Elektronička je komunikacija danas sveprisutna, stoga se postavlja pitanje kako osigurati vjerodostojnost takvog komuniciranja. Naime, izgradnja povjerenja u online okruženje ključna je za gospodarski i socijalni razvoj.
 
Uredbom (EU) br. 910/2014 Europskog parlamenta i vijeća od 23. srpnja 2014. (u daljnjem tekstu: Uredba eIDAS), nastoji se povećati povjerenje u elektroničke transakcije na unutarnjem tržištu pružanjem zajedničkog temelja za sigurnu elektroničku interakciju između građana, poduzeća i tijela javne vlasti. Uredbom se uspostavlja pravni okvir za elektroničke potpise, elektroničke pečate, elektroničke vremenske žigove, elektroničke dokumente, usluge elektroničke preporučene dostave i usluge certificiranja za autentikaciju mrežnih stranica.
 
Sam pojam elektroničke identifikacije označava postupak korištenja osobnih identifikacijskih podataka u elektroničkom obliku koji na nedvojben način predstavljaju fizičku ili pravnu osobu, ili fizičku osobu koja predstavlja pravnu osobu.
 
Kako bi koristili e-potpis potreban nam je certifikat, sredstvo za izradu elektroničkog potpisa, te odgovarajuća računalna aplikacija.
 
U Republici Hrvatskoj ovlašteni izdavatelji certifikata su:
- Financijska agencija (FINA)
- Agencija za komercijalnu djelatnost (AKD) čiji su certifikati ugrađeni u elektroničke osobne iskaznice novije generacije i
- Zagrebačka banka (ZABA) koja izdaje certifikate za svoje klijente.
- HP d.d.
 
Popis je ovdje:
https://esignature.ec.europa.eu/efda/tl-browser/#/screen/tl/HR
 
Kvalificirani certifikati davatelja usluga certificiranja sa sjedištem u Europskoj uniji jednako su valjani kao i kvalificirani certifikati izdani u Republici Hrvatskoj.
 
Elektronički potpis predstavlja generički pojam koji podrazumijeva čitav niz različitih vrsta digitalno prikazanih podataka pomoću kojih se vrši identifikacija korisnika i provjera vjerodostojnosti potpisanoga elektroničkog dokumenata. Radi se dakle o skupu podataka na temelju kojih se može identificirati potpisnika, odnosno utvrditi tko je potpisnik neke isprave, a slijedom toga se može utvrditi i vjerodostojnost te isprave.
 
Kvalificirani elektronički potpis predstavlja napredan elektronički potpis koji je izrađen pomoću kvalificiranih sredstava za izradu elektroničkog potpisa i temelji se na kvalificiranom certifikatu za elektroničke potpise, a uz sve to ima jednak pravni učinak kao vlastoručni potpis.
 
Njegovim korištenjem osigurava se:
- autentikaciju – povezivanje identiteta potpisnika s informacijom
- integritet – nepromjenjivost podataka (omogućuje lakše utvrđivanje bilo kakve promjene podataka)
- neporecivost – pravna sigurnost podrijetla elektroničkog potpisa
 
Prema javno objavljenom stajalištu Ministarstva rada, mirovinskog sustava, obitelji i socijalne politike, ugovor o radu sklopljen u elektroničkom obliku, potpisan kvalificiranim elektroničkim potpisom koji je izrađen uporabom kvalificiranog certifikata, a u skladu s Uredbom (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ (Narodne novine, broj 62/17), ispunjava uvjet pisanog oblika iz članka 14. Zakona o radu:
 
https://uznr.mrms.hr/elektronicko-potpisivanje-ugovora-o-radu/
 
 
No, jesu li sva rješenja digitalnog potpisa u skladu i s GDPR-om?
 
Kako nam pokazuje slučaj s Islanda, baš i nisu.
 
Na Islandu je uvedena platforma Signet kojom se omogućuje digitalno potpisivanje i verifikacija dokumenata. Ta platforma je, među ostalim, uzimala od korisnika njegov matični broj i email adresu na način da je imala pristup javnom registru matičnih brojeva svih građana Islanda, a tijekom korištenja usluga digitalnog potpisivanja je Signet platforma omogućavala svim drugim Signet korisnicima dostupnost spomenutih osobnih podataka konkretnog korisnika.
 
Stvar je završila prijavom nadzornom tijelu za zaštitu osobnih podataka.
 
Signet je tvrdio da su njegovi korisnici dali svoju privolu za korištenje i dijeljenje njihovih osobnih podataka obveznim prihvaćanjem Uvjeta korištenja (!).
 
Jasno je da ovdje privola nije bila predmetom slobodne volje već nametnuta obveza pristanka na obradu osobnih podataka koja i nije bila nužna za traženu svrhu. Privola se ovdje nije smjela koristiti.
 
Legitimni interes kao mogući pravni temelj iz članka 6. GDPR-a nije bio valjan, posebice iz razloga jer nije bilo temelja dijeliti osobne podatke pojedinog korisnika svim Signet korisnicima, već samo i isključivo onom Signet korisniku koji želi verificirati potpis.
 
Signet platforma ogriješila se o članak 6. GDPR-a, ali i o obveze transparentnosti prema korisnicima s obzirom na članak 13. i 14. GDPR-a.
 
Uz sve to, dovedena je u cijelosti u pitanje usklađenost Signet platforme s obzirom na obveznu minimizaciju obrađivanih osobnih podataka, čime Signet nije uskladio svoju platformu s člankom 5. GDPR-a.
 
Nadzorno tijelo za zaštitu osobnih podataka je naložilo prestanak pružanja usluga Signet platforme dok se ista ne uskladi s GDPR-om.
 
Koji kvalificirani elektronički potpis koristi vaša tvrtka za sklapanje ugovora o radu?
 
Više o islandskom slučaju:
 
https://gdprhub.eu/index.php?title=Pers%C3%B3nuvernd_(Iceland)_-_Case_no._2021101924&mtc=today
 
 
Photo by Polina Tankilevitch from Pexels
 
#gdprcroatia