Overitelj digitalnih potrdil na Ministrstvu za javno upravo
Tržaška cesta 21
1000 Ljubljana
Slovenija

 

Vlada RS MJU Domov English Domov

PRAVNA POJASNILA GLEDE UREDITVE
ELEKTRONSKEGA PODPISA

 

 

Uvod

Elektronski podpis v Republiki Sloveniji urejata predvsem

Zakon o elektronskem poslovanju in elektronskem podpisu (ZEPEP)

in

Uredba o pogojih za elektronsko poslovanje in elektronsko podpisovanje

Bistveni pomen zakona je, da pod posebnimi pogoji elektronskemu podpisu priznava enako veljavo, kot jo ima v papirnatem svetu lastnoročni podpis. Na podlagi zakona izdana uredba pa podrobneje določa posamezne pogoje iz zakona. Zakon in uredba sta v celoti usklajena z določili Modelnega zakona Komisije OZN za mednarodno gospodarsko pravo (UNCITRAL) o elektronskem poslovanju in Enotnimi pravili za elektronske podpise ter z določili primarne evropske zakonodaje. Prevzemata pa tudi vse določbe Direktive 1999/93/EC Evropskega parlamenta in sveta EU z dne 13. decembra 1999 o skupnem okviru Skupnosti za elektronske podpise.

Načela zakona

Zakon o elektronskem poslovanju in elektronskem podpisu temelji na sodobnih načelih: načelo nediskriminacije elektronske oblike, načelo odprtosti, načelo pogodbene svobode strank, načelo dvojnosti, načeli varstva osebnih podatkov in varstva potrošnikov in načelo mednarodnega priznavanja.

Načelo nediskriminacije elektronske oblike pomeni, da sta papirna in elektronska oblika smiselno izenačeni ter da sodišča in državni organi pri presoji dokazov ne smejo zavreči dokaznega gradiva zgolj zaradi njegove elektronske oblike.

Načelo odprtosti oziroma tehnološke nevtralnosti zagotavlja, da se zakon ne nanaša zgolj na eno od vrst tehnologije ali zgolj na sedanje rešitve, temveč ostaja splošen in zato uporaben za daljše časovno obdobje in nove tehnologije. Hitremu in raznolikemu tehnološkemu razvoju sledi tudi načelo dvojnosti, ki dovoljuje uporabe različnih tehnoloških rešitev z različno zanesljivostjo in s tem tudi različnimi pravnimi posledicami uporabe takšnih rešitev.

Načelo pogodbene svobode strank omogoča strankam, da se dogovorijo in svoja razmerja uredijo drugače. Tako zakon izrecno določa, da ne velja za zaprte sisteme, v katerih stranke s pogodbo vnaprej uredijo vse bistvene značilnosti delovanja sistema. Pogodbene stranke tako pri elektronskem poslovanju v zaprtih sistemih niso vezane zgolj na v zakonu predvidene rešitve.

Zaradi tehnološke zapletenosti rešitev za elektronsko poslovanje sta pomembni tudi načeli varstva osebnih podatkov in potrošnikov. Načelo varstva osebnih podatkov sledi najnovejšim pravilom, uveljavljenim v Sloveniji in Evropski uniji, glede varstva osebnih podatkov, ki so v elektronskem svetu še bolj izpostavljeni. Načelo varstva potrošnikov pa varuje povprečnega potrošnika, ki brez veliko tehnološkega znanja v zapletenem elektronskem poslovanju teže uveljavlja svoje pravice, in nalaga ponudnikom storitev posebno skrb za potrošnika.

Načelo mednarodnega priznavanja omogoča enostavno medsebojno priznavanje elektronskih dokumentov in podpisov ter s tem enostavno vključevanje slovenskega v mednarodno gospodarstvo. Mednarodno priznavanje pravnih učinkov podatkov in podpisov v elektronski obliki je namreč izredno pomembno, saj elektronsko poslovanje izrazito ignorira državne meje oziroma meje med posameznimi pravnimi sistemi.

 

Elektronski podpis

V tretjem poglavju zakon širše ureja elektronski podpis in delovanje overiteljev, ki so nujen pogoj za uporabo elektronskih podpisov. Zakon v celoti sledi evropskim in svetovnim usmeritvam in uporablja t.i. dvojni pristop. Zakon tako dovoljuje delovanje overiteljev brez predhodnega dovoljenja in tudi ne postavlja posebnih pogojev za njihovo delovanje, temveč omogoča delovanje overiteljev pod zelo različnimi pogoji in opravljanje različnih storitev overjanja, ki jim glede na njihovo zanesljivost daje različne pravne učinke. Del teh pravil je tudi določitev obveznega in prostovoljnega nadzora. Prvega opravlja pristojna inšpekcija, drugega pa novo ustanovljena Agencija za telekomunikacije.

Zakonu definira elektronski podpis zelo široko in splošno kot podatke v elektronski obliki, ki so vsebovani, dodani ali logično povezani z drugimi podatki in namenjeni preverjanju pristnosti teh podatkov in identifikaciji podpisnika. Podobno kot direktiva EU tudi naš zakon določa, da se elektronski podpis oblikuje s pomočjo sredstva za elektronsko podpisovanje (programska in strojna oprema) in podatkov za elektronsko podpisovanje (npr. zasebni šifrirni ključ) ter preverja s sredstvom in podatki za preverjanje elektronskega podpisa.

Ker se ravno v elektronskem okolju srečujejo stranke, ki velikokrat še niso poslovale ena z drugo, je potrebno še sodelovanje tretje osebe, ki z izdajo potrdila pomaga pri preverjanju elektronskega podpisa, če se stranki ne poznata. Potrdilo povezuje podatke za preverjanje elektronskega podpisa z imetnikom potrdila ter tako drugi stranki potrjuje njegovo identiteto.

Po ZEPEP je overitelj, ki izdaja potrdila ali opravlja druge storitve v zvezi z overjanjem ali elektronskimi podpisi, lahko vsaka fizična ali pravna oseba. Overitelj za svoje poslovanje ne potrebuje posebnih dovoljenj ter je začetek opravljanja storitev dolžan le prijaviti Ministrstvu za informacijsko družbo, ki vodi seznam vseh overiteljev v naši državi. Kljub vsemu pa seveda overitelji niso prepuščeni sami sebi. Zakon namreč uvaja dve vrsti nadzora: inšpekcijski, ki ga izvaja Ministrstvo za informacijsko družbo, in prostovoljni v okviru akreditacijske sheme, ki ga izvaja z novim Zakonom o telekomunikacijah novoustanovljena Agencija za telekomunikacije.

Med za uporabnika pomembnimi določbami ZEPEP in uredbe v zvezi z elektronskim podpisom je potrebno omeniti še dolžnost, da se morajo sredstva in podatki za preverjanje elektronskega podpisa hraniti enako dolgo, kot se hranijo elektronsko podpisani dokumenti. Prav tako je vsakdo, ki hrani elektronsko podpisane podatke, dolžan najkasneje en mesec pred iztekom roka, ki ga je za veljavnost podatkov za elektronski podpis določil overitelj v javnem delu notranjih pravil, zagotoviti ponoven podpis teh podatkov s strani vseh oseb, ki so podatke elektronsko podpisale prvič, ali s strani notarja ali potrditev teh podatkov z varnim časovnim žigom overitelja. Če overitelj ni določil roka, je ponoven podpis potreben najkasneje z dnem konca veljavnosti kvalificiranega potrdila. Pomembno je tudi, da ZEPEP kot prekršek inkriminira uporabo podatkov ali sredstev za elektronsko podpisovanje brez vednosti podpisnika ali imetnika potrdila.

 

Varen elektronski podpis in kvalificirano potrdilo

Zgoraj opisan elektronski podpis s potrdilom overitelja pa še ni enakovreden lastnoročnemu podpisu. Po ZEPEP je lastnoročnemu podpisu enakovreden in ima zato enako veljavnost in dokazno vrednost šele varen elektronski podpis, ki je overjen s kvalificiranim potrdilom. Varen elektronski podpis je elektronski podpis, ki izpolnjuje nekaj, v zakonu taksativno naštetih zahtev. Tako mora biti izključno povezan s podpisnikom in je tako iz njega mogoče zanesljivo ugotoviti podpisnika. Hkrati mora biti podpis tehnološko zasnovan tako, da je povezan s podatki, na katere se nanaša, in bi bila opazna vsaka sprememba teh podatkov ali povezave z njimi, ki se bi zgodila po podpisu. Podpisnik pa mora podpis oblikovati s pomočjo sredstev za varno elektronsko podpisovanje pod svojim izključnim nadzorom. Sredstva za varno elektronsko podpisovanje se od običajnih sredstev za elektronsko podpisovanje razlikujejo v tem, da izpolnjujejo posebne pogoje glede varnosti in zanesljivosti, ki jih določa ZEPEP, podrobneje pa na podlagi zakona izdana uredba. Varen elektronski podpis pa mora biti overjen še s kvalificiranim potrdilom. Takšno potrdilo ima enake značilnosti kot običajno potrdilo, le da zakon zanj podrobneje predpisuje njegovo vsebino ter način izdaje, uporabe in preklica. Prav tako so z zakonom in uredbo predpisani posebni, strožji pogoji glede overiteljev, ki izdajajo takšna kvalificirana potrdila (obvezno zavarovanje odgovornosti, posebne zahteve glede opreme in zaposlenih, zahtevnejši postopki, notranja pravila in podobno).