ЗАКОН ОБ ЭЛЕКТРОННЫХ ДОКУМЕНТАХ, ЭЛЕКТРОННОЙ ИДЕНТИФИКАЦИИ И УСЛУГАХ ТРАСТА В ЭЛЕКТРОННОМ БИЗНЕСЕ
ЗАКОН ОБ ЭЛЕКТРОННЫХ ДОКУМЕНТАХ, ЭЛЕКТРОННОЙ ИДЕНТИФИКАЦИИ И УСЛУГАХ ТРАСТА В ЭЛЕКТРОННОМ БИЗНЕСЕ ("Сл. гласник РС", № 94/2017 и 52/2021)
I ВВОДНЫЕ ПОЛОЖЕНИЯ
Предмет Закона
Настоящий закон регулирует электронные документы, электронную идентификацию и трастовые услуги в электронном бизнесе.
Некоторые термины для целей настоящего закона имеют следующие значения:
1) электронный бизнес - использование физическими и юридическими лицами данных в электронной форме, средств электронной связи и электронной обработки данных при осуществлении предпринимательской деятельности;
2) электронный формат данных — цифровая запись данных, пригодная для электронной обработки и передачи с помощью электронных средств связи;
3) электронная транзакция — деловая активность между двумя или более сторонами, осуществляемая в электронном виде;
4) электронный документ — совокупность данных, состоящая из букв, цифр, символов, графических, звуковых и видеоматериалов, представленная в электронной форме;
5) продукт означает аппаратные средства, программное обеспечение или аппаратные средства с соответствующим программным обеспечением или их соответствующие компоненты, предназначенные для электронной обработки, электронной передачи или хранения данных;
6) совместимость — способность двух или более систем или их компонентов обмениваться данными и обеспечивать совместное использование данных и знаний;
7) публичный орган — государственный орган, орган власти автономного края, орган власти единицы местного самоуправления, предприятия, учреждения, организации и лица, на которые возложены задачи, входящие в юрисдикцию Республики Сербии, т. е. публичные полномочия;
8) физическое лицо в качестве зарегистрированного субъекта — физическое лицо, зарегистрированное для осуществления определенной деятельности в соответствии с законом;
9) аутентификация — процесс проверки личности юридического лица, физического лица или физического лица в качестве зарегистрированного субъекта, включая проверку целостности и происхождения данных, предположительно созданных или отправленных этим лицом;
10) идентификационные данные представляют собой совокупность данных, на основании которых можно однозначно установить личность юридического лица, физического лица или физического лица в качестве зарегистрированного лица;
11) электронная идентификация - процесс использования персональных идентификационных данных в электронной форме, однозначно идентифицирующий юридическое лицо, физическое лицо или физическое лицо в качестве зарегистрированного субъекта;
12) электронное средство идентификации — материальное или нематериальное средство, содержащее идентификационные данные и используемое для подтверждения личности при аутентификации;
13) система электронной идентификации - система выдачи средств электронной идентификации юридическому лицу, физическому лицу или физическому лицу в качестве зарегистрированного лица;
14) услуга электронной идентификации - услуга, которая позволяет использовать определенную схему электронной идентификации при совершении электронных транзакций, при этом услуга предоставляет гарантии того, что идентификационные данные со средств электронной идентификации соответствуют лицу, которому выданы эти средства;
14а) узел представляет собой точку соединения, которая является частью структуры взаимодействия электронной идентификации и обеспечивает трансграничную аутентификацию лиц и имеет функцию распознавания и обработки или пересылки передачи данных на другие узлы, обеспечивая подключение инфраструктуры электронной идентификации одной страны к инфраструктуре электронной идентификации другой страны;
15) трастовая услуга — электронная услуга, которая облегчает осуществление деловой активности между двумя или более сторонами, основанная на том, что поставщик услуг гарантирует сторонам подлинность определенных данных, и которая определена в качестве таковой настоящим Законом;
16) поставщик трастовых услуг — юридическое лицо или физическое лицо в качестве зарегистрированного субъекта, которое предоставляет одну или несколько трастовых услуг;
17) Проверяющая сторона — юридическое или физическое лицо, которое полагается на электронную идентификационную службу или трастовую службу;
18) квалифицированная трастовая услуга — трастовая услуга, которая соответствует условиям, установленным настоящим Законом для квалифицированной трастовой услуги;
19) квалифицированный поставщик трастовых услуг — юридическое лицо или физическое лицо в качестве зарегистрированного лица, которое предоставляет одну или несколько квалифицированных трастовых услуг в соответствии с настоящим Законом;
20) электронная подпись — совокупность данных в электронной форме, ассоциированных или логически связанных с другими (подписанными) данными в электронной форме таким образом, что электронная подпись подтверждает целостность этих данных и личность подписавшего;
21) электронная пломба — совокупность данных в электронной форме, которая связана или логически связана с другими (опломбированными) данными в электронной форме таким образом, что электронная пломба подтверждает целостность этих данных и личность опломбировавшего их лица;
22) данные для создания электронной подписи или печати — уникальные данные, используемые подписавшим или заверяющим электронную подпись или печать для создания электронной подписи или печати и логически связанные с соответствующими данными для подтверждения подлинности электронной подписи или печати;
23) данные для проверки подлинности электронной подписи или печати - данные, на основании которых проверяется соответствие электронной подписи или печати данным, которыми они подписаны или скреплены печатью;
24) сертификат электронной подписи или печати - электронный сертификат, подтверждающий связь данных для проверки электронной подписи или печати с личностью подписавшего или проставившего печать;
25) подписант — физическое лицо, создавшее электронную подпись, и идентификационные данные которого указаны в сертификате, на основании которого создана эта электронная подпись, то есть сертификате, подтверждающем связь личности этого подписанта с данными проверки электронной подписи, соответствующими данным создания электронной подписи, использованным подписантом при создании этой электронной подписи;
26) изготовитель печати - юридическое лицо, физическое лицо в качестве зарегистрированного субъекта, физическое лицо, которому доверено осуществление публичной власти, или физическое лицо, которое при осуществлении деятельности в соответствии со специальными правилами имеет право использовать печать (например, лица, имеющие лицензию на выполнение работ или осуществление деятельности), от имени которого создается электронная печать и идентификационные данные которого указаны в сертификате, на основании которого эта электронная печать была создана, или в сертификате, подтверждающем связь между личностью этого изготовителя печати и данными для проверки подлинности электронной печати, которые соответствуют данным для создания электронной печати, которые были использованы при создании этой электронной печати по его разрешению;
27) средство создания электронной подписи или печати - техническое устройство (программное или аппаратное), предназначенное для создания электронной подписи или печати, с использованием данных для создания электронной подписи или печати;
28) валидация — процедура проверки и подтверждения правильности электронной подписи или электронной печати;
29) усиленная электронная подпись - электронная подпись, отвечающая дополнительным требованиям, обеспечивающим более высокий уровень надежности подтверждения целостности данных и личности подписавшего в соответствии с настоящим Законом;
30) квалифицированная электронная подпись - усиленная электронная подпись, созданная с помощью средства создания квалифицированной электронной подписи и основанная на сертификате квалифицированной электронной подписи, выданном квалифицированным поставщиком услуг доверия в соответствии с настоящим Законом;
31) средство создания квалифицированной электронной подписи - устройство, соответствующее требованиям, установленным настоящим Законом;
32) сертификат квалифицированной электронной подписи — сертификат электронной подписи, выданный квалифицированным поставщиком услуг доверия и соответствующий требованиям, установленным настоящим Законом;
33) усовершенствованная электронная пломба - электронная пломба, отвечающая дополнительным требованиям по обеспечению более высокого уровня надежности подтверждения целостности данных и личности лица, проставившего пломбу, в соответствии с настоящим Законом;
34) квалифицированная электронная печать — усовершенствованная электронная печать, созданная с помощью инструмента создания квалифицированной электронной печати и основанная на сертификате квалифицированной электронной печати;
35) квалифицированное средство создания электронной печати - средство, соответствующее требованиям, установленным настоящим Законом;
36) квалифицированный сертификат электронной печати - сертификат электронной печати, выданный квалифицированным поставщиком услуг доверия и соответствующий требованиям, установленным настоящим Законом;
36а) услуга по управлению квалифицированным средством создания удаленной электронной подписи - услуга по созданию квалифицированной удаленной электронной подписи с использованием средства создания электронной подписи, управляемого от имени подписанта квалифицированным поставщиком услуг доверия и гарантирующего, что данные для создания электронной подписи используются под исключительным контролем подписанта в соответствии с настоящим Законом;
36б) услуга по управлению квалифицированным устройством для удаленного создания электронной печати - услуга по созданию квалифицированной удаленной электронной печати посредством устройства для создания электронной печати, которое управляется от имени лица, опечатывающего печать, квалифицированным поставщиком услуг доверия и гарантирует, что данные для создания электронной печати используются под исключительным контролем лица, опечатывающего печать, в соответствии с настоящим Законом;
37) сертификат аутентификации веб-сайта — сертификат, который позволяет аутентифицировать веб-сайт и связывает веб-сайт с личностью физического или юридического лица, которому выдан сертификат;
38) квалифицированный сертификат аутентификации веб-сайта — сертификат аутентификации веб-сайта, выданный квалифицированным поставщиком услуг доверия и соответствующий требованиям, установленным настоящим Законом;
39) электронная метка времени — официальное время, прикрепленное к данным в электронной форме, которое подтверждает, что данные существовали в тот момент времени;
40) квалифицированный электронный штамп времени - электронный штамп времени, который соответствует требованиям, установленным настоящим Законом для квалифицированных электронных штампов времени, и выдается квалифицированным поставщиком удостоверяющих услуг в соответствии с настоящим Законом;
41) услуга электронной доставки — услуга передачи данных с помощью электронных средств, в рамках которой поставщик услуг предоставляет доказательства обработки передаваемых данных, включая доказательства отправки и получения данных, тем самым защищая передаваемые данные от риска потери, кражи, повреждения или любых несанкционированных изменений;
42) конвертация — перевод документа из одной формы в другую с сохранением содержания документа;
43) оцифровка — преобразование документа из неэлектронной формы в электронную;
44) оцифрованный документ — документ, созданный путем оцифровки исходного документа;
45) Орган по оценке соответствия — орган, уполномоченный проводить оценку соответствия квалифицированного поставщика услуг доверия и предоставляемой им квалифицированной услуги доверия условиям предоставления квалифицированных услуг доверия.
Все термины, используемые в настоящем законе в мужском роде, включают в себя те же термины в женском роде.
Поставщик трастовых услуг обязан предоставлять трастовые услуги в соответствии с настоящим законом.
Положения настоящего Закона не распространяются на трастовые услуги, предоставляемые исключительно в рамках закрытой системы, то есть ограниченного круга участников, который может быть определен соглашением, внутренним актом или положением, и которые не оказывают влияния на третьих лиц, то есть не обязывают третьих лиц за пределами этой системы.
При обработке персональных данных поставщик услуг доверия или услуг электронной идентификации действует в соответствии с законодательством, регулирующим защиту персональных данных.
В рамках электронной сделки стороны могут быть представлены псевдонимом, если иное не предусмотрено нормативным актом, договором или иным обязательным документом.
Согласие на идентификацию и аутентификацию
Процедура электронной идентификации и аутентификации может быть инициирована только по заявлению юридического или физического лица, являющегося субъектом идентификации, если иное не предусмотрено нормативным актом.
Доступность и удобство для людей с ограниченными возможностями
Услуги доверия, услуги электронной идентификации и продукты, используемые для предоставления этих услуг, в равной степени доступны для лиц с ограниченными возможностями.
Действительность и доказательственная сила электронного документа
Действительность, доказательная сила или письменная форма электронного документа не могут быть оспорены только потому, что он находится в электронной форме.
Создание электронного документа
Электронный документ создается с использованием одной из доступных и используемых информационно-коммуникационных технологий, если иное не установлено законом.
Электронный документ, представляющий собой архивный материал, должен быть создан в форме, отвечающей требованиям, установленным настоящим Законом для надежной подготовки к электронному хранению.
Форма отображения электронного документа
Электронный документ содержит внутреннюю и внешнюю форму отображения.
Внутренняя форма представления представляет собой технико-программную форму записи содержания электронного документа.
Внешняя форма представления представляет собой визуальное или иное понятное представление содержания электронного документа.
Если документ содержит электронную подпись или электронную печать, этот факт должен быть четко указан во внешней форме электронного документа.
Если электронный документ содержит электронную подпись или печать физического лица или уполномоченного лица юридического лица, то любая иная форма подписи или печати того же физического лица или уполномоченного лица юридического лица является излишней.
Электронный документ, изначально созданный в электронном виде, считается оригиналом.
Электронный документ, имеющий идентичную цифровую запись исходному электронному документу, считается оригиналом.
Бумажная копия электронного документа изготавливается путем распечатывания внешней формы электронного документа.
Электронный документ, созданный путем оцифровки исходного документа, не имеющего электронной формы, считается копией исходного документа.
Проверка оцифрованного документа
Оцифрованный документ имеет ту же доказательственную силу, что и исходный документ, если в совокупности выполняются следующие условия:
1) что оцифровка документа была осуществлена одним из следующих способов, т.е. под надзором:
(1) физическое лицо или уполномоченное лицо физического лица в качестве зарегистрированного субъекта или уполномоченного лица юридического лица, чье действие это, или
(2) лицо, уполномоченное заверять подписи, рукописи и стенограммы в соответствии с законом, регулирующим заверение подписей, рукописей и стенограмм, или
(3) лицо, уполномоченное специальным законом заверять оцифрованный документ;
2) тождественность оцифрованного документа оригиналу подтверждается квалифицированной электронной печатью или квалифицированной электронной подписью лица, указанного в подпунктах. (1)–(3) настоящего пункта или лицо, которому переданы полномочия, на основании которых принят акт.
Уполномоченное лицо государственного органа в процедурах, проводимых при осуществлении публичных полномочий, может оцифровать документ и заверить оцифрованный документ квалифицированной электронной печатью государственного органа или своей квалифицированной электронной подписью, тем самым подтвердив идентичность оцифрованного документа исходному документу.
Оцифрованный документ, заверенный органом, указанным в пункте 2 настоящей статьи, имеет такую же доказательственную силу, как и оригинал, в рамках реализации этой процедуры.
Заверение печатной копии электронного документа
Печатная копия электронного документа имеет такую же доказательственную силу, как и оригинал акта, если в совокупности выполняются следующие условия:
1) что печать электронного документа осуществлялась под контролем:
(1) физическое лицо, уполномоченное лицо физического лица в качестве зарегистрированного субъекта или уполномоченное лицо юридического лица, чье действие это, или
(2) лицо, уполномоченное заверять подписи, рукописи и стенограммы в соответствии с законом, регулирующим заверение подписей, рукописей и стенограмм;
2) что тождественность распечатанной копии электронного документа подлиннику подтверждена с указанием, что это распечатанная копия электронного документа:
(1) собственноручной подписью физического лица, или
(2) собственноручной подписью уполномоченного лица физического лица, действующего в качестве зарегистрированного субъекта, или уполномоченного лица юридического лица, а также печатью физического лица, действующего в качестве зарегистрированного субъекта, или юридического лица, если в соответствии с законодательством документ должен содержать печать, или
(3) лицом, уполномоченным заверять подписи, рукописи и стенограммы в соответствии с законом, регулирующим заверение подписей, рукописей и стенограмм.
Уполномоченное лицо государственного органа при осуществлении публичных полномочий вправе распечатать электронный документ на бумажном носителе и заверить печатную копию электронного документа в порядке, предусмотренном пунктом 2) пункта 1 настоящей статьи, при этом печатная копия электронного документа должна содержать печать, установленную законодательством, регулирующим печать государственных и иных органов.
Печатная копия электронного документа, заверенная органом, указанным в пункте 2 настоящей статьи, имеет такую же доказательственную силу, как и оригинал, в контексте реализации данной процедуры.
Подтверждение получения электронного документа
Получение электронного документа является доказательством того, что документ был получен получателем.
Квитанция о приеме электронного документа выдается получателем электронного документа или поставщиком услуги электронной доставки.
Обязанность выдачи подтверждения о получении электронного документа и элементы содержания подтверждения регулируются нормативными актами или волеизъявлением сторон, если иное не установлено законом.
Дублирование электронных документов
Каждый полученный электронный документ считается отдельным документом, за исключением случаев, когда один и тот же документ был получен более одного раза и получатель знал или должен был знать, что это идентичный документ.
Электронная коммуникация и электронная доставка между государственными органами и сторонами
Электронная коммуникация и электронная доставка между государственными органами и сторонами осуществляются в соответствии с законодательством, регулирующим общую административную процедуру, законодательством, регулирующим электронное администрирование, и другими нормативными актами, а также через квалифицированную службу электронной доставки.
Передача электронных документов между государственными органами
Передача электронных документов между государственными органами осуществляется посредством электронной почты, сервисной магистрали государственного органа, квалифицированной службы электронной доставки или иными электронными средствами в соответствии с регламентом.
1. Электронные схемы идентификации
Требования, которым должна соответствовать электронная схема идентификации
Электронная схема идентификации должна:
1) содержать на выданных средствах идентификации персональные идентификационные данные, однозначно идентифицирующие юридическое или физическое лицо;
2) обеспечить предоставление поставщиком услуг электронной идентификации идентификационных данных в средствах электронной идентификации, соответствующих лицу, которому выданы эти средства;
3) четко определить технические и иные условия, позволяющие проверяющей стороне проверить личность;
4) его соответствие требованиям к уровню надежности, к которому он отнесен, установленным статьей 18 настоящего Закона.
Уровни надежности электронных схем идентификации
Электронные схемы идентификации классифицируются по уровню надежности на:
1) базовый уровень схем доверия, которые обеспечивают ограниченную уверенность в личности человека и используют инструменты и процедуры, призванные снизить риск злоупотреблений или искажения информации;
2) схемы среднего уровня уверенности, которые обеспечивают значительную уверенность в личности представляющегося лица и используют средства и процедуры, призванные значительно снизить риск злоупотреблений или искажения информации;
3) схемы доверия высокого уровня, которые обеспечивают высокую степень уверенности в личности представляющегося лица и используют инструменты и процедуры, целью которых является предотвращение злоупотреблений или искажения информации.
Правительство по предложению министерства, ответственного за вопросы информационного общества (далее именуемого: Министерство), регламентирует подробные условия, которым должны соответствовать электронные схемы идентификации для обеспечения определенных уровней надежности, в частности:
1) способ удостоверения и проверки личности физического или юридического лица, ходатайствующего о выдаче электронного средства идентификации;
2) порядок выдачи электронных средств идентификации;
3) механизм аутентификации, посредством которого физическое или юридическое лицо подтверждает свою личность другой стороне в электронной транзакции с использованием средств идентификации;
4) условия, которые должен соблюдать поставщик услуг электронной идентификации;
4а) условия, касающиеся данных, используемых в процессе трансграничного сотрудничества для физических и юридических лиц при использовании зарегистрированных схем электронной идентификации, персональные данные которых включают имя и фамилию, дату рождения, адрес места жительства и пол в целях надежной проверки личности лица;
5) условия, которым должны соответствовать иные участники процедуры выдачи электронных средств идентификации;
6) технические и защитные характеристики выдаваемых электронных средств идентификации;
7) минимальные технические и организационные условия в целях обеспечения взаимодействия электронных схем идентификации в соответствии с отечественными и международными стандартами в этой области.
Регистрация в Реестре поставщиков услуг электронной идентификации и схем электронной идентификации
Реестр поставщиков услуг электронной идентификации и схем электронной идентификации представляет собой набор данных о поставщиках услуг электронной идентификации и схемах электронной идентификации, который ведется Министерством.
Поставщик услуг электронной идентификации подает в Министерство заявление и необходимую документацию для внесения в Реестр поставщиков услуг электронной идентификации и схем электронной идентификации.
Реестр, указанный в пункте 1 настоящей статьи, содержит персональные данные об ответственных лицах, а именно: имя, фамилию, должность и контактные данные, такие как официальный адрес, официальный номер телефона и официальный адрес электронной почты, в целях предоставления пользователям услуг доступа к данным о поставщике услуг электронной идентификации.
Неотъемлемой частью Реестра, указанного в пункте 1 настоящей статьи, являются также электронные схемы идентификации из списка, опубликованного Европейской комиссией, в соответствии со статьей 9 Регламента eIDAS.
Министерство устанавливает содержание и порядок ведения Реестра, указанного в пункте 1 настоящей статьи, а также порядок подачи заявления о внесении записи в этот реестр в соответствии с законодательством, регулирующим общую административную процедуру, необходимую документацию, прилагаемую к запросу, форму запроса и порядок публикации данных из этого реестра.
Использование электронных схем идентификации в электронном бизнесе и при общении с государственными органами
Для установления личности в электронном бизнесе могут использоваться электронные схемы идентификации, внесенные в реестр, указанный в статье 19 настоящего Закона, а также электронные схемы идентификации, не внесенные в реестр.
Волеизъявление не может быть оспорено только на том основании, что вместо подписи были использованы электронные схемы идентификации, указанные в пункте 1 настоящей статьи.
Для установления личности стороны, общающейся с государственным органом, может использоваться электронная идентификационная схема, зарегистрированная в реестре, указанном в статье 19 настоящего Закона (далее — зарегистрированная электронная идентификационная схема).
При общении стороны с государственными органами подпись стороны на представлении заменяется ее личностью, установленной на основе зарегистрированной электронной схемы идентификации с высоким уровнем надежности.
В регламенте может быть предусмотрено, что в случае, указанном в пункте 4 настоящей статьи, может использоваться электронная схема идентификации со средним или базовым уровнем надежности, если риск неправомерного использования и возможный ущерб от неправомерного использования таковы, что нет необходимости использовать схему с высоким уровнем надежности.
Ответственность за электронную идентификацию
Эмитент электронного средства идентификации несет ответственность за вред, причиненный тем, что выпуск электронного средства идентификации не соответствует схеме электронной идентификации, соответствующей требованиям статьи 17 настоящего Закона.
Сторона, осуществляющая процедуру аутентификации, несет ответственность за ущерб, причиненный ненадлежащим образом проведенной процедурой аутентификации, если ущерб был причинен умышленно или по неосторожности.
Требования безопасности, которым должны соответствовать поставщики услуг электронной идентификации
Поставщики услуг электронной идентификации должны принимать необходимые технические, физические и организационные меры для управления рисками, которые ставят под угрозу надежное и безопасное предоставление этих услуг.
Технические и организационные меры обеспечивают соответствие уровня безопасности степени риска и предполагаемому уровню надежности электронной схемы идентификации с учетом новейших доступных технологических решений, в частности, принимаются меры по предотвращению инцидентов безопасности и ограничению вредных последствий возможных инцидентов, а также по информированию заинтересованных лиц о нежелательных последствиях инцидентов безопасности.
2. Трансграничное сотрудничество в области электронной идентификации
Взаимодействие технических систем
Министерство сотрудничает с компетентными международными органами по вопросам трансграничной совместимости электронных схем идентификации и принимает меры в пределах своей компетенции в целях установления максимально возможного уровня совместимости электронных схем идентификации на национальном уровне.
Трансграничная совместимость зарегистрированных схем электронной идентификации достигается путем создания узла, который обеспечивает трансграничную аутентификацию лиц, тем самым гарантируя, что инфраструктура электронной идентификации одной страны подключена к инфраструктуре электронной идентификации другой страны.
Узел создается и управляется Государственной службой, отвечающей за проектирование, разработку, строительство, обслуживание и совершенствование компьютерной сети республиканских органов.
В процессе управления узлом орган, указанный в пункте 3 настоящей статьи, обязан:
1) обеспечить связь с узлами других государств, электронные системы идентификации которых являются неотъемлемой частью Реестра, указанного в статье 19 настоящего Закона, или признаны на основании международного договора;
2) реализовать меры безопасности для предотвращения несанкционированного доступа к обмениваемым данным и обеспечения целостности данных, передаваемых между узлами, используя соответствующие технические решения и практики;
3) обеспечить, чтобы персональные данные не хранились в узле;
4) использует технические решения, обеспечивающие целостность и подлинность данных, используемых при трансграничном подключении узлов;
5) убедиться, что узел соответствует предписанным условиям, касающимся формата сообщения;
6) обеспечить доставку метаданных управления узлами в стандартном формате, подходящем для автоматической обработки данных, безопасным и надежным способом;
7) обеспечить автоматическую обработку параметров безопасности;
8) хранит данные, которые в случае инцидента позволят определить место и тип инцидента в установленные законом сроки.
9) обеспечить передачу данных, обеспечивающих достоверное представление физического или юридического лица, на основе использования зарегистрированной электронной системы идентификации при осуществлении трансграничного сотрудничества в соответствии с законодательством.
Постановлением Правительства, указанным в пункте 2 статьи 18 настоящего Закона, более подробно регламентируются условия, указанные в пункте 4, подпунктах 5), 8) и 9) пункта 1 настоящей статьи, которые относятся к узлу.
Министерство может уведомить Европейскую комиссию о зарегистрированных схемах электронной идентификации, которые соответствуют требованиям Регламента ЕС №. 910/2014 Европейского парламента и Совета (далее именуемый Регламентом eIDAS).
Ответственность доверенных поставщиков услуг и бремя доказывания
Поставщик трастовых услуг несет ответственность за ущерб, возникший в результате невыполнения им действий в соответствии с настоящим законом, если ущерб был причинен умышленно или по неосторожности.
Бремя доказывания умысла или халатности поставщика трастовых услуг лежит на физическом или юридическом лице, требующем возмещения убытков, указанных в пункте 1 настоящей статьи.
Бремя доказывания того, что ущерб не был причинен умыслом или халатностью квалифицированного поставщика трастовых услуг, указанного в пункте 1 настоящей статьи, лежит на этом поставщике услуг.
Поставщик доверенных услуг не несет ответственности за ущерб, возникший в результате использования услуги, превышающего указанный лимит, если пользователь доверенной услуги был заранее проинформирован о таком лимите.
Ответственность пользователей трастового сервиса за хранение средств и данных для создания электронной подписи или печати
Пользователь трастового сервиса обязан защищать средства и данные для создания электронной подписи или печати от несанкционированного доступа и использования, а также использовать их в соответствии с положениями настоящего закона.
Требования безопасности, которым должны соответствовать доверенные поставщики услуг
Поставщики трастовых услуг, включая квалифицированных поставщиков трастовых услуг, должны принимать необходимые технические и организационные меры для управления рисками, которые угрожают надежному и безопасному предоставлению этих трастовых услуг.
Технические и организационные меры обеспечивают соответствие уровня безопасности степени риска с учетом новейших доступных технологических решений, в частности, принимаются меры по предупреждению инцидентов безопасности и ограничению вредных последствий возможных инцидентов, а также по информированию заинтересованных сторон о неблагоприятных последствиях инцидентов безопасности.
Поставщики трастовых услуг, включая квалифицированных поставщиков трастовых услуг, должны без промедления и не позднее, чем в течение 24 часов с момента получения информации уведомить Министерство о любом нарушении безопасности или потере целостности услуги, которые оказывают существенное влияние на предоставление трастовых услуг.
Если нарушение безопасности или потеря целостности трастового сервиса может неблагоприятно повлиять на пользователей трастового сервиса, поставщик трастового сервиса должен незамедлительно уведомить пользователя трастового сервиса о нарушении безопасности или потере целостности сервиса.
Министерство должно уведомить общественность или потребовать от доверенного поставщика услуг сделать это, если оно определит, что публикация данных о нарушении безопасности или потере целостности услуги отвечает общественным интересам.
Министерство наладит сотрудничество с соответствующими учреждениями других стран по обмену данными о нарушениях безопасности и целостности в соответствии с ратифицированными международными соглашениями.
Министерство выполняет следующие задачи:
1) ведет реестр квалифицированных доверенных поставщиков услуг;
2) рассматривает отчеты о проверке соблюдения условий оказания квалифицированных услуг доверительного управления;
3) осуществлять инспекционный надзор за деятельностью доверенных поставщиков услуг;
4) назначает внеочередную проверку соблюдения условий предоставления квалифицированных трастовых услуг в соответствии с законом;
5) сотрудничать с компетентным органом по защите персональных данных и незамедлительно уведомлять его, если ему станет известно о том, что квалифицированные поставщики трастовых услуг не действуют в соответствии с положениями о защите персональных данных;
6) проверять наличие и надлежащее выполнение положений о планах прекращения деятельности в случаях прекращения деятельности квалифицированным поставщиком доверенных услуг, включая порядок обеспечения доступности информации, выдаваемой и получаемой квалифицированным поставщиком доверенных услуг;
7) сотрудничать с надзорными органами, указанными в статье 17 Регламента eIDAS;
8) информировать общественность о любых нарушениях безопасности или потере целостности трастовых сервисов, которые оказывают существенное влияние на предоставляемый трастовый сервис или содержащиеся в нем персональные данные.
Компетенции Министерства в рамках приграничного сотрудничества в сфере трастовых услуг
Министерство также выполняет следующие задачи:
1) информирует компетентные органы иностранных государств о нарушениях безопасности или потере целостности, которые оказывают существенное влияние на предоставляемую услугу доверия или содержащиеся в ней персональные данные;
2) отчитывается перед Европейской комиссией о своей деятельности в соответствии с Регламентом eIDAS, начиная с даты вступления Республики Сербия в Европейский Союз.
2. Общие положения для квалифицированных трастовых услуг
Установление отношений между поставщиком и пользователем квалифицированной трастовой услуги
Договор на оказание квалифицированной услуги доверия заключается между поставщиком и пользователем квалифицированной услуги доверия по заявлению пользователя.
Поставщик квалифицированных трастовых услуг обязан до заключения договора, указанного в пункте 1 настоящей статьи, информировать лицо, подавшее запрос на предоставление квалифицированных трастовых услуг, обо всех существенных обстоятельствах использования услуги, в частности:
1) положения и правила, касающиеся использования квалифицированных трастовых услуг;
2) любые ограничения на использование квалифицированных трастовых услуг;
3) меры, которые должны быть реализованы пользователями квалифицированных трастовых услуг, и технологии, необходимые для безопасного использования квалифицированных трастовых услуг.
Квалифицированный пользователь трастовых услуг может использовать трастовые услуги одного или нескольких поставщиков трастовых услуг.
Условия предоставления квалифицированных трастовых услуг
Квалифицированный надежный поставщик услуг должен:
1) иметь в штате сотрудников, обладающих необходимыми знаниями, опытом и квалификацией для реализации административных и управленческих процедур, соответствующих отечественным и международным стандартам, и прошедших соответствующее обучение в области информационной безопасности и защиты персональных данных;
2) быть застрахованным от ответственности за ущерб, возникающий в результате оказания квалифицированной трастовой услуги;
3) использовать безопасные устройства и продукты, защищенные от несанкционированных изменений и гарантирующие техническую безопасность и надежность поддерживаемых ими процессов;
4) использовать защищенные системы хранения доверенных ему данных таким образом, чтобы:
(1) что они доступны общественности только с согласия лица, чьи данные касаются,
(2) что только уполномоченные лица могут вводить данные и вносить изменения,
(3) подлинность данных может быть проверена;
5) осуществлять меры по борьбе с фальсификацией и кражей данных;
6) хранить в течение соответствующего периода времени всю соответствующую информацию, касающуюся данных, созданных или полученных квалифицированным поставщиком трастовых услуг, в частности, в целях предоставления доказательств в судебных разбирательствах. Хранение может осуществляться в электронном виде;
7) поддерживать в актуальном состоянии, точную и надежно защищенную базу данных выданных электронных сертификатов в случае оказания услуги по выдаче квалифицированных электронных сертификатов, а также базу данных, созданную или полученную поставщиком квалифицированных услуг доверия в рамках оказания квалифицированных услуг доверия;
8) иметь актуальный план выполнения работ, обеспечивающий непрерывность квалифицированных и надежных услуг;
9) обеспечить обработку персональных данных в соответствии с законодательством Республики Сербии.
Квалифицированный поставщик трастовых услуг обязан принять акты, определяющие:
1) общие условия предоставления услуг, которые являются общедоступными;
2) политики предоставления услуг и практические правила предоставления услуг, которые квалифицированный поставщик доверенных услуг использует для обеспечения предоставления услуг в соответствии с правилами и общими условиями, указанными в пункте 1) настоящего пункта;
3) информационная безопасность.
Доверенные поставщики услуг, выдающие квалифицированные электронные сертификаты, обязаны представлять в Министерство данные о количестве выданных сертификатов с начала оказания услуг по 31 декабря календарного года, а также данные о количестве действующих сертификатов по состоянию на 31 декабря календарного года.
Уточненные данные, указанные в пункте 3 настоящей статьи, представляются регулярно, не позднее 15 января за предыдущий год, а также, при необходимости, во внеочередном порядке по требованию Министерства.
Правительство по предложению Министерства более подробно регламентирует условия предоставления квалифицированных трастовых услуг, указанных в пункте 1 настоящей статьи, и содержание актов, указанных в пункте 2 настоящей статьи, включая определение применимых международных стандартов.
Страхование профессиональной ответственности
Министерство устанавливает минимальную сумму страхования риска ответственности за ущерб, возникающий в результате предоставления квалифицированных трастовых услуг.
Проверка личности пользователя квалифицированного трастового сервиса
При выдаче сертификата квалифицированного трастового сервиса квалифицированный поставщик трастовых сервисов проверяет идентификационные данные физического или юридического лица, содержащиеся в квалифицированном сертификате, в соответствии с законом.
Проверка данных, указанных в пункте 1 настоящей статьи, осуществляется квалифицированным поставщиком трастовых услуг:
1) с личным присутствием физического лица или уполномоченного представителя юридического лица или
2) посредством официального документа, служащего средством дистанционной идентификации в соответствии с законом, или
3) путем дистанционной идентификации в соответствии с законом.
Проверка данных, указанных в пункте 2 настоящей статьи, осуществляется в порядке, установленном положением, указанным в статье 31 настоящего Закона, которое более подробно регламентирует условия предоставления квалифицированных трастовых услуг.
Физическое или юридическое лицо обязано без промедления уведомить квалифицированного поставщика трастовых услуг о любых изменениях данных, указанных в пункте 1 настоящей статьи.
Оценка соответствия условиям предоставления квалифицированных трастовых услуг
Оценка соответствия условиям предоставления квалифицированных трастовых услуг (далее именуемая: оценка соответствия условиям) осуществляется органом по оценке соответствия, который в соответствии с законодательством, регулирующим аккредитацию, аккредитован для оценки соответствия поставщиков квалифицированных трастовых услуг и предоставляемых ими квалифицированных трастовых услуг.
После проведения оценки соответствия установленным требованиям орган по оценке соответствия составляет отчет об оценке соответствия.
Оценка соблюдения условий должна проводиться до начала оказания квалифицированных трастовых услуг и не реже одного раза в 24 месяца.
После завершения оценки соответствия установленным требованиям доверенный поставщик услуг в течение трех рабочих дней со дня получения представляет в Министерство отчет об оценке соответствия.
Министерство может распорядиться о проведении внеочередной оценки соответствия требованиям в случае выявления нарушений в предоставлении квалифицированных трастовых услуг или в случае возникновения инцидента, который существенно угрожает или нарушает информационную безопасность.
Внеочередная оценка соответствия установленным требованиям проводится органом по оценке соответствия, не связанным с проведением предыдущей оценки.
Расходы на оценку соответствия требованиям, включая внеочередные оценки, несет квалифицированный доверенный поставщик услуг.
Министерство определяет перечень стандартов, которым должен соответствовать орган по оценке соответствия, обязательное содержание отчета об оценке соответствия и порядок оценки выполнения условий, то есть оценки соответствия квалифицированных услуг доверия.
Регистрация в Реестре квалифицированных доверенных поставщиков услуг
Реестр квалифицированных поставщиков трастовых услуг представляет собой набор данных о квалифицированных поставщиках трастовых услуг и квалифицированных трастовых услугах, которые ведет Министерство.
Квалифицированный доверенный поставщик услуг должен подать в Министерство заявление о включении в Реестр квалифицированных доверенных поставщиков услуг.
Квалифицированный поставщик трастовых услуг должен быть зарегистрирован в реестре, указанном в пункте 1 настоящей статьи, до начала предоставления квалифицированных трастовых услуг.
К запросу, указанному в пункте 1 настоящей статьи, должны быть приложены доказательства фактов, указанных в запросе, в том числе отчет об оценке соответствия, указанной в пункте 4 статьи 34 настоящего Закона, в котором оценивается, что заявитель и квалифицированные услуги доверия, которые он намерен предоставлять, соответствуют требованиям настоящего Закона.
Министерство принимает решение о включении квалифицированных поставщиков трастовых услуг в реестр, указанный в пункте 1 настоящей статьи, в течение 60 дней со дня подачи соответствующего запроса.
В ходе процедуры разрешения, указанной в пункте 4 настоящей статьи, Министерство может потребовать представления дополнительных доказательств, а также проведения дополнительной проверки технических и охранных компонентов и эксплуатационных работ.
В случае, если поставщик услуг перестает соответствовать условиям, установленным настоящим Законом, Министерство принимает решение об исключении его из реестра, указанного в пункте 1 настоящей статьи.
Реестр, указанный в пункте 1 настоящей статьи, должен содержать персональные данные об ответственных лицах, а именно: имя, фамилию, должность и контактные данные, такие как официальный адрес, официальный номер телефона и официальный адрес электронной почты, в целях доступа к данным о квалифицированном доверенном поставщике услуг, с которым заключен договор на оказание услуг.
Министерство устанавливает содержание и порядок ведения реестра, указанного в пункте 1 настоящей статьи, порядок подачи заявления о внесении в реестр, указанный в пункте 1 настоящей статьи, в соответствии с положениями, регулирующими общую административную процедуру, необходимую документацию, прилагаемую к заявлению, форму заявления и порядок проверки выполнения условий предоставления квалифицированных трастовых услуг.
Прекращение оказания услуги по выдаче квалифицированных электронных сертификатов
Эмитент квалифицированных электронных сертификатов, намеревающийся прекратить свою деятельность, обязан уведомить каждого пользователя квалифицированной услуги доверия и Министерство о намерении расторгнуть договор не менее чем за три месяца до предполагаемого прекращения своей деятельности.
Эмитент квалифицированных электронных сертификатов, прекращающий свою деятельность, обязан обеспечить, чтобы другой доверенный поставщик услуг продолжал предоставлять услуги пользователям квалифицированных доверенных услуг, которым он выдал сертификат, а если это невозможно, он обязан отозвать все выданные сертификаты и немедленно уведомить Министерство о принятых мерах.
Эмитент квалифицированных электронных сертификатов обязан передать всю документацию и необходимые технические средства, связанные с предоставлением трастовых услуг, другому эмитенту, которому он передает обязательства по предоставлению одной или нескольких трастовых услуг.
Если эмитент квалифицированных электронных сертификатов не соблюдает пункт 3 настоящей статьи, он обязан представить всю документацию в Министерство, которое незамедлительно отзывает все сертификаты за счет эмитента квалифицированных электронных сертификатов.
В случае временного запрета на оказание услуг справки, выданные до даты возникновения причин, по которым был наложен запрет, сохраняют силу.
Использование квалифицированных электронных сертификатов и квалифицированных электронных меток времени в программных решениях органов государственной власти
При предоставлении услуг электронного правительства в значении закона, регулирующего электронное правительство, государственный орган обязан обеспечить возможность использования в программных решениях квалифицированных электронных сертификатов и квалифицированных электронных штампов времени, выданных всеми квалифицированными поставщиками трастовых услуг, зарегистрированными в Реестре, указанном в статье 35 настоящего Закона.
Государственный орган как поставщик квалифицированных и надежных услуг
Государственный орган вправе оказывать квалифицированные трастовые услуги, если он соответствует условиям оказания услуг, предусмотренным настоящим Законом.
Оценку выполнения требований государственного органа по оказанию услуг доверия осуществляет министерство, а точнее инспектор по электронной идентификации и услугам доверия, после поданного запроса.
Несмотря на пункт 2 настоящей статьи, оценка соответствия требованиям осуществляется на основе внутреннего контроля совместно с компетентным министерством только в тех случаях, когда поставщиком квалифицированной доверенной услуги является министерство, ответственное за вопросы обороны, с обязанностью представления отчета о проведенном внутреннем контроле в компетентное министерство.
После проверки выполнения условий Правительство своим постановлением определяет, может ли государственный орган оказывать квалифицированную трастовую услугу, которая была предметом оценки, указанной в пункте 2 настоящей статьи.
Министерство вносит государственный орган в реестр, указанный в статье 35 настоящего Закона, на основании положения, указанного в пункте 4 настоящей статьи.
Публичный список квалифицированных доверенных служб
Публичный список квалифицированных поставщиков трастовых услуг должен предоставлять полагающимся сторонам достоверную информацию о статусе поставщиков квалифицированных трастовых услуг и их квалифицированных услугах в автоматизированном порядке в соответствии с данными, внесенными в реестр, указанный в статье 35 настоящего Закона.