu potpisa ne mogu ~uvati ili kopirati ni ovjeritelj ni tre}e osobe (~lanak 8. stavak (1) to~ka h); 

e)    ako ne koristi, ne provodi ili ne preporu~i odgovaraju}a tehni~ka sredstva i postupke koji zadovoljavaju odredbe ~lanka 14. ovoga Zakona; 

f)    ako nastavi obavljati djelatnost suprotno zabrani nadzornoga tijela (~lanak 21. st. od (2) do (4); 

g)    ako pouzdano ne utvrdi identitet ili druge potrebne podatke o osobi koja tra`i kvalificiranu potvrdu (~lanak 9.); 

h)    ako koristi oznaku akreditiranog ovjeritelja suprotno odredbama ~lanka 23. stavak (1) ovoga Zakona. 

(4)    Nov~anom kaznom u iznosu od 2.000 KM kaznit }e se za prekr{aj i odgovorna osoba u pravnoj osobi koja po~ini prekr{aj iz st. (2) i (3) ovoga ~lanka. 

(5)    Ako je ovjeritelj fizi~ka osoba, za prekr{aj iz st. (2) i (3) ovoga ~lanka, kaznit }e se nov~anom kaznom u iznosu do 10.000 KM. 

(6)    Nov~anom kaznom u iznosu do 10.000 KM kaznit }e se za prekr{aj potpisnik: 

a)    ako ne pohrani podatke za izradu elektroni~kog potpisa ili ne sprije~i neovla{ten pristup tim podacima (~lanak 17. stavak (1)); 

b)    ako ne dostavi sve potrebne podatke i informacije o promjenama koje utje~u ili mogu utjecati na to~nost utvr|ivanja potpisnika (~lanak 17. stavak (2)); 

c)    ako ne zatra`i opoziv potvrde sukladno ~lanku 17. stavak (3) ovoga Zakona. 

POGLAVLJE X. PRIJELAZNE I ZAVR[NE ODREDBE 

^lanak 26. 

(Podzakonski propisi za provedbu Zakona) 

(1)    Vije}e ministara Bosne i Hercegovine, na prijedlog ministra nadle`nog za informacijsko dru{tvo, sukladno aktualnim prilikama u znanosti i tehnici, donijet }e podzakonske propise potrebne za provedbu ovoga Zakona. Ovim }e se propisima obuhvatiti: 

a)    iznos naknade za rad nadzornoga tijela; 

b)    financijska sposobnost ovjeritelja i minimalan iznos osiguranja za odgovornost od {tete; 

c)    tehni~ki sigurnosni zahtjevi za siguran elektroni~ki potpis; 

d)    prikaz podataka koji se potpisuju elektroni~kim potpisom; 

e)    elektroni~ki potpis za kvalificirane potvrde; 

f)    elektroni~ki potpis nadzornoga tijela; 

g)    sustavi nadzornoga tijela; 

h)    za{tita tehni~kih sredstava za siguran elektroni~ki potpis ovjeritelja; 

i)    ispitivanje tehni~kih sredstava i postupaka; 

j)    pru`anje usluga u svezi s elektroni~kim potpisom i ovjerom koje se odnose na kvalificirane potvrde i siguran elektroni~ki potpis; 

k)    zahtjev za izdavanje kvalificirane potvrde; 

l)    kvalificirana potvrda; 

m)    registar potvrda i pru`anje usluga opoziva za kvalificirane potvrde; 

n)    siguran vremenski pe~at; 

o)    sigurnosni koncept i interna pravila o pru`anju usluga za kvalificirane potvrde; 

p)    dokumentacija iz ~lanka 12. ovoga Zakona; 

r)    obnova elektroni~kog potpisa; 

s)    nadzor i akreditiranje. 

(2)    Vije}e ministara Bosne i Hercegovine donijet }e propise iz stavka (1) ovoga ~lanka najkasnije u roku od {est mjeseci od dana objave ovoga Zakona. 

(3)    Ministar nadle`an za informacijsko dru{tvo }e u redovitoj proceduri u roku od dva mjeseca uskladiti unutarnji ustroj ministarstva s ~lankom 20. stavak (1) ovoga Zakona. 

^lanak 27. 

(Stupanje na snagu) 

Ovaj Zakon stupa na snagu u roku od {est mjeseci od dana objave u "Slu`benom glasniku BiH". 


PSBiH broj 333/06
20. rujna 2006. godine
Sarajevo 



Predsjedatelj
Zastupni~koga doma
Parlamentarne skup{tine BiH
Martin Ragu`, v. r. 


Predsjedatelj
Doma naroda
Parlamentarne skup{tine BiH
Goran Milojevi}, v. r. 



Na osnovu ~lana IV 4. a) Ustava Bosne i Hercegovine, Parlamentarna skup{tina Bosne i Hercegovine, na 85. sjednici Predstavni~kog doma, odr`anoj 18. septembra 2006. godine, i na 63. sjednici Doma naroda, odr`anoj 20. septembra 2006. godine, usvojila je 

ZAKON 

O ELEKTRONSKOM POTPISU 

GLAVA I - OP[TE ODREDBE 

^lan 1. 

(Predmet Zakona) 

Ovim Zakonom ure|uju se osnovi formirawa i upotrebe elektronskog potpisa i pru`awa usluga u vezi sa elektronskim potpisom i ovjeravawem. 

^lan 2. 

(Primjena pojedinih odredaba) 

(1)    Odredbe ovog Zakona primjewuju se u zatvorenim sistemima, koji su u potpunosti ure|eni ugovorima izme|u poznatog broja ugovornih strana, ako je wihova primjena ugovorena. 

(2)    Odredbe ovog Zakona primjewuju se u otvorenoj elektronskoj komunikaciji sa sudom i drugim institucijama, ako posebnim zakonom nije druga~ije odre|eno. 

^lan 3. 

(Definicije) 

Pojedini izrazi koji se koriste u ovom Zakonu imaju sqede}a zna~ewa: 

a)    elektronski potpis su podaci u elektronskom obliku koji prate druge podatke u elektronskom obliku ili su s wima logi~ki povezani i omogu}avaju utvr|ivawe identiteta potpisnika; 

b)    potpisnik je fizi~ko lice kojem su dodijeqeni podaci za formirawe potpisa i odgovaraju}i podaci za provjeru potpisa, i kojem je u wegovo ime ili u ime tre}eg lica formiran elektronski potpis, ili ovjerilac koji koristi potvrdu za pru`awe usluga u vezi sa elektronskim potpisom ili ovjeravawem; 

c)    siguran elektronski potpis je elektronski potpis koji je: 

1)    dodijeqen iskqu~ivo potpisniku, 

2)    omogu}ava identifikovawe potpisnika, 

3)    formiran kori{}ewem sredstava koja su u potpunosti pod kontrolom potpisnika, 

4)    povezan sa podacima na koje se odnosi tako da se mo`e utvrditi svaka naknadna promjena tih podataka, 

5)    zasnovan na kvalifikovanoj potvrdi i formiran kori{}ewem tehni~kih sredstava i postupaka koji su u skladu sa bezbjednosnim zahtjevima ovog Zakona i podzakonskih propisa donesenih na osnovu wega; 

d)    podaci za formirawe potpisa su jedinstveni podaci kao {to su {ifre ili posebni {ifrovani kqu~evi, koje potpisnik koristi za formirawe elektronskog potpisa; 

e)    sredstva za formirawe potpisa su softver ili hardver, koji se koristi za obradu podataka za formirawe potpisa; 

f)    podaci za provjeru potpisa su jedinstveni podaci kao {to su {ifre ili posebni {ifrovani kqu~evi, koji se koriste za provjeru elektronskog potpisa; 

g)    sredstva za provjeru potpisa su softver ili hardver, koji se koriste za provjeru elektronskog potpisa; 

h)    potvrda je elektronska potvrda, sa podacima za provjeru potpisa koji su dodijeqeni odre|enom licu, ~iji je identitet utvr|en; 

i)    kvalifikovana potvrda je potvrda koja sadr`i podatke iz ~lana 6. ovog Zakona, i koju je izdao ovjerilac koji zadovoqava odredbe ~lana 8. ovog Zakona; 

j)    ovjerilac je fizi~ko ili pravno lice koje izdaje potvrde ili vremenski pe~at, ili obavqa druge usluge u vezi sa elektronskim potpisom i ovjeravawem; 

k)    usluge u vezi sa elektronskim potpisom i ovjeravawem su stavqawe na raspolagawe proizvoda i postupaka povezanih sa elektronskim potpisom, izdavawe, obnavqawe i upravqawe potvrdama, registar potvrda, pru`awe usluga opoziva, vremenskog pe~ata, kao i ra~unarske i savjetodavne usluge u vezi sa elektronskim potpisom; 

l)    vremenski pe~at je elektronski potpisana potvrda ovjerioca koja potvr|uje da su odre|eni podaci bili prisutni u elektronskom dokumentu, u odre|enom momentu; 

m)    proizvod je softver ili hardver, ~ije se specifi~ne komponente koriste za formirawe ili provjeru elektronskog potpisa ili koje ovjerilac koristi za pru`awe usluga u vezi sa elektronskim potpisom i potvrdama; 

n)    kompromitovawe je naru{avawe bezbjednosnih mjera ili bezbjednosne tehnike, pri ~emu ovjerilac ne mo`e da zadr`i osnovni zahtijevani nivo bezbjednosti. 

GLAVA II - PRAVNO DEJSTVO ELEKTRONSKOG POTPISA 

^lan 4. 

(Op{te pravno dejstvo elektronskog potpisa) 

(1)    U pravnom i poslovnom prometu mogu se koristiti elektronski potpisi formirani postupcima razli~itih nivoa bezbjednosti i zasnovani na potvrdama razli~itih klasa. 

(2)    Pravno dejstvo elektronskog potpisa i wegova upotreba kao dokaznog sredstva ne mo`e se iskqu~iti zbog ~iwenice da je elektronski potpis dostupan jedino u elektronskoj formi, ili zbog toga {to nije zasnovan na kvalifikovanoj potvrdi, ili kvalifikovanoj potvrdi akreditovanog ovjerioca, ili zbog toga {to nije formiran kori{}ewem tehni~kih sredstava i postupaka iz ~lana 14. ovog Zakona. 

^lan 5. 

(Posebno pravno dejstvo elektronskog potpisa) 

(1)    Siguran elektronski potpis zadovoqava pravne zahtjeve za svojeru~ni potpis i naro~ito pisanu formu, ako posebnim zakonom ili sporazumom ugovornih strana nije druga~ije odre|eno. 

(2)    Siguran elektronski potpis nema pravno dejstvo pisane forme kod: 

a)    pravnih poslova iz oblasti porodi~nog i nasqednog prava koji zahtijevaju pisanu formu ili ispuwavawe stro`ih zahtjeva forme, 

b)    drugih izjava voqe ili pravnih poslova za ~ije se va`ewe zahtijeva slu`bena ovjera, sudska ili notarska provjera autenti~nosti ili notarska isprava, 

c)    izjava voqe, pravnih poslova ili podnesaka koji zahtijevaju slu`benu ovjeru, sudsku ili notarsku provjeru autenti~nosti ili notarsku ispravu, radi unosa u zemqi{ne kwige ili drugi slu`beni registar, 

d)    izjava garancija koje su izdala lica iz oblasti svog zanatskog, poslovnog ili stru~nog svojstva. 

(3)    Pretpostavka autenti~nosti sadr`aja potpisane privatne isprave, u smislu odredaba pozitivnih propisa kojima se ure|uje, primjewuje se i na elektronski dokument na kojem je ostvaren siguran elektronski potpis. 

(4)    Smatra se da pravno dejstvo sigurnog elektronskog potpisa iz st. (1) i (3) ovog ~lana nije nastalo ako se doka`e da nisu bili zadovoqeni bezbjednosni zahtjevi ovog Zakona i na osnovu wega donesenih podzakonskih propisa, ili da su mjere preduzete u ciqu da se zadovoqe, bile kompromitovane. 

^lan 6. 

(Kvalifikovana potvrda) 

(1)    Kvalifikovana potvrda mora sadr`avati najmawe sqede}e podatke: 

a)    oznaku da se radi o kvalifikovanoj potvrdi, 

b)    ime ili firmu i naziv dr`ave prebivali{ta ili sjedi{ta ovjerioca, 

c)    ime, odnosno pseudonim potpisnika, uz obavezno nazna~avawe da se radi o pseudonimu, 

d)    dodatne podatke o potpisniku, koji su propisani za namjenu za koju se potvrda upotrebqava, a koji ne smiju biti u suprotnosti s namjenom upotrebe pseudonima, 

e)    podatke za provjeru potpisa koji odgovaraju podacima za formirawe potpisa koji su pod kontrolom potpisnika, 

f)    podatke o po~etku i prestanku va`ewa potvrde, 

g)    jedinstvenu oznaku potvrde, 

h)    ograni~ewa u vezi sa upotrebom potvrde, ako ih ima, 

i)    ograni~ewa u pogledu vrijednosti transakcija za koje se potvrda mo`e upotrijebiti, ako ih ima. 

(2)    Na zahtjev lica koje tra`i potvrdu, u kvalifikovanoj potvrdi mogu se navesti druge va`ne pravne informacije. 

(3)    Kvalifikovana potvrda mora biti potpisana elektronskim potpisom ovjerioca, koji je u skladu sa odredbama ~lana 3. ta~ka c) alineja od 1) do 4) ovog Zakona. 

GLAVA III - OVJERIOCI 

^lan 7. 

(Obavqawe djelatnosti) 

(1)    Za po~etak rada i pru`awe usluga u vezi sa elektronskim potpisom i ovjeravawem, ovjeriocu nije potrebna posebna dozvola. 

(2)    Ovjerilac je du`an da bez odlagawa obavijesti nadzorni organ o po~etku rada. Ovjerilac je du`an da dostavi interna pravila o pru`awu usluga i bezbjednosni koncept za svaku uslugu u vezi sa elektronskim potpisom i ovjeravawem koju pru`a na po~etku rada, kao i u slu~aju bilo koje promjene u vezi sa pru`awem usluga. 

(3)    Ovjerilac koji koristi postupke za siguran elektronski potpis du`an je da u bezbjednosnom konceptu utvrdi na koji na~in }e zadovoqiti bezbjednosne zahtjeve propisane ovim zakonom i podzakonskim propisima donesenim na osnovu wega. 

(4)    Ovjerilac je du`an da ispuwava zahtjeve iz svojih internih pravila o pru`awu usluga i bezbjednosnog koncepta na po~etku, kao i sve vrijeme tokom obavqawa djelatnosti. 

(5)    Ovjerilac je du`an da bez odlagawa obavijesti nadzorni organ o svim okolnostima koje ga spre~avaju ili mu onemogu}avaju obavqawe djelatnosti u skladu sa internim pravilima o pru`awu usluga i bezbjednosnim konceptom. 

(6)    Ovjerilac koji izdaje potvrde du`an je da u bezbjednosnom konceptu opi{e u kojoj formi se vodi registar potvrda. 

(7)    Ovjerilac mo`e koristiti potvrde koje je sam izdao, samo ako je to neophodno za pru`awe usluga u vezi sa elektronskim potpisom i ovjeravawem. 

^lan 8. 

(Ovjerioci koji izdaju kvalifikovane potvrde) 

(1)    Ovjerilac koji izdaje kvalifikovane potvrde du`an je da: 

a)    demonstrira pouzdanost koja se zahtijeva za pru`awe usluga u vezi sa elektronskim potpisom i ovjeravawem, 

b)    vodi brz i siguran registar potvrda i obezbijedi pru`awe neodlo`ne i sigurne usluge opoziva, 

c)    za kvalifikovane potvrde, kao i za registar potvrda i pru`awe usluga opoziva, koristi podatak o vremenu koji je nesumwivo kvalitetan (npr. siguran vremenski pe~at), i obezbijedi za sve slu~ajeve da se datum i vrijeme izdavawa ili opoziva potvrde mogu ta~no utvrditi, 

d)    pouzdano provjeri identitet i, gdje je to primjewivo, bilo koja druga zna~ajna pravna obiqe`ja lica koje tra`i potvrdu, 

e)    zapo{qava pouzdana lica, koja za pru`awe usluga imaju potrebna specijalisti~ka znawa, iskustvo i stru~ne kvalifikacije i naro~ito upravqa~ke sposobnosti i poznavawe tehnologije elektronskog potpisa i odgovaraju}ih bezbjednosnih postupaka, te primjewuju administrativne i upravqa~ke postupke i propise, u skladu sa va`e}im pravilima struke, 

f)    ima finansijsku sposobnost za obavqawe djelatnosti u skladu sa ovim zakonom i podzakonskim propisima donesenim na osnovu wega te za pokri}e eventualnih zahtjeva za naknadu {tete, 

g)    evidentira sve okolnosti i ~iwenice zna~ajne za kvalifikovane potvrde tokom vremena wihove primjene, tako da se ovjeravawe mo`e dokazati, naro~ito u sudskom postupku, te da ove podatke ~uva trajno i u elektronskom obliku, 

h)    preduzme odgovaraju}e mjere, tako da ni sam ovjerilac ni tre}a lica ne mogu ~uvati ili kopirati podatke za formirawe potpisa. 

(2)    Ovjerilac koji izdaje kvalifikovane potvrde, za pru`awe usluga u vezi sa elektronskim potpisom i ovjeravawem, kao i za formirawe i ~uvawe potvrda, du`an je da koristi pouzdane sisteme, proizvode i postupke koji su tehni~ki za{ti}eni od izmjena i koji pru`aju tehni~ku i kriptografsku bezbjednost. Tako|e, du`an je da preduzme odgovaraju}e mjere kojima se obezbje|uje tajnost podataka za formirawe potpisa, da se podaci za kvalifikovane potvrde ne mogu neopa`eno iskonstruisati ili falsifikovati i da su ove potvrde, samo uz pristanak potpisnika, dostupne javnosti. Za generisawe i ~uvawe podataka za formirawe potpisa i za formirawe i ~uvawe kvalifikovanih potvrda, ovjerilac je du`an da koristi tehni~ka sredstva i postupke koji zadovoqavaju odredbe ~lana 14. ovog Zakona. 

(3)    Podaci za formirawe potpisa ovjerioca moraju biti obezbije|eni od neovla{}enog pristupa. 

(4)    Ako ovjerilac koristi postupke za siguran elektronski potpis, u potvrdi, kao i u elektronskom registru potvrda, koji je generalno stalno dostupan kori{}ewem sredstava informacionih i komunikacionih tehnologija, mora se nazna~iti da se radi o sigurnom elektronskom potpisu. 

(5)    Na zahtjev suda ili druge institucije, ovjerilac je du`an da provjeri siguran elektronski potpis zasnovan na kvalifikovanoj potvrdi. 

^lan 9. 

(Izdavawe kvalifikovanih potvrda) 

(1)    Ovjerilac je du`an da, pomo}u zvani~nog identifikacionog dokumenta sa fotografijom za fizi~ka lica, ili uredno ovjerenim dokumentima za pravno lice, pouzdano utvrdi identitet i druge potrebne podatke lica koje tra`i kvalifikovanu potvrdu. 

(2)    Zahtjev za kvalifikovanu potvrdu mo`e biti podnesen pravnom licu koje ovlasti ovjerilac. Ovo pravno lice du`no je da provjeri identitet lica koje tra`i kvalifikovanu potvrdu. 

(3)    Ovjerilac je du`an da, u skladu sa internim pravilima o pru`awu usluga, u kvalifikovanoj potvrdi navede podatke o ovla{}ewu za zastupawe ili druge va`ne pravne informacije, ako se to zahtijeva, i ako lice koje tra`i kvalifikovanu potvrdu doka`e te podatke ovjeriocu ili pravnom licu iz stava (2) ovog ~lana. 

(4)    Na zahtjev lica koje tra`i potvrdu, ovjerilac mo`e u potvrdi, u skladu sa internim pravilima o pru`awu usluga, navesti pseudonim umjesto imena potpisnika. Pseudonim ne smije biti uvredqiv ili o~igledno zbuwuju}i u vezi sa imenom ili potpisom. 

^lan 10. 

(Opoziv potvrde) 

(1)    Ovjerilac je du`an da bez odlagawa opozove potvrdu ako: 

a)    opoziv potvrde zahtijeva potpisnik ili u potvrdi imenovani ovla{}enik, 

b)    sazna da je potpisnik izgubio poslovnu sposobnost, umro, ili je prestao da postoji, ili su se promijenile ~iwenice potvr|ene u potvrdi, 

c)    je potvrda izdata na osnovu neta~nih podataka, 

d)    prestane obavqati djelatnost, a registar potvrda i pru`awe usluga opoziva nije preuzeo drugi ovjerilac, 

e)    opoziv naredi nadzorni organ, 

f)    postoji opasnost od zloupotrebe potvrde. 

(2)    Ako se ~iwenice na koje se odnosi stav (1) ovog ~lana ne mogu odmah nesumwivo utvrditi, ovjerilac je du`an da bez odlagawa suspenduje potvrdu. 

(3)    Suspenzija i opoziv moraju sadr`avati datum i vrijeme od kada proizvode dejstvo. Ako je postupak opoziva ili suspenzije sproveden, dejstvo proizvode od momenta kad se unesu u registar potvrda. Opoziv i suspenzija sa povratnim dejstvom nisu dopu{teni. Ovjerilac je du`an da bez odlagawa obavijesti potpisnika o suspenziji ili opozivu. 

(4)    Nadzorni organ du`an je da bez odlagawa opozove potvrde ako: 

a)    ovjerilac prestane da obavqa djelatnost, a wegov registar potvrda i pru`awe usluga opoziva nije preuzeo drugi ovjerilac, 

b)    je ovjeriocu zabraweno obavqawe djelatnosti, a wegov registar potvrda i pru`awe usluga opoziva nije preuzeo drugi ovjerilac. 

^lan 11. 

(Vremenski pe~at) 

(1)    Ako ovjerilac pru`a usluge vremenskog pe~ata, du`an je da u svojim internim pravilima o pru`awu usluga i bezbjednosnom konceptu utvrdi na koji na~in }e zadovoqiti zahtjeve za pru`awe usluge utvr|ene ovim zakonom i podzakonskim propisima donesenim na osnovu wega. 

(2)    Za pru`awe usluga sigurnog vremenskog pe~ata, ovjerilac mora da koristi tehni~ka sredstva i postupke koji obezbje|uju ta~nost i autenti~nost navedenog vremena i koji su u skladu sa odredbama ~lana 14. ovog Zakona. 

^lan 12. 

(Dokumentacija) 

(1)    Ovjerilac je du`an da dokumentuje bezbjednosne mjere koje je preduzeo u skladu sa odredbama ovog Zakona i podzakonskih propisa donesenih na osnovu wega, kao i izdavawe, suspenziju i opoziv potvrda. Podaci i wihova autenti~nost i trenutak wihovog upisivawa u sistem protokola moraju biti uvijek dostupni provjeri. 

(2)    Ovjerilac je du`an da dostavi dokumentaciju iz stava (1) ovog ~lana na zahtjev suda ili drugog organa vlasti. 

^lan 13. 

(Prestanak obavqawa djelatnosti) 

(1)    Ovjerilac je du`an da bez odlagawa obavijesti nadzorni organ o prestanku obavqawa djelatnosti. Ovjerilac je tako|e du`an da u trenutku prestanka obavqawa djelatnosti opozove va`e}e potvrde, ili obezbijedi da najmawe registar potvrda i pru`awe usluga opoziva preuzme drugi ovjerilac. 

(2)    Ovjerilac je du`an da bez odlagawa obavijesti potpisnike o prestanku obavqawa djelatnosti i opozivu, ili preuzimawu. 

(3)    Ovjerilac je du`an da obezbijedi da se usluga opoziva pru`a i ako su potvrde opozvane. Ako ovjerilac ne obezbijedi pru`awe usluge opoziva, pru`awe usluge opoziva obezbijedi}e nadzorni organ, na teret ovjerioca. 

GLAVA IV - TEHNI^KI BEZBJEDNOSNI ZAHTJEVI 

^lan 14. 

(Tehni~ka sredstva i postupci za siguran elektronski potpis) 

(1)    Za generisawe i ~uvawe podataka za formirawe potpisa, i za formirawe sigurnog elektronskog potpisa, moraju se koristiti tehni~ka sredstva koja omogu}avaju pouzdano otkrivawe falsifikovawa potpisanih podataka i pouzdano spre~avaju neovla{}eno kori{}ewe postupaka formirawa podataka za elektronski potpis. 

(2)    Tehni~ka sredstva i postupci koji se koriste za formirawe sigurnog elektronskog potpisa moraju obezbijediti da podaci koji se potpisuju nisu promijeweni i da podaci koji se potpisuju budu prikazani potpisniku prije potpisivawa; podaci za formirawe potpisa moraju biti obezbije|eni tako da se ne mogu izvesti, vjerovatno}a da }e se pojaviti samo jednom mora biti blizu sigurnosti, a wihova pouzdanost mora biti zagarantovana. 

(3)    Za formirawe i ~uvawe kvalifikovanih potvrda moraju se koristiti tehni~ka sredstva i postupci koji spre~avaju formirawe i falsifikovawe potvrda. 

(4)    Tehni~ka sredstva i postupci koji se koriste za provjeru sigurno potpisanih podataka moraju obezbijediti da: 

a)    potpisani podaci nisu promijeweni, 

b)    elektronski potpis bude pouzdano provjeren i rezultati provjere korektno prikazani licu koje vr{i provjeru, 

c)    lice koje vr{i provjeru mo`e utvrditi podatke na koje se elektronski potpis odnosi, 

d)    lice koje vr{i provjeru mo`e pouzdano utvrditi potpisnika ~iji je elektronski potpis ostvaren, i da u slu~aju upotrebe pseudonima wegova upotreba uvijek bude nazna~ena, 

e)    svaka promjena koja na bilo koji na~in uti~e na bezbjednost potpisanih podataka bude vidqiva. 

(5)    Tehni~ka sredstva i postupci za formirawe sigurnog elektronskog potpisa moraju se, zavisno od stawa tehnike, sveobuhvatno i redovno provjeravati. Wihovo zadovoqavawe bezbjednosnih zahtjeva ovog Zakona i na osnovu wega donesenih podzakonskih propisa mora potvrditi posebno tijelo (~lan 15). Potvrde o zadovoqavawu bezbjednosnih zahtjeva koje su izdala tijela dr`ava ~lanica Evropske unije ili ~lanica Evropskog ekonomskog prostora, iz ~lana 3 stav 4. Direktive 1999/93 EZ Evropskog parlamenta i Savjeta, od 13. decembra 1999. o okviru Zajednice za elektronski potpis (''Sl. list Evropskih zajednica'', br. L 13, od 19. januara 2000, str. 12), prihvataju se kao i potvrde tijela iz ~lana 15. ovog Zakona. 

(6)    Tehni~ka sredstva i postupci koje na osnovu ~lana 3. stav 5. Direktive 1999/93 EZ Evropskog parlamenta i Savjeta, od 13. decembra 1999, o okviru Zajednice za elektronski potpis utvrdi Evropska komisija, zadovoqavaju bezbjednosne zahtjeve ovog Zakona i podzakonskih propisa donesenih na osnovu wega. 

^lan 15. 

(Izdavawe potvrda o ispuwavawu bezbjednosnih zahtjeva) 

(1)    Potvrde iz ~lana 14. stav (5) ovog Zakona mo`e izdavati javno ili privatno tijelo koje je za tu svrhu akreditovano kod Instituta za akreditovawe Bosne i Hercegovine. 

(2)    Institut za akreditovawe Bosne i Hercegovine akreditova}e javno ili privatno tijelo za izdavawe potvrda iz ~lana 14. stav (5) ovog Zakona na wegov zahtjev, ako: 

a)    demonstrira pouzdanost potrebnu za obavqawe svojih aktivnosti, 

b)    zapo{qava pouzdana lica, koja za obavqawe aktivnosti imaju specijalisti~ka znawa, iskustvo i stru~ne kvalifikacije, naro~ito poznavawe elektronskog potpisa i odgovaraju}ih bezbjednosnih postupaka, kriptografije, komunikacionih i "smart-card" tehnologija i tehni~ke evaluacije ovih sredstava, 

c)    ima zadovoqavaju}a tehni~ka sredstva i ure|aje i finansijsku i ekonomsku sposobnost za obavqawe aktivnosti, 

d)    garantuje potrebnu nezavisnost i nepristrasnost. 

(3)    Podnosilac zahtjeva za akreditaciju mora ispuwavati i kriterijume koje utvrdi Evropska komisija, na osnovu ~lana 3. stav 4. Direktive 1999/93 EZ Evropskog parlamenta i Savjeta od 13. decembra 1999. o okviru Zajednice za elektronski potpis. Savjet ministara Bosne i Hercegovine, na prijedlog ministra nadle`nog za informaciono dru{tvo, podzakonskim propisom objavi}e ove kriterijume. 

(4)    Javno ili privatno tijelo akreditovano za izdavawe potvrda iz ~lana 14. stav (5) ovog Zakona mo`e za potrebe obavqawa svojih aktivnosti koristiti izvje{taje o ispitivawu drugih akreditovanih tijela. 

GLAVA V - PRAVA I OBAVEZE 

^lan 16. 

(Op{te obaveze ovjerioca) 

(1)    Ovjerilac je du`an da lice koje tra`i potvrdu jasno i sveobuhvatno upozna sa internim pravilima o pru`awu usluga i bezbjednosnim konceptom, u pisanoj formi ili upotrebom trajnog nosa~a podataka, prije zakqu~ivawa ugovora. Prilikom izdavawa kvalifikovane potvrde, ovjerilac je tako|e du`an da upozna imaoca potvrde sa uslovima upotrebe kao {to su ograni~ewa u vezi sa upotrebom ili ograni~ewa u pogledu vrijednosti transakcija za koje se potvrda mo`e upotrijebiti, te da napomene dobrovoqnu akreditaciju i bilo koje posebne postupke za rje{avawe sporova. 

(2)    Informacije na koje se odnosi stav (1) ovog ~lana mogu se, na wihov zahtjev, dostaviti tre}im licima koja doka`u pravni interes za wih. 

(3)    Ovjerilac je du`an da upozna lice koje tra`i potvrdu o tome koja su tehni~ka sredstva i postupci podesni za potpisivawe, i gdje je to primjewivo, koja tehni~ka sredstva i postupci i drugi ure|aji zadovoqavaju odredbe ovog Zakona o formirawu i provjeri sigurnog elektronskog potpisa. Nadaqe, ovjerilac je du`an da upozna lice koje tra`i potvrdu sa mogu}im pravnim dejstvom postupka za elektronski potpis koji je kori{}en, obavezama potpisnika i specifi~noj odgovornosti ovjerioca. Prije nego {to bezbjednosna vrijednost trenutnog elektronskog potpisa bude naru{ena tokom vremena, imalac potvrde treba da bude obavije{ten o potrebi primjene novog elektronskog potpisa (gdje je to primjewivo i na koji na~in). 

^lan 17. 

(Obaveze potpisnika) 

(1)    Potpisnik je du`an da ~uva podatke za formirawe elektronskog potpisa i suzdr`i se od wihovog prosqe|ivawa, te da sprije~i neovla{}en pristup tim podacima u mjeri u kojoj je to mogu}e o~ekivati. 

(2)    Potpisnik je du`an da bez odlagawa ovjeriocu dostavi sve potrebne podatke i informacije o promjenama koje uti~u ili mogu uticati na ta~nost utvr|ivawa potpisnika. 

(3)    Potpisnik je du`an da bez odlagawa zatra`i opoziv potvrde ako su podaci za formirawe elektronskog potpisa neta~ni, ili ako postoji osnovana sumwa da su kopirani ili da su neovla{}ena lica do{la u posjed ovih podataka, ili ako su se ~iwenice potvr|ene u potvrdi promijenile. 

^lan 18. 

(Za{tita li~nih podataka) 

(1)    Ovjerilac mo`e koristiti samo one li~ne podatke koji su potrebni da bi se usluga pru`ila. Ovi podaci mogu se pribaviti samo neposredno od lica o kojem se radi, ili, uz wegovu saglasnost, od tre}e strane. 

(2)    Ako je kori{}en pseudonim, ovjerilac }e dostaviti podatke o potpisnikovom identitetu ako za utvr|ivawe identiteta postoji preovla|uju}i pravni interes u smislu odredaba propisa kojima se ure|uje za{tita podataka. Ovjerilac je du`an da dokumentuje dostavqawe. 

^lan 19. 

(Odgovornost ovjerilaca za {tetu) 

(1)    Ovjerilac koji izdaje potvrde kao kvalifikovane ili garantuje za takve potvrde u skladu sa odredbama ~lana 24. stav (2) ta~ka b) ovog Zakona, odgovoran je za {tetu svakom licu koje se pouzda u potvrdu, za sqede}e: 

a)    ta~nost podataka u kvalifikovanoj potvrdi u trenutku wenog izdavawa, i da potvrda sadr`i sve podatke propisane za kvalifikovanu potvrdu, 

b)    da je potpisnik, naveden u kvalifikovanoj potvrdi, u trenutku izdavawa potvrde bio u posjedu svih podataka za formirawe potpisa, koji odgovaraju podacima za provjeru potpisa sadr`anim u potvrdi, 

c)    da su podaci za formirawe potpisa i sa wima usagla{eni podaci za provjeru potpisa zajedno, prilikom primjene proizvoda i postupaka koje mu je ovjerilac stavio na raspolagawe ili wima ekvivalentnih koje sam koristi odgovaraju}i u komplementarnom smislu, 

d)    opoziv potvrde bez odlagawa, po ulagawu odgovaraju}eg zahtjeva, i da je postupak opoziva raspolo`iv, 

e)    da su zadovoqene odredbe ~lana 8. ovog Zakona i da su za generisawe i ~uvawe podataka za formirawe potpisa i formirawe i ~uvawe kvalifikovanih potvrda kori{}ena tehni~ka sredstva i postupci koji zadovoqavaju odredbe ~lana 14. ovog Zakona. 

(2)    Ovjerilac koji koristi postupke za siguran elektronski potpis tako|e je odgovoran da proizvodi, postupci i drugi ure|aji koje koristi ili preporu~uje kao odgovaraju}e za formirawe elektronskog potpisa i prikaz podataka koji se potpisuju zadovoqavaju odredbe ~lana 14. ovog Zakona. 

(3)    Ovjerilac je odgovoran ako ne doka`e da je {teta nastala bez wegove krivice. 

(4)    Ako je upotreba kvalifikovane potvrde ograni~ena, ovjerilac se ne}e smatrati odgovornim za {tetu koja je nastala u vezi sa upotrebom potvrde van ograni~ewa. Ako kvalifikovana potvrda sadr`i ograni~ewa u pogledu vrijednosti transakcija za koje se mo`e upotrijebiti, ovjerilac se ne}e smatrati odgovornim za {tetu nastalu u vezi sa upotrebom potvrde za transakcije ~ija je vrijednost van ovih ograni~ewa. 

GLAVA VI - NADZOR 

^lan 20. 

(Nadzorni organ) 

(1)    Nadzorni organ je Kancelarija za nadzor i akreditaciju ovjerilaca pri ministarstvu nadle`nom za informaciono dru{tvo. 

(2)    U okviru inspekcijskog nadzora, nadzorni organ: 

a)    provjerava da li su interna pravila o pru`awu usluga i bezbjednosni koncept ovjerilaca u skladu sa odredbama ovog Zakona i podzakonskih propisa donesenih na osnovu wega; 

b)    provjerava da li ovjerilac sve vrijeme obavqawa djelatnosti zadovoqava odredbe ovog Zakona i podzakonskih propisa donesenih na osnovu wega i svojih internih pravila o pru`awu usluga i bezbjednosnog koncepta; 

c)    ako ovjerilac pru`a usluge u vezi sa sigurnim elektronskim potpisom, nadzire kori{}ewe tehni~kih sredstava i postupaka iz ~lana 14. ovog Zakona; 

d)    provjerava da li tijelo akreditovano za izdavawe potvrda o ispuwavawu bezbjednosnih zahtjeva ovog Zakona i podzakonskih propisa donesenih na osnovu wega ispuwava organizacione kriterijume iz ~lana 15. ovog Zakona; 

e)    registruje ovjerioce koji podnesu obavje{tewe o po~etku rada i akredituje ovjerioce u skladu sa odredbama ~lana 23. ovog Zakona; 

f)    utvr|uje ekvivalentnost izvje{taja o provjeri iz tre}ih dr`ava (~lan 24. stav (3)); 

g)    pru`a uslugu opoziva, ako je ovjerilac prestao da pru`a usluge u vezi sa elektronskim potpisom i ovjeravawem ili mu je pru`awe usluga zabraweno, a pru`awe usluge opoziva nije preuzeo drugi ovjerilac u smislu ~lana 13. stav (3) i ~lana 21. stav (5) ovog Zakona. 

(3)    Ovjerioci su obavezni da nadoknade tro{kove aktivnosti nadzornog organa u skladu sa propisima donesenim na osnovu ovog Zakona. 

(4)    Nadzorni organ vodi elektronski registar ovjerilaca sa sjedi{tem u Bosni i Hercegovini, akreditovanih ovjerilaca i ovjerilaca sa sjedi{tem u tre}im dr`avama za ~ije potvrde garantuje ovjerilac sa sjedi{tem u Bosni i Hercegovini u skladu sa odredbama ~lana 24. stav (2) ta~ka b) ovog Zakona. Tako|e, nadzorni organ vodi registar potvrda ovjerilaca koji sadr`i kvalifikovane potvrde ovjerilaca za pru`awe usluga u vezi sa elektronskim potpisom i ovjeravawem. Ovakve potvrde mo`e izdavati i nadzorni organ. Ovi registri, generalno, moraju biti stalno dostupni kori{}ewem sredstava informacionih i komunikacionih tehnologija. Nadzorni organ stavqa svoj siguran elektronski potpis na registre koje vodi. Potvrda nadzornog organa objavquje se u "Slu`benom glasniku BiH". 

^lan 21. 

(Mjere nadzora) 

(1)    Prilikom obavqawa inspekcijskog nadzora, nadzorni organ ovla{}en je za preduzimawe mjera kojima se obezbje|uje ispuwewe obaveza odre|enih ovim zakonom i podzakonskim propisima donesenim na osnovu wega. Nadzorni organ mo`e zabraniti kori{}ewe neodgovaraju}ih tehni~kih sredstava i postupaka ili pru`awe svih ili pojedinih usluga u vezi sa elektronskim potpisom i ovjeravawem. Nadzorni organ mo`e opozvati potvrde ovjerioca ili potpisnika, ili narediti ovjeriocu opoziv potvrda. 

(2)    Nadzorni organ }e ovjeriocu zabraniti pru`awe svih ili pojedinih usluga u vezi sa elektronskim potpisom i ovjeravawem ako: 

a)    ovjerilac ili wegova zaposlena lica ne demonstriraju pouzdanost koja se zahtijeva za usluge u vezi sa elektronskim potpisom i ovjeravawem koje pru`aju; 

b)    ovjerilac ili wegova zaposlena lica nemaju potrebna specijalisti~ka znawa, iskustvo i stru~ne kvalifikacije; 

c)    nema na raspolagawu potrebna finansijska sredstva; 

d)    ne pru`a usluge u vezi sa elektronskim potpisom i ovjeravawem u skladu sa internim pravilima o pru`awu usluga i bezbjednosnim konceptom; 

e)    ne vodi registar potvrda u skladu sa odredbama ovog Zakona i podzakonskih propisa donesenih na osnovu wega; 

f)    ne ispuwava obaveze u vezi sa opozivom i suspenzijom, u skladu sa odredbama ovog Zakona i podzakonskih propisa donesenih na osnovu wega; 

g)    ne ispuni obaveze iz ~lana 7. stav (2) ovog Zakona. 

(3)    Ako nije odredio bla`e mjere iz stava (6) ovog ~lana, nadzorni organ zabrani}e ovjeriocu koji izdaje kvalifikovane potvrde pru`awe svih ili pojedinih usluga u vezi sa elektronskim potpisom i ovjeravawem, ako nisu zadovoqene druge odredbe ovog Zakona i podzakonskih propisa donesenih na osnovu wega, kojima se ure|uje pru`awe usluga. 

(4)    Ako nije odredio bla`e mjere iz stava (6) ovog ~lana, nadzorni organ zabrani}e ovjeriocu koji koristi postupke za siguran elektronski potpis pru`awe svih ili pojedinih usluga u vezi sa elektronskim potpisom i ovjeravawem, ako tehni~ka sredstva i postupci ne zadovoqavaju odredbe ~lana 14. ovog Zakona. 

(5)    Ako nadzorni organ zabrani ovjeriocu pru`awe usluga u vezi sa elektronskim potpisom i ovjeravawem, mora obezbijediti da se potvrde ovjerioca i potpisnika opozovu ili da drugi ovjerilac, u mjeri u kojoj pristane, preuzme obavqawe djelatnosti ovjerioca kojem je zabrawen rad, a najmawe registar potvrda i pru`awe usluga opoziva. Potpisnici }e biti obavije{teni o zabrani i opozivu ili preuzimawu, bez odlagawa. Ovjerilac je du`an da obezbijedi da se usluga opoziva pru`a i ako su potvrde opozvane. Ako ovjerilac ne obezbijedi pru`awe usluge opoziva, pru`awe usluge na teret ovjerioca obezbijedi}e nadzorni organ. 

(6)    Nadzorni organ ne}e zabraniti pru`awa usluga u vezi sa elektronskim potpisom i ovjeravawem ako se bla`im mjerama mo`e posti}i uskla|ivawe sa odredbama ovog Zakona i podzakonskih propisa donesenih na osnovu wega. Nadzorni organ mo`e odrediti rokove i uslove za otklawawe nedostataka i izdati upozorewe o zabrani u slu~aju da nedostaci koje utvrdi ne budu otkloweni u razumnom roku koji odredi. 

^lan 22. 

(Sprovo|ewe nadzora) 

(1)    Ovjerilac je du`an da odredi lice koje }e na zahtjev nadzornog organa omogu}iti pristup u poslovne prostorije u toku radnog vremena. Ovjerilac je du`an da dostavi ili pripremi za inspekciju relevantne poslovne kwige, dokumentaciju iz ~lana 12. ovog Zakona i drugu dokumentaciju, te da obezbijedi potrebne informacije i bilo koju drugu potrebnu pomo}. 

(2)    Inspektor je ovla{}en da izuzme dokumentaciju ako je to potrebno za obezbje|ivawe dokaza ili za detaqno utvr|ivawe nepravilnosti, na period od najvi{e 15 dana, o ~emu izdaje potvrdu. 

(3)    Podatke o potvrdama koji su li~ne prirode i podatke koji su za{ti}eni po posebnom zakonu, sa kojima se upozna prilikom nadzora, inspektor je du`an da ~uva kao tajnu. 

(4)    Protiv odluke nadzornog organa dozvoqena je `alba @albenom savjetu pri Savjetu ministara Bosne i Hercegovine. @alba ne zadr`ava izvr{ewe. 

(5)    Zabrana ne uti~e na va`ewe prethodno izdatih potvrda. 

GLAVA VII - DOBROVOQNA AKREDITACIJA 

^lan 23. 

(Akreditovawe ovjerilaca) 

(1)    Ovjerioce koji koriste postupke za siguran elektronski potpis i koji doka`u da zadovoqavaju odredbe ovog Zakona i podzakonskih propisa donesenih na osnovu wega, nadzorni organ }e akreditovati na zahtjev. Nadzorni organ mo`e, pod istim uslovima, akreditovati i ovjerioce sa sjedi{tem izvan Bosne i Hercegovine, ako su ispuweni uslovi za priznavawe wihovih potvrda u Bosni i Hercegovini. Akreditovani ovjerilac mo`e samo uz saglasnost nadzornog organa nazna~avati svoju akreditovanost u pravnom prometu. Ova oznaka se mo`e koristiti za usluge u vezi sa elektronskim potpisom i ovjeravawem i proizvode, samo ako su zadovoqeni bezbjednosni zahtjevi odredaba ~lana 14. ovog Zakona. 

(2)    Dobrovoqna akreditacija ovjerioca treba da bude nazna~ena u kvalifikovanoj potvrdi ili da bude dostupna na drugi odgovaraju}i na~in. 

GLAVA VIII - PRIZNAVAWE STRANIH POTVRDA 

^lan 24. 

(Priznavawe potvrda koje su izdali strani ovjerioci) 

(1)    Potvrde koje su izdali ovjerioci sa sjedi{tem u dr`avi ~lanici Evropske unije ili dr`avi koja je ~lanica Evropskog ekonomskog prostora i ~iju validnost Bosna i Hercegovina mo`e provjeriti tretiraju se kao doma}e potvrde. Kvalifikovane potvrde ovih ovjerilaca imaju isto pravno dejstvo kao doma}e kvalifikovane potvrde. 

(2)    Potvrde koje su izdali ovjerioci sa sjedi{tem u tre}im dr`avama i ~iju validnost Bosna i Hercegovina mo`e provjeriti, bi}e priznate u Bosni i Hercegovini. Kvalifikovane potvrde ovih ovjerilaca pravno }e se tretirati kao i doma}e kvalifikovane potvrde ako: 

a)    ovjerilac zadovoqava odredbe ~lana 8. ovog Zakona i ako je akreditovan u skladu sa sistemom dobrovoqne akreditacije u Bosni i Hercegovini, ili u dr`avi ~lanici Evropske unije ili dr`avi koja je ~lanica Evropskog ekonomskog prostora, 

b)    doma}i ovjerilac ili ovjerilac sa sjedi{tem u dr`avi ~lanici Evropske unije ili dr`avi koja je ~lanica Evropskog ekonomskog prostora i koji zadovoqava odredbe ~lana 8. ovog Zakona, garantuje za wegove potvrde u skladu sa propisima o odgovornosti, 

c)    se potvrda priznaje kao kvalifikovana, ili se ovjerilac smatra ovjeriocem koji izdaje kvalifikovane potvrde, na osnovu dvostranog ili vi{estranog me|unarodnog ugovora izme|u Bosne i Hercegovine i drugih dr`ava ili me|unarodnih organizacija, 

d)    se potvrda priznaje kao kvalifikovana, ili se ovjerilac smatra ovjeriocem koji izdaje kvalifikovane potvrde, na osnovu dvostranog ili vi{estranog me|unarodnog ugovora izme|u Evropske unije i tre}ih dr`ava ili me|unarodnih organizacija. 

(3)    Potvrde o zadovoqavawu bezbjednosnih zahtjeva iz ~lana 14. stav (5) ovog Zakona, koje je izdalo tijelo sa sjedi{tem u tre}oj dr`avi, i koje je u toj dr`avi priznato kao tijelo koje izdaje takve potvrde, bi}e va`e}e kao i potvrde tijela iz ~lana 15. ovog Zakona, pod uslovom da nadzorni organ utvrdi da su tehni~ki zahtjevi, ispitivawa i postupci provjere tog tijela ekvivalentni onima koje koriste tijela iz ~lana 15. ovog Zakona. 

GLAVA IH - KAZNENE ODREDBE 

^lan 25. 

(Kaznene odredbe) 

(1)    Svako lice koje upotrijebi podatke za formirawe potpisa drugog lica, bez znawa potpisnika i wegovog pristanka, kazni}e se za prekr{aj nov~anom kaznom u iznosu do 8.000 KM. 

(2)    Nov~anom kaznom u iznosu do 16.000 KM kazni}e se za prekr{aj ovjerilac ako: 

a)    ne opozove potvrdu u skladu sa odredbama ~lana 10. stav (1) ovog Zakona; 

b)    ne dokumentuje bezbjednosne mjere koje je preduzeo u skladu sa odredbama ovog Zakona i na osnovu wega donesenih podzakonskih propisa, za izdavawe, suspenziju i opoziv potvrda (~lan 12); 

c)    ne omogu}i pristup u poslovne prostorije, ili ne stavi na uvid relevantne poslovne kwige ili drugu dokumentaciju, ukqu~uju}i i dokumentaciju iz ~lana 12. ovog Zakona, ili ne obezbijedi informacije ili bilo koju drugu potrebnu pomo} (~lan 22); 

d)    ne obavijesti imaoca potvrde ili lice koje tra`i potvrdu u skladu sa odredbama ~lana 16. ovog Zakona. 

(3)    Nov~anom kaznom u iznosu do 32.000 KM kazni}e se za prekr{aj ovjerilac ako: 

a)    ne obavijesti nadzorni organ ili ne dostavi interna pravila o pru`awu usluga i bezbjednosni koncept (~lan 7. stav 2); 

b)    ne obavijesti nadzorni organ o okolnostima koje ga spre~avaju ili mu onemogu}avaju obavqawe djelatnosti u skladu sa internim pravilima o pru`awu usluga i bezbjednosnim konceptom (~lan 7. stav (5)); 

c)    ne vodi registar potvrda ili ne obezbijedi sigurno i neodgodivo pru`awe usluge opoziva (~lan 8. stav (1) ta~ka b); 

d)    ne preduzme odgovaraju}e mjere kojima se obezbje|uje da podatke za formirawe potpisa ne mogu ~uvati ili kopirati ni ovjerioci ni tre}a lica (~lan 8. stav (1) ta~ka h)); 

e)    ne koristi, ne sprovodi ili ne preporu~i odgovaraju}a tehni~ka sredstva i postupke koji zadovoqavaju odredbe ~lana 14. ovog Zakona; 

f)    nastavi da obavqa djelatnost protivno zabrani nadzornog organa (~lan 21. st. od (2) do (4)); 

g)    ne utvrdi pouzdano identitet ili druge potrebne podatke lica koje tra`i kvalifikovanu potvrdu (~lan 9); 

h)    koristi oznaku akreditovanog ovjerioca protivno odredbama ~lana 23. stav (1) ovog Zakona. 

(4)    Nov~anom kaznom u iznosu od 2.000 KM kazni}e se za prekr{aj i odgovorno lice pravnog lica koje u~ini prekr{aj iz st. (2) i (3) ovog ~lana. 

(5)    Ako je ovjerilac fizi~ko lice, za prekr{aj iz st. (2) i (3) ovog ~lana, kazni}e se nov~anom kaznom u iznosu do 10.000 KM. 

(6)    Nov~anom kaznom u iznosu do 10.000 KM kazni}e se za prekr{aj potpisnik ako: 

a)    ne ~uva podatke za formirawe elektronskog potpisa, ili ne sprije~i neovla{}en pristup tim podacima (~lan 17. stav (1)); 

b)    ne dostavi sve potrebne podatke i informacije o promjenama koje uti~u ili mogu uticati na ta~nost utvr|ivawa potpisnika (~lan 17. stav (2)); 

c)    ne zatra`i opoziv potvrde u skladu sa ~lanom 17. stav (3) ovog Zakona. 

GLAVA H - PRELAZNE I ZAVR[NE ODREDBE 

^lan 26. 

(Podzakonski propisi za sprovo|ewe Zakona) 

(1)    Savjet ministara Bosne i Hercegovine, na prijedlog ministra nadle`nog za informaciono dru{tvo, u skladu sa aktuelnim stawem nauke i tehnike, donije}e podzakonske propise koji su potrebni za sprovo|ewe ovog Zakona. Ovim propisima bi}e obuhva}eni: 

a)    iznos naknade za rad nadzornog organa, 

b)    finansijska sposobnost ovjerioca i minimalan iznos osigurawa za odgovornost od {tete, 

c)    tehni~ki bezbjednosni zahtjevi za siguran elektronski potpis, 

d)    prikazivawe podataka koji se potpisuju elektronskim potpisom, 

e)    elektronski potpis za kvalifikovane potvrde, 

f)    elektronski potpis nadzornog organa, 

g)    sistemi nadzornog organa, 

h)    za{tita tehni~kih sredstava za siguran elektronski potpis ovjerioca, 

i)    ispitivawe tehni~kih sredstava i postupaka, 

j)    pru`awe usluga u vezi sa elektronskim potpisom i ovjeravawem koje se odnose na kvalifikovane potvrde i siguran elektronski potpis, 

k)    zahtjev za izdavawe kvalifikovane potvrde, 

l)    kvalifikovana potvrda, 

m)    registar potvrda i pru`awe usluga opoziva za kvalifikovane potvrde, 

n)    siguran vremenski pe~at, 

o)    bezbjednosni koncept i interna pravila o pru`awu usluga za kvalifikovane potvrde, 

p)    dokumentacija iz ~lana 12. ovog Zakona, 

r)    obnova elektronskog potpisa, 

s)    nadzor i akreditacija. 

(2)    Savjet ministara Bosne i Hercegovine donije}e propise iz stava (1) ovog ~lana najkasnije u roku od {est mjeseci od dana objavqivawa ovog Zakona. 

(3)    Ministar nadle`an za informaciono dru{tvo, u redovnoj proceduri u roku od dva mjeseca, uskladi}e unutra{wu organizaciju ministarstva sa ~lanom 20. stav (1) ovog Zakona. 

^lan 27. 

(Stupawe na snagu) 

Ovaj Zakon stupa na snagu u roku od {est mjeseci od dana objavqivawa u "Slu`benom glasniku BiH". 


PSBiH broj 333/06
20. septembra 2006. godine
Sarajevo 



Predsjedavaju}i
Predstavni~kog doma
Parlamentarne skup{tine BiH
Martin Ragu`, s. r. 


Predsjedavaju}i
Doma naroda
Parlamentarne skup{tine BiH
Goran Milojevi}, s. r.