ZAKON

O ELEKTRONSKOM POTPISU

(Objavljen u "Sl. listu RCG", br. 55 od 1. oktobra 2003, 31/05, "Sl. listu Crne Gore", br. 41 od 23. jula 2010)

I. OPŠTE ODREDBE

Član 1

Ovim zakonom uređuje se upotreba elektronskog potpisa u pravnom prometu, upravnim, sudskim i drugim postupcima, kao i prava, obaveze i odgovornosti pravnih i fizičkih lica u vezi sa elektronskim certifikatima, ako posebnim zakonom nije drukčije određeno.

Član 2

Pojedini izrazi koji se koriste u ovom zakonu imaju sljedeće značenje:
- elektronski dokument - dokument u elektronskom obliku koji se koristi u pravnom prometu, upravnim, sudskim i drugim postupcima, a uključuje sve oblike pisanog i drugog teksta, podatke, slike, crteže, karte, zvuk, muziku, govor, računarske baze podataka i sl.;
- elektronski potpis - skup podataka u elektronskom obliku koji su pridruženi ili su logički povezani sa elektronskim dokumentom i koji služe za identifikaciju potpisnika;
- napredni elektronski potpis - elektronski potpis kojim se pouzdano garantuje identitet potpisnika i integritet elektronskih dokumenata i koji ispunjava uslove utvrđene ovim zakonom;
- potpisnik - lice koje posjeduje sredstva za izradu elektronskog potpisa kojim se potpisuje u svoje ime ili u ime fizičkog ili pravnog lica koje predstavlja;
- podaci za izradu elektronskog potpisa - jedinstveni podaci, kao što su kodovi ili privatni kriptografski ključevi koje potpisnik koristi za izradu elektronskog potpisa;
- sredstva za izradu elektronskog potpisa - odgovarajuća računarska oprema ili računarski program koje potpisnik koristi pri izradi elektronskog potpisa, uz korišćenje podataka za izradu elektronskog potpisa;
- sredstva za izradu naprednog elektronskog potpisa - sredstva za izradu elektronskog potpisa koja ispunjavaju uslove utvrđene ovim zakonom;
- podaci za provjeru elektronskog potpisa - podaci kao što su kodovi ili javni kriptografski ključevi koji se koriste za provjeru elektronskog potpisa;
- sredstva za provjeru elektronskog potpisa - odgovarajuća računarska oprema ili program koji se koriste za provjeru elektronskog potpisa;
- sredstva za provjeru naprednog elektronskog potpisa - sredstva za provjeru elektronskog potpisa koja ispunjavaju uslove utvrđene ovim zakonom;
- certifikat - dokument u elektronskom obliku potpisan od davaoca usluga certifikovanja koji povezuje podatke za provjeru elektronskog potpisa sa nekim licem i potvrđuje identitet tog lica;
- kvalifikovani certifikat - certifikat koji sadrži podatke predviđene ovim zakonom i kojeg izdaje davalac usluga izdavanja kvalifikovanih certifikata;
- davalac usluga certifikovanja - pravno ili fizičko lice (preduzetnik) koje izdaje certifikate ili pruža druge usluge povezane s elektronskim potpisom;
- vremenski pečat - dokument u elektronskom obliku potpisan od davaoca usluga certifikovanja kojim potvrđuje da su podaci bili sadržaj elektronskog dokumenta u vremenu navedenom u vremenskom pečatu;
- napredni vremenski pečat - vremenski pečat koji ispunjava uslove utvrđene ovim zakonom za napredni elektronski potpis.

II. ELEKTRONSKI DOKUMENT, ELEKTRONSKI POTPIS I NAPREDNI ELEKTRONSKI POTPIS

Član 3

Ne može se odbiti prijem elektronskog dokumenta sa elektronskim potpisom ili naprednim elektronskim potpisom samo zbog toga što je u elektronskom obliku.

Član 4

Ako je zakonom ili drugim propisom utvrđeno da određeni dokument treba čuvati, to se može činiti i na elektronski način, pod uslovom da je elektronski dokument:
1) dostupan i na raspolaganju u roku utvrđenom za njegovo čuvanje;
2) sačuvan u obliku u kome je izrađen ili primljen;
3) sačuvan na način koji omogućava identifikaciju vremena i mjesta nastanka ili prijema i lica koje ga je izradilo;
4) sačuvan primjenom tehnologija i postupaka koji omogućavaju da se na pouzdan način može utvrditi bilo kakva izmjena u elektronskom dokumentu.
Obaveza čuvanja dokumenta iz stava 1 ovog člana ne odnosi se na komunikacione ili druge podatke čiji je jedini cilj da omoguće prijem ili slanje elektronskog dokumenta.

Član 5

Lica koja čuvaju elektronske dokumente, koji su elektronski potpisani, moraju čuvati podatke i sredstva za provjeru elektronskog potpisa onoliko vremena koliko se čuvaju ti dokumenti.

Član 6

Elektronskom potpisu ne može se osporiti punovažnost, niti se on može odbiti kao dokazno sredstvo samo zbog toga što:
1) je u elektronskom obliku;
2) nije zasnovan na kvalifikovanom certifikatu;
3) nije zasnovan na kvalifikovanom certifikatu koga je izdao akreditovani davalac usluga certifikovanja;
4) nije kreiran sredstvima za izradu naprednog elektronskog potpisa.

Član 7

Napredni elektronski potpis, koji se može provjeriti na osnovu kvalifikovanog certifikata, u odnosu na podatke u elektronskom obliku:
- ima istu pravnu snagu kao i svojeručni potpis, odnosno svojeručni potpis i pečat u odnosu na podatke u papirnom obliku;
- prihvatljiv je i kao dokazno sredstvo u postupcima pred nadležnim državnim organima, nadležnim organima državne uprave, odnosno nadležnim organima lokalne samouprave.

Član 8

Napredni elektronski potpis mora da:
1) bude isključivo povezan s potpisnikom;
2) nedvosmisleno identifikuje potpisnika;
3) nastaje korišćenjem sredstava kojima potpisnik može samostalno upravljati a koja su isključivo pod njegovim nadzorom;
4) sadrži direktnu povezanost sa podacima na koje se odnosi i to na način koji nedvosmisleno omogućava uvid u bilo koju izmjenu izvornih podataka.

Član 9

Elektronski potpis izrađuje se sredstvima za izradu elektronskog potpisa.
Napredni elektronski potpis izrađuje se sredstvima za izradu naprednog elektronskog potpisa.

Član 10

Sredstva za izradu naprednog elektronskog potpisa moraju obezbijediti:
1) da se podaci za izradu naprednog elektronskog potpisa mogu pojaviti samo jedanput i da je ostvarena njihova sigurnost;
2) da se iz podataka za provjeru naprednog elektronskog potpisa, u periodu važenja certifikata, trenutno raspoloživim sredstvima ne mogu dobiti podaci za formiranje naprednog elektronskog potpisa;
3) da napredni elektronski potpis bude zaštićen od falsifikovanja upotrebom trenutno raspoložive tehnologije;
4) da podatke za izradu naprednog elektronskog potpisa potpisnik može pouzdano zaštititi od neovlašćenog korišćenja.
Sredstva za izradu naprednog elektronskog potpisa ne smiju, prilikom izrade naprednog elektronskog potpisa, promijeniti podatke koji se potpisuju ili onemogućiti potpisniku uvid u te podatke prije procesa izrade naprednog elektronskog potpisa.
Uslovi iz st. 1 i 2 ovog člana shodno se primjenjuju na sredstva za izradu elektronskog potpisa.

Član 11

Sredstva za provjeru naprednog elektronskog potpisa su sredstva koja obezbjeđuju:
1) pouzdano utvrđivanje da podaci korišćeni za provjeru elektronskog potpisa odgovaraju podacima prikazanim licu koje vrši provjeru;
2) pouzdano verifikovanje potpisa i korektno prikazivanje rezultata provjere;
3) pouzdan uvid u sadržaj potpisanih podataka;
4) pouzdano verifikovanje autentičnosti i validnosti certifikata potpisnika u trenutku provjere potpisa;
5) korektno prikazivanje identiteta potpisnika ili jasno navođenje pseudonima;
6) da se bilo koje izmjene u potpisanim podacima mogu pouzdano identifikovati.
Davalac usluga certifikovanja dužan je da primaocu elektronskog dokumenta, potpisanog elektronskim potpisom ili drugom ovlašćenom licu omogući provjeru elektronskog potpisa.
Podatke dobijene provjerom elektronskog potpisa (vrijeme izrade ili važenje certifikata) može da čuva lice koje vrši provjeru ili treće lice koje to lice ovlasti.

Član 12

Odredba člana 3 ovog zakona primjenjuje se samo kada su zaštita elektronskog potpisa i naprednog elektronskog potpisa, kao i provjera identiteta potpisnika sprovedeni pomoću postojeće tehnologije od strane potpisnika ili davaoca usluga certifikovanja.
Organ državne uprave nadležan za informaciono društvo (u daljem tekstu: nadležni organ uprave) propisuje:
1) mjere zaštite elektronskog potpisa i naprednog elektronskog potpisa;
2) mjere provjere identiteta potpisnika koje se moraju preduzeti u skladu sa stavom 1 ovog člana;
3) tehničko-tehnološke postupke za izradu naprednog elektronskog potpisa;
4) uslove koje treba da ispune sredstva za izradu naprednog elektronskog potpisa.

III. CERTIFIKATI I DAVANjE USLUGA CERTIFIKOVANjA

Član 13

Kvalifikovani certifikat mora sadržati:
1) oznaku da se radi o kvalifikovanom certifikatu;
2) identifikacioni skup podataka o licu koje izdaje certifikat (lično ime, ime oca ili majke, pseudonim ako ga lice ima, datum rođenja, prebivalište, odnosno boravište, naziv pravnog lica i sjedište, naziv države u kojoj ima sjedište);
3) identifikacioni skup podataka o potpisniku (lično ime, ime oca ili majke, pseudonim ako ga lice ima, datum rođenja, prebivalište, odnosno boravište);
4) podatke za verifikaciju elektronskog potpisa koji odgovaraju podacima za izradu elektronskog potpisa i koji su pod kontrolom potpisnika;
5) podatke o periodu važenja certifikata;
6) identifikacionu oznaku izdatog certifikata;
7) napredni elektronski potpis davaoca usluga izdavanja kvalifikovanih certifikata;
8) ograničenja vezana za korišćenje certifikata, ako ih ima;
9) ograničenja koja se odnose na vrijednost transakcija za koje se daje certifikat, ako ih ima.
Kvalifikovani certifikat, pored podataka iz stava 1 ovog člana, može da sadrži i druge podatke o potpisniku, ako potpisnik zahtijeva.

Član 14

Na vremenski pečat i usluge koje su sa njim povezane shodno se primjenjuju odredbe ovog zakona kojima se uređuje certifikat, a na napredni vremenski pečat i usluge koje su sa njim povezane, odredbe ovog zakona kojima se uređuje kvalifikovani certifikat.
Ako davalac usluga certifikovanja pruža usluge vremenskog pečata, dužan je da u internim pravilima o pružanju usluga i bezbjednosnom sistemu utvrdi način na koji će ispuniti uslove za pružanje usluga utvrđene ovim zakonom.

Član 15

Davalac usluga izdavanja kvalifikovanih certifikata mora ispunjavati sljedeće uslove, i to da:
1) obezbijedi sigurno vršenje usluga certifikovanja, bezbjedno i ažurno vođenje registra potpisnika, kao i sprovođenje bezbjednog i trenutnog opoziva certifikata i da dokaže pouzdanost potrebnu za vršenje usluga certifikovanja;
2) obezbijedi tačno utvrđivanje datuma i vremena (sata i minuta) izdavanja, isteka roka, suspenzije ili opoziva certifikata;
3) obezbijedi provjeru, na odgovarajući način i u skladu sa propisima, identiteta potpisnika i, ako je potrebno, bilo kojeg dodatnog obilježja lica kome se izdaje certifikat;
4) ima zaposleno osoblje sa specijalističkim znanjima, iskustvom i stručnim kvalifikacijama potrebnim za pružanje usluga certifikovanja, a posebno u odnosu na: sposobnosti na upravljačkom nivou, stručnost u primjeni tehnologija elektronskog potpisa i odgovarajućih sigurnosnih procedura i bezbjednu primjenu odgovarajućih upravnih postupaka;
5) koristi pouzdane sisteme i proizvode koji su zaštićeni od neovlašćenih izmjena i koji obezbjeđuju tehničku i kriptografsku sigurnost procesa;
6) preduzima mjere protiv falsifikovanja certifikata, a u slučajevima u kojima generiše podatke za izradu elektronskog potpisa da garantuje tajnost procesa generisanja tih podataka i dostavlja certifikate potpisnicima na bezbjedan način;
7) posjeduje finansijske resurse za osiguranje od rizika i odgovornosti za moguću štetu nastalu vršenjem usluga izdavanja kvalifikovanih certifikata, na nivou koji može pokriti rizik od štete i odgovornosti nastalih korišćenjem njihovih certifikata, ukoliko za to nije odgovoran potpisnik;
8) posjeduje sistem čuvanja svih relevantnih informacija koje se odnose na kvalifikovane certifikate u određenom vremenskom periodu, posebno za pružanje evidencije tih certifikata za potrebe sudskih i drugih pravnih postupaka, a ti podaci mogu se čuvati i u elektronskom obliku, na način koji omogućava provjeru elektronskih potpisa;
9) posjeduje siguran sistem koji onemogućava čuvanje i kopiranje podataka za izradu elektronskog potpisa za lica kojima pruža usluge certifikovanja;
10) posjeduje sisteme za fizičku zaštitu uređaja, opreme i podataka, kao i sigurnosna rješenja za zaštitu od neovlašćenog pristupa;
11) obezbijedi sistem informisanja lica koja traže usluge certifikovanja o tačnim uslovima korišćenja usluga, uključujući bilo koja ograničenja u korišćenju, kao i postupke za rješavanje pritužbi, a informacije koje mogu biti dostavljene elektronski moraju biti napisane i pripremljene u razumljivom obliku i relevantni dijelovi tih informacija moraju biti raspoloživi na zahtjev trećih lica koja koriste certifikat;
12) koristi pouzdan sistem čuvanja kvalifikovanih certifikata u obliku koji omogućava provjeru, kako bi:
- unos i promjene radila samo ovlašćena lica,
- mogla biti provjerena autentičnost informacija iz certifikata,
- certifikati bili javno raspoloživi za pretraživanje na brz i siguran način samo u onim slučajevima za koje je registrovani potpisnik dao ovlašćenja,
- bilo koja tehnička promjena, koja bi mogla narušiti sigurnosne zahtjeve, bila vidljiva davaocu usluga certifikovanja.

Član 16

Usluge certifikovanja može obavljati i organ uprave, ako ispunjava sve uslove propisane ovim zakonom i propisima donesenim na osnovu ovog zakona, osim obaveze iz člana 15 tačka 7 ovog zakona.
Djelokrug, sadržaj i davaoce usluga certifikovanja za organe uprave utvrđuje Vlada Crne Gore.

Član 17

Usluge certifikovanja u Crnoj Gori mogu obavljati i davaoci usluga certifikovanja sa sjedištem u inostranstvu.
Kvalifikovani certifikati koje izdaju davaoci usluga certifikovanja sa sjedištem u jednoj od zemalja članica Evropske Unije imaju istu pravnu snagu kao i kvalifikovani certifikati izdati u Crnoj Gori.
Kvalifikovani certifikati koje izdaju davaoci usluga certifikovanja sa sjedištem u inostranstvu, izvan Evropske Unije, imaju istu pravnu snagu kao i kvalifikovani certifikati izdati u Crnoj Gori, pod uslovom da:
1) davalac usluga certifikovanja ispunjava uslove propisane ovim zakonom za izdavanje kvalifikovanih certifikata i ako je akreditovan u Crnoj Gori ili državi članici Evropske Unije;
2) domaći davalac usluga izdavanja kvalifikovanih certifikata ili davalac tih usluga akreditovan u državi članici Evropske Unije garantuje za takav kvalifikovani certifikat;
3) je u skladu sa bilateralnim ili multilateralnim sporazumom zaključenim između Crne Gore i drugih država ili međunarodnih organizacija;
4) je u skladu sa bilateralnim ili multilateralnim sporazumom zaključenim između Evropske Unije i treće države ili međunarodne organizacije;
5) davalac usluga certifikovanja ispunjava uslove utvrđene propisima Evropske Unije za izdavanje kvalifikovanih certifikata i ako je akreditovan u državi članici Evropske Unije;
6) davalac usluga certifikovanja akreditovan u državi članici Evropske Unije garantuje za takav kvalifikovani certifikat".
Poslije stava 3 dodaje se novi stav koji glasi: "Certifikati davaoca usluga certifikovanja sa sjedištem u državi članici Evropske Unije, koji po ovom zakonu ne ispunjavaju uslove za kvalifikovani certifikat, imaju istu pravnu snagu kao i certifikati izdati u Crnoj Gori u skladu sa ovim zakonom.

Član 18

Davaocu usluga certifikovanja nije potrebna posebna dozvola za obavljanje usluga.

Član 19

Davalac usluga certifikovanja dužan je prijaviti nadležnom organu uprave početak obavljanja usluga certifikovanja, najmanje osam dana prije početka rada.
Uz prijavu iz stava 1 ovog člana ili u slučajevima promjena u pružanju usluga davalac usluga certifikovanja dužan je da priloži interne akte o načinu i postupcima pružanja usluga certifikovanja, bezbjednosnom sistemu i tehničkoj infrastrukturi.

Član 20

Usluge certifikovanja u Crnoj Gori mogu obavljati samo evidentirani davaoci usluga certifikovanja.

Član 21

Nadležni organ uprave upisuje davaoce usluga certifikovanja u evidenciju davalaca usluga certifikovanja (u daljem tekstu: evidencija), odmah nakon što davalac usluga podnese prijavu o početku obavljanja usluga.
Upis u evidenciju ne podliježe vođenju upravnog postupka.
Evidencija je javna i vodi se u elektronskom obliku.
Sadržaj i način vođenja evidencije propisuje nadležni organ uprave.

Član 22

Davalac usluga certifikovanja koji je upisan u evidenciju, ako dokaže da ispunjava sve uslove za pružanje usluga propisane ovim zakonom i propisima donesenim na osnovu ovog zakona, može zahtijevati od nadležnog organa uprave da ga upiše u Registar akreditovanih davalaca usluga certifikovanja (u daljem tekstu: registar).
U registar se, na zahtjev, upisuju i davaoci usluga certifikovanja koji imaju sjedište u inostranstvu, ako ispunjavaju uslove iz člana 17 ovog zakona.
Rješenje o ispunjenosti uslova iz stava 1 ovog člana nadležni organ uprave donosi na osnovu uvida u dokumentaciju priloženu uz zahtjev za upis u registar i, po potrebi, na osnovu neposrednog uvida.
Rješenje se izdaje u roku od 15 dana od dana podnošenja urednog zahtjeva.
U upravnom postupku za upis u registar, u pitanjima koja nijesu uređena ovim zakonom, primjenjuju se odredbe Zakona o opštem upravnom postupku.

Član 23

Nadležni organ uprave, na osnovu rješenja kojim se utvrđuje da podnosilac zahtjeva ispunjava sve propisane uslove u smislu člana 22 stav 1 ovog zakona, podnosioca zahtjeva odmah upisuje u registar.
Registar je javan i vodi se u elektronskom obliku.
Nadležni organ uprave potpisuje registar naprednim elektronskim potpisom.
Registar i podaci za provjeru kvalifikovanog certifikata nadležnog organa uprave objavljuju se na njegovojwebstranici.
Sadržaj i način vođenja registra propisuje nadležni organ uprave.

Član 24

Davalac usluga certifikovanja koji je upisan u registar (akreditovani davalac usluga) može tu činjenicu naznačiti u izdatim certifikatima.

IV. PRAVA, OBAVEZE I ODGOVORNOSTI POTPISNIKA I DAVALACA USLUGA CERTIFIKOVANjA

Član 25

Pravno ili fizičko lice samostalno vrši izbor davaoca usluga certifikovanja.
Potpisnik može koristiti usluge certifikovanja od jednog ili više davalaca usluga certifikovanja.
Potpisnik koristi usluge certifikovanja na osnovu ugovora sa odabranim davaocem usluga certifikovanja.
Potpisnik može koristiti usluge certifikovanja od davaoca usluga koji ima sjedište u inostranstvu.

Član 26

Kvalifikovani certifikat može se izdati svakom licu na njegov zahtjev, na osnovu utvrđenog identiteta i ostalih podataka o licu za koje se izdaje kvalifikovani certifikat.

Član 27

Potpisnik je dužan da pažljivo čuva sredstva i podatke za izradu elektronskog potpisa od neovlašćenog pristupa i upotrebe i iste koristi u skladu sa ovim zakonom.

Član 28

Potpisnik je dužan dostaviti davaocu usluga certifikovanja sve potrebne podatke i informacije o promjenama koje utiču ili mogu uticati na tačnost utvrđivanja identiteta potpisnika odmah, a najkasnije u roku od 48 sati od nastanka promjene.
Potpisnik je dužan da odmah zahtijeva opoziv ili suspenziju svog certifikata u slučajevima:
1) gubitka ili oštećenja sredstava ili podataka za izradu svog elektronskog potpisa;
2) kad posumnja u povjerljivost podataka za izradu potpisa.
Kada je u certifikatu navedeno da potpisnik zastupa određeno lice, potpisnik i lice koje zastupa dužni su da zahtijevaju opoziv ili suspenziju certifikata u slučajevima iz stava 2 ovog člana.

Član 29

Potpisnik odgovara za nepravilnosti koje su nastale zbog neispunjavanja obaveza utvrđenih odredbama čl. 27 i 28 ovog zakona.
Potpisnik nije odgovoran za nepravilnosti u slučajevima kada dokaže da oštećeno lice nije preduzelo ili je pogrešno preduzelo radnje vezane za provjeru elektronskog potpisa.

Član 30

Davalac usluga certifikovanja ima obavezu da:
1) obezbijedi da svaki kvalifikovani certifikat sadrži sve potrebne podatke utvrđene članom 13 ovog zakona;
2) sprovede potpunu provjeru identiteta potpisnika;
3) obezbijedi tačnost i cjelovitost podataka koje unosi u evidenciju izdatih certifikata;
4) u svaki certifikat unese osnovne podatke o svom identitetu;
5) omogući svakom zainteresovanom licu uvid u svoje identifikacione podatke;
6) vodi ažurnu, tačnu i sigurnosnim mjerama zaštićenu evidenciju certifikata koja mora biti javno dostupna;
7) vodi ažurnu, tačnu i sigurnosnim mjerama zaštićenu evidenciju nevažećih certifikata;
8) obezbijedi vidljiv podatak o tačnom datumu i vremenu (sat i minut) izdavanja, suspenzije, isteka roka i opoziva certifikata, najmanje do dana isteka roka važenja koji je naveden u certifikatu;
9) čuva sve podatke i dokumentaciju o izdatim, suspendovanim, isteklim i opozvanim certifikatima kao sredstvo dokazivanja i verifikacije u sudskim, upravnim i drugim postupcima, najmanje 10 godina od prestanka njihovog važenja, pri čemu podaci i prateća dokumentacija mogu biti u elektronskom obliku;
10) primjenjuje odredbe zakona i drugih propisa kojima je uređena zaštita ličnih podataka.

Član 31

Davalac usluga certifikovanja, prije zaključivanja ugovora iz člana 25 stav 3 ovog zakona, mora obavijestiti lice koje je podnijelo zahtjev za izdavanje certifikata o svim važnim okolnostima za njegovu upotrebu.
Obavještenje iz stava 1 ovog člana mora sadržati:
1) izvod iz važećih propisa, internih pravila i drugih uslova koji se odnose na upotrebu certifikata;
2) podatke o eventualnim ograničenjima koja se odnose na korišćenje certifikata i na vrijednost poslovnih događaja za koje se izdaje certifikat;
3) podatke o odgovarajućim pravnim ljekovima ili vansudskom po ravnanju, ako na njega davalac usluga pristane u slučaju spora;
4) podatke o mjerama koje treba da realizuju potpisnici i o tehnologiji potrebnoj za bezbjednu izradu i provjeru elektronskog potpisa.

Član 32

Davalac usluga certifikovanja dužan je da prekine pružanje usluge certifikovanja, odnosno izvrši opoziv certifikata u slučajevima kada:
1) opoziv certifikata zahtijeva potpisnik ili njegov punomoćnik;
2) utvrdi da je podatak u certifikatu pogrešan ili je certifikat izdat na osnovu pogrešnih podataka;
3) primi obavještenje da je potpisnik ili lice koje zastupa izgubilo poslovnu sposobnost, umrlo ili je prestalo da postoji, odnosno istekao rok važenja ovlašćenja za zastupanje ili su se promijenile činjenice koje utiču na važenje certifikata;
4) utvrdi da su podaci za izradu elektronskog potpisa ili informacioni sistem potpisnika ugroženi na način koji utiče na pouzdanost i bezbjednost izrade elektronskog potpisa ili kada treće lice te podatke koristi na neprimjeren način;
5) utvrdi da su podaci za provjeru elektronskog potpisa ili informacioni sistem davaoca usluga certifikovanja ugroženi na način koji utiče na bezbjednost i pouzdanost certifikata;
6) prestaje sa radom ili mu je rad zabranjen, a izdati certifikati su u važećem periodu, osim ako usluge certifikovanja ne prenese na drugog davaoca tih usluga;
7) istekne period važenja certifikata;
8) primi sudsku ili upravnu odluku koja se odnosi na važenje certifikata;
9) postoje drugi pravni razlozi predviđeni internim aktima davaoca usluga certifikovanja.
Davalac usluga certifikovanja dužan je da ažurno vodi evidenciju svih opozvanih certifikata.
Ako se činjenice iz stava 1 ovog člana ne mogu odmah utvrditi na nesumnjiv način, davalac usluga certifikovanja dužan je da bez odlaganja suspenduje certifikat.
Suspenzija i opoziv obavezno sadrže datum i vrijeme donošenja, a proizvode dejstvo od trenutka unošenja u registar suspendovanih i opozvanih certifikata.
Davalac usluga certifikovanja dužan je da obavijesti potpisnika o suspenziji ili opozivu certifikata u roku od 24 sata od primljenog zahtjeva ili obavještenja, odnosno nastanka okolnosti zbog koje se certifikat suspenduje, odnosno opoziva.

Član 33

Davalac usluga certifikovanja dužan je da:
1) primjenjuje organizacione i tehničke mjere zaštite certifikata i podataka vezanih za potpisnike;
2) uspostavi i primjenjuje sistem zaštite pristupa evidenciji certifikata i opozvanih certifikata koji će omogućiti pristup samo ovlašćenim licima i koji obezbjeđuje provjeru tačnosti prenosa podataka i blagovremeni uvid u eventualne greške tehničkih sredstava.
Mjere i postupke iz stava 1 ovog člana propisuje nadležni organ uprave.

Član 34

U slučaju da davalac usluga certifikovanja zbog mogućeg stečaja ili potrebe, odnosno namjere prestanka poslovanja, ima namjeru da raskine ugovor, dužan je o tome obavijestiti svakog potpisnika i nadležni organ uprave, najmanje tri mjeseca prije dana predviđenog za raskid ugovora.
Davalac usluga certifikovanja dužan je da obezbijedi nastavak obavljanja usluga certifikovanja za potpisnike kojima je izdao certifikate kod drugog davaoca usluga i da mu dostavi svu dokumentaciju u vezi sa obavljenim uslugama certifikovanja, a potpisnike obavijesti o uslovima certifikovanja kod drugog davaoca usluga.
Ako davalac usluga certifikovanja ne obezbijedi nastavak obavljanja usluga kod drugog davaoca, dužan je opozvati sve izdate certifikate i o tome odmah, a najkasnije u roku od 48 sati, obavijestiti nadležni organ uprave i dostaviti mu svu dokumentaciju u vezi sa obavljenim uslugama.
Nadležni organ uprave dužan je odmah izvršiti opoziv svih certifikata koje je izdao davalac usluga koji iz bilo kog razloga nije opozvao izdate certifikate, na trošak davaoca usluga.

Član 35

Davalac usluga certifikovanja mora omogućiti povezanost svoje evidencije izdatih i opozvanih certifikata sa drugim davaocima usluga certifikovanja uz primjenu raspoložive informacione tehnologije i uz upotrebu tehničkih i programskih sredstava čije je djelovanje u skladu sa važećim međunarodnim standardima.

Član 36

Davalac usluga izdavanja kvalifikovanih certifikata dužan je osigurati rizik od odgovornosti za štete koje nastanu obavljanjem usluga certifikovanja.
Nadležni organ uprave propisuje najniži iznos osiguranja iz stava 1 ovog člana.

Član 37

Davalac usluga certifikovanja koji izdaje kvalifikovane certifikate ili garantuje za kvalifikovane certifikate drugog davaoca odgovoran je za štetu pričinjenu licu koje se pouzdalo u taj certifikat, ako:
1) informacija koju sadrži kvalifikovani certifikat nije tačna u trenutku njegovog izdavanja;
2) certifikat ne sadrži sve elemente propisane za kvalifikovani certifikat;
3) nije obezbijedio da potpisnik u trenutku izdavanja certifikata posjeduje podatke za izradu elektronskog potpisa koji odgovaraju podacima za provjeru elektronskog potpisa koji su dati, odnosno identifikovani u certifikatu;
4) ne obezbijedi da se podaci za izradu i podaci za provjeru elektronskog potpisa mogu koristiti komplementarno, u slučaju kada te podatke generiše davalac;
5) propusti da opozove certifikat u skladu sa odredbama člana 32 ovog zakona;
6) certifikat ne sadrži informacije o ograničenjima koja se odnose na korišćenje, odnosno na vrijednost poslovnih događaja za koje se izdaje certifikat.
Davalac usluga certifikovanja nije odgovoran za štetu iz stava 1 ovog člana, ako pred sudom ili drugim nadležnim organom dokaže da je postupao sa pažnjom dobrog privrednika.
Davalac usluga certifikovanja nije odgovoran za štetu koja je nastala zbog korišćenja certifikata izvan ograničenja, ukoliko su ta ograničenja jasno naznačena u certifikatu.
Davalac usluga certifikovanja odgovoran je za štetu pričinjenu potpisniku ili savjesnom trećem licu zbog nedostataka ili kašnjenja pri omogućavanju uvida u podatke o važenju, isteku ili suspenziji certifikata.

Član 38

Davalac usluga certifikovanja može prikupljati lične podatke koji su neophodni za izdavanje i održavanje certifikata, neposredno od potpisnika ili posredno uz njegovu izričitu saglasnost.
Lični podaci prikupljeni u skladu sa stavom 1 ovog člana ne mogu biti obrađivani ili korišćeni za druge namjene bez izričite saglasnosti potpisnika.
Davalac usluga certifikovanja, na zahtjev potpisnika, može u certifikatu, umjesto punog imena potpisnika, unijeti njegov pseudonim nakon provjere njegovog identiteta.
Davalac usluga certifikovanja dužan je da na zahtjev nadležnog državnog organa da podatke o identitetu potpisnika.
Davalac usluga certifikovanja podatke iz stava 1 ovog člana može prikupljati neposredno ili angažovanjem drugih fizičkih ili pravnih lica.

V. NADZOR

Član 39

Nadzor nad radom davalaca usluga certifikovanja vrši nadležni organ uprave.
Nadzor nad radom davalaca usluga certifikovanja u oblasti prikupljanja, upotrebe i zaštite ličnih podataka potpisnika mogu vršiti i državni i drugi organi određeni zakonom i drugim propisima koji uređuju zaštitu ličnih podataka.

Član 40

U okviru nadzora rada registrovanih, odnosno evidentiranih davalaca usluga certifikovanja nadležni organ uprave:
1) utvrđuje da li su ispunjeni uslovi propisani ovim zakonom i propisima donesenim na osnovu ovog zakona;
2) kontroliše pravilnost primjene propisanih postupaka i organizaciono-tehničkih mjera, primjenu internih pravila koja su u vezi sa uslovima utvrđenim ovim zakonom i propisima donesenim na osnovu ovog zakona.

Član 41

Davalac usluga certifikovanja dužan je da, u cilju sprovođenja nadzora ovlašćenim licima organa iz člana 39 st. 1 i 2 ovog zakona, omogući pristup u svoje poslovne prostorije i uvid u podatke o poslovanju, uvid u poslovnu dokumentaciju, pristup registru potpisnika i računarskoj opremi i uređajima koje koristi.
Ako davalac usluga certifikovanja ne ispunjava uslove propisane ovim zakonom i propisima donesenim na osnovu ovog zakona, ovlašćeno lice nadležnog organa uprave donosi rješenje u upravnom postupku, kojim se privremeno zabranjuje davanje usluga certifikovanja i ta činjenica se upisuje u evidenciju, odnosno registar.
Nadležni organ uprave, nakon pravosnažnosti rješenja iz stava 2 ovog člana, vrši brisanje davaoca usluga certifikovanja iz evidencije, odnosno registra.

VI. KAZNENE ODREDBE

Član 42

Novčanom kaznom u visini od tri do 15 najnižih cijena rada u Crnoj Gori kazniće se za prekršaj fizičko lice koje neovlašćeno pristupi i upotrijebi podatke i sredstva za izradu elektronskog potpisa i naprednog elektronskog potpisa.

Član 43

Novčanom kaznom u visini od 10 do 20 najnižih cijena rada u Crnoj Gori kazniće se za prekršaj potpisnik, odnosno fizičko lice ili odgovorno lice pravnog lica koje zastupa potpisnika, ako:
1) nepažljivo i neodgovorno koristi sredstva i podatke za izradu elektronskog potpisa (član 27);
2) davaocu usluga certifikovanja, u roku iz člana 28 stav 1 ovog zakona, ne dostavi potrebne podatke i informacije o promjenama koje utiču ili bi mogle uticati na tačnost elektronskog potpisa;
3) davaocu usluga certifikovanja blagovremeno ne dostavi zahtjev za opoziv certifikata (član 28 stav 2).

Član 44

Novčanom kaznom u visini od 20 do 150 najnižih cijena rada u Crnoj Gori kazniće se za prekršaj davalac usluga certifikovanja, ako:
1) izda kvalifikovani certifikat koji ne sadrži sve potrebne podatke (član 13 stav 1);
2) u propisanom roku ne prijavi nadležnom organu uprave početak obavljanja usluga certifikovanja (član 19 stav 1);
3) ne sprovodi odgovarajuće zaštitne mjere kojima se onemogućava neovlašćeno čuvanje i kopiranje podataka za izradu elektronskog potpisa (član 15 stav 1 tačka 9);
4) ne obavijesti potpisnika kome izdaje certifikat o svim bitnim uslovima upotrebe izdatog certifikata (član 15 stav 1 tačka 11);
5) pravovaljano ne utvrdi identitet fizičkog ili pravnog lica za koje izdaje kvalifikovani certifikat (član 30 stav 1 tačka 2);
6) ne vodi ažurno i sigurnosnim mjerama zaštićenu evidenciju certifikata i ne omogućava njihovu javnu dostupnost (član 30 stav 1 tačka 6);
7) ne vodi ažurno evidenciju svih opozvanih certifikata (član 32 stav 2);
8) ne obavijesti u propisanom roku potpisnika o izvršenom opozivu certifikata (član 32 stav 5);
9) blagovremeno ne obavijesti potpisnike kojima je izdao certifikate i nadležni organ o mogućem stečaju ili drugim okolnostima koje mogu dovesti do prekida obavljanja usluga certifikovanja (član 34 stav 1);
10) ne omogući ovlašćenim licima nadležnog organa pristup u svoje poslovne prostorije i uvid u podatke o poslovanju, uvid u poslovnu dokumentaciju, pristup registru potpisnika, računarskoj opremi i uređajima (član 41 stav 1).

Član 45

Novčanom kaznom u iznosu od 20 do 100 najnižih cijena rada u Crnoj Gori kazniće se za prekršaj pravno lice u slučaju da:
1) odbije prijem elektronskog dokumenta sa elektronskim potpisom ili naprednim elektronskim potpisom, samo zbog toga što je u elektronskom obliku (član 3);
2) ne čuva podatke i sredstva za provjeru elektronskog potpisa onoliko vremena koliko se čuvaju sami elektronski dokumenti (član 5).

VII. PRELAZNE I ZAVRŠNA ODREDBA

Član 46

Podzakonske propise na osnovu ovlašćenja iz ovog zakona nadležni organ uprave donijeće u roku od četiri mjeseca od dana stupanja na snagu ovog zakona.

Član 46a

Odredba člana 17 stav 3 tačka 4 ovog zakona primjenjivaće se od dana prijema Crne Gore u članstvo Evropske Unije.

Član 46b

Podzakonski akti za sprovođenje ovog zakona donijeće se u roku od devet mjeseci od dana stupanja na snagu ovog zakona.

Član 47

Ovaj zakon stupa na snagu osmog dana od dana objavljivanja u "Službenom listu Crne Gore".