Na podlagi drugega odstavka 13. člena Zakona o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 60/07) izdaja minister za finance

(1) S tem pravilnikom se določajo pogoji, ki morajo biti izpolnjeni, da organizacija iz prvega odstavka 4. člena Zakona o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 60/70; v nadaljnjem besedilu: zakon) v okviru elektronskega poslovanja lahko ugotavlja in preverja istovetnost stranke, ki je bodisi fizična oseba oziroma njen zakoniti zastopnik bodisi samostojni podjetnik posameznik bodisi posameznik, ki samostojno opravlja dejavnost, z uporabo kvalificiranega digitalnega potrdila stranke.
(2) Ne glede na prejšnji odstavek organizacija iz 1. in 2. točke prvega odstavka 4. člena zakona v primerih odpiranja računov strankam ne sme ugotavljati in preverjati istovetnosti teh strank v skladu s prvim odstavkom tega člena, razen pri odpiranju začasnega depozitnega računa za vplačilo ustanovitvenega kapitala.

Posamezni pojmi, uporabljeni v tem pravilniku, imajo naslednji pomen:
– kvalificirano digitalno potrdilo ima enak pomen kot ga ima pojem kvalificirano potrdilo v zakonu, ki ureja elektronsko poslovanje in elektronski podpis;
– registriran overitelj je overitelj, ki je v skladu z zakonom, ki ureja elektronsko poslovanje in elektronski podpis, bodisi vpisan v register overiteljev v Republiki Sloveniji bodisi prostovoljno akreditiran v eni izmed držav članic Evropske unije;
– informacijski sistem je programska, strojna, komunikacijska in druga oprema, ki deluje samostojno ali v omrežju in je namenjena zbiranju, procesiranju, distribuciji, uporabi in drugi obdelavi podatkov v elektronski obliki;
– notranja pravila overitelja so pravila glede elektronskega podpisovanja in overjanja, ki jih overitelj izda v skladu z zakonom, ki ureja elektronsko poslovanje in elektronski podpis.

(1) Kvalificirano digitalno potrdilo stranke, na podlagi katerega organizacija iz prvega odstavka 4. člena zakona (v nadaljnjem besedilu: organizacija) ugotavlja in preverja istovetnost stranke, mora biti izdano v skladu z zakonom, ki ureja elektronsko poslovanje in elektronski podpis.
(2) Kvalificirano digitalno potrdilo stranke iz prvega odstavka tega člena lahko izda registriran overitelj s sedežem v Republiki Sloveniji ali registrirani overitelj s sedežem v drugi državi članici Evropske unije ali tretji državi pod pogoji, določenimi z zakonom, ki ureja elektronsko poslovanje in elektronski podpis, če za ugotavljanje in preverjanje istovetnosti stranke v skladu s 1. členom tega pravilnika obstajajo tehnološke možnosti.
(3) Ne glede na prvi in drugi odstavek tega člena organizacija ne sme ugotavljati in preverjati istovetnosti stranke na podlagi kvalificiranega digitalnega potrdila, ki je izdano pod psevdonimom.

(1) Organizacija, ki ugotavlja in preverja istovetnost stranke z uporabo kvalificiranega digitalnega potrdila stranke, mora zagotoviti, med drugim tudi z uporabo ustreznega informacijskega sistema, preverjanje:
– veljavnosti kvalificiranega digitalnega potrdila;
– veljavnosti podpisnega zasebnega ključa,
– ustreznega registra preklicanih kvalificiranih digitalnih potrdil,
– izdajatelja kvalificiranih digitalnih potrdil (ali gre za registriranega izdajatelja kvalificiranih potrdil).
(2) Organizacija, ki ugotavlja in preverja istovetnost stranke z uporabo kvalificiranega digitalnega potrdila stranke, mora preveriti tudi morebitne omejitve v zvezi z uporabo tega potrdila in se seznaniti z javnim delom notranjih pravil registriranega overitelja.

(1) Organizacija mora imeti oblikovano politiko beleženja dogodkov, to je revizijske sledi, ki se nanašajo na vstopanje v njen informacijski sistem z uporabo kvalificiranih digitalnih potrdil.
(2) S politiko beleženja organizacija definira, katere podatke vsebuje revizijska sled. Revizijska sled mora vsebovati podatke vsaj o naslednjih dogodkih:
– preverjenju in ugotavljanju istovetnosti stranke (enolična oznaka potrdila in njegovega izdajatelja in enolična oznaka stranke);
– datumu in uri prijave in odjave;
– omrežnem naslovu (IP naslov), s katerega se je izvedla prijava v njen informacijski sistem;
– uspešnih in zavrnjenih dostopih v njen informacijski sistem.

Organizacija pred začetkom ugotavljanja in preverjanja istovetnosti strank z uporabo kvalificiranih digitalnih potrdil Uradu RS za preprečevanje pranja denarja poda pisno izjavo, da izpolnjuje zahteve iz 4. in 5. člena tega pravilnika.

Ta pravilnik začne veljati naslednji dan po objavi v Uradnem listu Republike Slovenije.