Zakon o elektronskom potpisu u Bosni i Hercegovini

(Predmet Z
akona)
Ovim Zakonom uređuju se osnove formiranja i upot rebe elektronskog potpisa i
pružanja usluga u vezi s elektronskim potpisom i ovjeravanjem.

(Primjena pojedinih odredbi)
(1) Odredbe ovog
Zakona primjenjuju se u zatvorenim sistemi ma, koji su u
potpunosti uređeni ugovorima između poznatog broja ugovornih strana, ako je njihova
primjena ugovorena.
(2) Odredbe ovog Zakona primjenjuju se u otvorenoj elektronskoj komunikaciji sa
sudom
i drugim institucijama, ako posebnim zakonom nije drugačije određeno.

(Definicij
e)
Pojedini izrazi upotrijebljeni u ovom Zakonu znače:
a) elektronski potpis su podaci u elektronskom obliku koji prate druge podatke u
elektronskom
obliku ili su s njima logi čki povezani i omogu ćavaju utvr đivanje
identiteta potpisnika;
b) potpisnik je fizi čk o lice kojem su dodijeljeni podaci za formiranje potpisa i
odgovarajući podaci za provjeru potpisa i ko jem je, u njegovo ili u ime tre ćeg lica,
formiran elektronski potpis, ili ovjerilac koj i koristi potvrdu za pružanje usluga u vezi
s elektronskim potpisom ili ovjeravanjem;
c) siguran elektronski potpis je elektronski potpis koji je:
1) dodijeljen isključivo potpisniku,
2) omogućava identificiranje potpisnika,
3) formiran upotrebom sredstava koja su u potpunosti pod kontrolom potpisnika,
4)
povezan s podacima na koje se odnosi ta ko da se može utvrditi svaka naknadna
prom
jena tih podataka,
5) zasnovan na kvalificiranoj potvrdi i formir an upotrebom tehni čkih sredstava i
postupaka koji su u skladu sa sigurnosn im zahtjevima ovog Zakona i na osnovu njega
donesenih podzakonskih propisa;
d) podaci za formiranje potpisa su jedinstveni podaci kao što su šifre ili posebni
šif
rirani ključevi koje potpisnik koristi za formiranje elektronskog potpisa;
e) sredstva za formiranje potpisa su software il i hardware koji se koristi za obradu
podataka za formiranje potpisa;
f) podaci za provjeru potpisa su jedinstveni podaci kao što su šifr e ili posebni
šifrirani ključevi koji se koriste za provjeru elektronskog potpisa;
g) sredstva za provjeru potpisa su software ili hardware koji se koristi za provjeru
elektronskog potpisa;
h) potvrda je elektronska potvrda, s podaci ma za provjeru potpisa koji su
dodije
ljeni određenom licu čiji je identitet utvrđen;
i) kvalificirana potvrda je potvrda koja sadrži podatke iz člana 6. ovog Zakona i
koju je izdao ovjerilac koji zadovoljava odredbe člana 8. ovog Zakona;
j) ovjerilac je fizi čko ili pravno lice koje izdaje potvrde ili vremenski pe čat ili
obavlja druge usluge u vezi s elektronskim potpisom i ovjeravanjem;
k) usluge u vezi s elektronskim potpisom i ovjeravanjem su stavljanje na
raspolaganje proizvoda i postupaka povezan ih s elektronskim potpisom, izdavanje,
obnavljanje i upravljanje potvrdama, regist ar potvrda, pružanje usluga opoziva,
vremenskog peč ata, kao i ra čunarske i savjetodavne usluge u vezi s elektronskim
potpisom;
l) vremenski pečat je elektronski potpisana potvrda ovjerioca koja potvr đuje da su
odre
đeni podaci bili prisutni u elektronskom dokumentu, u određenom momentu;
m) proizvod je software ili hardware čije s e specifi čne komponente koriste za
formiranje ili provjeru elektronskog potpi sa ili koje ovjerilac koristi za pružanje
usluga u vezi s elektronskim potpisom i potvrdama;
n) kompromitiranje je narušavanje sigurnosnih mj era ili sigurnosne tehnike, pri
kojem ovjerilac ne može zadržati osnovni zahtijevani nivo sigurnosti.

POGLAVLJE II. PRAVNO DJELOVANJE ELEKTRONSKOG POTPISA

(Opće pravno djelovanje elektronskog potpisa)
(1) U pravnom i poslovnom prometu mogu se koristiti elektronski potpisi formirani
postupcim
a različitih nivoa sigurnosti i zasnovani na potvrdama različitih klasa.
(2) Pravno djelovanje elektronsk og potpisa i njegova upotreba kao dokaznog
sredstva ne može se isklju čiti zbog činjen
ice da je elektronski potpis dostupan jedino
u elektronskoj formi ili zbog toga što nije zasnovan na kvalificiranoj potvrdi, ili
kvalificiranoj potvrdi akreditiranog ovjerioca, ili zbog toga što nije formiran
upotrebom tehničkih sredstava i postupaka iz člana 14. ovog Zakona.

(Posebno pravno djelovanje elektronskog potpisa)
(1) Siguran elektronski
potpis zadovoljava pravne zahtjeve za svoj eručni potpis i
naročito pisanu formu, ako posebnim zakonom ili sporazumom ugovornih strana nije
drugačije određeno.
(2) Siguran elektronski potpis nema pravno djelovanje pisane forme kod:
a) pravnih poslova iz oblasti porodi čnog i nasljednog prava koji zahtijevaju pisanu
fo
rmu ili ispunjavanje strožijih zahtjeva forme,
b) drugih izjava volje ili pravnih poslova za čije se važenje zahtijeva služben a
ovjera, sudska ili notarska provjera autentičnosti ili notarska isprava,
c) izjava volje, pravnih poslova ili podnesaka koji zahtijevaju službenu ovjeru,
sudsku ili notarsku provjeru autenti čnosti ili notarsku ispravu, radi unosa u zemljišne
knjige, ili drugi službeni registar,
d) izjava garancija koje su izda la lica iz oblasti svog zanatskog, poslovnog ili
stručnog svojstva.
(3) Pretpostavka autentičnosti sadržaja potpisane priv
atne isprave, u sm islu odredbi
pozitivnih propisa kojima se ure đuje, primjenjuje se i na elektronski dokument na
kojem je ostvaren siguran elektronski potpis.
(4) Smatra se da pravno djelovanje sigurnog elektronskog potpisa iz st.(1) i (3) ovog
člana nije na
stalo ako se dokaže da nisu bili zadovoljeni sigurnosni zahtjevi iz ovog
Zakona i na osnovu njega donesenih podzakonskih propisa, ili da su mjere, preduzete
s ciljem da se zadovolje, bile kompromitirane.

(Kvalificirana potvrda)
(1) Kvalificirana potvrda mora sadržava ti najmanje sljedeće podatke:
a) oznaku da se radi o kvalificiranoj potvrdi,
b) ime ili firmu, i naziv države prebivališta ili sjedišta ovjer ioca,
c) ime, odnosno pseudonim potpisnika, uz obavezno nazna čavanje da se radi o
pseudonim
u,
d) dodatne podatke o potpisniku, koji su propisani za namjenu za koju se potvrda
upotreb
ljava, a koji ne smiju biti u suprotnosti s namjenom upotrebe pseudonima,
e) podatke za provjeru potpisa koji odgova raju podacima za form iranje potpisa koji
su pod kontrolom potpisnika,
f) podatke o početku i prestanku važenja potvrde,
g) jedinstvenu oznaku potvrde,
h) ograničenja u vezi s upotrebom potvrde, ako ih ima,
i) ograničenja u pogledu vrijednosti transakcija za koje se potvrda m
ože upotrijebiti,
ako ih ima.
(2) Na zahtjev lica koje traži potvrdu, u kvalificiranoj potvrdi mogu se navesti druge
važne pravne inform
acije.
(3) Kvalificirana potvrda mora biti pot pisana elektronskim potpisom ovjerioca koji
je u skladu s odredbam
a člana 3. tačka c) alineja 1) do 4) ovog Zakona.

POGLAVLJE III. OVJERIOCI

(Obavljanj
e djelatnosti)
(1) Za početak rada i pružanje usluga u vezi s elektronskim potpisom i ovjeravanjem
ovjeriocu nije potrebna posebna dozvola.
(2) Ovjerilac je dužan, bez odlaganja, obavijestiti nadzorni organ o po četku r ada.
Ovjerilac je dužan dostaviti interna pravil a o pružanju usluga i sigurnosni koncept za
svaku uslugu u vezi s elektronskim potpi som i ovjeravanjem koju pruža, prilikom
početka rada, kao i prilikom bilo koje promjene u vezi s pružanjem usluga.
(3) Ovjerilac koji koristi postupke za siguran elektronski potpis dužan je u
sigurnosnom konceptu utvrditi na koji ć e na
čin zadovoljiti sigurnosne zahtjeve
propisane ovim zakonom i na osnovu ovog Zakona donesenim podzakonskim
propisima.
(4) Ovjerilac je dužan ispunjavati zahtjeve iz svojih internih pravila o pružanju
usluga i sigurnosnog koncepta, prilikom po četka, kao i sve vrijeme
obavljanja
djelatnosti.
(5) Ovjerilac je dužan, bez odlagan ja, obavijestiti nadzorni organ o svim
okolnostima koje ga spre čavaju ili mu onemogu ćavaju obavljanje djelatnosti u skladu
s internim pravilima o pružanju usluga i sigurnosnim konceptom.
(6) Ovjerilac koji izdaje potvrde dužan je u sigurnosnom konceptu opisati u kojoj
form
i se vodi registar potvrda.
(7) Ovjerilac može koristiti potvrde koj e je sam izdao samo ako je to neophodno za
pružanje usluga u vezi s elektronskim potpisom i ovjeravanjem
.

(Ovjerioc
i koji izdaju kvalificirane potvrde)
(1) Ovjerilac koji izdaje kvalificirane potvrde dužan je:
a) demonstrirati pouzdanost koja se zahtijeva za pružanje usluga u vezi s
elektronskim potpisom i ovjeravanjem,
b)
voditi brz i siguran registar potvrda i osigurati pružanje neodgodive i sigurne
usluge opoziva,
c) za kvalificirane potv rde, kao i za registar potvrda i pružanje usluga opoziva,
koristiti podatak o vremenu koji je nesu mnjivo kvalitetan (npr. siguran vremenski

pečat) i osigurati za sve slu čajeve da se datum i vrijeme izdavanja ili opoziva potvrde
mogu tačno utvrditi,
d) pouzdano provjeriti identitet i, gdj e je to primjenjivo, bilo koja druga zna čajna
pravna obilježja lica koje traži potvrdu,
e) zapošljavati pouzdana lica, koja za pružanje usluga imaju potrebna specijalistička
znanja, iskustvo i stručne kvalif
ikacije i naročito upravljačke sposobnosti i poznavanje
tehnologije elektronskog potpisa i odgovarajućih sigurnosnih postupaka, i primjenjuju
administrativne i upravljačke postupke i propise, u skladu s važećim pravilima struke,
f) imati finansijsku sposobnost za obav ljanje djelatnosti u skladu s ovim zakonom i
na osnovu njega donesenim podzakonskim
propisima, i za pokri će eventualnih
zahtjeva za naknadu štete,
g) evidentirati sve okolnosti i činjenice zna čajne za kvalificirane potvrde, tokom
vrem
ena njihove primjene, tako da se ovjeravanje može dokazati, naro čito u sudskom
postupku, te čuvati ove podatke trajno i u elektronskom obliku,
h) preduzeti odgovaraju će mjere, tako da ov jerilac ili tre ća lica ne mogu čuvati ili
kopirati podatke za formiranje potpisa.
(2) Ovjerilac koji izdaje kvalificirane potvrde je, za pružanje usluga u vezi s
elektronskim potpisom i ovjeravanjem, kao i z a
formiranje i čuvanje potvrda, dužan
koristiti pouzdane sisteme, proi zvode i postupke koji su tehni čki zaštićeni od izmjena
i koji pružaju tehni čku i kriptografsku sigurnost. Dužan je, tako đer, preduzeti

odgovarajuće mjere kojima se osigurava tajnost poda taka za formiranje potpisa, da se
podaci za kvalificirane potvrde ne mogu neopaženo iskonstruirati ili falsificirati, i da
su ove potvrde, samo uz pristanak potpisnika, dostupne javnosti. Za generiranje i
čuvanje podataka za formiranje potpisa i za formiranje i čuvanje kvalificiranih
potvrda ovjerilac je dužan koristiti tehni čka sredstva i postupke koji zadovoljavaju
odredbe člana 14. ovog Zakona.
(3) Podaci za formiranje potpisa ovjerioca moraju biti o sigurani od neovlaštenog
pristupa.
(4) Ako ovjerilac koristi postupke za sigura n elektronski potpis, u potvrdi, kao i u
elektronskom registru potvrda, koji je ge neralno stalno dostupan upotrebom
sredstava
informacionih i komunikacionih tehnologija, mora se navesti da se radi o sigurnom
elektronskom potpisu.
(5) Na zahtjev suda ili druge institucije, ovjerilac je dužan provjeriti siguran
elektronski potpis zasnovan na kvalificiranoj potvrdi.

(Izd
avanje kvalificiranih potvrda)
(1) Ovjerilac je dužan, pomo ću zvani čnog identifikacionog dokumenta s
fotografijom za fizi
čka lica, ili uredno ovjerenim dokumentima za pravno lice,
pouzdano utvrditi identitet i druge potrebne podatke lica koje traži kvalificiranu
potvrdu.
(2) Zahtjev za kvalificiranu potvr du može biti podnesen pravnom licu koje ovlas ti
ovjerilac. Ovo pravno lice dužno je provjeri ti identitet lica koj e traži kvalificiranu
potvrdu.
(3) Ovjerilac je dužan, u skladu s internim pravilima o pružanju usluga, navesti u
kvalificirano
j potvrdi podatke o ovlaštenju za zastupanje ili druge važne pravne
informacije, ako se to zahtijeva, i ako li ce koje traži kvalificiranu potvrdu dokaže te
podatke ovjeriocu ili pravnom licu iz stava (2) ovog člana.
(4) Na zahtjev lica koje traži potvrdu, ovjer ilac može u pot vrdi, u skladu s internim
pravilima o pružanju usluga, navesti pseudonim umjesto imena potpisnika. Pseudonim
ne smije biti uvredljiv ili očigledno zbunjujući u vezi s imenom ili potpisom.

(Opozi
v potvrde)
(1) Ovjerilac je dužan, bez odlaganja, opozvati potvrdu ako:
a) opoziv potvrde zahtijeva potpisnik ili u potvrdi imenovani ovlaštenik,
b)
sazna da je potpisnik izgubio posl ovnu sposobnost, umro, ili je prestao postojati
ili da su se pr
omijenile činjenice potvrđene u potvrdi,
c) je potvrda izdata na osnovu netačnih podataka,
d) prestane obavljati djelatnost, a regi star potvrda i pružanje usluga opoziva nije
preuzeo dru
gi ovjerilac,
e) opoziv naredi nadzorni organ,
f) postoji opasnost od zloupotrebe potvrde.
(2) Ako se činjenice na koje se odnosi stav (1) ovog člana ne mogu odmah
nesum
njivo utvrditi, ovjerilac je dužan, bez odlaganja, suspendirati potvrdu.
(3) Suspenzija i opoziv moraju sadr žavati datum i vrijeme od kada proizvode
djelovan
je. Ako je postupak opoziva ili suspen zije proveden, djelovanje proizvode od
momenta kad se unesu u registar potvr da. Opoziv i suspenzija s povratnim
djelovanjem nisu dozvoljeni. Ovjerilac je dužan, bez odlaganja, obavijestiti potpisnika
o suspenziji ili opozivu.
(4) Nadzorni organ dužan je, bez odlaganja, opozvati potvrde ako:
a) ovjerilac prestane obavljati djelatnost, a njegov registar potvrda i pružanje usluga
opoziva nije preuzeo drugi ovjerilac ili
b) je ovjeriocu
zabranjeno obavljanj e djelatnosti, a njegov registar potvrda i
pružanje usluga opoziva nije preuzeo drugi ovjerilac.

(Vremensk
i pečat)
(1) Ako ovjerilac pruža usluge vremenskog pe čata, dužan je u svojim internim
pravilima o pružanju usluga i sigur nosnom konceptu utvrditi na koji na čin će
zadovoljiti zahtjeve za pružanje usluge utvr đene ovim zakonom i na osnovu njega
donesenim podzakonskim propisima.
(2) Za pružanje usluga sigurnog vremenskog pe čata, ovjerila c mora koristiti
tehnička sredstva i postupke koji osigur avaju da je navedeno vrijeme ta čno i
autentično, i koji su u skladu s odredbama člana 14. ovog Zakona.

(Dokumentacija)
(1) Ovjerilac je
dužan dokumentirati si gurnosne mjere koje je preduzeo u skladu s
odredbam
a ovog Zakona i na osnovu njega donesenih podzakonski h propisa, kao i
izdavanje, suspenziju i opoziv potvrda. Pod aci i njihova vjerodosto jnost te trenutak
njihovog upisivanja u sistem protokola moraju biti uvijek dostupni provjeri.
(2) Ovjerilac je dužan dostaviti dokumentaciju iz stava (1) ovog člana na zahtjev
suda ili drugog organa vlasti.

(Prestanak obavljanja djelatnosti)
(1) Ovjerilac je dužan, bez odlaganja , obavijestiti nadzorni organ o prestanku
obavljanja djelatnosti. Ovjerilac je tako đer dužan, u trenutku prestanka obavljanja
djelatnosti, opozvati važe će potvrd
e, ili osigurati da najmanje registar potvrda, i
pružanje usluga opoziva, preuzme drugi ovjerilac.
(2) Ovjerilac je dužan, bez odlaganja, obavijestiti potpisnike o prestanku obavljanja
djelatnosti i opozivu, ili preuzimanju.
(3) Ovjerilac
je dužan osigurati da se usluga opoziva pru ža i ako su potvrde
opozvane. Ako ovjerilac ne osigura pružanje usluge opoziva, pružanje usluge opoziva,
na teret ovjerioca, osigurat će nadzorni organ.

POGLAVLJE IV. TEHNIČKI SIGURNOSNI ZAHTJEVI

(Tehnička sredstva i postupci za siguran elektronski potpis)
(1) Za generiranje i čuvanje podataka za f ormiranje potpisa te za formiranje
sigurnog elektronskog potpisa moraju se koristiti tehnič ka sredstva koja omogućavaju
pouzdano otkrivanje falsificiranja potpisanih podataka i pouzdano spre čavaju
neovlašteno korišćenje postupaka formiranja podataka za elektronski potpis.
(2) Tehnička sredstva i postupci koji se koris te za formiranje sigurnog elektronskog
potpisa m
oraju osigurati da podaci koji se potpisuju nisu promijenjeni i da podaci koji
se potpisuju budu prikazani potpisniku prije potpisivanja; podaci za formiranje
potpisa moraju biti osigurani, tako da se ne mogu izvesti, vjerovatno ća da će se
pojaviti samo jednom mora biti blizu sigur nosti, a njihova pouzdanost mora biti
zagarantirana.
(3) Za formiranje i čuvanje kvalificir anih potvrda moraju se koristiti tehni čka
sredstva i postupci koji sprečavaju konstruiranje i falsificiranje potvrda.
(4) Tehnička sredstva i postupci koji se kori ste za provjeru sigurno potpisanih
podataka moraju osigurati da:
a) potpisani podaci nisu prom
ijenjeni,
b) elektronski potpis mora biti pouzdano provjeren i rezultati provjere korektno
prikazani licu koje radi provjeru,
c) lice koje radi provjeru može utvr diti podatake na koje se elektronski potpis
odnosi,
d) lice koje radi provjeru može pouzdano utvrditi potpisnika čiji je elektronski
potpis ostvaren, i da u slu čaju upotrebe pseudonima, njegova upotreba uvijek bude
naznačena,
e) svaka promjena, koja, na bilo koji na čin, utiče na sigurnost potpisanih podataka
bude vidljiva.
(5) Tehnička sredstva i postupci za formiranje sigurnog elektronskog potpisa m oraju
se, zavisno od stanja te hnike, sveobuhvatno i redovn o provjeravati. Njihovo
zadovoljavanje sigurnosnih zahtjeva ovog Zakona i na osnovu njega donesenih
podzakonskih propisa mora pot vrditi posebno tijelo (č lan 15.). Potvrde o
zadovoljavanju sigurnosnih zahtjeva, koje su izdala tijela država članica Evropske
unije ili članica Evropskog ekonomskog prostora iz člana 3. stav 4. Direktive 1999/93
EZ Evropskog parlamenta i Vije ća od 13. decembra 1999. o okviru Zajednice za
elektronski potpis (Sl. list Evropskih zajednica, br. L 13 od 19. januara 2000., str. 12),
prihvataju se kao i potvrde tijela iz člana 15. ovog Zakona.
(6) Tehnička sredstva i postupci koje, na osnovu člana 3. stav 5. Direktive 1999/93
EZ Evropskog parlamenta i Vije ća od 13. dece
mbra 1999. o okviru Zajednice za
elektronski potpis, utvrdi Evropska komisija zadovoljavaju sigurnosne zahtjeve ovog
Zakona i na osnovu njega donesenih podzakonskih propisa.

(Izd
avanje potvrda o ispunjavanju sigurnosnih zahtjeva)
(1) Potvrde iz člana 14. stav (5) ovog Zakona može izdavati javno ili privatno tijelo
koje je za tu svrhu akredi
tirano kod Instituta za akreditiranje Bosne i Hercegovine.
(2) Institut za akreditiranje Bosne i Hercegov ine akreditirat će javno ili privatno
tijelo za izdavanje potvrda iz člana 14. stav (5) ovog Zakona, na njegov zahtjev, ako:
a) demonstrira pouzdanost potrebnu za obavljanje svojih aktivnosti,
b) zapošljava pouzdana lica, koja za obavljanje aktivnosti imaju specijalisti čka
znanja, iskustvo i stru čne kvalif
ikacije, naro čito poznavanje elek tronskog potpisa i
odgovarajućih sigurnosnih postupaka, kriptograf ije, komunikacionih i "smart-card"
tehnologija i tehničke evaluacije ovih sredstava,
c) ima zadovoljavaju ća tehnič ka sredstva i ure đaje, i finansijsku i ekonom sku
sposobnost za obavljanje aktivnosti,
d) garantira potrebnu nezavisnost i nepristrasnost.
(3) Podnosilac zahtjeva za akreditaciju mora ispunjavati i kriterije koje utvrdi
Evropska kom
isija, na osnovu člana 3. stav 4. Direktive 1999/93 EZ Evropskog
parlamenta i Vijeć a od 13. decembra 1999. o okviru Zajednice za elektronski potpis.
Vijeće ministara Bosne i Hercegovine, na prijedlog ministra nadležnog za
informaciono društvo, će podzakonskim propisom objaviti ove kriterije.
(4) Javno ili privatno tijelo akreditirano za izdavanje potvrda iz člana 14. stav (5)
ovog Zakona može, za potrebe obavljanja svo jih aktivnosti, koristi ti izvještaje o
ispitivanju drugih akreditiranih tijela.

POGLAVLJE V. PRAVA I OBAVEZE

(Opće obaveze ovjerioca)
(1) Ovjerilac
je dužan upoznati li ce koje traži potvrdu ja sno i sveobuhvatno s
internim pravilima o pružanju us
luga i sigurnosnim konceptom, u pisanoj formi ili
upotrebom trajnog nosa ča podataka, prije zaklju čivanja ugovora. Prilikom izdavanja
kvalificirane potvrde ovjerilac je tako đer dužan upoznati imaoca potvrde s uvjetima
upotrebe, kao što su ograni čenja u vezi s upotrebom ili ograni čenja u pogledu
vrijednosti transakcija za koje se potv rda može upotrijebiti, i napomenuti dobrovoljnu
akreditaciju, i bilo koje posebne postupke za rješavanje sporova.
(2) Informacije na koje se odnosi stav (1) ovog člana mogu se, na njihov zahtjev,
dostaviti trećim
licima koja dokažu pravni interes za njih.
(3) Ovjerilac je dužan upoznati li ce koje traži potvrdu o tome koja su tehni čka
sredstva i postupci podesni za potpisivanj e, i gdje je to primjenjivo, koja tehni čka
sredstva i postupci i drugi ure đaji zadovoljavaju odredbe ovog Zakona o formiranju i
provjeri sigurnog elektronskog potpisa. Nada lje, ovjerilac je du žan upoznati lice koje
traži potvrdu s mogu ćim pravnim djelovanjem postupka za elektronski potpis koji je
upotrijebljen, obavezama potpisnika i specifi čnoj odgovornosti ovjerioca. Imalac
potvrde, prije nego što si gurnosna vrijednost trenut nog elektronskog potpisa bude
narušena tokom vremena, treb a biti obaviješten o tome (g dje je to primjenjivo i na
koji način) da treba biti primijenjen novi elektronski potpis.

(Obaveze potpisnika)
(1) Potpisnik
je dužan čuvati podatke za formiranje elektronskog potpisa, suzdržati
se od njihovog proslje đivanja
i sprije čiti neovlašten pristup tim podacima u mjeri u
kojoj je to moguće očekivati.
(2) Potpisnik je dužan, bez odlaganja , ovjeriocu dostaviti sve potrebne podatke i
informacije o prom
jenama koje uti ču ili mogu uticati na ta čnost utvr đivanja
potpisnika.
(3) Potpisnik je dužan, bez odlaganja, zatražiti opoziv potvr de ako su podaci za
formiranje elektronskog potpisa neta čni ili ako postoji osnova
na sumnja da su
kopirani ili da su neovlaštena lica došla u posjed ovih podataka, ili ako su se činjenice
potvrđene u potvrdi promijenile.

(Zaštita ličnih podataka)
(1) Ovjerilac može koristiti samo one li čne podatke koji su potre bni da bi se usluga
pružila. Ovi podaci mogu se pribaviti samo neposredno od lica o ko jem
se radi ili uz
njegovu saglasnost, od treće strane.
(2) Ako je korišten pseudonim, ovjerilac će dostaviti podatke o potpisnikovom
identitetu ak
o za utvrđ ivanje identiteta postoji preovla đujući pravni interes u smislu
odredbi propisa kojima se ure đuje zaštita podataka. Ovjerilac je dužan dokumentirati
dostavljanje.

(Odgovorno
st ovjerilaca za štetu)
(1) Ovjerilac koji izdaje potvrde kao kvalificirane ili garantira za takve potvrde u
skladu s odredbama člana 24. stav (2) ta čka b) ovog Zakona, odgovoran je za štetu
svakom
licu koje se pouzda u potvrdu, za sljedeće:
a) tačnost podataka u kvalificiranoj potvrdi u trenutku njenog izdavanja, i da
potvrda sadrži sve podatke propisane za kvalificiranu potvrdu,
b) da je potpisnik, naveden u kvalificiranoj potvrdi, u trenutku izdavanja potvrde bio
u posjedu svih podataka za formiranje potpisa, koji odgovaraju podacim
a za provjeru
potpisa sadržanim u potvrdi,
c) da su podaci za formiranje potpisa i s njima usaglašen i podaci za provjeru potpisa
zajedno, prilikom primjene proizvoda i postu paka koje mu je ovjerilac stavio na
raspolaganje ili, ekvivalentnih koje sam koristi, odgovarajuć i u komplementarnom
smislu,
d) opoziv potvrde bez odlaganja, po ulaganju odgovaraju ćeg zahtjeva, i da je
postupak opoziva raspoloživ,
e) da
su zadovoljene odredbe člana 8. ovog Zakona, i da su za generiranje i čuvanje
podataka za formiranje potpisa i form
iranje i čuvanje kvalificiranih potvrda korištena
tehnička sredstva i postupci koji zadovoljavaju odredbe člana 14. ovog Zakona.
(2) Ovjerilac koji koristi postu pke za siguran elek tronski potpis tako đer je
odgovoran da proizvodi, postupci i drugi ure đaji, koje korist i ili preporu čuje kao
odgovarajuće za formiranje elektronskog potpisa i prikaz podataka koji se potpisuju,
zadovoljavaju odredbe člana 14. ovog Zakona.
(3) Ovjerilac je odgovoran, ako ne dokaže da je šteta nastala bez njegove krivice.
(4) Ako je upotreba kvalificirane potvrde ograni čena, ovjerilac s e ne će smatrati
odgovornim za štetu koja je nastala u v ezi s upotrebom potvrde izvan ograni čenja.
Ako kvalificirana potvrda sadrži ograni čenja u pogledu vrijednosti transakcija za koje
se može upotrijebiti, ovjerilac se ne će smatrati odgovornim za štetu nastalu u vezi s
upotrebom potvrde za transakcije čija je vrijednost izvan ovih ograničenja.

POGLAVLJE VI. NADZOR

(Nadzo
rni organ)
(1) Nadzorni organ je Ured za nadzor i akreditaciju ov jerilaca pri ministarstvu
nadležnom za informaciono društvo.
(2) U okviru inspekcijskog nadzora, nadzorni organ:
a) provjerava da li su interna prav ila o pružanju us luga i sigurnosni koncept
ovjerilaca u skladu s odredbama ovog Zakona i na osnovu njega donesenih
podzakonskih propisa;
b) provjerava da li ovjerilac, sve vrijeme obavljanja djelatnosti, zadovoljava odredbe
ovog Zakona i na osnovu njega donesenih podzakonskih propisa i svojih internih
pravila o pružanju usluga i sigurnosnog koncepta;
c)
ako ovjerilac pruža usluge u vezi sa sigurnim elektronskim potpisom , nadzire
upotrebu tehničkih sredstava i postupaka iz člana 14. ovog Zakona;
d) provjerava da li tijelo akrediti rano za izdavanje potvrda o ispunjavanju
sigurnosnih zahtjeva ovog Zakona i na osnovu njega donesenih podzakonskih propisa
ispunjava organizacione kriterije iz člana 15. ovog Zakona;
e) registrira ovjerio ce koji podnesu obavještenje o po četku rada i akreditira
ovjerioce u skladu s odredbama
člana 23. ovog Zakona;
f) utvrđuje ekvivalentnost izvještaja o provjeri iz trećih država (član 24. stav (3));
g) pruža uslugu
opoziva, ako je ovjer ilac prestao pružat i usluge u vezi s
elektronskim potpisom i ovjeravanjem
ili mu je pružanje usluga zabranjeno, a
pružanje usluge opoziva nije preuzeo drugi ovjerilac u smislu člana 13. stav (3) i člana
21. stav (5) ovog Zakona.
(3) Ovjerioci su obavezni nadoknadi ti troškove aktivnosti nadzornog organa u
skladu s propisima donesenim na osnovu ovog Zakona.
(4) Nadzorni
organ vodi elektronski registar ovjerilaca sa sjedištem u Bosni i
Hercegovini, akreditiranih ovjerilaca i ovjerilaca sa sjedištem u tre ćim državama za
čije potvrde garantira ovjerilac sa sjed ištem u Bosni i Hercegovini u skladu s
odredbama člana 24. stav (2) ta čka b) ovog Zakona. Tako đer, nadzorni organ vodi
registar potvrda ovjerilaca koji sadrži kva lificirane potvrde ovjerilaca za pružanje
usluga u vezi s elektronskim potpisom i ovj eravanjem. Ovakve potvrde može izdavati
i nadzorni organ. Ovi registri moraju biti, generalno, stalno dostupni upotrebom
sredstava informacionih i komunikacionih te hnologija. Nadzorni organ stavlja svoj
sigurni elektronski potpis na registre koje vodi. Potvrda nadzornog organa objavljuje
se u "Službenom glasniku BiH".

(Mjere nadzora)
(1) Prilikom obavljanja inspekcijskog nadz ora, nadzorni organ ovlašten je preduzeti
mjere kojima se osigu
rava da su obaveze odre đene ovim zakonom i na osnovu njega
donesenim podzakonskim propisima ispunjen e. Nadzorni organ može zabraniti
upotrebu neodgovaraju ćih tehni čkih sredstava i postupaka ili pružanje svih ili
pojedinih usluga u vezi s elektronskim potpisom i ovjeravanje m. Nadzorni organ
može opozvati potvrde ovjerioca ili potpisnika, ili narediti ovjeriocu opoziv potvrda.
(2) Nadzorni organ će ovjeriocu zabraniti pruž anje svih ili pojedinih usluga u vezi s
elektronskim potpisom i ovjeravanjem ako:
a) ovjerilac ili njegova zaposlena lica ne demonstriraju pouzdanost koja se zahtijeva
za usluge u vezi s elektronskim
potpisom i ovjeravanjem koje pružaju;
b) ovjerilac ili njegova zapos lena lic a nemaju potrebna specijalisti čka znanja,
iskustvo i stručne kvalifikacije;
c) nema na raspolaganju potrebna finansijska sredstva;
d) ne pruža usluge u vezi s elek tronskim potpisom i ovjeravanjem u skladu s
internim pravilima o pružanju usluga i sigurnosnim konceptom;
e) ne vodi registar potvrda u sk ladu s odredbama ovog Zakona i na osnovu njega
donesenih podzakonskih propisa;
f) ne
ispunjava obave ze u vezi s opozivom i suspenzijom, u skladu s odredbama
ovog Zakona i na osnovu njega donesenih podzakonskih propisa;
g) ne ispuni obaveze iz člana 7. stav (2) ovog Zakona.
(3) Ako nije
odredio blaže mjere iz stava (6) ovog člana, nadzorni organ će
ovjer
iocu koji izdaje kvalificirane potvrde zabra niti pružanje svih ili pojedinih usluga
u vezi s elektronskim potpisom i ovjeravan jem, ako nisu zadovoljene druge odredbe
ovog Zakona i na osnovu njega donesenih podzakonskih propisa kojima se ure đuje
pružanje usluga.
(4) Ako nije odredio blaže mjere iz stava (6) ovog člana, nadzorni organ će
ovjeriocu koji koristi postupke za siguran elektronski potpis zabraniti pružanje svih ili
pojedinih usluga u vezi s elektronskim
potpisom i ovjeravanjem, ako tehni čka
sredstva i postupci ne zadovoljavaju odredbe člana 14. ovog Zakona.
(5) Ako nadzorni organ zabrani ovjerio cu pružanje uslu ga u vezi s elektronskim
potpisom i ovjeravanjem, mora osigurati da se potvrde ovjerioca i potpisnika opozovu
ili da drugi ovjerilac, u mjeri u kojoj pristane, preuzme obavljanje djelatnosti
ovjerioca kojem je zabranjen rad, a najmanje registar potvrda i pružanje usluga
opoziva. Potpisnici će biti obaviješteni o zabrani i opozivu ili preuzimanju, bez
odlaganja. Ovjerilac je dužan osigurati da se usluga opoz iva pruža i ako su potvrde

opozvane. Ako ovjerilac ne osigura pružanje usluge opoziva, pružanje usluge na teret
ovjerioca osigurat će nadzorni organ.
(6) Nadzorni organ neće zabraniti pr užanje usluga u vezi s elektronskim potpisom i
ovjeravanjem, ako se blažim mjerama može posti ći uskla đivanje s odredbama ovog
Zakona i na osnovu njega donesenih podzakonsk ih propisa. Nadzorni organ može
odrediti rokove i uvjete za otklanjanje ne dostataka i izdati upoz orenje o zabrani u
slučaju da nedostaci koje utvrdi ne budu otklonjeni u razumnom roku koji odredi.

(Provođenje nadz
ora)
(1) Ovjerilac je
dužan odrediti lice koje će, na zahtjev nadzornog organa, omogu ćiti
pristup u poslovne prostorije u toku radnog vremena. Ovjer ilac je dužan dostaviti ili
priprem
iti za inspekciju relevantne poslovne knjige, dokumentaciju iz člana 12. ovog
Zakona i drugu dokumentaciju, i osigurati po trebne informacije i bilo koju drugu
potrebnu pomoć.
(2) Inspektor je ovlašten izuzeti dokumentaciju ako je to potrebno za osiguravanje
dokaza ili za detaljno utvr đivanje nepravilnosti, na period od najviše 15 dana, o č emu
izdaje potvrdu.
(3) Podatke o potvrdama koji su li čne prirode i podatke koji su zašti ćeni po
posebnom zakonu, s kojima se upozna prilik om nadzora, inspektor je dužan čuvati
kao tajnu.
(4)
Protiv odluke nadzornog organa dozvoljena je žalba Žalbenom vije ću pri Vijeću
ministara Bosne i Hercegovine. Žalba ne zadržava izvršenje.
(5) Zabrana ne utiče na važenje p
rethodno izdatih potvrda.
POGL
AVLJE VII. DOBROVOLJNA AKREDITACIJA

(Akreditiran
je ovjerilaca)
(1) Ovjerioce koji koriste postupke za siguran elektronski potpis i koji dokažu da
zadovoljavaju odredbe ovog Zakona i na osnovu njega donesenih podzakonskih
propisa nadzorni organ akreditirat će na zahtjev. Nadzorni organ može, pod istim
uvjetim
a, akreditirati i ovjerioce sa sjed ištem izvan Bosne i Hercegovine, ako su
ispunjeni uvjeti za priznavanje njihovih potvr da u Bosni i Hercegovini. Akreditirani
ovjerilac može samo uz saglasnost nadzornog organa nazna čavati svoju akreditiranost
u pravnom prometu. Ova oznaka može se kori stiti za usluge u vezi s elektronskim
potpisom i ovjeravanjem, i proizvode, samo ako su zadovoljeni sigurnosni zahtjevi
odredbi člana 14. ovog Zakona.
(2) Dobrovoljna akreditacija ovjerioca treba da bude nazna čena u kvalificiranoj
potvrdi ili da bude dostupna na drugi odgovarajući način.

POGLAVLJE VIII. PRIZNAVANJE STRANIH POTVRDA

(Prizn
avanje potvrda koje su izdali strani ovjerioci)
(1) Potvrde koje su izdali ovjerioci sa sjedištem u državi članici Evropske unije ili
državi koja je članica Evropskog ekonomskog prostora i čiju validnost Bosna i
Hercegovina mo
že provjeriti tr etiraju se isto kao i doma će potvrde. Kvalificirane
potvrde ovih ovjerilaca imaju is to pravno djelovanje kao doma će kvalificirane
potvrde.
(2) Potvrde koje su izdali ovjerio ci sa sjedištem u tre ćim državama i čiju validnost
Bosna i Hercegovina može provjeriti bit će priznate u Bosni i Hercegovini.
Kvalificirane potvrde ovih ovjerilaca pravno će se tretirati kao i doma će kvalificirane
potvrde ako:
a) ovjerilac zadovoljava odredbe člana 8. ovog Zakona, i ako je akreditiran u skladu
sa sistemom dobrovoljne akreditacije, u Bosni i Hercegovini, ili u državi članici
Evropske un
ije ili državi koja je članica Evropskog ekonomskog prostora,
b) domaći ovjerilac ili ovj erilac sa sjedištem u državi članici Evropske unije ili
državi koja je članica E
vropskog ekonomskog prosto ra, i koji zadovoljava odredbe
člana 8. ovog Zakona, garantira za njegove potvrde u skladu s propisima o
odgovornosti,
c) se potvrda priznaje kao kvalificirana, ili se ovjerilac smatra ovjeriocem koji
izdaje kvalificirane potvrde, na osnovu dvostranog ili višestranog me đunarodnog
ugovora izmeđ
u Bosne i Hercegovine i drugih država ili međunarodnih organizacija,
d) se potvrda priznaje kao kvalificir ana, ili se ovjerilac smatra ovjeriocem koji
izdaje kvalificirane potvrde, na osnovu dvostranog ili višestranog me đunarodnog
ugovora između Evropske unije i trećih država ili međunarodnih organizacija.
(3) Potvrde o zadovoljavanju sigurnosnih zahtjeva iz člana 14. stav (5) ovog
Zakona, koje je izdalo tijelo sa sjedištem u tre ćoj državi, i koje je od te države
prizna
to kao tijelo koje izdaje takve potvrde, bit će važeće kao i potvrde tijela iz člana
15. ovog Zakona, pod uvjetom da nadzorni organ utvrdi da su tehni čki zahtjevi,
ispitivanja i postupci provjere tog tijela ekvivalentni onima koje koriste tijela iz člana
15. ovog Zakona.

POGLAVLJE IX. KAZNENE ODREDBE

(Kaznene o
dredbe)
(1) Svako lice koje upotrijebi podatke za formiranje potpisa drugog lica, bez znanja
potpisnika i njegovog pristanka, kaznit će se za prekršaj nov čanom kaznom
u iznosu
do 8000 KM.
(2) Novčanom kaznom u iznosu do 16000 KM kaznit će se za prekršaj ovjerilac
ako:
a) ne opozove potvrdu u skladu s odredbama člana 10. stav (1) ovog Zakona;
b) ne dokumentira sigurnosne mjere koje je preduzeo u skladu s odredbama ovog
Zakona i na osnovu njega donesenih podzakonski h propisa za izdavanje, suspenziju i
opoziv potvrda (član 12.);
c) ne
omogući pristup u poslovne prostorije, ili ne stavi na uvid relevantne poslovne
knjige ili drugu dokume
ntaciju, uklju čujući i dokumentaciju iz člana 12. ovog
Zakona, ili ne osigura informacije ili bilo koju drugu potrebnu pomoć (član 22.);
d) ne obavijesti imaoca potvrde ili lic e koje traži potvrdu u skladu s odredbama
člana 16. ovog Zakona.
(3) Nov
čanom kaznom u iznosu do 32000 KM kaznit će se za prekršaj ovjerilac
ako:
a) ne obavijesti nadzorni organ ili ne dostavi interna pravila o pružanju usluga i
sigurnosni koncept (član 7. stav (2);
b) ne obavijesti nadzorni organ o okolnostima koje ga spre čavaju ili mu
onem
ogućavaju obavljanje djelatnosti u skladu s internim pravilima o pružanju usluga
i sigurnosnim konceptom (član 7. stav (5);
c) ne vodi registar potvrda ili ne osigura sigurno i neodgodivo pružanje usluge
opoziva (član 8. stav (1) tačka b);
d) ne preduzme odgovaraju će mjere kojim
a se osigurava da podatke za formiranje
potpisa ne mogu čuvati ili kopirati ni ovjerioci ni treća lica (član 8. stav (1) tačka h);
e) ne koristi, ne provodi ili ne preporu či odgovarajuća tehnička sredstva i postupke
koji zadovoljavaju odredbe člana 14. ovog Zakona;
f) nastavi
obavljati djelatnost protivno zabrani nadzornog organa ( član 21. stav (2)
do (4);
g) ne utvrdi
pouzdano identitet ili druge potrebne poda tke lica koje traži
kvalificiranu potvrdu (član 9.);
h) koristi oznaku akrediti ranog ovjerioca protivno odredbama člana 23. stav (1)
ovog Zakona.
(4) Novčanom kaznom u iznosu od 2 000 K M kaznit će se za prekršaj i odgovorno
lice pravnog lica, koje učini prekršaj iz st.(2) i (3) ovog člana.
(5) Ako je ovjerilac fizi čko lice, za prekršaj iz st. (2) i (3) ovog člana , kaznit ć e se
novčanom kaznom u iznosu do 10 000 KM.
(6) Novčanom kaznom u iznosu do 10 000 KM kaznit će se za prekršaj potpisnik,
ako:
a) ne čuva podatke za formiranje elek tronskog potpisa ili ne sprije či neovlašten
pristup tim
podacima (član 17. stav (1);
b) ne dostavi sve potrebne podatk e i informacije o promjenam a koje utič u ili mogu
uticati na tačnost utvrđivanja potpisnika (član 17. stav (2);
c) ne zatraži opoziv potvrde u skladu s članom 17. stav (3) ovog Zakona.
POGL
AVLJE X. PRIJELAZNE I ZAVRŠNE ODREDBE

(Podzakonski propisi za provo
đenje Zakona)
(1) Vijeće m
inistara Bosne i Hercegovine će, na prijedlog m inistra nadležnog za
informaciono društvo, u skladu s aktuel nim stanjem nauke i tehnike, donijeti
podzakonske propise koji su potrebni za provođenje ovog Zakona. Ovim propisima
bit će obuhvaćeni:
a) iznos naknade za rad nadzornog organa,
b) finansijska sposobnost ovjerioca i mini malan iznos osiguranja za odgovornost od
štete,
c) tehnički sigurnosni zahtjevi za siguran elektronski potpis,
d) prikazivanje podataka koji se potpisuju elektronskim potpisom,
e) elektronski potpis za kvalificirane potvrde,
f) elektronski potpis nadzornog organa,
g) sistemi nadzornog organa,
h) zaštita tehničkih sredstava za siguran elektronski potpis ovjerioca,
i) ispitivanje tehni
čkih sredstava i postupaka,
j) pružanje usluga u vezi s elektron skim potpisom i ovjeravanjem koje se odnose na
kvalificirane potvrde i siguran elektronski potpis,
k) zahtjev za izdavanje kvalificirane potvrde,
l) kvalificirana potvrda,
m) registar potvrda i pružanje usluga opoziva za kvalificirane potvrde,
n) siguran vremenski pečat,
o) sigurnosni koncept i interna pravila o pružanju usluga za kvalificirane potvrde,
p) dokumentacija iz člana 12. ovog Zakona,
r) obnova elektronskog potpisa,
s) nadzor i akreditacija.
(2) Vijeće ministara Bosne i Hercegovine donijet će propise iz stava (1) ovog člana
najkasnije u roku od šest m
jeseci od dana objavljivanja ovog Zakona.
(3) Ministar nadležan za informaciono društvo će u redovnoj proceduri u roku od
dva mjeseca uskladiti unutrašnju organizaciju m
inistarstva s članom 20. stav (1) ovog
Zakona.

(Stupanje na snagu)
Ovaj Zakon stupa na snagu u roku šest mj
eseci od dana objavljivanja u "Službenom
glasniku BiH".