seminar ski rad iz prava

--------------------------------------------------------------------------Elektronski potpis

Uvod

Komunikacijski kanali savremenog svijeta sve više poprimaju elektronski oblik, a zakonodavstvo tradicionalne ekonomije ne može zadovoljiti potrebe elektronske razmjenepodataka zasnovane na elektronski potpisanom dokumentu. Svojeručni potpis bio je jedanod temelja paper-based trgovačkih transakcija, a ništa manje važna nije uloga elektronskogpotpisa u novim "elektronskim" (paperless) okolnostima. Uvažavajući neformalnost kaoopće načelo obaveznog prava, treba uzeti u obzir i potrebu stranaka da za slučaj sporaosiguraju ispravu s odgovarajućom dokaznom snagom. U takvim okolnostima logična jepraksa sklapanja ugovora u pisanom obliku ne samo u situacijama kada je to zakonskipredviđeno, već i za sve poslove čija vrijednost opravdava dodatni trud. Problematike pisaneforme i potpisa toliko su povezane i međusobno uvjetovane da je teško govoriti o samo jednome pojmu.

Promatrajući ta dva pojma iz historijske perspektive, uočit ćemo postojanjenajrazličitijih idenitifikacijskih oblika – od kamenih i glinenih pločica preko pečata, sve dosvojeručno potpisane papirnate isprave. Danas pisana forma nije ograničena na "papir itintu", već se svodi na zahtjev za postojanjem "sredstva koje omogućuje da se sa sigurnošćuutvrde sadržaj i davalac izjave". Iako pojam pisane isprave obuhvaća na primjer telefaks ilitelegram, u tu se skupinu ne ubrajaju elektronski dokumenti.

Potpis nije zakonski definiran pojam, već se radi o općeprihvaćenom pravnomstandardu o kojem nije bilo većih dvojbi sve do pojave elektronske komunikacije.Savremene definicije polaze od toga da potpis nije dio isprave te se usredotočuju napostojanje "oznake" i "namjere". Pristup funkcionalne ekvivalentnosti (functional equivalency approach) prvi je put jasno određen UNCITRAL-ovim Model zakonom o elektroničkoj trgovini, a osnovna mu je postavka da se elektroničkom dokumentu elektroničkom potpisu priznaje pravna snaga u onoj mjeri u kojoj su u stanju ispuniti funkcije pisane isprave s svojeručnim potpisom.

U skladu s time, novim zakonskim reformama nije svrha proglasiti elektronski zapis pisanom ispravom, već se želi izjednačiti njihova pravna snaga poduvjetom da elektronski dokument može ispuniti funkcije koje se očekuju od onoga u pisanom obliku. Osnovne funkcije potpisa mogu se sažeti u sljedeće tri kategorije: (1) autentičnost (Authentication) – utvrđivanje identiteta osobe koja je potpisala dokument; (2) integritet (Integrity) – utvrđivanje da isprava nije mijenjana nakon potpisivanja; i (3) nepovratnost(Non-repudiation) – onemogućavanje naknadnog povlačenja ili poricanja potpisa. Da bi potpis mogao ispuniti navedene funkcije jasno je da treba biti povezan s potpisnikom i pod njegovom isključivom kontrolom.

3

------------------------------------------------------------------------------------------Elektronski potpisElektronski potpis Elektronski potpis je generički pojam koji podrazumijeva čitav niz različitih vrsta digitalno prikazanih podataka poput ispisanog imena na kraju e-maila, skenirane slike ručnogpotpisa, tajnog PIN koda, kompjutorski pohranjenog otiska prsta, ili digitalnog potpisa.Polazeći od funkcionalnog pristupa, elektronski potpis možemo definirati kao niz bitova kojioznačavaju nečiji identitet i namjeru, a da bi imao pravnu snagu mora na zadovoljavajućinačin obavljati određene funkcije. Osim već spomenutih osnovnih funkcija, od elektronskihse potpisa često traži i udovljavanje dodatnim zahtjevima: (1) mora biti jedinstven za osobukoja ga koristi – tehnologija izrade ne smije dopustiti pojavljivanje više istih potpisa za različite osobe; (2) mora biti pod isključivom kontrolom osobe koja ga koristi – trebaspriječiti mogućnost zloupotrebe krađom sredstva i/ili podataka za izradu potpisa; (3) trebaomogućiti provjeru identiteta korisnika – s obzirom na to da elektronski potpisi ne morajujasno upućivati na neko ime i prezime, neophodno je osigurati drugu mogućnost provjereidentiteta (npr. pomoću certifikata); (4) treba postojati veza između potpisa i potpisaneisprave – ručni je potpis fizički smješten na dokumentu, dok je kod elektronskih potpisa tuvezu potrebno posebno uspostaviti (npr. hash funkcijom u slučaju digitalnih potpisa).

S obzirom na tehnologiju izrade razlikujemo tri osnovne vrste elektronskih potpisa: - skenirani ručni potpis, - digitalni potpis i - biometrijski potpis.

Kao što to sam naziv kaže, skenirani ručni potpis je slika ručnog potpisa i predstavljanajjednostavniji oblik elektronskog potpisivanja. Takav potpis ne zadovoljava niti osnovnefunkcije da bi mogao imati pravnu snagu jednaku svojeručnom potpisu i zato nema važnijemjesto u savremenom elektronskom poslovanju.

Digitalni potpis je niz znakova u digitalnoj formi (obično dužine 1024 bita) dobivenprimjenom asimetrične kriptografije.1 Upotreba digitalnog potpisa podrazumijeva provođenje(1) postupka izrade potpisa i (2) postupka provjere (verifikacije) potpisa.

Nakon što smo označili tekst koji želimo potpisati, posebnim softwareom iz njega jepotrebno proizvesti hash odnosno sažetak poruke. Ne radi se o logičkom, već matematičkom sažetku koji će, neovisno o duljini izvorne poruke, uvijek biti iste veličine. Hash algoritamspada u jednosmjerne funkcije što znači da iz njega nije moguće rekonstruirati izvornuporuku. Digitalni potpis nastaje kada privatnim ključem potpisnika (pošiljatelja) šifriramo hash te se on pridodaje izvornoj poruci i šalje primatelju.

Primatelj koji raspolaže porukom i pridruženim digitalnim potpisom treba još pribaviti javni ključ potpisnika poruke. Hash funkcija primjenjena na određeni tekst uvijek proizvodi identičan krajnji rezultat i provjera digitalnog potpisa temelji se na toj karakteristici.

Javnim ključem potpisnika primatelj će dešifrirati digitalni potpis i tako dobiti hash koji ćeusporediti s hashom dobivenim neposredno iz primljene poruke. Ako su ta dva hasha jednakaznači da je poruku potpisao vlasnik privatnog ključa i da poruka u komunikacijskom procesu nije mijenjana. ------------------------------------------------------------------------------------------Elektronski potpis

1 Simetrična kriptografija za enkripciju i dekripciju koristi jedan te isti ključ, dok kod asimetričnog sustava imamo dvije različite šifre. Poruku možemo šifrirati bilo kojim od ta dva ključa, ali se ona može dešifrirati samo drugim ključem iz istog para.

4

Jasno je da digitalno potpisana poruka može, ali i ne mora, putovati Internetom šifrirana. Žele li sudionici komunikacije otvorenom mrežom osigurati tajnost, tada će pošiljatelj poruku šifrirati primjenom javnog ključa primatelja, a ne svog privatnog ključa koji je korišten u procesu kreiranja digitalnog potpisa. Primatelj će dešifrirati poruku pomoću svog privatnog ključa, dok će za provjeru digitalnog potpisa trebati javni ključ pošiljatelja.

Glavni problem asimetrične kriptografije je identifikacija pošiljatelja poruke, pa se najveći rizik u primjeni tehnologije digitalnog potpisa ogleda u nesigurnosti primatelja poruke obzirom na to pripada li neki javni ključ osobi koja je naznačena kao potpisnik. Infrastruktura javnog ključa rješava ovaj problem i omogućuje razmjenu podataka (i novca) posredstvom, u osnovi vrlo nesigurne mreže, kao što je Internet. Bit je u posredovanju autoriteta od povjerenja koji izdaje potvrdu (certifikat) o identitetu sudionika elektroničke razmjene podataka (potpisnika) te u postojanju ažurne javne evidencije svih certifikata.

Certifikati se vrlo često uspoređuju s osobnim iskaznicama koje trebaju identificirati certifikatora (izdavatelja certifikata), precizirati vlasnika certifikata, sadržavati javni ključ vlasnika certifikata i biti digitalno potpisani od strane certifikatora. Infrastruktura javnog ključa (Public Key Infrastructure – PKI) je cjelovit sustav izdavanja, pohrane, provjere i upravljanjacertifikatima koji služe za identifikaciju sudionika u elektroničkoj komunikaciji. Osnovni elementi sustava su: certifikator (Certification Authority CA), registrator (Registration Authority – CA) i popis certifikata(Certificate Repository – CR).

Okosnicu PKI sustava čini certifikator kao nezavisna treća strana koja ima za cilj osigurati povjerenje pružajući jamstvo da određeni javni ključ pripada upravo određenoj osobi. Nakon podnošenja zahtjeva izdavatelj certifikata provjerava identitet potpisnika, izrađuje njegov privatni i javni ključ te mu dostavlja certifikat i privatni ključ, a potpisnik će pri prvoj komunikaciji primateljima svojih poruka kao dokaz identiteta poslati certifikat. Certifikat cirkulira u formi elektroničkog dokumenta, a najčešće se pohranjuje zajedno s privatnim ključem na smart-kartici. Izdavatelj certifikata dužan je staviti javni ključ vlasnika certifikata na raspolaganje svim zainteresiranim osobama. Registrator je subjekt koji izdaje certifikate certifikatorima i vrši nadzor nad njihovim radom, a u nekim sustavima može biti zadužen i za provjeru zahtjeva za izdavanje certifkata.

Popis certifikata mora pružati ažuran pregled svih izdanih i nevažećih certifikata. U praksi najčešće funkcionira na načelu umreženog sustava evidencija svih izdavatelja certifikata, što omogućuje jednostavan pristup korisnicima koji žele provjeriti identitet potpisnika i njegov javni ključ. Smisao PKI sustava je uspostava povjerenja, a to je usko vezano uz pitanje odgovornosti za štete koje mogu nastati npr. zbog neovlaštene upotrebe privatnog ključa ili neažurnog popisa certifikata.

Upravo digitalni potpis najbolje ispunjava pravne funkcije autentifikacije, integriteta ineporecivosti, a ujedno zadovoljava uvjete tehnološke izvedivosti i ekonomske opravdanosti,pa stoga predstavlja optimalan način izrade elektronskog potpisa koji je danas standard uelektronskoj komunikaciji.

Primjena biometrike podrazumijeva pohranjivanje karakteristika tijela pojedinca uelektronskom obliku i njihovo korištenje za identifikaciju (npr. otisci prstiju, mrežnica oka,prepoznavanje glasa, DNK provjera). S obzirom na izazito visok stepen sigurnosti i zaštite, te na efikasnost, brzinu i praktičnost tih tehnologija, u budućnosti se očekuje rašireno korištenje biometrijskih elektronskih potpisa.2

------------------------------------------------------------------------------------------Elektronski potpis

2 www.imo.hr/europa/publics/

5

Realizacija elektronskog potpisa

Za realizaciju kvalifikovanog elektronskog potpisa neophodno je koristiti sredstva za formiranje kvalifikovanog elektronskog potpisa i posjedovati kvalifikovani elektronski certifikat, izdat od strane certifikacionog tijela koje ispunjava odgovarajuće uslove prema Zakonu o elektronskom potpisu.U ovom tehnološkom trenutku, kvalifikovani elektronski potpis se realizuje primjenom asimetričnih kriptografskih sistema (na primer RSA algoritam) i hash funkcija (MD5 ili SHA-1 algoritmi), dok se kao sredstva za formiranje kvalifikovanog elektronskog potpisa uglavnom koriste smart kartice.

Najpopularnije aplikacije u kojima se koristi elektronski potpis su:

zaštićene web transakcije zaštićene e-mail poruke zaštićen FTP servis formiranje VPN (IPSec) mreža bezbedno upravljanje dokumentacijom bezbena plaćanja putem Interneta itd.

Najznačajnija polja primjene elektronskog potpisa su:

elektronsko poslovanje (e-Business) elektronska trgovina (e-Commerce) elektronsko bankarstvo (e-Banking) elektronska uprava (e-Government) elektronsko zdravstvo (e-Healthcare) platni sistemi na bazi čip kartica (EMV) itd.

Dakle, za primjenu kvalifikovanog elektronskog potpisa neophodno je posjedovati dva osnovna elementa: sredstvo za formiranje kvalifikovanog elektronskog potpisa i kvalifikovani elektronski certifikat potpisnika.

Ako bilo koji od ovih elemenata nedostaje, potpis ne zadovoljava uslove da bude kvalifikovan, već je to "samo" elektronski potpis. Drugim rečima, iako elektronski potpis može prema zakonu biti bilo šta što je "logički povezano sa elektronskim dokumentom i što služi za identifikaciju potpisnika" (na primer, skenirani svojeručni potpis na kraju dokumenta i sl.), elektronskim potpisom se smatra i potpis koji je izvršen sredstvom za formiranje kvalifikovanog elektronskog potpisa ali potpisnik nema kvalifikovani certifikat.

Takođe, potpisnik koji ima kvalifikovani certifikat a potpisivanje ne vrši primjenom sredstva za formiranje kvalifikovanog potpisa ne može da formira kvalifikovani elektronski potpis koji je pravno izjednačen sa svojeručnim potpisom.3


3 www.imo.hr/europa/publics/

6

Tehnologija elektronskog potpisa

Kao što je rečeno, kvalifikovani elektronski potpis se na ovom stepenu tehnološkog razvoja formira na bazi primjene asimetričnih kriptografskih algoritama i tehnologije digitalnog potpisa. Kvalifikovani elektronski potpis se formira u skladu sa preporukom PKCS ( Public Key Cryptographic Standard), a dužina modulusa u asimetričnom kriptografskom algoritmu mora biti minimalno 1.024 bita. PKCS standard opisuje metode šifrovanja podataka korišćenjem RSA asimetričnog algoritma i najčešće se koristi za konstrukciju digitalnog koverta i digitalnog potpisa.

U slučaju digitalnog potpisa, sadržaj koji treba da se potpiše prvo se redukuje u otisak poruke (message digest) primjenom nekog od metoda za kreiranje otiska poruke, message-digest algoritma (kao što su, na primer, MD5 ili SHA-1 algoritmi), a zatim se dobijeni otisak poruke šifruje primjenom, na primjer, RSA algoritma, koristeći privatni ključ potpisnika poruke. Šifrovani otisak poruke predstavlja digitalni potpis date poruke i postaje njen pridruženi dio.

Kada ovakva poruka stigne do primaoca kojem je namijenjena, izvršava se postupak verifikacije digitalnog potpisa. Ovaj postupak se sastoji od dešifrovanja otiska dobijene poruke primjenom RSA algoritma, uz upotrebu javnog ključa pošiljaoca (potpisnika) poruke. Po dešifrovanju digitalnog potpisa, primalac poruke izvrši isti message digest postupak nad dobijenom porukom. Ako je dobijeni otisak poruke identičan sa dešifrovanom vrijednošću otiska, verifikacija je uspjela; u protivnom je verifikacija negativna i poruka se odbacuje kao nevalidna.

Potpisana elektronska dokumenta se razmenjuju u formi dokumenata u kojima su ugrađeni osnovni podaci o postupku, algoritmu i kvalifikovanom elektronskom certifikatu potpisnika, kako bi primalac elektronskog dokumenta mogao provjeriti kvalifikovani elektronski potpis na bazi usaglašene tehnologije i postupaka.4

Pravno reguliranje elektronskih potpisa

Potreba za zakonskim reguliranjem elektronskog dokumenta i potpisa prvo je uočena u američkoj poslovnoj praksi te su tamo zacrtani prvi obrisi budućeg zakona.Na europskom kontinentu praksa je slijedila zakonska rješenja, a sam razvoj elektronsketrgovine tekao je nešto sporije. Krajem 1990-ih na snazi su bili propisi koji su se međusobnoznatno razlikovali u pogledu definiranja elektronskih ili digitalnih potpisa, odnosno upogledu propisivanja tehnologije.

Zbog ekstrateritorijalne prirode elektronske trgovine neusklađenost nacionalnih zakona predstavljala je ozbiljnu kočnicu njenog razvoja.Prikladan način unificiranja propisa vezanih uz Internet su predlošci sastavljeni od strane međunarodno priznatih tijela poput UNCITRAL-a, OECD-a ili ICC-a. Iako članice nisu obavezne u cijelosti prihvatiti takve tekstove, oni vrlo često posluže kao model za izradu nacionalnih propisa.

Ključna je dilema oko reguliranja elektronskih potpisa bila treba li unaprijed odrediti tehnologiju ili ne, odnosno da li primijeniti tehnološki neutralan ili tehnološki određen pristup ('technology neutrality' versus 'technology dependence').


4 www.poslovniforum.hr

7

Problem se u praksi svodi na pitanje izbora između (a) propisivanja tehnologije digitalnog potpisa kao standarda sigurne elektroničke trgovine ili (b) postavljanja funkcionalnih uvjeta za priznavanje elektronskih dokumenata i potpisa; odnosno na odabir jednog od sljedeća tri pristupa: (1) svi elektronički potpisi imaju pravnu snagu; ili (2) priznaju se samo oni elektronski potpisi koji ispunjavaju određene sigurnosne zahtjeve; ili (3) jedino digitalnim potpisima priznaje se pravna snaga koju imaju ručni potpisi.

Kod prvih zakonskih rješenja prevladala je potreba određivanja dopuštene tehnologije, a obzirom na domete kriptografije radilo se o tehnologiji digitalnog potpisa pa u tim slučajevima imamo i "zakone o digitalnom potpisu"

Kasnije je prošireno područje potpisa kojima se daje zakonska snaga te se počinje koristiti pojam "elektronički potpis", a odabir tehnologije prepušta se tržištu. Tehnološki-neutralno zakonodavstvo daje isti pravni status elektronski potpisanim ispravama neovisno okorištenom obliku elektronskog potpisa, a zakonodavac određuje uvjete i funkcije koje potpis mora zadovoljiti da bi mogao biti pravno valjan.

Prednosti određivanja tehnologije ogledaju se u većoj pravnoj sigurnosti, ali je zato drugo rješenje mnogo fleksibilnije i duljeg vijeka obzirom na permanentno pojavljivanje novih tehnologija.

Njemačka je jedna od prvih zemalja koja je pokušala zakonski regulirati elektroničke potpise. Zakon o digitalnim potpisima5 zapravo je treći članak Federalnog zakona o informacijskim i telekomunikacijskim uslugama koji još sadrži odredbe o telekomunikacijskim uslugama6, zaštiti osobnih podataka i autorskim pravima.

Njemački SigG predviđao je isključivu upotrebu digitalnih potpisa zasnovanih na kriptografiji javnog ključa s posebno specificiranim tehničkim zahtjevima i sigurnosnim sustavom certifikatora (die Zertifizierungsstelle) odnosno trećih osoba koje bi čuvale tajne ključeve i izdavale certifikate.

Međutim,čak niti takvom digitalnom potpisu zakon u dokaznim postupcima nije bila danapravna snaga jednaka svojeučnom potpisu. Iako je namjera zakonodavca bila osigurati sigurnu infrastrukturu za korištenje elektroničkih potpisa, SigG je stvorio mnogo konfuzije, a strogi tehnički zahtjevi smatrani su nedostacima koji su u većoj mjeri doveli do zaostajanja Njemačke u području elektronske trgovine, nego što su nagradili njenu predvodničku ulogu.

Italijanski Zakon o digitalnim dokumentima od 10.novembra 1997.osigurao je pravno priznanje digitalnim dokumentima, potpisima, ugovorima i plaćanjima. I ovaj zakon propisivao je korištenje infrastrukture javnog ključa u skladu s detaljnim tehničkim pravilima o digitalnim potpisima iz aprila 1999.

U ostalim europskim zemljama zakoni su doneseni kasnije, a rješenja su se znatno razlikovala. Može se, međutim, uočiti postupno prevladavanje tehnološki neutralnog koncepta, pa tako na primjer francuski i britanski zakoni iz 2000. ne govore više o "digitalnim potpisima" već uvode upotrebu "elektronskih" dokumenata i potpisa.


5 Gesetz zur digitalen Signatur, (Bundesgesetzblatt I S. 1870, 1872 /1997), skraćeno: SigG.6 Gesetz zur Regelung der Rahmenbedingungen für Informations- und Kommunikationsdienste (Bundesgesetzblatt I S. 1870/1997), skraćeno IuKDG.

8

Europska unija donijela je 1999. Direktivu o elektroničkim potpisima7, a nekolikomjeseci poslije usvojena je i Direktiva o elektroničkoj trgovini.Direktivom EU o elektroničkim potpisima upostavlja se ujednačen pravni okvir za zemlje Europske unije u području elektroničkih potpisa i infrastrukture certifikatora.Elektroničkim potpisima priznata je pravna snaga neovisno o korištenoj tehnologiji pa se u tom smislu upotrebljava generički izraz "elektronički potpis" (electronic signature).

Uvodi se pojam "naprednih elektroničkih potpisa" (advanced electronic signatures) koji su zakonski potpuno izjednačeni s svojeručnim potpisima, a osim digitalnih potpisa obuhvaćaju i sve druge tehnologije koje mogu zadovoljiti propisanim uvjetima. Države članice EU trebale su do jula 2001. uskladiti svoje zakone s odredbama Dirketive EU o elektroničkim potpisima. Velik utjecaj te direktive vidljiv je i izvan granica Unije jer propisi zemalja kandidatkinja uglavnom prihvaćaju njen pristup.

U uvodnom dijelu Direktive EU o elektronskim potpisima iznosi se svrha i opći okvir te se predviđa njena revizija po proteku dvije godine od implementacije kako bi se spriječilo da tehnološke promjene postanu barijera ostvarivanju postavljenih ciljeva. Područje primjene Direktive nije ograničeno na trgovačko i ugovorno pravo pa postoji mogućnost za njenu primjenu u javnom sektoru i sudstvu.

Direktivom se uređuju pravni učinci elektroničkih potpisa i certifikata, osnivanje i rad davatelja usluga certificiranja te njihova odgovornost,a obuhvaćeno je i pitanje transparentnosti unutarnjeg tržišta usluga certificiranja i uvjeti priznavanja stranih (vanjskih) certifikata.Kao posljedica neusklađenih pristupa između zemalja koje su tražile različite razine zaštite pa sukladno tome i različite zahtjeve koji bi se postavljali pred elektronske potpise, u direktivi se javljaju dvije vrste elektroničkih potpisa.

Pod pojmom "obični" elektronski potpis(electronic signature) misli se na (bilo kakve) podatke u elektronskom obliku koji su priloženi ili logički povezani s drugim elektronskim podacima i služe kao metoda autentifikacije.

Napredni elektronski potpis (advanced electronic signature) funkcionalno se definira kao onaj elektronski potpis koji zadovoljava sljedeće uvjete: na jedinstven način povezan je s potpisnikom, identificira potpisnika, izrađen je sredstvima koja su pod isključivom kontrolom potpisnika, i povezan je s podacima na koje se odnosi na način koji omogućuje otkrivanje naknadnih promjena podataka. Na sličan način Direktiva EU o elektronskim potpisima razlikuje pojmove certifkata (certificate) i kvalificiranog certifikata (qualified certificate).

Certifikat je elektronska potvrda koja povezuje neku osobu s podacima za provjeru njenog potpisa te potvrđuje identitet te osobe, a kvalificirani certifikat može izdati samo davatelj usluga certificiranja koji ispunjava određene pretpostavke u pogledu tehničke opremljenosti, sigurnosnih i kontrolnih procedura te osposobljenosti zaposlenih.

Direktiva obvezuje države članice da elektronskim ispravama s naprednim elektronskim potpisom koji jamči identitet potpisnika i integritet podataka osiguraju jednake pravne učinke Kao svojeručno potpisanoj ispravi u "klasičnom" papirnom obliku.

7 Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Communityframework for electronic signatures, (OJ L 13, 2000.), skraćeno: Direktiva EU o elektroničkim potpisima

9


Osim toga, propisuje se da(običnom) elektronskom potpisu ne smije biti oduzeta pravna snaga i prihvatljivost u dokaznim postupcima samo zbog njegovog elektronskog oblika ili zato što nije utemeljen na kvalificiranom certifikatu i izrađen sigurnim sredstvom. Iz toga jasno slijedi da je funkcija izdavanja kvalificiranih certifikata slična onoj koju ima ovjera svojeručnog potpisa na papir da elektronski potpis ne može izgubiti pravni učinak ako nije praćen odgovarajućim certifikatom.

Razlikovanje elektronskog i naprednog elektronskog potpisa bitno je za pitanje odgovornosti davatelja usluge certificiranja za štetu koja nastane korisniku potpisa koji se opravdano pouzdaje u njegovu vjerodostojnost. Direktivom se od država članica izričito traži da osiguraju barem (as a minimum) postojanje odgovornosti izdavatelja kvalificiranog certifikata za štetu koja bi nastala fizičkoj ili pravnoj osobi, pod uvjetom da nije bilo razloga sumnjati u točnost i potpunost certifikata.

Predviđeno je da davatelj usluge izdavanja kvalificiranog certifikata odgovara: za točnost i potpunost podataka sadržanih u certifikatu s obzirom na trenutak njegovog izdavanja; da je u vrijeme izdavanja certifikata potpisnik posjedovao podatke za izradu potpisa (npr. Privatni ključ) koji odgovaraju podacima za provjeru potpisa navedenima u certifikatu (npr. javni ključ koji je komplementaran privat ključu u posjedu potpisnka); da podaci za izradu potpisa odgovaraju podacima za provjeru potpisa, ako je on sâm te podatke kreirao; te ako propusti registrirat promjene ili opoziv certifikata.

10

U navedenim slučajevima davatelj usluge certificiranja odgovara prema načelu presumirane krivnje i na njemu leži teret dokazivanja, a svoju odgovornost može ograničiti ako u certifikatu naznači (1) iznos do kojeg oštećeni može tražiti naknadu štete i/ili (2) maksimalnu vrijednost pojedinačne transakcije za koju se certifikat može koristiti.

Obzirom na propisane uvjete i visoke troškove, u Europi nije realno u skoroj budućnosti očekivati masovnu produkciju kvalificiranih certifikata na koje bi se primjenjivala spomenuta pravila o odgovornosti, a "nekvalificirani" certifikati podliježu općim pravilima za utvrđivanje odgovornosti za naknadu štete čija bi neograničenost i nepredvidivost mogla postati preprekom za širu upotrebu.

U pogledu uvjeta za osnivanje i rad davatelja usluga certificiranja Direktiva EU o elektronskim potpisima traži da države članice omoguće svakom zainteresiranom subjektu pružanje te usluge bez ograničenja njihovog broja, ali im je ostavljena mogućnost da propišu uvjete za osnivanje.

Do sada je to područje u Europi bilo regulirano različito – od posve bezuvjetnog osnivanja do propisivanja vrlo strogih uvjeta kojima treba udovoljiti prije početka rada. Direktiva potpuno priznaje strane certifikatore i certifikate samo ako postoji neki vid povezanosti s Unijom kao na primjer bilateralni ili multilateralni sporazum. 8

8 www.imo.hr/europa/publics11


ZAKON O ELEKTRONSKOM POTPISU

I. OPĆE ODREDBE

Članak 1.

Ovim se Zakonom uređuje pravo fizičkih i pravnih osoba na upotrebu elektronskog potpisa u upravnim, sudskim i drugim postupcima, poslovnim i drugim radnjama, te prava, obveze i odgovornosti fizičkih i pravnih osoba u svezi s davanjem usluga certificiranja elektronskog potpisa, ako posebnim zakonom nije drukčije određeno.

Značenje pojedinih izraza

Članak 2.

Pojedini izrazi koji se koriste u ovom Zakonu imaju sljedeće značenje:

1. Elektronski potpis – znači skup podataka u elektronskom obliku koji su pridruženi ili su logički povezani s drugim podacima u elektronskom obliku i koji služe za identifikaciju potpisnika i vjerodostojnosti potpisanoga elektronskog dokumenta,

2. Napredan elektronski potpis – znači elektronski potpis koji pouzdano jamči identitet potpisnika i koji udovoljava zahtjevima sadržanim u članku 4. ovoga Zakona,

3. Potpisnik – znači osobu koja posjeduje sredstvo za izradu elektronskog potpisa kojim se potpisuje, a koja djeluje u svoje ime ili u ime fizičke ili pravne osobe koju predstavlja,

4. Elektronski zapis – je cjelovit skup podataka koji su elektronski generirani, poslati, primljeni ili sačuvani na elektronskom, magnetnom, optičkom ili drugom mediju. Sadržaj elektronskog zapisa uključuje sve oblike pisanog i drugog teksta, podatke, slike i crteže, karte, zvuk, glazbu, govor, računalne baze podataka,

5. Podaci za izradu elektronskog potpisa – znače jedinstvene podatke, poput kodova ili privatnih kriptografskih ključeva, koje potpisnik koristi za izradu elektronskog potpisa,

6. Sredstvo za izradu elektronskog potpisa – znači odgovarajuću računarsku opremu ili računarski program koji potpisnik koristi pri izradi elektronskog potpisa,

7. Sredstvo za izradu naprednoga elektronskog potpisa – znači sredstvo za izradu potpisa koje udovoljava zahtjevima iz članka 9. ovoga Zakona,

8. Podaci za verificiranje elektronskog potpisa – znače podatke poput kodova ili javnih kriptografskih ključeva koji se koriste u svrhu verificiranja (ovjere) elektronskog potpisa,9


12


9. Sredstvo za verificiranje potpisa – znači odgovarajuću računarnu opremu ili računarni program koji se koristi za primjenu podataka za verificiranje potpisa,

10. Certifikat – znači potvrdu u elektronskom obliku koja povezuje podatke za verificiranje elektronskog potpisa s nekom osobom i potvrđuje identitet te osobe,

11. Kvalificirani certifikat – znači certifikat koji udovoljava zahtjevima iz članka 11. ovoga Zakona i kojeg izdaje davatelj usluga izdavanja kvalificiranog certifikata koji ispunjava uvjete iz članka 17. ovoga Zakona,

12. Davatelj usluga certificiranja – znači pravnu ili fizičku osobu koja izdaje certifikate ili daje druge usluge povezane s elektronskim potpisima,

13. Sredstvo za elektronički potpis – znači računarnu opremu ili računarni program ili njihove relevantne sastojke koji su namijenjeni za primjenu od strane davatelja usluga certificiranja za davanje usluga u vezi s elektronskim potpisima ili su namijenjeni za primjenu kod izrade ili verificiranja elektronskih potpisa.10

II. ELEKTRONSKI POTPIS I NAPREDAN ELEKTRONSKI POTPIS

Članak 3.

Elektronski potpis u smislu ovoga Zakona je skup podataka u elektronskom obliku koji služe za identifikaciju potpisnika i potvrdu vjerodostojnosti potpisanoga elektronskog zapisa.

Članak 4.

Napredan elektronski potpis je u smislu ovoga Zakona, elektronski potpis koji:

1. je povezan isključivo s potpisnikom,

2. nedvojbeno identificira potpisnika,

3. nastaje korištenjem sredstava kojima potpisnik može samostalno upravljati i koja su isključivo pod nadzorom potpisnika,

4. sadržava izravnu povezanost s podacima na koje se odnosi i to na način koji nedvojbeno omogućava uvid u bilo koju izmjenu izvornih podataka.


13


Članak 5.

Napredan elektronski potpis ima istu pravnu snagu i zamjenjuje svojeručni potpis, odnosno svojeručni potpis i otisak pečata ako je izrađen u skladu s odredbama ovoga Zakona, te ako su ispunjeni ostali uvjeti propisani ovim Zakonom i propisima koji su donijeti na temelju ovoga Zakona.

Članak 6.

Ne može se odbiti prihvaćanje dokumenta samo zbog toga što je sačinjen i izdan u elektronskom obliku s elektronskim potpisom ili naprednim elektronskim potpisom.

Iznimno, stavak 1. ovoga članka ne odnosi se na:

1. pravne poslove kojima se vrši prijenos vlasništva na nekretninama ili se uspostavljaju druga stvarna prava na nekretninama,

2. oporučne poslove,

3. imovinske predbračne, odnosno bračne ugovore,

4. opterećenje i otuđenje imovine za koje je potrebno odobrenje centra za socijalnu skrb,

5. ugovore o predaji i raspolaganju s imovinom za života,

6. ugovore o doživotnom uzdržavanju i sporazume u svezi s nasljeđivanjem,

7. darovne ugovore,

8. druge pravne poslove za koje je posebnim zakonom propisano da se sastavljaju u obliku javnobilježničkog akta, odnosno isprave,

9. druge pravne poslove ili radnje za koje je posebnim zakonom ili na temelju zakona donesenim propisom izričito određena uporaba svojeručnog potpisa u dokumentima na papiru ili ovjera svojeručnog potpisa.11


14


Članak 7.

Odredbe iz članka 6. stavka 1. ovoga Zakona vrijede samo u slučajevima kada su zaštita elektronskog potpisa i naprednoga elektronskog potpisa te provjera identiteta potpisnika provedeni pomoću postojeće tehnologije od strane potpisnika ili davatelja usluga certificiranja.Ministar gospodarstva propisat će pravilnikom koje se mjere zaštite elektronskog potpisa i naprednoga elektronskog potpisa te mjere provjere identiteta potpisnika moraju poduzeti prema stavku 1. ovoga članka.

Članak 8.

Elektronski potpis izrađuje se sredstvima za izradu elektronskog potpisa.Napredan elektronski potpis izrađuje se sredstvima za izradu naprednoga elektronskog potpisa.

Članak 9.

Sredstvo za izradu naprednoga elektronskog potpisa mora osigurati:

1. da se podaci za izradu naprednoga elektronskog potpisa mogu pojaviti samo jednom te da je ostvarena njihova sigurnost,

2. da se podaci za izradu naprednoga elektronskog potpisa ne mogu ponoviti te da je potpis zaštićen od krivotvorenja pri korištenju postojeće raspoložive tehnologije,

3. da podatke za izradu naprednoga elektronskog potpisa potpisnik može pouzdano zaštititi protiv korištenja od strane drugih.

Sredstvo za izradu naprednoga elektronskog potpisa ne smije prilikom izrade naprednoga elektronskog potpisa promijeniti podatke koji se potpisuju ili onemogućiti potpisniku uvid u te podatke prije procesa izrade naprednoga elektronskog potpisa.

III. CERTIFIKATI I DAVANJE USLUGA CERTIFICIRANJA

Članak 10.

Certifikat je, u smislu ovoga Zakona, svaka elektronska potvrda kojom se potvrđuje identitet potpisnika u postupcima razmjene elektronskih zapisa.

Članak 11.

Kvalificirani certifikat je, u smislu ovoga Zakona, svaka elektronska potvrda kojom davatelj usluga izdavanja kvalificiranih certifikata potvrđuje napredni elektronski potpis.12


15

http://www.poslovniforum.hr/zakoni/pravilnik_o_ep_01.asp


Kvalificirani certifikat iz stavka 1. ovoga članka mora sadržavati:

1. oznaku o tome da se radi o kvalificiranom certifikatu,

2. identifikacijski skup podataka o osobi koja izdaje certifikat (osobno ime; ime oca ili majke; nadimak, ako ga osoba ima; datum rođenja; prebivalište, odnosno boravište; naziv pravne osobe i sjedište, ako certifikat izdaje pravna osoba),

3. identifikacijski skup podataka o potpisniku (osobno ime, ime oca ili majke, nadimak, ako ga osoba ima, datum rođenja, prebivalište, odnosno boravište).

4. podatke za verificiranje elektroničkog potpisa koji odgovaraju podacima za izradu elektronskog potpisa koji su pod kontrolom potpisnika,

5. podatke o početku i kraju važenja certifikata,

6. identifikacijsku oznaku izdanog certifikata (brojčanu ili drugu oznaku, te datum izdavanja),

7. napredni elektronski potpis davatelja usluge izdavanja kvalificiranih certifikata,

8. ograničenja vezana za uporabu certifikata, ako ih ima,

9. ograničenja na vrijednost poslovnih događaja za koje se daje certifikat, ako ih ima.

Davatelj usluga izdavanja kvalificiranih certifikata dužan je osigurati rizik od odgovornosti za štete koje nastanu obavljanjem usluga certificiranja (obvezno osiguranje).

Članak 12.

Davatelj usluga certificiranja može obavljati usluge certificiranja ako ima:

1. osiguranu organizaciju rada koja jamči kvalitetu izvođenja usluge certificiranja,2. financijska i materijalna sredstva koja su dostatna za trajnije izvođenje usluge certificiranja i pokrivanje mogućih šteta, naknade na ime osiguranja i slično,

3. osoblje koje je kvalificirano za izvršavanje odgovarajućih stručno-tehničkih poslova davatelja usluga certificirnja, vođenja registra potpisnika i zaštite osobnih podataka,4. tehničku i programsku osnovicu koja podržava međunarodne standarde za provedbu usluge certificiranja,

5. sustav fizičke zaštite uređaja, opreme i podataka,6. sigurnosna rješenja zaštite od neovlaštenog pristupa i oštećenja informacija.13


16


Članak 13.

Davatelji usluga certificiranja ne trebaju posebnu dozvolu za obavljanje usluga.

Članak 14.

Ministarstvo gospodarstva (u daljnjem tekstu: Ministarstvo) nadležno je za vođenje evidencije o davateljima usluga certificiranja.

Članak 15.

Davatelj usluge certificiranja mora prijaviti Ministarstvu početak obavljanja usluga certificiranja najmanje osam dana prije početka rada.

Uz prijavu iz stavka 1. ovoga članka ili u slučajevima promjena u obavljanju usluge, davatelj usluge certificiranja mora dostaviti Ministarstvu dokumentaciju o internim pravilima poslovanja u svezi s izradom i ovjerom elektroničkih potpisa te o unutarnjoj organizaciji, kao i dokumentaciju kojom dokazuje ispunjavanje uvjeta iz članka 12. ovoga Zakona.

Članak 16.

Ministarstvo upisuje davatelje usluga certificiranja u Evidenciju davatelja usluga certificiranja u Republici Hrvatskoj (u daljnjem tekstu: evidencija), odmah nakon što davatelj usluge certificiranja podnese prijavu kojom obavještava Ministarstvo o početku obavljanja usluga.Upis u evidenciju ne podliježe vođenju upravnog postupka.Ministar gospodarstva propisat će pravilnikom sadržaj evidencije, način vođenja evidencije, kao i obrasce prijave za upis u evidenciju te prijave za upis promjena.

Članak 17.

Davatelj usluga izdavanja kvalificiranih certifikata mora ispunjavati uz uvjete sadržane u članku 12. ovoga Zakona i sljedeće uvjete:

1. dokazanu sposobnost sigurne provedbe usluga certificiranja,

2. osigurane uvjete djelovanja sigurnog i ažurnog registra potpisnika te provedbu sigurnog i trenutačnog prekida, odnosno opoziva usluge certificiranja na zahtjev potpisnika,

3. osigurano točno utvrđivanje datuma i vremena (sata i minute) izdavanja ili opoziva certifikata,

4. osiguranu provjeru, na odgovarajući način i u skladu s propisima, identiteta i, ako je potrebno, bilo koja dodatna obilježja osobe za koju se izdaje certifikat,14


17



5. zaposleno osoblje specijalističkog znanja i iskustva potrebnog za pružanje usluga certificiranja, posebice sa sposobnostima na upravljačkoj razini, stručnosti u primjeni tehnologija elektronskog potpisa i odgovarajućih sigurnosnih procedura, te osiguranu primjenu odgovarajućih administrativnih i upravljačkih postupaka koji odgovaraju priznatim standardima,

6. pouzdane sustave i proizvode koji su zaštićeni od preinaka i osiguravaju tehničku i kriptografsku sigurnost procesa,

7. pouzdane mjere protiv krivotvorenja, te u slučajevima u kojima generira podatke elektronskog potpisa, zaštićen i povjerljiv proces generiranja takovih podataka,8. dostatne financijske resurse za rad u suglasju sa zahtjevima postavljenim za djelovanje financijskih institucija, posebno rizicima iz odgovornosti za štete (prikladnim osiguranjem za štete),

9. sustav pohrane relevantnih informacija koje se odnose na kvalificirane certifikate za određeno vrijeme, posebno za pružanje evidencije certifikata za potrebe određenih postupaka,

10. sigurnosni sustav koji onemogućuje pohranjivanje i kopiranje podataka za izradu potpisa za osobe u ime kojih se pruža usluga certificiranja,

11. sustav informiranja osoba koje traže uslugu certificiranja o točnim uvjetima korištenja usluga, uključujući bilo koja ograničenja u korištenju kao i postupaka za rješavanje pritužbi i žalbi. Takove informacije, koje mogu biti dostavljene elektronički, moraju biti napisane i pripremljene u razumljivom obliku na hrvatskom jeziku i latiničnom pismu. Relevantni dijelovi tih informacija moraju također biti raspoloživi na zahtjev trećih osoba koje koriste certifikat,

12. pouzdani sustav pohranjivanja certifikata u obliku koji omogućuje provjeru kako bi:

a. unos i promjene radile samo ovlaštene osobe,

b. informacije mogle biti provjerene za autentifikaciju,

c. certifikat bio javno raspoloživ za pretraživanje samo u onim slučajevima za koje je registrirani potpisnik dobio ovlaštenja,

d. bilo koja tehnička promjena koja bi mogla narušiti sigurnosne zahtjeve bila poznata davatelju usluge certificiranja.15


18


Članak 18.

Davatelj usluga izdavanja kvalificiranih certifikata obavlja usluge na temelju dozvole koju izdaje Ministarstvo, na zahtjev davatelja usluge.Dozvola za izdavanje kvalificiranih certifikata (u daljnjem tekstu: dozvola) ima značenje rješenja izdanog u upravnom postupku.Dozvola se izdaje u roku od 15 dana od dana podnošenja urednog zahtjeva.U upravnom postupku za izdavanje dozvole u pitanjima koja nisu uređena ovim zakonom primjenjuju se odredbe Zakona o općem upravnom postupku.

Članak 19.

Davatelji usluga izdavanja kvalificiranih certifikata kojima je izdana dozvola upisuju se u Registar davatelja usluga izdavanja kvalificiranih certifikata (u daljnjem tekstu: registar), koji vodi Ministarstvo.Dozvola mora sadržavati registarski broj pod kojim je davatelj usluge upisan u registar i datum upisa u registar.Davatelj usluge izdavanja kvalificiranih certifikata može započeti s obavljanjem usluge danom upisa u registar.Ministar gospodarstva propisat će pravilnikom sadržaj i način vođenja registra, kao i obrasce zahtjeva za izdavanje dozvole, s naznakom potrebnih priloga zahtjevu.

Članak 20.

Usluge certificiranja može obavljati i tijelo državne uprave, ako ispunjava sve uvjete propisane ovim Zakonom i propisima donesenim na temelju ovoga Zakona.

Članak 21.

Davatelji usluga certificiranja koji su upisani u registar davatelja usluga izdavanja kvalificiranih certifikata mogu tu činjenicu naznačiti u izdanim kvalificiranim certifikatima.

Članak 22.

Registar davatelja usluga izdavanja kvalificiranih certifikata i evidencija davatelja usluga certificiranja su javni i vode se u elektronskom obliku.16

IV. PRAVA, OBVEZE I ODGOVORNOSTI POTPISNIKA I DAVATELJA USLUGA CERTIFICIRANJA

V. NADZOR

VI. KAZNENE ODREDBE


19


Zaključak

Za uspješno uključivanje u savremene komunikacijske tokove važno je na vrijeme prepoznati zahtjeve elektronske trgovine, pravno i tehnički ih urediti, te poticati njihovu primjenu u praksi. UNCITRAL, SAD i Europska unija stvorili su snažnu pravnu osnovu zaizgradnju sigurnog okruženja za unapređenje elektronske trgovine.

Donošenjem Zakona o elektronskom potpisu i popratnih provedbenih propisa je započela izgradnju tog dijela pravnog sustava, a nužno je još zakonski regulirati elektronsko poslovanje odnosno elektronsku trgovinu. Naš je zakon izrađen po uzoru na Direktivu EU o elektronskim potpisima pa su na taj su način osigurani minimalni preduvjeti za priključenje suvremenim tokovima međunarodne razmjene, te je istovremeno zakonodavstvo jednim dijelom usklađeno sa zahtjevima Europske unije.

Elektronski potpis je time postao ravnopravan sa svojeručnim potpisom,tj. zadovoljavao je sve kriterije i izvršavao sve funkcije tako da je domument potpisan ovim potpisom postao sve više zastupljen u međunarodnoj komunikaciji tokova .

Poslove vođenje registra certifikata ministarstvo privrede je u decembru 2002.godine povjerilo Financijskoj agenciji (FINA), ali taj dio sustava još nije zaživio u praksi. Za pretpostaviti je da će s vremenom elektronski potpisi naći svoju primjenu u državnoj upravi(e-government) i sudstvu, unatoč njihovoj lošoj infrastrukturnoj opremljenosti.

Najvažnija će svakako biti primjena ZEP-a u privredi za kojeg je elektronski potpis jedna od pretpostavki priključivanja svjetskim tokovima, a financijski sektor je već pokazao da imadobre preduvjete za pružanje takvih usluga.

Nesporno je da je sigurna i efikasna elektronička trgovina nezamjenjiva u savremenoj tehnološki pokretanoj ekonomiji. Međutim, budućnost elektroničkih potpisa nećeovisiti samo o zakonodavnom uređenju, već i o raširenosti popratne tehnologije, pa je u cilju uravnoteženog i održivog razvoja važno poticati njihovu dostupnost svim sferama društva.

I pored svega elektronski potpis ima svijetlu budućnost jer je postao gotovo ne zamjenjiv u međunarodnoj komunikaciji tokova i sve više prodire u sve sfere društva pružajući mogućnost ljudima da lakše obavljaju pojedine radnje.

20

seminar ski rad iz prava

Documents