Izvajanje kvalificiranih storitev zaupanja

Ponudnik kvalificiranih storitev zaupanja je ponudnik storitev zaupanja, ki zagotavlja, eno ali več kvalificiranih storitev zaupanja in mu nadzorni organ dodeli kvalificirani status.

Kvalificirane storitve zaupanja so:

  1. Izdaja kvalificiranih potrdil za elektronske podpise
  2. Potrjevanje veljavnosti kvalificiranih elektronskih podpisov 
  3. Hramba kvalificiranih elektronskih podpisov 
  4. Izdaja kvalificiranih potrdil za elektronske žige 
  5. Potrjevanja veljavnosti kvalificiranih elektronskih žigov
  6. Hramba kvalificiranih elektronskih žigov
  7. Izdaja kvalificiranih elektronskih časovnih žigov 
  8. Kvalificirana storitev elektronske priporočene dostave 
  9. Izdaja kvalificiranih potrdil za avtentikacijo spletišč

Pogoji in dokazila

Pomembno je tudi

Znak zaupanja EU za kvalificirane storitve zaupanja

Ponudnik kvalificiranih storitev zaupanja, katerega status je vpisan v zanesljivem seznamu, lahko uporabi znak zaupanja EU in tako na preprost, prepoznaven in jasen način označi kvalificirane storitve zaupanja, ki jih zagotavlja. Hkrati ponudnik kvalificiranih storitev zaupanja zagotovi, da je na njegovem spletišču navedena povezava do ustreznega zanesljivega seznama.

Varnostne zahteve za ponudnike storitev zaupanja

Ponudniki kvalificiranih in nekvalificiranih storitev zaupanja morajo sprejeti ustrezne tehnične in organizacijske ukrepe za obvladovanje nevarnosti, povezanih z varnostjo storitev zaupanja, ki jih zagotavljajo. 

Ponudniki kvalificiranih in nekvalificiranih storitev zaupanja o vsaki kršitvi varnosti ali izgubi celovitosti, ki znatno vpliva na zagotovljeno storitev zaupanja ali na osebne podatke, vsebovane v njej, morajo brez nepotrebnega odlašanja, v vsakem primeru pa v 24 urah po ugotovitvi, uradno obvestiti nadzorni organ, po potrebi pa tudi druge pristojne organe, kot je pristojni nacionalni organ za varnost informacij ali organ za varstvo podatkov.

Kadar je verjetno, da bo kršitev varnosti ali izguba celovitosti negativno vplivala na fizično ali pravno osebo, ki ji je bila zagotovljena storitev zaupanja, ponudnik storitev zaupanja o kršitvi varnosti ali izgubi celovitosti brez nepotrebnega odlašanja uradno obvesti tudi fizično ali pravno osebo.

Zahteve za ponudnike kvalificiranih storitev zaupanja

Ponudnik kvalificiranih storitev zaupanja mora pri izvajanju kvalificiranih storitev zaupanja izdajanja kvalificiranih potrdil za elektronski podpis, elektronski žig ali avtentikacijo spletišč ob izdaji kvalificiranega potrdila z ustreznimi sredstvi in v skladu z nacionalnim pravom preveriti identiteto in po potrebi druge posebne lastnosti fizične ali pravne osebe, za katero se izdaja kvalificirano potrdilo: 

  • s fizično prisotnostjo fizične osebe ali pooblaščenega predstavnika pravne osebe ali
  • na daljavo, s pomočjo sredstev elektronske identifikacije, za katere je bila pred izdajo kvalificiranega potrdila zagotovljena fizična prisotnost fizične osebe ali pooblaščenega predstavnika pravne osebe in ki izpolnjujejo zahteve v zvezi s „srednjo“ ali „visoko“ ravnjo zanesljivosti, ali
  • s potrdilom za ustvarjanje kvalificiranega elektronskega podpisa ali kvalificiranega elektronskega žiga, ali
  • s pomočjo drugih načinov identifikacije, ki so priznani na nacionalni ravni in zagotavljajo enakovredno zanesljivost kakor fizična prisotnost. Enakovredno zanesljivost potrdi organ za ugotavljanje skladnosti.

Ponudnik kvalificiranih storitev zaupanja, ki zagotavlja kvalificirane storitve zaupanja:

  • mora obvestiti nadzorni organ o vsaki spremembi pri zagotavljanju svojih kvalificiranih storitev zaupanja ter o nameri o prenehanju opravljanja teh dejavnosti; 
  • zaposluje osebje in po potrebi podizvajalce, ki imajo potrebno strokovno znanje, izkušnje in    kvalifikacije ter so zanesljivi in ki so se udeležili ustreznega usposabljanja v zvezi z varnostjo in pravili o varstvu osebnih podatkov ter uporabljajo upravne in upravljavske postopke, ki so v skladu z evropskimi ali mednarodnimi standardi; 
  • kar zadeva tveganje odškodninske odgovornosti mora ohranjati zadostna finančna sredstva in/ali pridobi ustrezno zavarovanje odgovornosti v skladu z nacionalnim pravom; 
  • pred vstopom v pogodbeno razmerje vsako osebo, ki želi uporabljati kvalificirano storitev zaupanja, jasno in razumljivo obvesti o natančnih splošnih pogojih uporabe zadevne storitve, tudi o morebitnih omejitvah njene uporabe; 
  • mora uporabljati zaupanja vredne sisteme in izdelke, ki so zaščiteni pred spreminjanjem ter zagotavljati tehnično varnost in zanesljivost postopkov, pri katerih se uporabljajo;
  • mora uporabljati zaupanja vredne sisteme za shranjevanje podatkov, ki jih prejme, v preverljivi obliki, tako da:
    • so ti javno dostopni samo, če je bila pridobljena privolitev osebe, na katero se podatki nanašajo,
    • lahko le pooblaščene osebe vnašajo podatke in spreminjajo shranjene podatke,
    • se lahko preveri avtentičnost podatkov;
  • mora sprejeti ustrezne ukrepe proti ponarejanju in kraji podatkov;
  • mora v ustreznem časovnem obdobju, tudi potem, ko je ponudnik kvalificiranih storitev zaupanja prenehal opravljati dejavnosti, beležiti vse pomembne informacije o podatkih, ki jih je izdal in prejel ponudnik kvalificiranih storitev zaupanja, in ohranjati dostop do njih, zlasti da se zagotovijo dokazi v pravnih postopkih in neprekinjenost storitve. Beleženje je lahko elektronsko;
  • mora imeti posodobljen načrt za prenehanje zagotavljanja storitve, da se zagotovi neprekinjenost storitve;
  • mora zagotoviti zakonito obdelavo osebnih podatkov v skladu z Direktivo 95/46/ES;
  • mora v primeru, da izdaja kvalificirana potrdila, vzpostaviti in posodabljati podatkovno zbirko potrdil.

Če ponudnik kvalificiranih storitev zaupanja, ki izdaja kvalificirana potrdila, sklene, da se potrdilo prekliče, tak preklic zabeleži v svoji podatkovni zbirki potrdil in pravočasno, v vsakem primeru pa v 24 urah po prejetju zahtevka, objavi, da je potrdilo preklicano. Preklic začne učinkovati takoj po objavi.

Ponudniki kvalificiranih storitev zaupanja, ki izdajajo kvalificirana potrdila, vsaki zanašajoči se stranki zagotovijo informacije o veljavnosti ali preklicu kvalificiranih potrdil, ki so jih izdali. Te informacije so vsaj za posamezna potrdila na voljo kadar koli in tudi po izteku veljavnosti potrdila, in sicer na zanesljiv, brezplačen in učinkovit avtomatiziran način.

Datum zadnje spremembe strani: 05. 09. 2018