Pravni okviri i načini upotrebe elektronskog potpisa i elektronskog sertifikata
Zakonska osnova u definisanju elektronskog potpisa i sertifikata počiva na Direktivi EU 1999/93/EC o elektronskim potpisima koja je usvojena 13. decembra 1999 a formalno stupila na snagu 19. januara 2000. godine. Ova direktiva je dala pravno utemeljenje elektronskog potpisa da bi na osnovu nje bili doneti Zakoni o elektronskom potpisu u svim zemljama EU kao i u većini ostalih zemalja Evrope.
U našoj zemlji, Zakon o elektronskom potpisu je donet 2004. godine (Službeni glasnik RS br. 135/2004 ). Njime se uređuje upotreba elektronskog potpisa u pravnim poslovima, kao i u drugim pravnim radnjama ali se navode i prava, obaveze i odgovornosti u vezi sa izdavanjem elektronskih sertifikata. Dva najvažnija cilja koja je ovaj zakon trebao da ispuni su:
- Da propiše uslove pod kojima je elektronski potpis pravni ekvivalentan svojeručnom potpisu.
- Da propiše uslove koje moraju da ispune sertifikaciona tela koja izdaju kvalifikovane sertifikate za verifikaciju kvalifikovanih elektronskih potpisa.
Po našem mišljenju, obe grupacije uslova zakon je dovoljno jasno odredio, obezbedivši time sebi mesto krovnog zakona. S druge strane, obezbedio je i definisane uslove za operativnu upotrebu elektronskog potpisa u regularnim pravno-ekonomskim poslovima.
Osim navedenog Zakona o elektronskom potpisu (Službeni glasnik RS br. 135/2004 ) i sledeća podzakonska akta učestvuju u dodatnom definisanju statusa i procesa korišćenja elektronskom potpisa:
- Pravilnik o tehničko-tehnološkim postupcima za formiranje kvalifikovanog elektronskog potpisa i kriterijumima koje treba da ispune sredstva za formiranje kvalifikovanog elektronskog potpisa (“Sl. glasnik RS”, br. 26/2008)
- Pravilnik o bližim uslovima za izdavanje kvalifikovanih elektronskih sertifikata (“Sl. glasnik RS”, br. 26/2008)
- Pravilnik o Registru sertifikacionih tela za izdavanje kvalifikovanih elektronskih sertifikata u Republici Srbiji (“Sl. glasnik RS”, br. 26/2008)
- Pravilnik o evidenciji sertifikacionih tela (“Sl. glasnik RS”, br. 48/2005)
Pre nego što pređemo na detaljnija objašnjenja načina primene, potrebno je da objasnimo pojmovnu razliku između elektronskog potpisa i elektronskog sertifikata. Sam Zakon o elektronskom potpisu, ova dva pojma definiše na sledeći način:
- Elektronski potpis je skup podataka u elektronskom obliku koji su pridruženi ili su logički povezani sa elektronskim dokumentom i koji služe za identifikaciju potpisnika.
- Elektronski sertifikat je elektronski dokument kojim se potvrđuje veza između podataka za proveru elektronskog potpisa i identiteta potpisnika.
Dodatno, Zakon uvodi još jedan pojam koji je takođe važan za razumevanje razlike između elektronskog sertifikata i potpisa, i to:
- Kvalifikovani elektronski potpis je elektronski potpis kojim se pouzdano garantuje identitet potpisnika, integritet elektronskih dokumenata, i onemogućava naknadno poricanje odgovornosti za njihov sadržaj, i koji ispunjava uslove utvrđene ovim zakonom;
Generalno, pojam elektronskog ili digitalnog potpisa dolazi iz računarskih tehnologija i predstavlja operaciju kriptovanja (lične zaštite – zaključavanja) teksta pri slanju i primanju između dva učesnika. Uopšteno rečeno, svaki korisnik računara može da tekst/fajl koji šalje zaključa svojim privatnim ključem (engl. private key) tako da nikom drugom ne bude vidljiv za čitanje osim onom koji ima drugi ključ (engl. public key). Ova operacija je stvar ličnog izbora i definiše se kao upotreba Elektronskog ili Digitalnog potpisa u zaštiti privatnosti i poverljivosti u ličnoj prepisci. Ovakav potpis u sebi nosi unikatnu informaciju o potpisniku. Dokument koji se ovako potpiše je definisan vremenom kreiranja i u potpunosti zaštićen od neovlašćenih izmena. Ovu vrstu elektronskog potpisa kreira sam korisnik i moguće ga je menjati pri svakom sledećem elektronskom potpisivanju.
Ovakva opcija računarskih tehnologija je iskorišćena u kreiranju pravila opšteg Elektronskog poslovanja formiranjem ovlašćenih centara za unificiranje, popisivanje i izdavanje jedinstvenih elektronskih potpisa koje ne bi trebao, niti mogao, korisnik sam da menja i koji bi važili jedinstveno za sve oblike elektronskih prepiski i transakcija na širem nivou. U to ime, svaka država u svojoj nadležnosti, imenuje i ovlašćuje posebna Sertifikaciona tela koja jedina imaju mogućnost da, po zahtevu građana, izdaju elektronske potpise, validne za korišćenje na celoj svojoj teritoriji i za sve zakonom predviđene elektronske prepiske i transakcije. Ovi elektronski potpisi se zovu Kvalifikovani elektronski potpisi. Oni u sebi imaju integrisane lične podatke imaoca kao što su: ime i prezime, JMBG, svojeručni potpis i dr. Ovi podaci sam kvalifikovani elektronski potpis direktno vezuju za ostale, tradicionalne, baze podataka sa ličnim podacima građana te tako sam elektronski potpis čine jedinstvenim i neponovljivim.
Dodatno, samo Sertifikaciono telo, u kompletu sa ovako kreiranim elektronskim potpisom, tražiocu izdaje i dodatne elektronske zapise u zajedničkom obliku elektronskog dokumenta. Svi oni zajedno čine Elektronski sertifikat koji predstavlja potrebni i dovoljni zbir elektronskih podataka koji omogućava korisniku da iste samostalno instalira/integriše na svom ličnom računaru te tako sebi omogući elektronsko potpisivanje i zaštitu dokumenata pri overi, slanju elektronskim putem te učešće u ukupnom elektronskom poslovanju na validan način.
U analogiji sa opšte poznatim, tradicionalnim, pravno-ekonomskim poslovanjem Fizičkih lica, kvalifikovani elektronski potpis predstavlja svojeručni potpis a elektronski sertifikat ličnu kartu lica.
U procesu razvoja i primene E Poslovanja u našoj zemlji, Ministarstvo trgovine, turizma i telekomunikacija je, po svojoj nadležnosti, ovlastilo nekoliko preduzeća i institucija za poslove Sertifikacionih tela (JP PTT, MUP RS, Privredna komora,…). Svi oni imaju mogućnost da fizičkom i pravnom licu izdaju jedinstveni elektronski sertifikat sa elektronskim potpisom.
Za potrebe fizičkih lica, najjednostavniji i najefikasniji način izdavanja elektronskog potpisa je upotrebom lične karte sa čipom. Ova procedura izdavanja je besplatna i obavlja se u nadležnosti MUP-a RS u svim gradskim sekretarijatima unutrašnjih poslova. Od podnosioca zahteva se, osim lične karte sa čipom, očekuje lična prisutnost i pisani zahtev za izdavanje ličnog elektronskog sertifikata. Procedura izdavanja se obavlja na licu mesta u toku jednog radnog dana. Podnosioc dobija elektronski sertifikat upisan na čip lične karte kao i dodatni kod/lozinku u pisanoj formi u posebnoj koverti koji služi za proces lične verifikacije i dodatne overe u procesima elektronskog potpisivanja.
Sledeći korak u procesu samostalnog korišćenja elektronskog potpisa je instalacija elektronskog sertifikata u računar imaoca potpisa. Proces instalacije se sastoji iz sledećih koraka:
-
- Instalacija Čitača kartica sa čipom
Čitač kartica sa čipom (engl. Smart Card Reader) je dodatni uređaj koji se posebno nabavlja i instalira na računar korisnika. Povezuje se na slobodan USB port računara i, u većini slučajeva, već u sebi ima sve potrebne instalacione fajlove za punu integraciju i pravilan rad na novom računaru. U slučajevima da postoje posebni problemi u instalaciji, potrebno je kontaktirati za pomoć obučeno lice za stručniji rad sa računarima.
- Instalacija Čitača kartica sa čipom
-
- Instalacija programa za očitavanje čip kartice
Radi očitavanja sadržaja čip kartice, osim čitača kartice je potreban i program za očitavanje. Postoje više programa koji to mogu izvršiti ali ćemo ovde pomenuti jedan od najčešće korišćenih. Njegov naziv je CELIK+ i može se preuzeti sa sajta Ministarstva unutrašnjih poslova na adresi: http://ca.mup.gov.rs/download.html Potrebno je samo obratiti pažnju da li je vaš računar sa 32 ili 64-ro bitnim procesorom te tako izabrati jednu od dve ponuđene verzije ovog programa.
Sama instalacija programa CELIK+ je jednostavna a program je jednostavan za korišćenje. Osnovna mu je opcija da očita samu ličnu kartu i ostavi mugućnost da se podaci sa nje odštampaju. U slučaju da na ličnoj karti postoji validni elektronski sertifikat, na osnovnom prozoru programa će se pojaviti potvrda ispisom Sertifikat validan.
Sledeći korak koji treba uraditi je da se u prozoru Prikaz sertifikata odaberu redom sve tri opcije:- Sertifikat za autentikaciju i šifrovanje
- Sertifikat za elektronski potpis
- Izdavač potpisa
Odabirom svake opcije pojedinačno i praćenjem sledećih jednostavnih uputa, na datom računaru će se izvršiti instalacije svih ličnih i javnih sertifikata potrebnih za elektronsko potpisivanje dokumenata potpisom imaoca lične karte i elektronskog potpisa na njoj.
- Instalacija programa za očitavanje čip kartice
- Izrada elektronskog dokumenta sa elektronskim potpisom
Instalacijom ličnog elektronskog sertifikata je omogućeno da se upotrebom datog računara dokumenti mogu elektronski potpisivati digitalnim potpisom imaoca sertifikata. Osim toga, ovaj elektronski potpis se takođe može koristiti i pri elektronskim transakcijama kao što se pravno-računovodstveni poslovi na sajtovima:- Portal eUprave
- RZZO – Republički fond za zdravstveno osiguranje
- APR
- Societe General i Raiffeisen banka
- RATEL – Republička agencija za elektronske komunikacije
- i drugi
Ovo se odnosi na slučajeve kada je imaoc sertifikata Odgovorno lice za ove transakcije.
Samo potpisivanje dokumenata i zaštita i-mejl prepiske upotrebom elektronskog sertifikata se vrši iz posebnih programa predviđenih za ovu vrstu obrade teksta. Spisak nekih od programa koji omogućavaju ovu vrstu elektronske notifikacije i zaštite su:- Adobe Reader XI i noviji
- Dokumenta u obradi programa Office 2003, 2007 i 2010
- I mejl prepiska programima Outlook Express i Outlook 2010
- Poseban program za elektronsko potpisivanje dokumenata eDocSigner
- E-Potpis, program za korisnike zatvorene mreže državne uprave
- i drugi
- Primer korišćenja elektronskog potpisa upotrebom programa Adobe Reader
Jedan od najednostavnijih i najviše korišćenih programa za elektronsko potpisivanje dokumenata je program Adobe Reader. Ovaj program se izvorno koristi za čitanje i kreiranje tzv. PDF fajlova i, kako je besplatan i lako dostupan, prisutan je u najvećoj meri na većini personalnih računara.
Način kako se dolazi do dokumenta potpisanog ličnim elektronskim potpisom upotrebom ovog programa je jednostavan i ima nekoliko koraka:- Željeni tekst dokument (npr. Ugovor) originalno urađen u programu za obradu teksta (npr. Word), prebaciti u oblik PDF fajla – opcija Sačuvaj dokument kao PDF
- Takav dokument otvoriti iz programa Adobe Reader
- U gornjem desnom uglu menija programa, otvoriti opciju Fill&Sign
- U padajućem meniju, izabrati Place Signature
- Strelicom „miša“ izabrati, kvadratom obeležiti, mesto gde će se potpis nalaziti na dokumentu – obično to bude kraj teksta ili mesto za tradicionalni potpis.
- Program će sam na to mesto postaviti digitalni potpis prethodno instaliran na tom računaru.
Time je dokument elektronski zaveden vremenom i datumom, overen elektronskim potpisom i zaključan za svaku eventualnu promenu. Kao takav, po Zakonu o elektronskom dokumentu (Službeni glasnik RS”, broj 51/2009) ima istu pravnu snagu kao i bilo koji drugi zvanični dokument u papirnoj formi.
Tehnologija Elektronskog potpisa omogućava autentičnost, zaštitu integriteta i neporecivost podataka i dokumenata u sveobuhvatnom elektronskom poslovanju. U određenim slučajevima, primena elektronskog potpisa je direktna opcija svojeručnom potpisu u klasičnom poslovanju, uz dodatnu zaštitu i nepromenljivost potpisanih podataka. Važno je reći da elektronski potpis nije slika skeniranog svojeručnog potpisa u dokumentu, jer tako urađena i primenjena slika ne obezbeđuje potpun i zakonom potvrđen nivo pouzdanosti.
Pravilno korišćenje kvalifikovanog elektronskog potpisa i elektronskog dokumenta, odnosno bilo kojih elektronskih podataka u opštem slučaju, osnov je za njihovu punovažnost i dokaznu snagu u pravnim poslovima, upravnim, sudskim i drugim postupcima. Kvalifikovani elektronski potpis ima isto pravno dejstvo i dokaznu snagu kao svojeručni potpis, odnosno svojeručni potpis i pečat.
U posebnim slučajevima i uz prethodni dogovor, učesnici u elektronskom poslovanju mogu uzajamno usvojiti priznavanje i elektronskih potpisa koji nisu kvalifikovani od strane Sertifikacionih tela. Ovakve slučajeve imamo danas u elektronskom bankarstvu gde banke samostalno određuju i usvajaju oblike elektronskih potpisa u svojim transakcijama sa komintetima.
Ne postoji opšta zakonska obaveza korišćenja kvalifikovanog elektronskog potpisa ukoliko učesnici poslovanja utvrde da ne žele pravno-tehničku sigurnost koju kvalifikovani elektronski potpis donosi.
Elektronska kopija dokumenta u papirnom obliku ima istu pravnu snagu kao i izvorni dokument ukoliko je dokument elektronski obrađen tokom vršenja delatnosti, a zatim, dodatno, isti dokument potpisan kvalifikovanim elektronskim potpisom od strane ovlašćenog lica unutar pravnog lica.