Na podlagi druge alinee prvega odstavka 107. člena in prvega odstavka 91. člena Ustave Republike Slovenije izdajam
o razglasitvi Zakona o elektronski identifikaciji in storitvah zaupanja (ZEISZ)
Razglašam Zakon o elektronski identifikaciji in storitvah zaupanja (ZEISZ), ki ga je sprejel Državni zbor Republike Slovenije na seji dne 13. julija 2021.
Št. 003-02-3/2021-145
Ljubljana, dne 21. julija 2021
O ELEKTRONSKI IDENTIFIKACIJI IN STORITVAH ZAUPANJA (ZEISZ)
1. SPLOŠNE DOLOČBE
(vsebina in namen zakona)
(1) Ta zakon ureja osebno elektronsko identiteto, ki jo dodeli Republika Slovenija, in sredstva elektronske identifikacije, s katerimi se dokazuje ta elektronska identiteta, ter na tej elektronski identiteti temelječo shemo elektronske identifikacije v skladu z zahtevami iz Uredbe (EU) št. 910/2014 Evropskega parlamenta in Sveta z dne 23. julija 2014 o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu in razveljavitvi Direktive 1999/93/ES (UL L št. 257 z dne 28. 8. 2014, str. 73, v nadaljnjem besedilu: Uredba 910/2014/EU) za priglasitev shem elektronske identifikacije ter pristojne organe in kazenske določbe za izvajanje Uredbe 910/2014/EU.
(2) Ta zakon ureja storitve zaupanja v delu, kjer Uredba 910/2014/EU to omogoča.
Izrazi, uporabljeni v tem zakonu, pomenijo:
1. podatki v elektronski obliki so podatki, ki so elektronsko oblikovani, shranjeni, poslani, prejeti ali izmenljivi;
2. informacijski sistem je programska, strojna, komunikacijska oziroma druga oprema, ki deluje samostojno ali v omrežju in je namenjena zbiranju, procesiranju, distribuciji, uporabi in drugi obdelavi podatkov v elektronski obliki;
3. organ javnega sektorja po tem zakonu je državni organ, organ samoupravne lokalne skupnosti, javna agencija, javni sklad, javni zavod ali druga oseba javnega prava, nosilec javnega pooblastila ali izvajalec javne službe;
4. osebna elektronska identiteta je niz identifikacijskih podatkov fizične osebe, ki jih država dodeli za uporabo pri elektronskem poslovanju;
5. kvalificirano potrdilo je kvalificirano potrdilo za elektronski podpis, kvalificirano potrdilo za elektronski žig ali kvalificirano potrdilo za avtentikacijo spletišč;
6. nacionalni zanesljivi seznam je zanesljivi seznam ponudnikov kvalificiranih storitev zaupanja v Republiki Sloveniji v skladu z 22. členom Uredbe 910/2014/EU;
7. ponudnik kvalificiranih storitev zaupanja, registriran v Republiki Sloveniji, je ponudnik kvalificiranih storitev zaupanja, ki je vpisan v nacionalni zanesljivi seznam ponudnikov kvalificiranih storitev zaupanja v Republiki Sloveniji;
8. nosilec sredstva elektronske identifikacije je strojna oziroma programska oprema, ki imetniku omogoča hrambo in uporabo sredstva elektronske identifikacije za namene elektronske identifikacije.
(enotna številka elektronske identifikacije)
(1) Enotna številka elektronske identifikacije (v nadaljnjem besedilu: EŠEI) je enolični identifikator fizične osebe, fizične osebe z dejavnostjo ali pravne osebe pri elektronskem poslovanju.
(2) EŠEI se lahko določi imetnikom iz prejšnjega odstavka, ki so vpisani v davčni register.
(3) EŠEI je sestavljen:
– za fizično osebo iz številke 11 in davčne številke fizične osebe,
– za poslovni subjekt iz številke 21 in davčne številke poslovnega subjekta.
(4) Za zagotavljanje čezmejnega elektronskega poslovanja v skladu z Uredbo 910/2014/EU se uporablja enolični identifikator, ki se preračuna iz EŠEI. Vlada z uredbo določi obliko preračunane številke in način preračunavanja.
(skrbnost ravnanja imetnika)
(1) Imetnik sredstva elektronske identifikacije mora sredstvo uporabljati osebno in s skrbnostjo dobrega gospodarja.
(2) Imetnik kvalificiranega potrdila mora podatke, ki so potrebni za njegovo uporabo, hraniti s skrbnostjo dobrega gospodarja ali gospodarstvenika.
2. OSEBNA ELEKTRONSKA IDENTITETA IN SREDSTVA ELEKTRONSKE IDENTIFIKACIJE
(osebna elektronska identiteta)
(1) Z osebno elektronsko identiteto fizična oseba izkazuje svojo istovetnost pri elektronskem poslovanju.
(2) Osebno elektronsko identiteto pridobi oseba s pridobitvijo prvega sredstva elektronske identifikacije.
(3) Oseba ima eno osebno elektronsko identiteto, ki jo lahko dokazuje z več sredstvi elektronske identifikacije.
(4) Osebno elektronsko identiteto lahko pridobi oseba, ki dopolni šest let, in preneha ob smrti osebe ali izgubi statusa iz petega in šestega odstavka tega člena, ki je podlaga za pridobitev osebne elektronske identitete.
(5) Osebno elektronsko identiteto lahko pridobi državljan Republike Slovenije (v nadaljnjem besedilu: državljan).
(6) Osebno elektronsko identiteto lahko pridobi tujec, ki ima v Republiki Sloveniji prijavljeno stalno ali začasno prebivališče.
(sredstva elektronske identifikacije za osebno elektronsko identiteto)
(1) Vlada z uredbo glede na nosilec sredstva elektronske identifikacije in predpise, ki slednjega določajo, predpiše sredstva elektronske identifikacije, ki so izdana z namenom dokazovanja osebne elektronske identitete iz prejšnjega člena, njihovo obliko, raven zanesljivosti, obdobje veljavnosti, najnižjo starost, pri kateri oseba lahko pridobi sredstvo elektronske identifikacije, organe, pristojne za sprejem vlog in preverjanje istovetnosti, način izdaje, preklica in začasne razveljavitve ter tehnične specifikacije posameznega sredstva elektronske identifikacije.
(2) Vlada z uredbo določi tudi morebitni namen čezmejne uporabe posameznega sredstva elektronske identifikacije.
(ravni zanesljivosti sredstev elektronske identifikacije)
Ravni zanesljivosti in zahteve za določanje ravni zanesljivosti, kot so določene v Uredbi 910/2014/EU in njenih izvedbenih aktih za sredstva elektronske identifikacije, se uporabljajo tudi za določanje ravni zanesljivosti sredstev elektronske identifikacije na državni ravni.
(obdobje veljavnosti sredstva elektronske identifikacije)
Sredstvo elektronske identifikacije velja največ deset let od dneva njegove izdaje.
(izdajatelj sredstva elektronske identifikacije)
(1) Izdajatelj sredstva elektronske identifikacije je ministrstvo, pristojno za zagotavljanje centralne storitve za spletno prijavo in elektronski podpis.
(2) Izdajatelj sredstva elektronske identifikacije ima pravico vpogleda v dokumentacijo, ki jo za potrebe izdaje, preklica in začasne razveljavitve sredstva elektronske identifikacije hranijo organi, pristojni za sprejem vlog in preverjanje istovetnosti.
(identifikacija fizične osebe ob izdaji sredstva elektronske identifikacije)
(1) Za izdajo sredstva elektronske identifikacije:
a) nizke ravni zanesljivosti izdajatelj sredstva elektronske identifikacije izvede:
– preverjanje istovetnosti fizične osebe na podlagi veljavne javne listine ter s fizično prisotnostjo fizične osebe, ki se identificira,
– preverjanje istovetnosti fizične osebe na podlagi podatkov, ki jih ima izdajatelj na voljo in ki s precej veliko verjetnostjo potrjujejo istovetnost fizične osebe,
– preverjanje istovetnosti fizične osebe na podlagi veljavne javne listine ter s potrditvijo istovetnosti fizične osebe, ki se identificira, z uporabo informacijskih tehnologij ali
– avtentikacijo fizične osebe na podlagi sredstva elektronske identifikacije najmanj nizke ravni zanesljivosti;
b) srednje ravni zanesljivosti izdajatelj sredstva elektronske identifikacije izvede:
– preverjanje istovetnosti fizične osebe na podlagi veljavne javne listine, ki je opremljena s fotografijo, ter s fizično prisotnostjo fizične osebe, ki se identificira, ali
– avtentikacijo fizične osebe na podlagi sredstva elektronske identifikacije najmanj srednje ravni zanesljivosti;
c) visoke ravni zanesljivosti izdajatelj sredstva elektronske identifikacije izvede:
– preverjanje istovetnosti fizične osebe na podlagi veljavne javne listine, ki je opremljena s fotografijo, in preverjanje pristnosti in veljavnosti javne listine v javnih evidencah ter s fizično prisotnostjo fizične osebe, ki se identificira, ali
– avtentikacijo fizične osebe na podlagi sredstva elektronske identifikacije visoke ravni zanesljivosti.
(2) Če fizična oseba nima veljavne javne listine, ki bi ji omogočala identifikacijo za pridobitev sredstva elektronske identifikacije v skladu s prejšnjim odstavkom, je njeno istovetnost mogoče preveriti tako, kot to omogoča kateri od predpisov, na podlagi katerih fizična oseba v Republiki Sloveniji lahko pridobi javno listino, ki jo je mogoče uporabiti za prehod državne meje.
(evidenca imetnikov sredstev elektronske identifikacije)
(1) Izdajatelj sredstva elektronske identifikacije za namen izdajanja in zagotavljanja uporabe sredstev elektronske identifikacije ter zagotavljanja obveznosti države, ki jo nalaga Uredba 910/2014/EU, vodi evidenco imetnikov sredstev elektronske identifikacije za vsako sredstvo elektronske identifikacije posebej.
(2) Evidenca imetnikov sredstev elektronske identifikacije vsebuje podatke:
1. identifikacijsko oznako sredstva elektronske identifikacije;
2. identifikacijsko oznako nosilca sredstva elektronske identifikacije;
3. osebno ime imetnika;
4. vrsto in številko veljavne javne listine imetnika, opremljene s fotografijo, ki jo je izdal državni organ, oziroma navedbo postopka, s katerim je bila opravljena identifikacija imetnika;
5. EŠEI imetnika;
6. davčno številko imetnika;
7. EMŠO imetnika;
8. stalno prebivališče ali stalni naslov v tujini, začasno prebivališče ali začasni naslov v tujini in naslov za vročanje, če je to potrebno za pridobitev sredstva elektronske identifikacije;
9. telefonsko številko imetnika, če jo imetnik posreduje ali če je to potrebno za pridobitev ali uporabo sredstva elektronske identifikacije;
10. naslov elektronske pošte imetnika, če ga imetnik posreduje ali če je to potrebno za pridobitev ali uporabo sredstva elektronske identifikacije;
11. status sredstva elektronske identifikacije;
12. obdobje veljavnosti sredstva elektronske identifikacije;
13. obdobje začasne razveljavitve sredstva elektronske identifikacije;
14. datum preklica sredstva elektronske identifikacije.
(3) Če je tehnično mogoče izdati in uporabljati sredstvo elektronske identifikacije tako, da se za to ne potrebuje določenih podatkov iz prejšnjega odstavka, vlada z uredbo določi manjši nabor podatkov posamezne evidence imetnikov sredstev elektronske identifikacije.
(4) Evidenca imetnikov sredstev elektronske identifikacije se na podlagi EMŠO ali davčne številke povezuje s centralnim registrom prebivalstva. Iz centralnega registra prebivalstva se v evidenco sredstev elektronske identifikacije pošljejo podatki o davčni številki ali EMŠO, osebnem imenu, stalnem prebivališču ali stalnem naslovu v tujini, začasnem prebivališču ali začasnem naslovu v tujini in naslovu za vročanje, državljanstvu in datumu smrti posameznika.
(5) Podatki iz prejšnjega odstavka se iz centralnega registra prebivalstva v evidenco sredstev elektronske identifikacije pošljejo ob sprejemu vloge in ob vsaki spremembi navedenih podatkov v centralnem registru prebivalstva.
(6) Podatki se hranijo deset let po koncu veljavnosti sredstva elektronske identifikacije.
(7) EMŠO imetnika se po izvedeni povezavi iz četrtega odstavka tega člena in po izračunu starosti imetnika, na podlagi katere se ugotovi upravičenost do sredstva elektronske identifikacije, izbriše iz evidence.
(8) Če se izda sredstvo elektronske identifikacije v skladu s prvo alinejo pod točko c) prvega odstavka 10. člena tega zakona, se evidenca imetnikov sredstev elektronske identifikacije povezuje z uradnimi evidencami iz prve alineje pod točko c) prvega odstavka 10. člena tega zakona tako, da se na podlagi vrste in številke javne listine v evidenco imetnikov sredstev elektronske identifikacije na posamezno zahtevo organa za sprejem vloge prenesejo podatki o tem, ali je javna listina veljavna.
(podatki na sredstvu elektronske identifikacije)
(1) Sredstvo elektronske identifikacije vsebuje naslednje podatke:
1. podatke, ki nedvoumno predstavljajo izdajatelja sredstva elektronske identifikacije;
2. osebno ime imetnika;
3. identifikacijsko oznako sredstva elektronske identifikacije.
(2) Sredstvo elektronske identifikacije vsebuje tudi podatke o času veljavnosti sredstva elektronske identifikacije in podatke, s katerimi je mogoče preveriti veljavnost tega sredstva, če je to tehnično potrebno za uporabo sredstva elektronske identifikacije.
(3) Če je tehnično mogoče izdati sredstvo elektronske identifikacije tako, da za to niso potrebni določeni podatki iz prvega odstavka tega člena, vlada z uredbo določi, da posamezno sredstvo elektronske identifikacije nekaterih podatkov ne vsebuje.
(uporaba sredstva elektronske identifikacije)
(1) Informacijska rešitev za uporabo sredstev elektronske identifikacije je informacijska rešitev, ki omogoča avtentikacijo uporabnika in preverjanje veljavnosti sredstva elektronske identifikacije.
(2) Izdajatelj sredstva elektronske identifikacije zagotavlja ponudnikom elektronskih storitev, registriranim v Republiki Sloveniji, možnost uporabe informacijske rešitve za uporabo sredstev elektronske identifikacije, opredeljenih v uredbi vlade, izdani na podlagi 6. člena tega zakona, ter možnost preverjanja EŠEI na podlagi identifikacijske oznake sredstva elektronske identifikacije.
(3) Izdajatelj sredstva elektronske identifikacije zagotavlja ponudnikom elektronskih storitev v organih javnega sektorja tudi možnost pridobivanja EŠEI na podlagi identifikacijske oznake sredstva elektronske identifikacije.
(sredstvo elektronske identifikacije za dostop do elektronskih storitev v javnem sektorju)
(1) Organ javnega sektorja, ki za dostop do svoje elektronske storitve in njeno uporabo zahteva uporabo sredstev elektronske identifikacije srednje ali visoke ravni zanesljivosti, v ta namen prizna sredstva elektronske identifikacije ravni zanesljivosti, ki je enaka ali višja od zahtevane ravni zanesljivosti.
(2) Pred uporabo sredstva elektronske identifikacije srednje ali visoke ravni zanesljivosti organ javnega sektorja v sistemu za samodejno strojno preverjanje veljavnosti sredstva elektronske identifikacije preveri veljavnost sredstva elektronske identifikacije ali drugače zagotovi, da se uporablja veljavno sredstvo elektronske identifikacije.
(zahtevana raven zanesljivosti sredstva elektronske identifikacije za dostop do elektronskih storitev v javnem sektorju)
(1) Organ javnega sektorja za dostop in uporabo posamezne elektronske storitve iz prejšnjega člena določi raven zanesljivosti v skladu s 7. členom tega zakona.
(2) Raven zanesljivosti iz prejšnjega odstavka se določi na podlagi ocene tveganja, da identiteta uporabnika, ki dostopa do elektronske storitve in jo uporablja, ni enaka identiteti, ki se izkazuje pri dostopu do storitve. Slednje temelji na:
– oceni verjetnosti pojavitve neželenih varnostnih dogodkov, povezanih z uporabo sredstva elektronske identifikacije;
– oceni vrste in obsega povzročene škode in drugih morebitnih nezaželenih posledic in
– oceni obsega dejavnosti in stroškov, potrebnih za odpravo nezaželenih posledic.
(3) Ocena tveganja se ocenjuje na podlagi naslednjih meril:
1. pravne posledice nepravilnosti in zlorabe,
2. pravne zahteve za raven zanesljivosti e-storitve,
3. vrsta obdelave osebnih podatkov,
4. vrsta obdelave podatkov iz registrov identifikacijskih podatkov,
5. gospodarska škoda,
6. vpliv na javni interes in
7. vpliv na osebno varnost.
(4) Podrobnejšo specifikacijo uporabe meril in načina določanja ravni zanesljivosti določi vlada z uredbo.
(obdelava in varstvo podatkov pri elektronskih storitvah v javnem sektorju)
(1) Organ javnega sektorja lahko za namene elektronske identifikacije, avtentikacije ali preverjanja identifikacijskih podatkov fizične osebe hrani in obdeluje identifikacijsko oznako sredstva elektronske identifikacije.
(2) Organ javnega sektorja, ki ima za zagotavljanje elektronskih storitev pravico hraniti in obdelovati osebno ime fizične osebe, lahko za namen elektronske identifikacije, avtentikacije ali preverjanja identifikacijskih podatkov fizične osebe hrani in obdeluje tudi EŠEI fizične osebe.
(3) Če fizična oseba nima EŠEI, lahko organ uporabi za namene iz prejšnjega odstavka najmanjši nabor drugih identifikacijskih podatkov iz minimalnega nabora podatkov za fizično osebo, kot jih določa Izvedbena uredba Komisije (EU) 2015/1501 z dne 8. septembra 2015 o interoperabilnostnem okviru v skladu s členom 12(8) Uredbe (EU) št. 910/2014 Evropskega parlamenta in Sveta o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu (UL L št. 235 z dne 9. 9. 2015, str. 1), zadnjič popravljena s Popravkom (UL L št. 28 z dne 4. 2. 2016, str. 18), ki še vedno omogočajo doseganje istega namena.
(preklic sredstva elektronske identifikacije)
(1) Izdajatelj sredstva elektronske identifikacije prekliče sredstvo elektronske identifikacije takoj oziroma v najpozneje v 24 urah:
1. po prejemu zahtevka, če preklic sredstva elektronske identifikacije zahteva imetnik sredstva elektronske identifikacije pri izdajatelju;
2. ko izdajatelj izve, da je imetnik sredstva elektronske identifikacije umrl;
3. ko izdajatelj izve, da je podatek v sredstvu elektronske identifikacije ali evidenci sredstev elektronske identifikacije, ki vpliva na veljavnost oziroma raven zanesljivosti sredstva elektronske identifikacije, spremenjen ali napačen ali je bilo sredstvo elektronske identifikacije izdano na podlagi napačnih podatkov;
4. ko izdajatelj izve, da so bili podatki, nosilec sredstva elektronske identifikacije, naprave ali informacijski sistem izdajatelja sredstva elektronske identifikacije tako ogroženi, da to vpliva na raven zanesljivosti sredstva elektronske identifikacije;
5. ko izdajatelj izve, da so bili podatki, nosilec sredstva elektronske identifikacije, naprave ali informacijski sistem imetnika sredstva elektronske identifikacije tako ogroženi, da to vpliva na raven zanesljivosti sredstva elektronske identifikacije;
6. ko izdajatelj izve, da je preklic odredilo pristojno sodišče, sodnik za prekrške, upravni organ ali nadzorni organ za elektronsko identifikacijo; ali
7. ko izdajatelj izve, da je nosilec sredstva elektronske identifikacije neveljaven, izgubljen, odtujen ali ogrožen tako, da vpliva na veljavnost oziroma raven zanesljivosti sredstva elektronske identifikacije.
(2) Po preklicu izdajatelj sredstva elektronske identifikacije onemogoči nadaljnjo uporabo tega sredstva in zagotovi informacijo o preklicu v svojem sistemu za samodejno strojno preverjanje veljavnosti sredstva elektronske identifikacije.
(3) Izdajatelj sredstva elektronske identifikacije najpozneje v 24 urah obvesti o preklicu imetnika preklicanega sredstva elektronske identifikacije, razen v primeru iz 2. točke prvega odstavka tega člena. Podatke o preklicu posreduje tretji osebi, ki jih zahteva, ali jih javno objavi.
(dolžnosti imetnikov glede preklica sredstev elektronske identifikacije)
Imetnik sredstva elektronske identifikacije zahteva preklic svojega sredstva elektronske identifikacije, če:
– so bili podatki, nosilec sredstva elektronske identifikacije, naprave ali informacijski sistem imetnika sredstva elektronske identifikacije spremenjeni, izgubljeni, odtujeni ali ogroženi tako, da to vpliva na veljavnost oziroma raven zanesljivosti sredstva elektronske identifikacije, ali če obstaja nevarnost zlorabe, ali če
– so se spremenili podatki, ki so navedeni v sredstvu elektronske identifikacije ali v evidenci sredstev elektronske identifikacije, ki vplivajo na veljavnost oziroma raven zanesljivosti sredstva elektronske identifikacije.
(učinek preklica sredstva elektronske identifikacije)
(1) Preklic sredstva elektronske identifikacije učinkuje med imetnikom sredstva elektronske identifikacije in izdajateljem sredstva elektronske identifikacije od trenutka preklica dalje.
(2) Preklic sredstva elektronske identifikacije učinkuje med tretjimi osebami in izdajateljem sredstva elektronske identifikacije od trenutka objave, ali če preklic ni javno objavljen, od trenutka, ko tretje osebe izvedo zanj.
(3) Čas preklica se evidentira v evidenci sredstev elektronske identifikacije.
(začasna razveljavitev sredstva elektronske identifikacije)
(1) Začasna razveljavitev sredstva elektronske identifikacije pomeni neveljavnost tega sredstva v obdobju njegove razveljavitve.
(2) Začasna razveljavitev se izvede le na podlagi izrecne zahteve imetnika sredstva elektronske identifikacije.
(3) Začasna razveljavitev traja največ 48 ur. Če imetnik v tem roku ne zahteva vzpostavitve veljavnosti sredstva elektronske identifikacije, izdajatelj prekliče to sredstvo.
(4) Izdajatelj sredstva elektronske identifikacije posreduje podatke o začasni razveljavitvi tretji osebi, ki jih zahteva, ali jih javno objavi. Pri tem mora biti jasno razvidno, da gre za začasno razveljavitev.
(5) Izdajatelj sredstva elektronske identifikacije pri ureditvi začasne razveljavitve smiselno upošteva določila tega zakona, ki se nanašajo na preklic sredstva elektronske identifikacije.
(priglasitev sheme elektronske identifikacije)
Organ, pristojen za priglasitev shem elektronske identifikacije, kot sheme elektronske identifikacije priglasi tista sredstva elektronske identifikacije, za katera je določen namen čezmejne uporabe.
(začetek zagotavljanja nekvalificirane storitve zaupanja)
(1) Ponudniki kvalificiranih storitev zaupanja pred začetkom zagotavljanja nekvalificirane storitve zaupanja obvestijo nadzorni organ za storitve zaupanja, in sicer najmanj osem dni pred začetkom izvajanja te storitve.
(2) Nadzorni organ uvrsti storitev zaupanja na seznam nekvalificiranih storitev zaupanja.
(oprema za zagotavljanje nekvalificirane storitve zaupanja)
Če ponudnik kvalificiranih storitev zaupanja za izvajanje nekvalificiranih storitev zaupanja uporablja strojno oziroma programsko opremo, ki se uporablja tudi za izvajanje kvalificiranih storitev zaupanja, mora ponudnik na tej strojni oziroma programski opremi izvajati postopke v skladu z zahtevami za kvalificirano storitev zaupanja.
(uporaba EŠEI pri kvalificiranih potrdilih)
(1) Če je fizični osebi mogoče določiti EŠEI, kvalificirano potrdilo za elektronski podpis poleg podatkov iz Priloge I Uredbe 910/2014/EU vsebuje tudi:
– EŠEI imetnika,
– podatke za dostop do storitve za pridobivanje EŠEI imetnika na podlagi identifikacijskih podatkov kvalificiranega potrdila za elektronski podpis ali
– podatke za dostop do storitve za preverjanje EŠEI imetnika na podlagi identifikacijskih podatkov kvalificiranega potrdila za elektronski podpis.
(2) Če je poslovnemu subjektu mogoče določiti EŠEI, kvalificirano potrdilo za elektronski podpis, ki se izdaja za fizično osebo pri poslovnem subjektu, poleg podatkov iz prejšnjega odstavka vsebuje tudi:
– EŠEI poslovnega subjekta,
– podatke za dostop do storitve za pridobivanje EŠEI poslovnega subjekta na podlagi identifikacijskih podatkov kvalificiranega potrdila za elektronski podpis ali
– podatke za dostop do storitve za preverjanje EŠEI poslovnega subjekta na podlagi identifikacijskih podatkov kvalificiranega potrdila za elektronski podpis.
(3) Če je poslovnemu subjektu mogoče določiti EŠEI, kvalificirano potrdilo za elektronski žig poleg podatkov iz Priloge III Uredbe 910/2014/EU vsebuje tudi:
– EŠEI poslovnega subjekta,
– podatke za dostop do storitve za pridobivanje EŠEI poslovnega subjekta na podlagi identifikacijskih podatkov kvalificiranega potrdila za elektronski žig ali
– podatke za dostop do storitve za preverjanje EŠEI poslovnega subjekta na podlagi identifikacijskih podatkov kvalificiranega potrdila za elektronski žig.
(4) Če je fizični osebi ali poslovnemu subjektu mogoče določiti EŠEI, kvalificirano potrdilo za avtentikacijo spletišč poleg podatkov iz Priloge IV Uredbe 910/2014/EU vsebuje tudi:
– EŠEI imetnika,
– podatke za dostop do storitve za pridobivanje EŠEI imetnika na podlagi identifikacijskih podatkov kvalificiranega potrdila za avtentikacijo spletišč ali
– podatke za dostop do storitve za preverjanje EŠEI imetnika na podlagi identifikacijskih podatkov kvalificiranega potrdila za avtentikacijo spletišč.
(5) Vlada z uredbo določi tehnične specifikacije za zapis EŠEI v kvalificirano potrdilo ter za dostop do storitve za pridobivanje oziroma preverjanje EŠEI na podlagi identifikacijskih podatkov kvalificiranega potrdila iz tega člena.
(evidenca imetnikov kvalificiranih potrdil za elektronski podpis)
(1) Ponudnik kvalificiranih storitev zaupanja, registriran v Republiki Sloveniji, za identifikacijo in preverjanje identifikacijskih podatkov fizične osebe, za katero se izdaja kvalificirano potrdilo za elektronski podpis, ter za izdajo kvalificiranega potrdila za elektronski podpis in zagotavljanje njegove uporabe vodi evidenco imetnikov kvalificiranih potrdil za elektronski podpis.
(2) Evidenca imetnikov kvalificiranih potrdil za elektronski podpis vsebuje naslednje podatke:
1. identifikacijske podatke kvalificiranega potrdila za elektronski podpis;
2. identifikacijske podatke naprave za ustvarjanje kvalificiranega elektronskega podpisa;
3. osebno ime imetnika;
4. vrsto in številko veljavne javne listine imetnika, opremljene s fotografijo, ki jo je izdal državni organ, oziroma navedbo postopka, na podlagi katerega je bila opravljena identifikacija imetnika;
5. EŠEI imetnika;
6. davčno številko imetnika;
7. rojstni datum imetnika;
8. stalno prebivališče ali stalni naslov v tujini, začasno prebivališče ali začasni naslov v tujini in naslov za vročanje, če je to potrebno za pridobitev kvalificiranega potrdila za elektronski podpis;
9. telefonsko številko imetnika, če jo imetnik posreduje ali če je to potrebno za pridobitev kvalificiranega potrdila za elektronski podpis;
10. naslov elektronske pošte imetnika, če ga imetnik posreduje ali če je to potrebno za pridobitev kvalificiranega potrdila za elektronski podpis;
11. status kvalificiranega potrdila za elektronski podpis;
12. obdobje veljavnosti kvalificiranega potrdila za elektronski podpis;
13. obdobje začasne razveljavitve kvalificiranega potrdila za elektronski podpis;
14. datum preklica kvalificiranega potrdila za elektronski podpis.
(3) Če se izdaja kvalificirano potrdilo za elektronski podpis fizične osebe pri poslovnem subjektu, evidenca imetnikov kvalificiranih potrdil poleg podatkov iz prejšnjega odstavka vsebuje tudi podatke poslovnega subjekta iz 2., 3., 4., 5. in 7. točke drugega odstavka 26. člena tega zakona.
(4) Določila tega člena, ki veljajo za kvalificirana potrdila za elektronski podpis, smiselno veljajo tudi v primeru izdaje kvalificiranega potrdila za avtentikacijo spletišč, če je imetnik fizična oseba.
(evidenca imetnikov kvalificiranih potrdil za elektronski žig)
(1) Ponudnik kvalificiranih storitev zaupanja, registriran v Republiki Sloveniji, za identifikacijo in preverjanje identifikacijskih podatkov poslovnega subjekta in pooblaščenega predstavnika poslovnega subjekta, za katerega se izdaja kvalificirano potrdilo za elektronski žig, ter za izdajo kvalificiranega potrdila za elektronski žig in zagotavljanje njegove uporabe vodi evidenco imetnikov kvalificiranih potrdil za elektronski žig, ki so poslovni subjekti.
(2) Evidenca imetnikov kvalificiranih potrdil za elektronski žig vsebuje podatke:
1. identifikacijske podatke kvalificiranega potrdila za elektronski žig;
2. identifikacijske podatke naprave za ustvarjanje kvalificiranega elektronskega žiga;
3. firmo poslovnega subjekta;
4. davčno in matično številko poslovnega subjekta;
5. sedež poslovnega subjekta;
6. podatke o njegovih zastopnikih, ki obsegajo osebno ime in elektronski naslov;
7. podatke o pooblaščenem predstavniku poslovnega subjekta, ki obsegajo: osebno ime, vrsto in številko veljavne javne listine pooblaščenega predstavnika oziroma navedbo postopka, na podlagi katerega je bila opravljena identifikacija pooblaščenega predstavnika, in elektronski naslov;
8. EŠEI poslovnega subjekta;
9. status kvalificiranega potrdila za elektronski žig;
10. obdobje veljavnosti kvalificiranega potrdila za elektronski žig;
11. obdobje začasne razveljavitve kvalificiranega potrdila za elektronski žig;
12. datum preklica kvalificiranega potrdila za elektronski žig.
(3) Določila tega člena, ki veljajo za kvalificirana potrdila za elektronski žig, smiselno veljajo tudi v primeru izdaje kvalificiranega potrdila za avtentikacijo spletišč, če je imetnik poslovni subjekt.
(hramba podatkov o imetniku kvalificiranega potrdila)
Podatke glede kvalificiranega potrdila ponudnik kvalificiranih storitev zaupanja hrani deset let po prenehanju veljavnosti izdanega kvalificiranega potrdila ali deset let po koncu postopka, če se postopek ni končal z izdajo kvalificiranega potrdila.
(hramba podatkov za potrjevanje veljavnosti elektronskega podpisa, elektronskega žiga in elektronskega časovnega žiga)
(1) Če predpis določa, da se elektronski dokument, zapis ali podatek, ki je elektronsko podpisan, elektronsko žigosan ali elektronsko časovno žigosan, hrani, mora tisti, ki mora dokument, zapis ali podatek hraniti, hraniti tudi podatke za potrjevanje veljavnosti elektronskega podpisa, elektronskega žiga ali elektronskega časovnega žiga.
(2) Podatki za potrjevanje veljavnosti se hranijo enako dolgo kakor elektronski dokumenti, zapisi ali podatki iz prejšnjega odstavka.
(identifikacija ob izdaji kvalificiranih potrdil)
(1) Za izdajo kvalificiranega potrdila za elektronski podpis ali avtentikacijo spletišč fizični osebi v skladu s točko (a) prvega odstavka 24. člena Uredbe 910/2014/EU ponudnik kvalificirane storitve zaupanja izvede identifikacijo fizične osebe v skladu s prvo alinejo pod točko b) prvega odstavka 10. člena tega zakona.
(2) Za izdajo kvalificiranega potrdila za elektronski podpis fizične osebe pri poslovnem subjektu v skladu s točko (a) prvega odstavka 24. člena Uredbe 910/2014/EU ponudnik kvalificirane storitve zaupanja izvede:
– identifikacijo fizične osebe, za katero se izdaja kvalificirano potrdilo, na način, kot je naveden v prejšnjem odstavku;
– preverjanje poslovnega subjekta, za potrebe katerega se izdaja kvalificirano potrdilo, na podlagi podatkov poslovnega subjekta iz verodostojnega vira države, v kateri je poslovni subjekt registriran.
(3) Za izdajo kvalificiranega potrdila za elektronski žig ali avtentikacijo spletišč poslovnemu subjektu v skladu s točko (a) prvega odstavka 24. člena Uredbe 910/2014/EU ponudnik kvalificirane storitve zaupanja izvede:
– identifikacijo pooblaščenega predstavnika poslovnega subjekta, za potrebe katerega se izdaja kvalificirano potrdilo, na način, kot je naveden v prvem odstavku tega člena;
– preverjanje poslovnega subjekta, za potrebe katerega se izdaja kvalificirano potrdilo, na podlagi podatkov poslovnega subjekta iz verodostojnega vira države, v kateri je poslovni subjekt registriran.
(4) Sprejem zahtevkov za izdajo, preklic in začasno razveljavitev kvalificiranega potrdila ter identifikacijo iz tega člena lahko izvede prijavna služba.
(preverjanje podatkov v verodostojnih virih v Republiki Sloveniji)
Ponudniki kvalificiranih storitev zaupanja imajo za namene iz prejšnjega člena pravico brezplačno pridobiti ali preveriti podatke v verodostojnem viru.
(verodostojni vir v Republiki Sloveniji)
(1) Verodostojni vir podatkov o državljanih Republike Slovenije je centralni register prebivalstva, in sicer za podatke iz 3., 6., 7. in 8. točke drugega odstavka 25. člena tega zakona.
(2) Verodostojna vira podatkov o tujcih v Republiki Sloveniji sta centralni register prebivalstva in davčni register, in sicer za podatke iz 3., 6., 7. in 8. točke drugega odstavka 25. člena tega zakona.
(3) Verodostojni vir podatkov o poslovnih subjektih, registriranih v Republiki Sloveniji, je Poslovni register Slovenije (v nadaljnjem besedilu: poslovni register), in sicer za podatke iz 2., 3. in 4. točke drugega odstavka 26. člena tega zakona ter podatek o osebnem imenu zastopnika poslovnega subjekta iz 5. točke drugega odstavka 26. člena tega zakona.
(povezovanje evidenc imetnikov kvalificiranih potrdil)
(1) Evidenca imetnikov kvalificiranih potrdil se povezuje:
– s centralnim registrom prebivalstva tako, da se na podlagi davčne številke v evidenco imetnikov kvalificiranih potrdil na posamezno zahtevo ponudnika kvalificiranih storitev zaupanja ali njegove prijavne službe pridobijo podatki o osebnem imenu, rojstnem datumu in stalnem prebivališču ali stalnem naslovu v tujini, začasnem prebivališču ali začasnem naslovu v tujini in naslovu za vročanje;
– z davčnim registrom tako, da se na podlagi davčne številke v evidenco imetnikov kvalificiranih potrdil na posamezno zahtevo ponudnika kvalificiranih storitev zaupanja ali prijavne službe pridobijo podatki o osebnem imenu, rojstnem datumu in o stalnem prebivališču ali stalnem naslovu v tujini, začasnem prebivališču ali začasnem naslovu v tujini in naslovu za vročanje;
– s poslovnim registrom tako, da se na podlagi davčne številke v evidenco imetnikov kvalificiranih potrdil na posamezno zahtevo ponudnika kvalificiranih storitev zaupanja ali prijavne službe pridobijo podatki o firmi, matični številki in sedežu poslovnega subjekta ter osebnem imenu zastopnika poslovnega subjekta.
(2) Če prijavna služba v okviru izvajanja drugega zakona pridobi EMŠO imetnika, se izvajanje prve alineje prejšnjega odstavka zagotovi s posredovanjem EMŠO namesto s posredovanjem davčne številke. Po pridobitvi podatkov iz prejšnjega odstavka in davčne številke se EMŠO izbriše.
(1) Ponudnik kvalificiranih storitev zaupanja posluje v skladu s svojimi notranjimi pravili, ki jih opredeli v skladu z zahtevami Uredbe 910/2014/EU za ponudnike kvalificiranih storitev zaupanja in standardov, na podlagi katerih je bila skladnost njegovega poslovanja certificirana s strani organa za ugotavljanje skladnosti.
(2) Notranja pravila vsebujejo javni in zaupni del.
(3) Vse bistvene določbe notranjih pravil, ki vplivajo na odnos med ponudnikom in imetniki od njega izdanih kvalificiranih potrdil ter tretjimi osebami, ki se zanašajo na ta potrdila, morajo biti vsebovane v javnem delu notranjih pravil.
(preklic kvalificiranih potrdil)
(1) Ponudnik kvalificiranih storitev zaupanja prekliče kvalificirano potrdilo za elektronski podpis, elektronski žig ali avtentikacijo spletišč v času njegove veljavnosti v skladu s svojimi notranjimi pravili, ki urejajo preklice potrdil, vendar takoj oziroma v skladu s tretjim odstavkom 24. člena Uredbe 910/2014/EU:
1. po prejemu zahtevka, če preklic kvalificiranega potrdila zahteva imetnik kvalificiranega potrdila;
2. po prejemu zahtevka, če preklic kvalificiranega potrdila za elektronski podpis, izdanega fizični osebi pri poslovnem subjektu, zahteva zastopnik poslovnega subjekta;
3. ko izve, da je imetniku kvalificiranega potrdila ‒ fizični osebi – imenovan skrbnik, ali da je imetnik umrl;
4. ko izve, da je poslovni subjekt, za potrebe katerega je bilo izdano kvalificirano potrdilo, prenehal obstajati;
5. ko izve, da je poslovni subjekt, kjer je zaposlena fizična oseba, ki ji je bilo izdano kvalificirano potrdilo za elektronski podpis za fizično osebo pri poslovnem subjektu, prenehal obstajati;
6. ko izve, da je podatek v kvalificiranem potrdilu napačen ali je bilo kvalificirano potrdilo izdano na podlagi napačnih podatkov;
7. ko izve, da so bili podatki ali naprave za ustvarjanje elektronskega podpisa ali informacijski sistem ponudnika kvalificiranih storitev zaupanja ogroženi na način, ki vpliva na zanesljivost kvalificiranega potrdila;
8. ko izve, da so bili podatki ali naprave za ustvarjanje elektronskega podpisa ali informacijski sistem imetnika kvalificiranega potrdila ogroženi na način, ki vpliva na zanesljivost kvalificiranega potrdila;
9. ko ponudnik kvalificiranih storitev zaupanja preneha delovati ali mu je delovanje prepovedano in njegove dejavnosti ni prevzel drug ponudnik kvalificiranih storitev zaupanja ali
10. ko izve, da je preklic odredilo pristojno sodišče, sodnik za prekrške, upravni organ ali nadzorni organ za storitve zaupanja.
(2) Imetnik kvalificiranega potrdila zahteva preklic svojega kvalificiranega potrdila, če:
– so bili podatki za elektronsko podpisovanje, žigosanje ali avtentikacijo spletišč izgubljeni ali odtujeni, ali
– so bili podatki ali informacijski sistem imetnika kvalificiranega potrdila spremenjeni, odtujeni ali ogroženi tako, da to vpliva na zanesljivost oblikovanja elektronskega podpisa, žigosanje ali avtentikacijo spletišč, ali
– obstaja nevarnost zlorabe, ali
– so se spremenili podatki, ki so navedeni v kvalificiranem potrdilu ali evidenci kvalificiranih potrdil, ki vplivajo na veljavnost kvalificiranega potrdila.
(3) Ponudnik kvalificiranih storitev zaupanja v svojih notranjih pravilih določi, kdaj in kako se obvešča o izdaji oziroma preklicu kvalificiranega potrdila.
(učinek preklica kvalificiranih potrdil)
(1) Preklic kvalificiranega potrdila učinkuje med imetnikom kvalificiranega potrdila in ponudnikom kvalificiranih storitev zaupanja od trenutka preklica.
(2) Preklic potrdila učinkuje med tretjimi osebami in ponudnikom kvalificiranih storitev zaupanja od trenutka objave, če pa preklic še ni javno objavljen, od trenutka, ko zanj izvedo tretje osebe.
(3) Čas preklica se evidentira v evidenci kvalificiranih potrdil.
(začasna razveljavitev kvalificiranih potrdil za elektronski podpis in elektronski žig)
(1) Začasna razveljavitev kvalificiranega potrdila za elektronski podpis in elektronski žig pomeni neveljavnost kvalificiranega potrdila v času njegove razveljavitve.
(2) Če ponudnik kvalificiranih storitev zaupanja omogoča začasno razveljavitev kvalificiranega potrdila za elektronski podpis in elektronski žig, pogoje in postopke v zvezi z začasno razveljavitvijo uredi v svojih notranjih pravilih.
(3) Začasna razveljavitev kvalificiranega potrdila za elektronski podpis in elektronski žig se izvede le na podlagi izrecne zahteve imetnika kvalificiranega potrdila.
(4) Začasna razveljavitev kvalificiranega potrdila za elektronski podpis in elektronski žig traja največ 48 ur. Če imetnik v tem roku ne zahteva vzpostavitve veljavnosti kvalificiranega potrdila za elektronski podpis in elektronski žig, ponudnik kvalificirane storitve prekliče kvalificirano potrdilo.
(5) Ponudnik kvalificiranih storitev zaupanja pri ureditvi začasne razveljavitve kvalificiranih potrdil za elektronski podpis in elektronski žig smiselno upošteva določila tega zakona in Uredbe 910/2014/EU, ki se nanašajo na preklic kvalificiranih potrdil.
(zaposleni pri ponudniku kvalificiranih storitev zaupanja)
(1) Ponudnik kvalificiranih storitev zaupanja mora zaposlovati najmanj tri osebe z najmanj osmo ravnjo izobrazbe v skladu z zakonom, ki določa slovensko ogrodje kvalifikacij. Od tega morata najmanj dve osebi imeti izobrazbo tehnične oziroma naravoslovne smeri, najmanj dve osebi pa morata imeti tudi najmanj dve leti delovnih izkušenj s področja storitev zaupanja ali elektronskega poslovanja.
(2) Ponudnik kvalificiranih storitev zaupanja mora zaposlovati ali imeti sklenjeno ustrezno svetovalno pogodbo z osebo s pravno izobrazbo z najmanj osmo ravnjo izobrazbe po zakonu, ki določa slovensko ogrodje kvalifikacij, in ima najmanj dve leti delovnih izkušenj s področja storitev zaupanja ali elektronskega poslovanja.
(3) Vse osebe iz prvega in drugega odstavka tega člena morajo imeti posebna strokovna znanja o upravljanju in poznavanju tehnologije, varnostnih postopkih, pravnih zahtevah s področja storitev zaupanja ali elektronskega poslovanja ter delovanja ponudnikov kvalificiranih storitev zaupanja, pridobljena na strokovnih usposabljanjih.
(4) Naloge zaposlenih pri ponudniku kvalificiranih storitev zaupanja morajo biti porazdeljene med več oseb tako, da se prepreči možnost zlorab, ki bi jih storili zaposleni. Naloge zaposlenih morajo biti določene tako, da so med seboj jasno ločeni upravljanje kvalificirane storitve zaupanja, upravljanje informacijskega sistema ponudnika ter področje varovanja in kontrole.
(5) Zaposleni v prijavni službi ponudnika kvalificiranih storitev zaupanja morajo biti usposobljeni za zanesljivo preverjanje istovetnosti oseb.
(uporaba podatkov za ustvarjanje kvalificiranega elektronskega podpisa)
(1) Vsaka uporaba podatkov za ustvarjanje kvalificiranega elektronskega podpisa mora od podpisnika zahtevati prostovoljno, specifično, ozaveščeno, razumljivo, nedvoumno in zanesljivo dejanje za predstavitev napravi za ustvarjanje kvalificiranega elektronskega podpisa (na primer vnos gesla, prstni odtis).
(2) Če dejanje za predstavitev iz prejšnjega odstavka vključuje tudi voljo podpisnika za več podpisov, se podatki za ustvarjanje kvalificiranega elektronskega podpisa uporabijo za te konkretne podpise.
(časovna veljavnost kvalificiranega potrdila)
Časovna veljavnost kvalificiranega potrdila je največ deset let od dneva njegove izdaje.
(ponudnik kvalificiranih storitev zaupanja za državne organe)
(1) Ponudnik kvalificiranih storitev zaupanja Republika Slovenija izvaja kvalificirane storitve zaupanja za potrebe državnih organov.
(2) Informacijske rešitve za elektronsko poslovanje v podporo poslovanju organov iz prejšnjega odstavka, ki vključujejo tudi uporabo kvalificiranih storitev zaupanja, uporabljajo kvalificirane storitve zaupanja ponudnika kvalificiranih storitev zaupanja Republika Slovenija in njemu podrejenih ali od njega potrjenih drugih ponudnikov kvalificiranih storitev zaupanja iz nacionalnega zanesljivega seznama.
(3) Ponudnik kvalificiranih storitev zaupanja Republika Slovenija deluje v okviru ministrstva, pristojnega za zagotavljanje centralne storitve za spletno prijavo in elektronski podpis.
(prijavna služba ponudnika kvalificiranih storitev zaupanja Republika Slovenija)
(1) Naloge v zvezi s prijavo in preverjanjem istovetnosti imetnikov v postopkih izdaje in upravljanja kvalificiranih potrdil ponudnika kvalificiranih storitev zaupanja Republika Slovenija lahko opravljajo državni organi.
(2) Ponudnik kvalificiranih storitev zaupanja Republika Slovenija v svojih notranjih pravilih določi pogoje in način izvajanja nalog prijavne službe.
(3) Ponudnik kvalificiranih storitev zaupanja Republika Slovenija ima pravico vpogleda v dokumentacijo, ki jo v postopkih izdaje in upravljanja kvalificiranih potrdil hranijo prijavne službe.
(preverjanje interesa za certificiranje kvalificiranih naprav za ustvarjanje kvalificiranega elektronskega podpisa)
Ministrstvo, pristojno za informacijsko družbo, z javnim pozivom vsaj vsaki dve leti pozove javnost k priglasitvi interesa za certificiranje kvalificiranih naprav za ustvarjanje kvalificiranega elektronskega podpisa.
(vpis v nacionalni zanesljivi seznam)
(1) Pristojni organ ponudnika storitev zaupanja in kvalificirane storitve zaupanja, ki jih želi zagotavljati, vpiše v nacionalni zanesljivi seznam, če so za to izpolnjeni vsi pogoji iz tega zakona in Uredbe 910/2014/EU.
(2) Pristojni organ ponudniku kvalificiranih storitev zaupanja o izvedenem vpisu iz prejšnjega odstavka posreduje potrdilo.
(3) Če pristojni organ ugotovi, da ponudnik storitev zaupanja ali kvalificirane storitve zaupanja, ki jih želi zagotavljati, ne izpolnjujejo vseh pogojev, o tem izda upravno odločbo.
(4) Zoper odločbo iz prejšnjega odstavka ni pritožbe, zagotovljeno pa je sodno varstvo v upravnem sporu.
(sprememba ali odvzem kvalificiranega statusa v nacionalnem zanesljivem seznamu)
(1) O spremembi ali odvzemu kvalificiranega statusa ponudnika kvalificiranih storitev zaupanja za izvajanje kvalificirane storitve zaupanja, ki jo ta zagotavlja, pristojni organ odloči z upravno odločbo. Po dokončnosti upravne odločbe se sprememba vpiše v nacionalni zanesljivi seznam, če se z odločbo odvzame kvalificirani status, pa se kvalificiranega ponudnika kvalificiranih storitev zaupanja, ki je izvajal kvalificirano storitev zaupanja, izbriše iz nacionalnega zanesljivega seznama.
(2) Zoper odločbo iz prejšnjega odstavka ni pritožbe, zagotovljeno pa je sodno varstvo v upravnem sporu.
4. CENTRALNA STORITEV ZA SPLETNO PRIJAVO IN ELEKTRONSKI PODPIS
(centralna storitev za spletno prijavo in elektronski podpis)
(1) Centralna storitev za spletno prijavo in elektronski podpis je informacijska rešitev:
– preko katere se posameznik identificira in avtenticira z uporabo sredstev elektronske identifikacije;
– preko katere posameznik lahko elektronsko podpiše dokument z uporabo potrdila za elektronski podpis;
– ki zagotavlja funkcionalnosti čezmejne avtentikacije v skladu s 6. členom Uredbe 910/2014/EU;
– ki zagotavlja ustvarjanje pooblastil v elektronski obliki za identifikacijo in avtentikacijo pooblaščenca in njihovo uporabo v pravnem prometu.
(2) Centralno storitev za spletno prijavo in elektronski podpis iz prejšnjega odstavka lahko za svoje poslovanje uporabljajo organi javnega sektorja, ki ponujajo elektronske storitve. Za te organe je storitev brezplačna.
(3) Centralno storitev za spletno prijavo in elektronski podpis iz prvega odstavka tega člena lahko za svoje poslovanje uporabljajo ponudniki elektronskih storitev, registrirani v Republiki Sloveniji.
(4) Ne glede na prejšnji odstavek lahko storitev iz tretje alineje prvega odstavka tega člena za svoje poslovanje uporabljajo vsi ponudniki elektronskih storitev.
(5) Vlada z uredbo določi tehnične pogoje in tehnične specifikacije za izvajanje drugega, tretjega in četrtega odstavka tega člena. Vlada z uredbo določi tudi cenik storitev za ponudnike elektronskih storitev.
(6) Pooblastilo v elektronski obliki se pripravi preko centralne storitve za spletno prijavo in elektronski podpis s podatki o pooblastitelju in pooblaščencu, obsegu in času pooblastila. Pooblastilo podpiše pooblastitelj s kvalificiranim elektronskim podpisom.
(7) Pooblastilo v fizični obliki s podatki o pooblastitelju in pooblaščencu, obsegu in času pooblastila pred uradno osebo na upravni enoti pooblastitelj lastnoročno podpiše ali prizna podpis, ki je že na listini, za svoj podpis. Istovetnost predlagatelja listine ugotovi uradna oseba na podlagi veljavne javne listine, opremljene s fotografijo, ki jo je izdal državni organ, razen v primerih, ko je predlagatelj uradni osebi osebno znan. Nato pooblastilo uradna oseba skenira in ga s podatki vnese v centralno storitev za spletno prijavo in elektronski podpis.
(obdelava osebnih podatkov in povezovanje centralne storitve za spletno prijavo in elektronski podpis)
(1) V okviru centralne storitve za spletno prijavo in elektronski podpis se za njeno uporabo iz prvih treh alinej prvega odstavka prejšnjega člena hranijo naslednji podatki:
– identifikator sredstva elektronske identifikacije;
– elektronski naslov posameznika, ki je storitev uporabil;
– EŠEI;
– davčna številka;
– identifikator uporabniškega računa posameznika, ki je storitev uporabil.
(2) Podatke iz prejšnjega odstavka se hrani še pet let po izvedeni zahtevi za izbris podatkov s strani posameznika, ki je storitev iz prejšnjega odstavka uporabil, ali po zadnji uporabi te storitve s strani posameznika.
(3) V okviru centralne storitve za spletno prijavo in elektronski podpis se za njeno uporabo iz četrte alineje prvega odstavka prejšnjega člena hrani pooblastilo in za potrebe preverjanja pooblaščanja obdelujejo naslednji podatki:
– osebno ime fizične osebe ali firma poslovnega subjekta pooblaščenca in pooblastitelja,
– EŠEI pooblaščenca in pooblastitelja,
– elektronski naslov pooblaščenca in pooblastitelja,
– čas veljavnosti pooblastila,
– identifikator pooblastila,
– obseg pooblastila,
– podpis pooblastitelja,
– datum smrti pooblastitelja.
(4) Centralna storitev za spletno prijavo in elektronski podpis v delu, ki omogoča ustvarjanje in hrambo pooblastil, ni uradna evidenca, v kateri organi preverjajo obstoj ali obseg pooblastila. Pooblastitelj ali pooblaščenec je dolžan zagotoviti, da organ, pred katerim se izvaja zastopanje, dobi pooblastilo iz centralne storitve za spletno prijavo in elektronski podpis in ne more zahtevati, da ga pridobi organ po uradni dolžnosti. Organ, ki vodi postopek, nima dostopa do podatkov iz prejšnjega odstavka.
(5) Pooblastilo in podatki iz tretjega odstavka tega člena se hranijo šest mesecev po posredovanju zahteve za preklic ali odpoved elektronskega pooblastila s strani pooblaščenca ali pooblastitelja in največ pet let po zadnji uporabi te storitve s strani pooblaščenca.
(6) Centralna storitev za spletno prijavo in elektronski podpis pri zagotavljanju storitev iz prvih treh alinej prvega odstavka prejšnjega člena obdeluje tudi druge podatke, kot so navedeni v prvem odstavku tega člena, in sicer za njihovo posredovanje ponudnikom elektronskih storitev, vendar izključno na zahtevo posameznika, ki storitev uporablja. Ti podatki se po njihovem posredovanju ponudnikom elektronskih storitev izbrišejo. Za te namene se centralna storitev za spletno prijavo in elektronski podpis povezuje:
– s centralnim registrom prebivalstva tako, da se na zahtevo posameznika, imetnika sredstva elektronske identifikacije, na podlagi davčne številke iz centralnega registra prebivalstva pridobijo podatki o osebnem imenu, EMŠO, rojstnem datumu, rojstnem kraju, državi rojstva, spolu, državljanstvu in stalnem prebivališču ali stalnem naslovu v tujini, začasnem prebivališču ali začasnem naslovu v tujini in naslovu za vročanje ter datumu smrti;
– s centralnim registrom prebivalstva tako, da se na zahtevo posameznika, ki prijavo izvaja na podlagi čezmejne avtentikacije prek spleta v skladu z Uredbo 910/2014/EU, na podlagi EMŠO iz centralnega registra prebivalstva pridobijo podatki o osebnem imenu in rojstnem datumu;
– z davčnim registrom tako, da se na zahtevo posameznika, ki prijavo izvaja na podlagi čezmejne avtentikacije prek spleta v skladu z Uredbo 910/2014/EU, na podlagi davčne številke, osebnega imena in rojstnega datuma iz davčnega registra pridobi podatek o ujemanju posredovanih podatkov z zapisom v davčnem registru;
– s poslovnim registrom tako, da se na zahtevo posameznika, imetnika sredstva elektronske identifikacije, na podlagi davčne številke iz poslovnega registra pridobi podatek o poslovnih subjektih, pri katerih nastopa v vlogi zakonitega zastopnika.
(7) Centralna storitev za spletno prijavo in elektronski podpis se pri zagotavljanju storitev iz četrte alineje prvega odstavka prejšnjega člena ob ustvarjanju pooblastila v elektronski obliki za preverjanje ustreznosti vnesenih podatkov na zahtevo pooblastitelja ali pooblaščenca povezuje s centralnim registrom prebivalstva oziroma s poslovnim registrom, in sicer tako, da centralna storitev za spletno prijavo in elektronski podpis:
– centralnemu registru prebivalstva posreduje osebno ime in davčno številko pooblaščenca ali pooblastitelja, ki je fizična oseba, centralni register prebivalstva pa posreduje podatek o ujemanju prejetih podatkov ter v primeru ujemanja podatkov tudi podatek o morebitnem datumu smrti pooblastitelja;
– poslovnemu registru posreduje firmo in davčno številko pooblaščenca ali pooblastitelja, ki je poslovni subjekt, poslovni register pa posreduje podatek o ujemanju prejetih podatkov.
(vloge, vložene preko državnega portala eUprava)
(1) Državni portal eUprava omogoča vlaganje vlog preko informacijskega sistema za oddajo vlog posameznikom, ki so registrirani za uporabo portala, tako da izkažejo svojo identiteto. Šteje se, da je identiteta izkazana tudi, če se posameznik prijavi v državni portal eUprava z uporabniškim imenom in geslom, ki sta mu bila dodeljena v okviru centralne storitve za spletno prijavo in elektronski podpis pod pogojem, da se je predhodno izvedlo ugotavljanje identitete posameznika, kot to določa 48. člen tega zakona.
(2) Posameznik, ki vlaga vlogo preko informacijskega sistema za oddajo vlog na državnem portalu eUprava, potrdi vložitev vloge z naprednim elektronskim podpisom preko centralne storitve za spletno prijavo in elektronski podpis.
(centralna storitev za spletno prijavo in elektronski podpis pri prijavi v elektronske storitve)
(1) V centralni storitvi za spletno prijavo in elektronski podpis se za ugotavljanje identitete posameznika, ki uporablja elektronske storitve organov državne uprave, preveri ujemanje podatkov, ki jih je vnesel posameznik, z njegovimi podatki iz uradnih evidenc. Preverijo se ujemanje imena in priimka posameznika, njegove EMŠO, davčne številke, številke zdravstvenega zavarovanja ter številke osebne izkaznice, potne listine ali vozniškega dovoljenja. Podatki se preverijo s soglasjem posameznika, in sicer tako, da se:
– ime, priimek, EMŠO in davčna številka preverijo v centralnem registru prebivalstva, podatek o ujemanju pa se prenese v centralno storitev za spletno prijavo in elektronski podpis,
– EMŠO in številka zdravstvenega zavarovanja preverita v evidenci Zavoda za zdravstveno zavarovanje Slovenije, podatek o ujemanju pa se prenese v centralno storitev za spletno prijavo in elektronski podpis,
– EMŠO in številka osebne izkaznice preverita v evidenci izdanih osebnih izkaznic, podatek o ujemanju pa se prenese v centralno storitev za spletno prijavo in elektronski podpis,
– EMŠO in številka potne listine preverita v evidenci izdanih potnih listin, podatek o ujemanju pa se prenese v centralno storitev za spletno prijavo in elektronski podpis,
– EMŠO in številka vozniškega dovoljenja preverita v evidenci izdanih vozniških dovoljenj, podatek o ujemanju pa se prenese v centralno storitev za spletno prijavo in elektronski podpis.
(2) Če se vneseni podatki iz prejšnjega odstavka ne ujemajo v vseh uradnih evidencah, v katerih se preverjanje izvaja, je posameznik seznanjen le z dejstvom o neujemanju.
(3) Če se vneseni podatki iz prvega odstavka tega člena ujemajo, se v centralni storitvi za spletno prijavo in elektronski podpis za nadaljnje prijave posameznika hranita njegovo uporabniško ime in davčna številka.
(4) Posameznik lahko kadarkoli zahteva izbris svojega shranjenega uporabniškega imena in davčne številke. Podatka o shranjenem uporabniškem imenu in davčni številki se hranita še pet let po izvedeni zahtevi za izbris podatkov ali po zadnji uporabi uporabniškega imena.
(pristojni organi za elektronsko identifikacijo)
(1) Za priglasitev shem elektronske identifikacije v skladu s prvim odstavkom 9. člena in 12. členom Uredbe 910/2014/EU je pristojno ministrstvo, pristojno za informacijsko družbo.
(2) Za varnostno sodelovanje v skladu z 10. členom Uredbe 910/2014/EU je pristojen organ v sestavi ministrstva, pristojnega za informacijsko družbo.
(3) Za shemo elektronske identifikacije iz prvega odstavka tega člena v skladu s točko (c) prvega odstavka 9. člena Uredbe 910/2014/EU je odgovorno ministrstvo, pristojno za zagotavljanje centralne storitve za spletno prijavo in elektronski podpis.
(4) Za zagotovitev informacijskega sistema za vzajemno priznavanje sredstev elektronske identifikacije, izdanih v drugi državi članici v skladu s 6. členom Uredbe 910/2014/EU, je pristojno ministrstvo, pristojno za zagotavljanje centralne storitve za spletno prijavo in elektronski podpis.
(5) Za zagotovitev čezmejne avtentikacije prek spleta v skladu s točko (f) 7. člena Uredbe 910/2014/EU je pristojno ministrstvo, pristojno za zagotavljanje centralne storitve za spletno prijavo in elektronski podpis.
(6) Nadzorni organ za elektronsko identifikacijo je organ v sestavi ministrstva, pristojnega za informacijsko družbo.
(7) Za vzpostavitev in vzdrževanje interoperabilnostnega okvira v skladu z 12. členom Uredbe 910/2014/EU je pristojno ministrstvo, pristojno za zagotavljanje centralne storitve za spletno prijavo in elektronski podpis.
(pristojnosti nadzornega organa za elektronsko identifikacijo)
Nadzorni organ za elektronsko identifikacijo:
– preverja skladnost delovanja izdajatelja sredstev elektronske identifikacije s predpisi;
– v okviru inšpekcijskega nadzorstva inšpektor preverja, ali organi javnega sektorja, ki so ponudniki elektronskih storitev v skladu s 6. členom Uredbe 910/2014/EU, ves čas izvajanja dejavnosti izpolnjujejo zahteve iz Uredbe 910/2014/EU, tega zakona in na njegovi podlagi izdanih podzakonskih predpisov.
(pristojni organi za storitve zaupanja)
(1) Nadzorni organ za storitve zaupanja je organ v sestavi ministrstva, pristojnega za informacijsko družbo.
(2) Za vodenje nacionalnega zanesljivega seznama v skladu z 22. členom Uredbe 910/2014/EU in seznama nekvalificiranih storitev zaupanja je pristojen organ v sestavi ministrstva, pristojnega za informacijsko družbo.
(3) Za akreditacijo organov za ugotavljanje skladnosti je pristojna Slovenska akreditacija.
(pristojnosti nadzornega organa za storitve zaupanja)
Nadzorni organ za storitve zaupanja:
– preverja zagotavljanje storitev zaupanja po tem zakonu,
– je pristojen za izvajanje nadzornih nalog v skladu s 17. členom Uredbe 910/2014/EU.
(ukrepi nadzornih organov in pravna sredstva)
(1) V postopku nadzora po tem zakonu se uporabljajo določbe zakona, ki ureja inšpekcijski nadzor.
(2) Inšpektor lahko po tem zakonu z odločbo odredi ukrepe za odpravo ugotovljenih nepravilnosti in določi rok za njihovo odpravo.
(3) Inšpektor lahko po tem zakonu ob uporabi določb zakona, ki ureja inšpekcijski nadzor, glede prepovedi opravljanja dejavnosti s posebnim ukrepom tudi prepove delovanje ponudnika kvalificiranih storitev zaupanja.
(4) Prepoved delovanja iz prejšnjega odstavka ne vpliva na obveznosti ponudnika kvalificiranih storitev zaupanja do pred tem izdanih kvalificiranih potrdil in že izvedenih kvalificiranih storitev zaupanja.
(5) Zoper odločbo inšpektorja ni pritožbe, zagotovljeno pa je sodno varstvo v upravnem sporu.
(prekrški ponudnika storitev zaupanja)
(1) Z globo od 5.000 do 30.000 eurov se za prekršek kaznuje pravna oseba, če:
1. ne izvaja ustreznih tehničnih in organizacijskih ukrepov za obvladovanje nevarnosti, povezanih z varnostjo storitev zaupanja, oziroma ti ukrepi ob upoštevanju najnovejših tehnoloških dosežkov ne zagotavljajo, da je raven varnosti sorazmerna s stopnjo nevarnosti (prvi odstavek 19. člena Uredbe 910/2014/EU);
2. ob vsaki kršitvi varnosti ali izgubi celovitosti, ki znatno vpliva na zagotovljeno storitev zaupanja ali osebne podatke, vsebovane v njej, v 24 urah po njeni ugotovitvi uradno ne obvesti nadzornega organa in po potrebi drugih pristojnih organov, fizičnih ter pravnih oseb (drugi odstavek 19. člena Uredbe 910/2014/EU);
3. začne zagotavljati kvalificirane storitve zaupanja, ne da bi bil njegov kvalificirani status naveden na zanesljivem seznamu (tretji odstavek 21. člena Uredbe 910/2014/EU);
4. uporablja znak zaupanja EU za kvalificirane storitve zaupanja v nasprotju s prvim odstavkom 23. člena Uredbe 910/2014/EU.
(2) Z globo od 3.000 do 30.000 eurov se za prekršek iz prejšnjega odstavka kaznuje samostojni podjetnik posameznik ali posameznik, ki samostojno opravlja dejavnost.
(3) Z globo od 3.000 do 15.000 eurov se za prekršek kaznuje pravna oseba, če kot ponudnik kvalificiranih storitev zaupanja:
1. ne zagotovi, da je na njegovem spletišču navedena povezava do ustreznega zanesljivega seznama (drugi odstavek 23. člena Uredbe 910/2014/EU);
2. ne preveri identitete in drugih posebnih lastnosti osebe, za katero izdaja kvalificirano potrdilo (prvi odstavek 24. člena Uredbe 910/2014/EU);
3. pri zagotavljanju kvalificiranih storitev zaupanja ne izpolnjuje zahtev iz drugega odstavka 24. člena Uredbe 910/2014/EU;
4. preklica ne zabeleži v svoji podatkovni zbirki potrdil ali ga ne objavi pravočasno (tretji odstavek 24. člena Uredbe 910/2014/EU);
5. ne prekliče kvalificiranih potrdil v primerih iz prvega odstavka 34. člena tega zakona;
6. ne prekliče kvalificiranih potrdil v primeru iz drugega odstavka 34. člena tega zakona;
7. izvede preklic v nasprotju s tretjim odstavkom 35. člena tega zakona;
8. nima določenega načina obveščanja iz tretjega odstavka 34. člena tega zakona;
9. ne zagotovi informacij o veljavnosti ali preklicu izdanih kvalificiranih potrdil (četrti odstavek 24. člena Uredbe 910/2014/EU);
10. izda kvalificirano potrdilo za elektronski podpis, ki ne izpolnjuje zahtev iz Priloge I Uredbe 910/2014/EU (prvi odstavek 28. člena Uredbe 910/2014/EU);
11. ponovno aktivira kvalificirana potrdila za elektronski podpis, potem ko so bila že preklicana (četrti odstavek 28. člena Uredbe 910/2014/EU);
12. pri začasni razveljavitvi kvalificiranega potrdila za elektronski podpis ne ukrepa v skladu z drugim, tretjim, četrtim ali petim odstavkom 36. člena tega zakona;
13. omogoči ustvarjanje kvalificiranega elektronskega podpisa z napravo, ki ne izpolnjuje zahtev iz Priloge II Uredbe 910/2014/EU (prvi odstavek 29. člena Uredbe 910/2014/EU);
14. zagotavlja potrjevanje veljavnosti kvalificiranih elektronskih podpisov, ne da bi izpolnjevali zahteve iz prvega odstavka 32. člena Uredbe 910/2014/EU;
15. zagotavlja kvalificirano storitev potrjevanja veljavnosti kvalificiranih elektronskih podpisov, ne da bi izpolnjeval zahteve iz prvega odstavka 33. člena Uredbe 910/2014/EU;
16. zagotavlja kvalificirano storitev hrambe kvalificiranih elektronskih podpisov, ne da bi izpolnjevala zahteve iz prvega odstavka 34. člena Uredbe 910/2014/EU;
17. izda kvalificirano potrdilo za elektronski žig, ki ne izpolnjuje zahtev iz Priloge III Uredbe 910/2014/EU (prvi odstavek 38. člena Uredbe 910/2014/EU);
18. ponovno aktivira kvalificirana potrdila za elektronski žig, potem ko so bila že preklicana (četrti odstavek 38. člena Uredbe 910/2014/EU);
19. omogoči ustvarjanje kvalificiranega elektronskega žiga z napravo, ki ne izpolnjuje zahtev iz Priloge II Uredbe 910/2014/EU (prvi odstavek 39. člena Uredbe 910/2014/EU);
20. zagotavlja potrjevanje veljavnosti in hrambo kvalificiranih elektronskih žigov, ne da bi izpolnjevala zahteve iz 40. člena Uredbe 910/2014/EU;
21. izda kvalificirani elektronski časovni žig v nasprotju z zahtevami iz 42. člena Uredbe 910/2014/EU;
22. zagotavlja kvalificirane storitve elektronske priporočene dostave v nasprotju z zahtevami iz 44. člena Uredbe 910/2014/EU;
23. izda kvalificirano potrdilo za avtentikacijo spletišč, ki ne izpolnjuje zahtev iz Priloge IV Uredbe 910/2014/EU (prvi odstavek 45. člena Uredbe 910/2014/EU);
24. ne hrani osebnih in drugih podatkov iz 27. člena tega zakona še deset let po prenehanju veljavnosti izdanega kvalificiranega potrdila ali deset let po koncu postopka, če se postopek ni končal z izdajo kvalificiranega potrdila.
(4) Z globo od 2.000 do 15.000 eurov se za prekršek iz prejšnjega odstavka kaznuje samostojni podjetnik posameznik ali posameznik, ki samostojno opravlja dejavnost.
(5) Z globo od 1.000 do 5.000 eurov se kaznuje odgovorna oseba pravne osebe, odgovorna oseba samostojnega podjetnika posameznika, odgovorna oseba posameznika, ki samostojno opravlja dejavnost, ali odgovorna oseba v državnem organu ali v samoupravni lokalni skupnosti, ki stori prekršek iz prvega ali tretjega odstavka tega člena.
(6) Z globo od 2.000 do 20.000 eurov se za prekršek kaznuje ponudnik storitev zaupanja ali kvalificiranih storitev zaupanja, ki kot pravna oseba, samostojni podjetnik posameznik ali posameznik, ki samostojno opravlja dejavnost, dejavnost še naprej opravlja, čeprav mu je nadzorni organ delno ali v celoti prepovedal opravljanje dejavnosti.
(7) Z globo od 1.000 do 5.000 eurov se kaznuje odgovorna oseba pravne osebe, odgovorna oseba samostojnega podjetnika posameznika, odgovorna oseba posameznika, ki samostojno opravlja dejavnost, ali odgovorna oseba v državnem organu ali v samoupravni lokalni skupnosti, ki stori prekršek iz prejšnjega odstavka.
(prekrški v javnem sektorju)
(1) Z globo od 2.000 do 10.000 eurov se kaznuje pravna oseba, če ta kot ponudnik elektronskih storitev:
1. ne prizna sredstva elektronske identifikacije za dostop in uporabo elektronske storitve, ki jo nudi, čeprav so izpolnjeni pogoji iz 6. člena Uredbe 910/2014/EU;
2. ne prizna sredstva elektronske identifikacije za dostop in uporabo elektronske storitve, ki jo nudi (prvi odstavek 14. člena tega zakona);
3. pred uporabo sredstva elektronske identifikacije srednje ali visoke ravni zanesljivosti ne preveri veljavnosti sredstva elektronske identifikacije ali na drug način zagotovi, da se uporablja veljavno sredstvo elektronske identifikacije (drugi odstavek 14. člena tega zakona), ali določi raven zanesljivosti v nasprotju s 15. členom tega zakona;
4. ne prizna naprednih elektronskih podpisov, naprednih elektronskih podpisov, ki temeljijo na kvalificiranem potrdilu za elektronske podpise, in kvalificiranih elektronskih podpisov, ki so vsaj v formatih ali uporabljajo metode, ki so opredeljene v izvedbenih aktih iz petega odstavka 27. člena Uredbe 910/2014/EU, pa za uporabo spletne storitve, ki jo zagotavlja organ javnega sektorja ali se zagotavlja v njegovem imenu, zahteva napredni elektronski podpis (prvi odstavek 27. člena Uredbe 910/2014/EU);
5. ne prizna naprednih elektronskih podpisov, ki temeljijo na kvalificiranem potrdilu, in kvalificiranih elektronskih podpisov, ki so vsaj v formatih ali uporabljajo metode, ki so opredeljene v izvedbenih aktih iz petega odstavka 27. člena Uredbe 910/2014/EU, pa za uporabo spletne storitve, ki jo zagotavlja organ javnega sektorja ali se zagotavlja v njegovem imenu, zahteva napredni elektronski podpis, ki temelji na kvalificiranem potrdilu (drugi odstavek 27. člena Uredbe 910/2014/EU);
6. ne prizna naprednih elektronskih žigov, naprednih elektronskih žigov, ki temeljijo na kvalificiranem potrdilu za elektronske žige, in kvalificiranih elektronskih žigov, ki so vsaj v formatih ali uporabljajo metode, ki so opredeljene v izvedbenih aktih iz petega odstavka 37. člena Uredbe 910/2014/EU, pa za uporabo spletne storitve, ki jo zagotavlja organ javnega sektorja ali se zagotavlja v njegovem imenu, zahteva napredni elektronski žig (prvi odstavek 37. člena Uredbe 910/2014/EU);
7. ne prizna naprednih elektronskih žigov, ki temeljijo na kvalificiranem potrdilu, in kvalificiranih elektronskih žigov, ki so vsaj v formatih ali uporabljajo metode, ki so opredeljene v izvedbenih aktih iz petega odstavka 37. člena Uredbe 910/2014/EU, pa za uporabo spletne storitve, ki jo zagotavlja organ javnega sektorja ali se zagotavlja v njegovem imenu, zahteva napredni elektronski žig, ki temelji na kvalificiranem potrdilu (drugi odstavek 37. člena Uredbe 910/2014/EU).
(2) Z globo od 1.000 do 4.000 eurov se za prekršek iz prejšnjega odstavka kaznuje samostojni podjetnik posameznik ali posameznik, ki samostojno opravlja dejavnost.
(3) Z globo od 1.000 do 4.000 eurov se za prekršek iz prvega odstavka tega člena kaznuje odgovorna oseba pravne osebe, odgovorna oseba samostojnega podjetnika posameznika oziroma posameznika, ki samostojno opravlja dejavnost, ali odgovorna oseba v državnem organu ali v samoupravni lokalni skupnosti.
(nezakonita uporaba sredstva elektronske identifikacije in nezakonita uporaba kvalificiranega potrdila)
(1) Z globo od 1.000 do 4.000 eurov se kaznuje imetnik sredstva elektronske identifikacije, če sredstva elektronske identifikacije ne uporablja osebno in s skrbnostjo dobrega gospodarja (prvi odstavek 4. člena tega zakona).
(2) Z globo od 500 do 1.000 eurov se kaznuje imetnik kvalificiranega potrdila, če kvalificiranega potrdila in podatkov, ki so potrebni za njegovo uporabo, ne uporablja in hrani s skrbnostjo dobrega gospodarja ali gospodarstvenika (drugi odstavek 4. člena tega zakona).
(višina globe v hitrem prekrškovnem postopku)
Za prekrške iz tega zakona se sme v hitrem postopku izreči globa tudi v znesku, ki je višji od najnižje predpisane globe, določene s tem zakonom.
7. PREHODNE IN KONČNE DOLOČBE
(uporaba kvalificiranih potrdil za elektronski podpis, ki so izdana tudi za namen avtentikacije)
(1) Fizična oseba lahko za namene elektronske identifikacije in avtentikacije za dostop do elektronskih storitev v javnem sektorju iz 14. člena tega zakona uporablja kvalificirano potrdilo za elektronski podpis še pet let po uveljavitvi tega zakona, če:
– je kvalificirano potrdilo izdal ponudnik kvalificiranih storitev zaupanja, ki je bil ob uveljavitvi zakona registriran v Republiki Sloveniji in vpisan v nacionalni zanesljivi seznam,
– je bilo kvalificirano potrdilo izdano tudi za namen avtentikacije in
– je iz kvalificiranega potrdila mogoče samodejno, na avtomatiziran način, nedvoumno ugotoviti identiteto imetnika.
(2) Če drugi predpis zahteva uporabo sredstva elektronske identifikacije, se kot ustrezno šteje tudi kvalificirano potrdilo iz prejšnjega odstavka.
(začetek preverjanja interesa za certificiranje kvalificiranih naprav za ustvarjanje kvalificiranega elektronskega podpisa)
Javnost se po 42. členu tega zakona prvič pozove k priglasitvi interesa za certificiranje kvalificiranih naprav za ustvarjanje kvalificiranega elektronskega podpisa v dveh letih po uveljavitvi tega zakona.
(začetek uporabe EŠEI v kvalificiranih potrdilih)
Izdajanje kvalificiranih potrdil z uporabo EŠEI v skladu s 24. členom tega zakona se začne v dveh letih po uveljavitvi podzakonskih aktov iz 63. člena tega zakona.
(sprememba zakona in razveljavitev predpisa)
(1) V Zakonu o elektronskem poslovanju in elektronskem podpisu (Uradni list RS, št. 98/04 – uradno prečiščeno besedilo, 61/06 – ZEPT in 46/14) se črtajo:
– v prvem odstavku 1. člena za besedo »tehnologije« besedilo »in uporabo elektronskega podpisa v pravnem prometu«,
– drugi odstavek 1. člena,
– 3., 4., 5., 10., 12., 13., 14., 15., 16., 17., 18., 19. in 20. točka 2. člena;
– tretje in četrto poglavje.
(2) Z dnem uveljavitve tega zakona preneha veljati Uredba o izvajanju Uredbe (EU) o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu in razveljavitvi Direktive 1999/93/ES (Uradni list RS, št. 46/16).
(uskladitev področnih predpisov)
(1) Predpisi, ki določajo uporabo storitev zaupanja v skladu z Uredbo 910/2014/EU, se uskladijo s tem zakonom v petih letih po njegovi uveljavitvi.
(2) Če predpis določa obveznost uporabe varnega elektronskega podpisa, overjenega s kvalificiranim digitalnim potrdilom, se šteje, da se zahteva kvalificirani elektronski podpis.
(izdaja podzakonskih aktov)
(1) Rok za izdajo podzakonskih predpisov po tem zakonu je šest mesecev po uveljavitvi tega zakona.
(2) Vlada Republike Slovenije uskladi Uredbo o organih v sestavi ministrstev (Uradni list RS, št. 35/15, 62/15, 84/16, 41/17, 53/17, 52/18, 84/18, 10/19, 64/19 in 64/21) s tem zakonom v treh mesecih od njegove uveljavitve.
47. in 48. člen tega zakona se začneta uporabljati tri mesece od uveljavitve tega zakona.
Ta zakon začne veljati petnajsti dan po objavi v Uradnem listu Republike Slovenije.
Št. 011-02/21-9/13
Ljubljana, dne 13. julija 2021
EPA 1788-VIII
