227/2000 Sb.
ZÁKON
ze dne 29. června 2000
o elektronickém podpisu a o změně některých dalších zákonů
(zákon o elektronickém podpisu)
Změna: 226/2002 Sb.
Změna: 517/2002 Sb.
Změna: 440/2004 Sb.
Změna: 635/2004 Sb.
Změna: 501/2004 Sb., 444/2005 Sb.
Změna: 110/2007 Sb.
Změna: 124/2008 Sb.
Změna: 190/2009 Sb.
Změna: 223/2009 Sb.
Změna: 101/2010 Sb.
Změna: 227/2009 Sb.
Změna: 424/2010 Sb.
Změna: 281/2009 Sb.
Změna: 424/2010 Sb. (část)
Změna: 167/2012 Sb.
Změna: 89/2012 Sb.
Změna: 64/2014 Sb.
Parlament se usnesl na tomto zákoně České republiky:
ČÁST PRVNÍ
ELEKTRONICKÝ PODPIS
§ 1
Účel zákona
Tento zákon upravuje v souladu s právem Evropských společenství^1)
používání elektronického podpisu, elektronické značky, poskytování
certifikačních služeb a souvisejících služeb poskytovateli usazenými na
území České republiky, kontrolu povinností stanovených tímto zákonem a
sankce za porušení povinností stanovených tímto zákonem.
§ 2
Vymezení některých pojmů
Pro účely tohoto zákona se rozumí
a) elektronickým podpisem údaje v elektronické podobě, které jsou
připojené k datové zprávě nebo jsou s ní logicky spojené a které slouží
jako metoda k jednoznačnému ověření identity podepsané osoby ve vztahu
k datové zprávě,
b) zaručeným elektronickým podpisem elektronický podpis, který splňuje
následující požadavky
1. je jednoznačně spojen s podepisující osobou,
2. umožňuje identifikaci podepisující osoby ve vztahu k datové zprávě,
3. byl vytvořen a připojen k datové zprávě pomocí prostředků, které
podepisující osoba může udržet pod svou výhradní kontrolou,
4. je k datové zprávě, ke které se vztahuje, připojen takovým způsobem,
že je možno zjistit jakoukoliv následnou změnu dat,
c) elektronickou značkou údaje v elektronické podobě, které jsou
připojené k datové zprávě nebo jsou s ní logicky spojené a které
splňují následující požadavky
1. jsou jednoznačně spojené s označující osobou a umožňují její
identifikaci prostřednictvím kvalifikovaného systémového certifikátu,
2. byly vytvořeny a připojeny k datové zprávě pomocí prostředků pro
vytváření elektronických značek, které označující osoba může udržet pod
svou výhradní kontrolou,
3. jsou k datové zprávě, ke které se vztahují, připojeny takovým
způsobem, že je možné zjistit jakoukoli následnou změnu dat,
d) datovou zprávou elektronická data, která lze přenášet prostředky pro
elektronickou komunikaci a uchovávat na technických nosičích dat,
používaných při zpracování a přenosu dat elektronickou formou, jakož i
data uložená na technických nosičích ve formě datového souboru,
e) podepisující osobou fyzická osoba, která je držitelem prostředku pro
vytváření elektronických podpisů a jedná jménem svým nebo jménem jiné
fyzické či právnické osoby,
f) označující osobou fyzická osoba, právnická osoba nebo organizační
složka státu, která drží prostředek pro vytváření elektronických značek
a označuje datovou zprávu elektronickou značkou,
g) držitelem certifikátu fyzická osoba, právnická osoba nebo
organizační složka státu, která požádala o vydání kvalifikovaného
certifikátu nebo kvalifikovaného systémového certifikátu pro sebe nebo
pro podepisující nebo označující osobu a které byl certifikát vydán,
h) poskytovatelem certifikačních služeb fyzická osoba, právnická osoba
nebo organizační složka státu, která vydává certifikáty a vede jejich
evidenci, případně poskytuje další služby spojené s elektronickými
podpisy,
i) kvalifikovaným poskytovatelem certifikačních služeb poskytovatel
certifikačních služeb, který vydává kvalifikované certifikáty nebo
kvalifikované systémové certifikáty nebo kvalifikovaná časová razítka
nebo prostředky pro bezpečné vytváření elektronických podpisů (dále jen
"kvalifikované certifikační služby") a splnil ohlašovací povinnost
podle § 6,
j) akreditovaným poskytovatelem certifikačních služeb poskytovatel
certifikačních služeb, jemuž byla udělena akreditace podle tohoto
zákona,
k) certifikátem datová zpráva, která je vydána poskytovatelem
certifikačních služeb, spojuje data pro ověřování elektronických
podpisů s podepisující osobou a umožňuje ověřit její identitu, nebo
spojuje data pro ověřování elektronických značek s označující osobou a
umožňuje ověřit její identitu,
l) kvalifikovaným certifikátem certifikát, který má náležitosti podle §
12 a byl vydán kvalifikovaným poskytovatelem certifikačních služeb,
m) kvalifikovaným systémovým certifikátem certifikát, který má
náležitosti podle § 12a a byl vydán kvalifikovaným poskytovatelem
certifikačních služeb,
n) daty pro vytváření elektronických podpisů jedinečná data, která
podepisující osoba používá k vytváření elektronického podpisu,
o) daty pro ověřování elektronických podpisů jedinečná data, která se
používají pro ověření elektronického podpisu,
p) daty pro vytváření elektronických značek jedinečná data, která
označující osoba používá k vytváření elektronických značek,
q) daty pro ověřování elektronických značek jedinečná data, která se
používají pro ověření elektronických značek,
r) kvalifikovaným časovým razítkem datová zpráva, kterou vydal
kvalifikovaný poskytovatel certifikačních služeb a která důvěryhodným
způsobem spojuje data v elektronické podobě s časovým okamžikem, a
zaručuje, že uvedená data v elektronické podobě existovala před daným
časovým okamžikem,
s) prostředkem pro vytváření elektronických podpisů technické zařízení
nebo programové vybavení, které se používá k vytváření elektronických
podpisů,
t) prostředkem pro ověřování elektronických podpisů technické zařízení
nebo programové vybavení, které se používá k ověřování elektronických
podpisů,
u) prostředkem pro bezpečné vytváření elektronických podpisů prostředek
pro vytváření elektronického podpisu, který splňuje požadavky stanovené
tímto zákonem,
v) prostředkem pro bezpečné ověřování elektronických podpisů prostředek
pro ověřování podpisu, který splňuje požadavky stanovené tímto zákonem,
w) nástrojem elektronického podpisu technické zařízení nebo programové
vybavení, nebo jejich součásti, používané poskytovatelem certifikačních
služeb pro vytváření nebo ověřování elektronických podpisů nebo pro
zajištění certifikačních služeb,
x) prostředkem pro vytváření elektronických značek zařízení, které
používá označující osoba pro vytváření elektronických značek a které
splňuje další náležitosti stanovené tímto zákonem,
y) akreditací osvědčení, že poskytovatel certifikačních služeb splňuje
podmínky stanovené tímto zákonem pro výkon činnosti akreditovaného
poskytovatele certifikačních služeb.
§ 3
Soulad s požadavky na podpis
(1) Datová zpráva je podepsána, pokud je opatřena elektronickým
podpisem. Pokud se neprokáže opak, má se za to, že se podepisující
osoba před podepsáním datové zprávy s jejím obsahem seznámila.
(2) Použití zaručeného elektronického podpisu založeného na
kvalifikovaném certifikátu a vytvořeného pomocí prostředku pro bezpečné
vytváření podpisu umožňuje ověřit, že datovou zprávu podepsala osoba
uvedená na tomto kvalifikovaném certifikátu.
§ 3a
(1) Použití elektronické značky založené na kvalifikovaném systémovém
certifikátu a vytvořené pomocí prostředku pro vytváření elektronických
značek umožňuje ověřit, že datovou zprávu označila touto elektronickou
značkou označující osoba.
(2) Pokud označující osoba označila datovou zprávu, má se za to, že tak
učinila automatizovaně bez přímého ověření obsahu datové zprávy a
vyjádřila tím svou vůli.
§ 4
Soulad s originálem
Použití zaručeného elektronického podpisu nebo elektronické značky
zaručuje, že dojde-li k porušení obsahu datové zprávy od okamžiku, kdy
byla podepsána nebo označena, toto porušení bude možno zjistit.
§ 5
Povinnosti podepisující osoby
(1) Podepisující osoba je povinna
a) zacházet s prostředky, jakož i s daty pro vytváření zaručeného
elektronického podpisu s náležitou péčí tak, aby nemohlo dojít k jejich
neoprávněnému použití,
b) uvědomit neprodleně poskytovatele certifikačních služeb, který vydal
kvalifikovaný certifikát, o tom, že hrozí nebezpečí zneužití jejích dat
pro vytváření zaručeného elektronického podpisu.
(2) Za škodu způsobenou porušením povinností podle odstavce 1 odpovídá
podepisující osoba podle zvláštních právních předpisů.^1a) Odpovědnosti
se však zprostí, pokud prokáže, že ten, komu vznikla škoda, neprovedl
veškeré úkony potřebné k tomu, aby si ověřil, že zaručený elektronický
podpis je platný a jeho kvalifikovaný certifikát nebyl zneplatněn.
§ 5a
Povinnosti označující osoby
(1) Označující osoba je povinna
a) zacházet s prostředkem, jakož i s daty pro vytváření elektronických
značek s náležitou péčí tak, aby nemohlo dojít k jejich neoprávněnému
použití,
b) uvědomit neprodleně poskytovatele certifikačních služeb, který vydal
kvalifikovaný systémový certifikát, o tom, že hrozí nebezpečí zneužití
jejích dat pro vytváření elektronických značek.
(2) Označující osoba je povinna zajistit, aby prostředek pro vytváření
elektronických značek, který používá, splňoval požadavky stanovené
tímto zákonem.
(3) Za škodu způsobenou porušením povinnosti podle odstavce 1 odpovídá
označující osoba, i když škodu nezavinila, podle zvláštních právních
předpisů,^1a) odpovědnost za vady podle zvláštních předpisů tím není
dotčena.^1a) Odpovědnosti se však zprostí, pokud prokáže, že ten, komu
vznikla škoda, neprovedl veškeré úkony potřebné k tomu, aby si ověřil,
že elektronická značka je platná a její kvalifikovaný systémový
certifikát nebyl zneplatněn.
§ 5b
Povinnosti držitele certifikátu
Držitel certifikátu je povinen bez zbytečného odkladu podávat přesné,
pravdivé a úplné informace poskytovateli certifikačních služeb ve
vztahu ke kvalifikovanému certifikátu a ve vztahu ke kvalifikovanému
systémovému certifikátu.
§ 6
Kvalifikovaný poskytovatel certifikačních služeb
(1) Kvalifikovaný poskytovatel certifikačních služeb je povinen
a) zajistit, aby se každý mohl ujistit o jeho identitě a jeho
kvalifikovaném systémovém certifikátu, na jehož základě označuje vydané
kvalifikované certifikáty nebo kvalifikované systémové certifikáty a
seznamy certifikátů, které byly zneplatněny, nebo kvalifikovaná časová
razítka,
b) zajistit, aby poskytování kvalifikovaných certifikačních služeb
vykonávaly osoby s odbornými znalostmi a kvalifikací nezbytnou pro
poskytování kvalifikované certifikační služby a obeznámené s
příslušnými bezpečnostními postupy,
c) používat bezpečné systémy a bezpečné nástroje elektronického
podpisu, zajistit dostatečnou bezpečnost postupů, které tyto systémy a
nástroje podporují, a zajistit dostatečnou kryptografickou bezpečnost
těchto nástrojů; systémy a nástroje jsou považovány za bezpečné, pokud
odpovídají požadavkům stanoveným tímto zákonem a prováděcí vyhláškou,
nebo pokud splňují požadavky technických norem uvedených v rozhodnutí
Komise vydaném na základě článku 3 (5) směrnice 99/93/ES,
d) používat bezpečné systémy pro uchovávání kvalifikovaných certifikátů
a kvalifikovaných systémových certifikátů nebo kvalifikovaných časových
razítek v ověřitelné podobě takovým způsobem, aby záznamy nebo jejich
změny mohly provádět pouze pověřené osoby, aby bylo možno kontrolovat
správnost záznamů a aby jakékoliv technické nebo programové změny
porušující tyto bezpečnostní požadavky byly zjevné,
e) mít po celou dobu své činnosti k dispozici dostatečné finanční
zdroje nebo jiné finanční zajištění na provoz v souladu s požadavky
uvedenými v tomto zákoně a s ohledem na riziko vzniku odpovědnosti za
škodu,
f) před uzavřením smlouvy o poskytování kvalifikovaných certifikačních
služeb s osobou, která žádá o poskytování služeb podle tohoto zákona,
informovat tuto osobu písemně o přesných podmínkách pro využívání
kvalifikovaných certifikačních služeb, včetně případných omezení pro
jejich použití, o podmínkách reklamací a řešení vzniklých sporů a o
tom, zda je, či není akreditován Ministerstvem vnitra (dále jen
"ministerstvo") podle § 10; tyto informace lze předat elektronicky.
(2) Není-li poskytovatel certifikačních služeb akreditován
ministerstvem, je povinen ohlásit ministerstvu nejméně 30 dnů před
zahájením poskytování kvalifikované certifikační služby, že ji bude
poskytovat, a okamžik, kdy její poskytování zahájí. Zároveň předá
ministerstvu k ověření svůj kvalifikovaný systémový certifikát uvedený
v odstavci 1 písm. a).
(3) Pokud byla kvalifikovanému poskytovateli certifikačních služeb,
který získal akreditaci podle § 10 tohoto zákona, akreditace
ministerstvem odňata, je povinen bez prodlení informovat o této
skutečnosti subjekty, kterým poskytuje své kvalifikované certifikační
služby, a další dotčené osoby.
(4) Kvalifikovaný poskytovatel certifikačních služeb poskytuje služby
podle tohoto zákona na základě smlouvy. Smlouva musí být písemná.
(5) Kvalifikovaný poskytovatel certifikačních služeb uchovává dokumenty
související s poskytovanými kvalifikovanými certifikačními službami
podle tohoto zákona, zejména
a) smlouvu o poskytování kvalifikované certifikační služby, včetně
žádosti o poskytování služby,
b) vydaný kvalifikovaný certifikát, vydaný kvalifikovaný systémový
certifikát nebo vydané kvalifikované časové razítko,
c) kopie předložených osobních dokladů podepisující osoby nebo dokladů,
na jejichž základě byla ověřena identita označující osoby,
d) potvrzení o převzetí kvalifikovaného certifikátu nebo
kvalifikovaného systémového certifikátu držitelem, případně jeho
souhlas se zveřejněním kvalifikovaného certifikátu v seznamu vydaných
kvalifikovaných certifikátů,
e) prohlášení držitele certifikátu o tom, že mu byly poskytnuty
informace podle odstavce 1 písm. f),
f) dokumenty a záznamy související s životním cyklem vydaného
kvalifikovaného certifikátu nebo kvalifikovaného systémového
certifikátu, jejichž náležitosti upřesní prováděcí vyhláška.
(6) Skartační lhůta dokumentů souvisejících s poskytovanými
kvalifikovanými certifikačními službami podle tohoto zákona, které
uchovává kvalifikovaný poskytovatel certifikačních služeb, činí 10 let.
Po uplynutí této lhůty kvalifikovaný poskytovatel certifikačních služeb
uchovává po dobu následujících 20 let údaje umožňující jednoznačnou
identifikaci podepisující osoby nebo označující osoby v rozsahu jméno,
popřípadě jména, příjmení, rodné číslo nebo datum narození a číslo
dokladu, na jehož základě byla ověřena identita podepisující osoby, a
vydané kvalifikované certifikáty nebo kvalifikované systémové
certifikáty. Kvalifikovaný poskytovatel je povinen zajistit jím
uchovávané dokumenty podle odstavce 5 a údaje podle věty druhé před
ztrátou, zneužitím, zničením nebo poškozením. Veškeré dokumenty podle
věty první může kvalifikovaný poskytovatel certifikačních služeb
pořizovat a uchovávat v elektronické podobě. Pokud tento zákon
nestanoví jinak, postupuje se při nakládání s uchovávanými dokumenty
podle zákona o archivnictví a spisové službě.
(7) Kvalifikovaný poskytovatel certifikačních služeb předá seznamy
certifikátů zneplatněných v daném roce, které byly vydány jako
kvalifikované, ministerstvu, a to ve lhůtě do 31. ledna kalendářního
roku následujícího po uplynutí 10 let od ukončení kalendářního roku, ve
kterém byly tyto seznamy vydány.
(8) Zaměstnanci kvalifikovaného poskytovatele certifikačních služeb,
případně jiné fyzické osoby, které přicházejí do styku s osobními údaji
a daty pro vytváření elektronických podpisů podepisujících osob a
elektronických značek označujících osob, jsou povinni zachovávat
mlčenlivost o těchto údajích a datech a o bezpečnostních opatřeních,
jejichž zveřejnění by ohrozilo zabezpečení těchto údajů a dat.
Povinnost mlčenlivosti trvá i po skončení pracovního nebo jiného
obdobného poměru nebo po provedení příslušných prací; uvedené osoby
může zbavit mlčenlivosti ten, v jehož zájmu tuto povinnost mají, nebo
soud.
§ 6a
Povinnosti kvalifikovaného poskytovatele certifikačních služeb při
vydávání kvalifikovaných certifikátů a kvalifikovaných systémových
certifikátů
(1) Kvalifikovaný poskytovatel certifikačních služeb, který vydává
kvalifikované certifikáty nebo kvalifikované systémové certifikáty
(dále jen "certifikáty vydané jako kvalifikované"), je povinen
a) zajistit, aby certifikáty jím vydané jako kvalifikované obsahovaly
všechny náležitosti stanovené tímto zákonem,
b) zajistit, aby údaje uvedené v certifikátech jím vydaných jako
kvalifikované byly přesné, pravdivé a úplné,
c) před vydáním certifikátu jako kvalifikovaného bezpečně ověřit
odpovídajícími prostředky identitu podepisující osoby nebo identitu
označující osoby, případně i její zvláštní znaky, vyžaduje-li to účel
takového certifikátu,
d) zjistit, zda v okamžiku podání žádosti o vydání certifikátu jako
kvalifikovaného měla podepisující osoba data pro vytváření
elektronických podpisů odpovídající datům pro ověřování elektronických
podpisů nebo označující osoba data pro vytváření elektronických značek
odpovídající datům pro ověřování elektronických značek, která obsahuje
žádost o vydání certifikátu,
e) zajistit provozování bezpečného a veřejně přístupného seznamu
certifikátů vydaných jako kvalifikované, k jejichž zveřejnění dal
držitel certifikátu souhlas v souladu s § 6 odst. 5 písm. d), a
zajistit dostupnost tohoto seznamu i dálkovým přístupem a údaje v
seznamu obsažené při každé změně bez zbytečného odkladu aktualizovat,
f) zajistit provozování bezpečného a veřejně přístupného seznamu
certifikátů vydaných jako kvalifikované, které byly zneplatněny, a to i
dálkovým přístupem,
g) zajistit, aby datum a čas s uvedením hodiny, minuty a sekundy, kdy
je certifikát vydaný jako kvalifikovaný vydán nebo zneplatněn, mohly
být přesně určeny,
h) přijmout odpovídající opatření proti zneužití a padělání certifikátů
vydaných jako kvalifikované,
i) poskytovat na vyžádání třetím osobám podstatné informace o
podmínkách pro využívání certifikátů vydaných jako kvalifikované,
včetně omezení pro jejich použití, a informace o tom, zda je, či není
akreditován ministerstvem; tyto informace lze poskytovat elektronicky.
(2) Pokud kvalifikovaný poskytovatel certifikačních služeb, který
vydává certifikáty jako kvalifikované, vytváří pro podepisující osobu
data pro vytváření elektronických podpisů nebo pro označující osobu
data pro vytváření elektronických značek,
a) musí zajistit utajení těchto dat před jejich předáním, nesmí tato
data kopírovat a uchovávat je déle, než je nezbytné,
b) musí zaručit, že tato data odpovídají datům pro ověřování
elektronických podpisů nebo datům pro ověřování elektronických značek.
(3) Kvalifikovaný poskytovatel certifikačních služeb, který vydává
certifikáty jako kvalifikované, musí neprodleně zneplatnit certifikát,
pokud o to držitel, podepisující osoba nebo označující osoba požádá,
nebo pokud ho uvědomí, že hrozí nebezpečí zneužití jejich dat pro
vytváření elektronických podpisů nebo elektronických značek, nebo v
případě, že byl certifikát vydán na základě nepravdivých nebo chybných
údajů.
(4) Kvalifikovaný poskytovatel certifikačních služeb musí rovněž
neprodleně zneplatnit certifikát vydaný jako kvalifikovaný, dozví-li se
prokazatelně, že podepisující nebo označující osoba zemřela nebo
zanikla nebo ji soud způsobilosti k právním úkonům zbavil nebo
omezil,^2a) nebo pokud údaje, na jejichž základě byl certifikát vydán,
pozbyly pravdivosti.
§ 6b
Povinnosti kvalifikovaného poskytovatele certifikačních služeb při
vydávání kvalifikovaných časových razítek
(1) Kvalifikovaný poskytovatel certifikačních služeb, který vydává
kvalifikovaná časová razítka, je povinen
a) zajistit, aby časová razítka jím vydávaná jako kvalifikovaná
obsahovala všechny náležitosti stanovené tímto zákonem,
b) zajistit, aby časový údaj vložený do kvalifikovaného časového
razítka odpovídal hodnotě koordinovaného světového času při vytváření
kvalifikovaného časového razítka,
c) zajistit, aby data v elektronické podobě, která jsou předmětem
žádosti o vydání kvalifikovaného časového razítka, jednoznačně
odpovídala datům v elektronické podobě obsaženým ve vydaném
kvalifikovaném časovém razítku,
d) přijmout odpovídající opatření proti padělání kvalifikovaných
časových razítek,
e) poskytovat na vyžádání třetím osobám podstatné informace o
podmínkách pro využívání kvalifikovaných časových razítek, včetně
omezení pro jejich použití a informace o tom, zda je, či není
akreditován ministerstvem; tyto informace lze poskytovat elektronicky.
(2) Kvalifikovaný poskytovatel certifikačních služeb vydá kvalifikované
časové razítko neprodleně po přijetí žádosti o jeho vydání.
§ 7
Odpovědnost za škodu
(1) Za škodu způsobenou porušením povinností stanovených tímto zákonem
odpovídá kvalifikovaný poskytovatel certifikačních služeb podle
zvláštních právních předpisů.^1a)
(2) Kvalifikovaný poskytovatel certifikačních služeb neodpovídá za
škodu vyplývající z použití certifikátu vydaného jako kvalifikovaný,
která vznikla v důsledku nedodržení omezení pro jeho použití podle § 12
odst. 1 písm. i) a j) a § 12a písm. h).
§ 8
Ochrana osobních údajů
Ochrana osobních údajů se řídí zvláštním právním předpisem.^3)
§ 9
Akreditace
(1) Udělování akreditací k působení jako akreditovaný poskytovatel
certifikačních služeb, jakož i kontrola nad dodržováním tohoto zákona
náleží ministerstvu.
(2) Ministerstvo
a) uděluje a odnímá akreditace k působení jako akreditovaný
poskytovatel certifikačních služeb subjektům působícím na území České
republiky,
b) vykonává kontrolu nad činností akreditovaných poskytovatelů
certifikačních služeb a kvalifikovaných poskytovatelů certifikačních
služeb, ukládá jim opatření k nápravě a pokuty za porušení povinností
podle tohoto zákona,
c) vede evidenci udělených akreditací a jejich změn a evidenci
kvalifikovaných poskytovatelů certifikačních služeb,
d) vede evidenci vydaných kvalifikovaných systémových certifikátů,
které používá kvalifikovaný poskytovatel certifikačních služeb podle §
6 odst. 1 písm. a) a které byly podle § 6 odst. 2 ověřeny
ministerstvem,
e) průběžně uveřejňuje přehled udělených akreditací, přehled
kvalifikovaných poskytovatelů certifikačních služeb a jejich
kvalifikovaných služeb a kvalifikované systémové certifikáty podle
písmena d), a to i způsobem umožňujícím dálkový přístup,
f) vyhodnocuje shodu nástrojů elektronického podpisu s požadavky
stanovenými tímto zákonem a prováděcí vyhláškou,
g) vede a zveřejňuje způsobem umožňujícím dálkový přístup seznam
důvěryhodných certifikačních služeb podle právního předpisu Evropských
společenství^3a),
h) zveřejňuje způsobem umožňujícím dálkový přístup informace o
podmínkách ověření uznávaného elektronického podpisu nebo uznávané
elektronické značky, včetně odkazů na aplikace podle § 11 odst. 5,
i) plní další povinnosti stanovené tímto zákonem.
§ 10
Podmínky udělení akreditace pro poskytování certifikačních služeb
(1) Každý poskytovatel certifikačních služeb může požádat ministerstvo
o udělení akreditace pro výkon činnosti akreditovaného poskytovatele
certifikačních služeb.
(2) V žádosti o akreditaci podle odstavce 1 musí žadatel doložit
a) v případě právnické osoby obchodní firmu nebo název, sídlo,
popřípadě adresu organizační složky zahraniční osoby na území České
republiky, a identifikační číslo osoby žadatele, bylo-li přiděleno; v
případě fyzické osoby jméno, popřípadě jména, příjmení, případně
dodatek, místo usazení, místo podnikání, pokud je odlišné od místa
usazení, a identifikační číslo osoby žadatele, bylo-li přiděleno,
b) doklad o oprávnění k podnikatelské činnosti a u osoby zapsané do
obchodního rejstříku také výpis z obchodního rejstříku ne starší než 3
měsíce,
c) věcné, personální a organizační předpoklady pro činnost
kvalifikovaného poskytovatele certifikačních služeb podle § 6, 6a a 6b
tohoto zákona,
d) údaj o tom, které kvalifikované certifikační služby hodlá žadatel
poskytovat.
(3) Jestliže žádost neobsahuje všechny požadované údaje, ministerstvo
řízení přeruší a vyzve žadatele, aby ji ve stanovené lhůtě doplnil.
Jestliže tak žadatel v této lhůtě neučiní, ministerstvo řízení zastaví.
(4) Splňuje-li žadatel všechny podmínky předepsané tímto zákonem pro
udělení akreditace, vydá ministerstvo rozhodnutí, jímž mu akreditaci
udělí. V opačném případě žádost o udělení akreditace zamítne.
Akreditace poskytovatele certifikačních služeb vzniká též marným
uplynutím lhůty a způsobem podle § 28 až 30 zákona o volném pohybu
služeb.
§ 10a
Podmínky pro rozšíření služeb akreditovaného poskytovatele
certifikačních služeb
(1) Akreditovaný poskytovatel certifikačních služeb může rozšířit
poskytování kvalifikovaných certifikačních služeb o vydávání
kvalifikovaných certifikátů, kvalifikovaných systémových certifikátů,
kvalifikovaných časových razítek nebo o vydávání prostředků pro
bezpečné vytváření elektronických podpisů podle tohoto zákona (dále jen
"rozšiřované služby").
(2) Akreditovaný poskytovatel certifikačních služeb je povinen
rozšíření podle odstavce 1 oznámit ministerstvu tak, aby ministerstvo
oznámení obdrželo alespoň 4 měsíce před zahájením poskytování služby.
(3) V oznámení musí akreditovaný poskytovatel certifikačních služeb
doložit věcné, personální a organizační předpoklady pro zajištění
rozšiřovaných služeb.
(4) Nedoloží-li akreditovaný poskytovatel certifikačních služeb
skutečnosti podle odstavce 3, anebo jsou-li tyto skutečnosti neúplné
nebo nepřesné, ministerstvo na to akreditovaného poskytovatele
certifikačních služeb upozorní s tím, že nebudou-li tyto vady ve lhůtě,
kterou k tomu určí, odstraněny, rozhodnutím rozšiřování služeb zakáže.
(5) Ministerstvo oznámené rozšíření zakáže, pokud akreditovaný
poskytovatel certifikačních služeb nesplnil všechny podmínky předepsané
tímto zákonem pro poskytování rozšiřovaných služeb.
(6) O zákazu rozšíření poskytování kvalifikovaných certifikačních
služeb vydá ministerstvo rozhodnutí nejpozději do 90 dnů od okamžiku,
kdy obdrželo oznámení.
§ 11
(1) K podepisování nebo označování dokumentu v podobě datové zprávy,
jehož prostřednictvím se činí úkon vůči
a) státu,
b) územnímu samosprávnému celku,
c) právnické osobě zřízené zákonem, zřízené nebo založené státem,
územním samosprávným celkem nebo právnickou osobou zřízenou zákonem,
d) právnické osobě neuvedené v písmenech a) až c) a vykonávající
působnost v oblasti veřejné správy, týká-li se dokument této
působnosti,
e) fyzické osobě vykonávající působnost v oblasti veřejné správy,
týká-li se dokument této působnosti,
lze použít pouze uznávaný elektronický podpis nebo uznávanou
elektronickou značku.
(2) K podepisování nebo označování dokumentu v podobě datové zprávy,
jehož prostřednictvím činí úkon osoba uvedená v odstavci 1 písm. a) až
c) nebo úkon při výkonu působnosti v oblasti veřejné správy osoba
uvedená v odstavci 1 písm. d) a e), lze užít pouze uznávaný
elektronický podpis nebo uznávanou elektronickou značku.
(3) Uznávaným elektronickým podpisem se rozumí
a) zaručený elektronický podpis založený na kvalifikovaném certifikátu
vydaném akreditovaným poskytovatelem certifikačních služeb a
obsahujícím údaje, které umožňují jednoznačnou identifikaci
podepisující osoby,
b) zaručený elektronický podpis založený na kvalifikovaném certifikátu
vydaném poskytovatelem certifikačních služeb, který je usazen mimo
území České republiky, byl-li kvalifikovaný certifikát vydán v rámci
služby vedené v seznamu důvěryhodných certifikačních služeb jako
služba, pro jejíž poskytování je poskytovatel certifikačních služeb
akreditován, nebo jako služba, nad jejímž poskytováním je vykonáván
dohled podle předpisu Evropské unie^3a).
(4) Uznávanou elektronickou značkou se rozumí elektronická značka
založená na kvalifikovaném systémovém certifikátu vydaném akreditovaným
poskytovatelem certifikačních služeb.
(5) Není-li v případě podepisování nebo označování dokumentu podle
odstavce 2 uznávaný elektronický podpis nebo uznávaná elektronická
značka v referenčním formátu stanoveném v přímo použitelném předpisu
Evropské unie9), osoba uvedená v odstavci 2 předem
a) oznámí ministerstvu stávající možnosti ověření uznávaného
elektronického podpisu nebo uznávané elektronické značky, které splňují
požadavky přímo použitelného předpisu Evropské unie^9), a
b) zpřístupní k neomezenému a bezplatnému užití způsobem umožňujícím
dálkový přístup aplikaci, která umožní okamžité ověření uznávaného
elektronického podpisu nebo uznávané elektronické značky podle písmene
a).
§ 12
Náležitosti kvalifikovaného certifikátu
(1) Kvalifikovaný certifikát musí obsahovat
a) označení, že je vydán jako kvalifikovaný certifikát podle tohoto
zákona,
b) v případě právnické osoby obchodní firmu nebo název a stát, ve
kterém je kvalifikovaný poskytovatel usazen; v případě fyzické osoby
jméno, popřípadě jména, příjmení, případně dodatek, a stát, ve kterém
je kvalifikovaný poskytovatel usazen,
c) jméno, popřípadě jména, a příjmení podepisující osoby nebo její
pseudonym s příslušným označením, že se jedná o pseudonym,
d) zvláštní znaky podepisující osoby, vyžaduje-li to účel
kvalifikovaného certifikátu,
e) data pro ověřování podpisu, která odpovídají datům pro vytváření
podpisu, jež jsou pod kontrolou podepisující osoby,
f) elektronickou značku poskytovatele certifikačních služeb založenou
na kvalifikovaném systémovém certifikátu poskytovatele, který
kvalifikovaný certifikát vydává,
g) číslo kvalifikovaného certifikátu unikátní u daného poskytovatele
certifikačních služeb,
h) počátek a konec platnosti kvalifikovaného certifikátu,
i) případně údaje o tom, zda se používání kvalifikovaného certifikátu
omezuje podle povahy a rozsahu jen pro určité použití,
j) případně omezení hodnot transakcí, pro něž lze kvalifikovaný
certifikát použít.
(2) Omezení pro použití kvalifikovaného certifikátu podle odstavce 1
písm. i) a j) musí být zjevná třetím stranám.
(3) Další osobní údaje smí kvalifikovaný certifikát obsahovat jen se
svolením podepisující osoby.
§ 12a
Náležitosti kvalifikovaného systémového certifikátu
Kvalifikovaný systémový certifikát musí obsahovat
a) označení, že je vydán jako kvalifikovaný systémový certifikát podle
tohoto zákona,
b) v případě právnické osoby obchodní firmu nebo název a stát, ve
kterém je kvalifikovaný poskytovatel usazen; v případě fyzické osoby
jméno, popřípadě jména, příjmení, případně dodatek, a stát, ve kterém
je kvalifikovaný poskytovatel usazen,
c) jednoznačnou identifikaci označující osoby, případně prostředku pro
vytváření elektronických značek,
d) data pro ověřování elektronických značek, která odpovídají datům pro
vytváření elektronických značek, jež jsou pod kontrolou označující
osoby,
e) elektronickou značku poskytovatele certifikačních služeb založenou
na kvalifikovaném systémovém certifikátu poskytovatele, který
kvalifikovaný systémový certifikát vydává,
f) číslo kvalifikovaného systémového certifikátu unikátní u daného
kvalifikovaného poskytovatele certifikačních služeb,
g) počátek a konec platnosti kvalifikovaného systémového certifikátu,
h) omezení pro použití kvalifikovaného systémového certifikátu, přičemž
tato omezení musí být zjevná třetím stranám.
§ 12b
Náležitosti kvalifikovaného časového razítka
Kvalifikované časové razítko musí obsahovat
a) číslo kvalifikovaného časového razítka unikátní u daného
kvalifikovaného poskytovatele certifikačních služeb,
b) označení pravidel, podle kterých kvalifikovaný poskytovatel
certifikačních služeb kvalifikované časové razítko vydal,
c) v případě právnické osoby obchodní firmu nebo název a stát, ve
kterém je kvalifikovaný poskytovatel usazen; v případě fyzické osoby
jméno, popřípadě jména, příjmení, případně dodatek, a stát, ve kterém
je kvalifikovaný poskytovatel usazen,
d) hodnotu času, která odpovídá koordinovanému světovému času při
vytváření kvalifikovaného časového razítka,
e) data v elektronické podobě, pro která bylo kvalifikované časové
razítko vydáno,
f) elektronickou značku kvalifikovaného poskytovatele certifikačních
služeb, který kvalifikované časové razítko vydal.
§ 13
Povinnosti kvalifikovaného poskytovatele certifikačních služeb při
ukončení činnosti
(1) Kvalifikovaný poskytovatel certifikačních služeb musí záměr ukončit
svou činnost ohlásit ministerstvu nejméně 3 měsíce před plánovaným
datem ukončení činnosti a musí vynaložit veškeré možné úsilí k tomu,
aby evidence vedená podle § 6 odst. 5 byla převzata jiným
kvalifikovaným poskytovatelem certifikačních služeb. Kvalifikovaný
poskytovatel certifikačních služeb dále musí prokazatelně informovat
každou podepisující osobu, označující osobu a držitele, kterým
poskytuje své certifikační služby, o svém záměru ukončit svoji činnost
nejméně 2 měsíce před plánovaným datem ukončení činnosti.
(2) Nemůže-li kvalifikovaný poskytovatel certifikačních služeb
zajistit, aby evidenci vedenou podle § 6 odst. 5 převzal jiný
kvalifikovaný poskytovatel certifikačních služeb, je povinen to
nejpozději 30 dnů před plánovaným datem ukončení činnosti ministerstvu
ohlásit. V takovém případě ministerstvo převezme evidenci a oznámí to
dotčeným subjektům.
(3) Ustanovení odstavců 1 a 2 se použijí přiměřeně také v případě, když
kvalifikovaný poskytovatel certifikačních služeb zanikne, zemře nebo
přestane vykonávat svoji činnost, aniž splní ohlašovací povinnost podle
odstavce 1.
§ 14
Opatření k nápravě
(1) Zjistí-li ministerstvo, že akreditovaný poskytovatel certifikačních
služeb nebo kvalifikovaný poskytovatel certifikačních služeb porušuje
povinnosti stanovené tímto zákonem, uloží mu, aby ve stanovené lhůtě
sjednal nápravu, a případně určí, jaká opatření k odstranění nedostatků
je tento poskytovatel certifikačních služeb povinen přijmout.
(2) V případě, že se akreditovaný poskytovatel certifikačních služeb
dopustí závažnějšího porušení povinností stanovených tímto zákonem nebo
ve stanovené lhůtě neodstraní nedostatky zjištěné ministerstvem, je
ministerstvo oprávněno mu udělenou akreditaci odejmout.
(3) Rozhodne-li ministerstvo o odnětí akreditace, může současně
rozhodnout o zneplatnění certifikátů vydaných jako kvalifikované
poskytovatelem certifikačních služeb v době platnosti akreditace.
§ 15
Zrušení kvalifikovaného certifikátu nebo kvalifikovaného systémového
certifikátu
Ministerstvo může nařídit kvalifikovanému poskytovateli certifikačních
služeb jako předběžné opatření^7) zneplatnění certifikátu vydaného jako
kvalifikovaný, pokud existuje důvodné podezření, že certifikát byl
padělán, nebo pokud byl vydán na základě nepravdivých údajů. Rozhodnutí
o zneplatnění certifikátu vydaného jako kvalifikovaný může být vydáno
také v případě, kdy bylo zjištěno, že podepisující nebo označující
osoba používá prostředek pro vytváření podpisu nebo prostředek pro
vytváření elektronických značek, který vykazuje bezpečnostní
nedostatky, které by umožnily padělání zaručených elektronických
podpisů nebo elektronických značek nebo změnu podepisovaných nebo
označovaných údajů.
§ 16
Uznávání zahraničních kvalifikovaných certifikátů
(1) Certifikát, který je vydán poskytovatelem certifikačních služeb
usazeným v některém z členských států Evropské unie, jiném smluvním
státu Dohody o Evropském hospodářském prostoru nebo Švýcarské
konfederaci jako kvalifikovaný, je kvalifikovaným certifikátem ve
smyslu tohoto zákona.
(2) Certifikát, který je vydán jako kvalifikovaný ve smyslu tohoto
zákona v jiném státu, než který je uveden v odstavci 1, je
kvalifikovaným certifikátem ve smyslu tohoto zákona, pokud
a) poskytovatel certifikačních služeb splňuje podmínky práva Evropských
společenství^1) a byl akreditován k působení jako akreditovaný
poskytovatel certifikačních služeb v některém z členských států
Evropské unie, jiném smluvním státu Dohody o Evropském hospodářském
prostoru nebo Švýcarské konfederaci,
b) poskytovatel certifikačních služeb usazený v některém z členských
států Evropské unie, jiném smluvním státu Dohody o Evropském
hospodářském prostoru nebo Švýcarské konfederaci, který splňuje
podmínky práva Evropských společenství,^1) převezme odpovědnost za
platnost a správnost certifikátu ve stejném rozsahu jako u svých
kvalifikovaných certifikátů,
c) to vyplývá z mezinárodní smlouvy.
§ 17
Prostředky pro bezpečné vytváření a ověřování elektronických podpisů
(1) Prostředek pro bezpečné vytváření podpisu musí za pomoci
odpovídajících technických a programových prostředků a postupů
minimálně zajistit, že
a) data pro vytváření podpisu se mohou vyskytnout pouze jednou a že
jejich utajení je náležitě zajištěno,
b) data pro vytváření podpisu nelze při náležitém zajištění odvodit ze
znalosti způsobu jejich vytváření a že podpis je chráněn proti padělání
s využitím existující dostupné technologie,
c) data pro vytváření podpisu mohou být podepisující osobou spolehlivě
chráněna proti zneužití třetí osobou.
(2) Prostředky pro bezpečné vytváření podpisu nesmí měnit data, která
se podepisují, ani zabraňovat tomu, aby tato data byla předložena
podepisující osobě před vlastním procesem podepisování.
(3) Prostředky pro bezpečné vytváření elektronických podpisů musí být
před svým použitím bezpečným způsobem vydány a data pro vytváření
elektronických podpisů musí být důvěryhodným způsobem v těchto
prostředcích vytvořena nebo do nich přidána.
(4) Prostředek pro bezpečné ověřování podpisu musí za pomoci
odpovídajících technických a programových prostředků a postupů
minimálně zajistit, aby
a) data používaná pro ověření podpisu odpovídala datům zobrazeným osobě
provádějící ověření,
b) podpis byl spolehlivě ověřen a výsledek tohoto ověření byl řádně
zobrazen,
c) ověřující osoba mohla spolehlivě zjistit obsah podepsaných dat,
d) pravost a platnost certifikátu při ověřování podpisu byly spolehlivě
zjištěny,
e) výsledek ověření a totožnost podepisující osoby byly řádně
zobrazeny,
f) bylo jasně uvedeno použití pseudonymu,
g) bylo možné zjistit veškeré změny ovlivňující bezpečnost.
§ 17a
Prostředky pro vytváření elektronických značek
(1) Prostředek pro vytváření elektronických značek musí za pomoci
odpovídajících technických a programových prostředků a postupů
minimálně zajistit, že
a) data pro vytváření elektronických značek jsou dostatečným způsobem
utajena a jsou označující osobou spolehlivě chráněna proti zneužití
třetí osobou,
b) označující osoba je informována, že zahajuje používání tohoto
prostředku.
(2) Prostředek pro vytváření elektronických značek musí být nastaven
tak, aby i bez další kontroly označující osoby označil právě a pouze ty
datové zprávy, které označující osoba k označení zvolí.
(3) Prostředek pro vytváření elektronických značek musí být chráněn
proti neoprávněné změně a musí zaručovat, že jakákoli jeho změna bude
patrná označující osobě.
§ 17b
(1) Data pro vytváření elektronických podpisů lze spolu s
kvalifikovaným certifikátem obsahujícím data pro ověřování
elektronických podpisů odpovídající těmto datům a s daty nezbytně
nutnými pro užívání elektronického podpisu zapsat do kontaktního
elektronického čipu občanského průkazu.
(2) K zápisu dat a kvalifikovaného certifikátu podle odstavce 1 je
oprávněn držitel občanského průkazu. Ustanovení § 15b odst. 2 zákona o
občanských průkazech se nepoužije.
§ 18
Správní delikty právnických osob
(1) Kvalifikovanému poskytovateli certifikačních služeb, který
a) nezajistí, aby se každý mohl ujistit o jeho identitě a jeho
kvalifikovaném systémovém certifikátu podle § 6 odst. 1 písm. a),
b) nezajistí, aby poskytování kvalifikovaných certifikačních služeb
vykonávaly osoby s odbornými znalostmi a kvalifikací nezbytnými pro
poskytované kvalifikované certifikační služby a obeznámené s
příslušnými bezpečnostními postupy,
c) nezajištěním dostatečné bezpečnosti používaných systémů a nástrojů
elektronického podpisu a postupů, které tyto systémy a nástroje
podporují podle § 6 odst. 1 písm. c) a d), ohrozí bezpečnost
poskytovaných kvalifikovaných certifikačních služeb,
d) nedisponuje dostatečnými finančními zdroji nebo jiným finančním
zajištěním na provoz podle § 6 odst. 1 písm. e), a tím ohrozí
bezpečnost poskytovaných kvalifikovaných certifikačních služeb,
e) nesplní informační povinnost podle § 6 odst. 1 písm. f), § 6 odst. 3
nebo § 13 odst. 1,
f) nesplní ohlašovací povinnost podle § 6 odst. 2, včetně předání
kvalifikovaného systémového certifikátu k ověření nebo podle § 13 odst.
1 nebo 2,
g) poskytne certifikační služby na základě jiné než písemné smlouvy,
h) neuchovává dokumenty a údaje podle § 6 odst. 5 a 6, nebo
i) nezajistí uchovávané dokumenty a údaje před ztrátou, zneužitím,
zničením nebo poškozením podle § 6 odst. 6,
se uloží pokuta do výše 10 000 000 Kč.
(2) Kvalifikovanému poskytovateli certifikačních služeb, který vydává
kvalifikované certifikáty nebo kvalifikované systémové certifikáty a
který
a) nezajistí, aby certifikáty jím vydané jako kvalifikované obsahovaly
všechny náležitosti stanovené tímto zákonem,
b) nezajistí, aby údaje uvedené v certifikátech vydaných jako
kvalifikované byly přesné, pravdivé a úplné,
c) neověří identitu osoby podle § 6a odst. 1 písm. c),
d) nezajistí soulad dat podle § 6a odst. 1 písm. d),
e) nezajistí provozování bezpečného a veřejně přístupného seznamu
certifikátů vydaných jako kvalifikované a nezajistí jeho dostupnost a
aktualizaci podle § 6a odst. 1 písm. e),
f) nezajistí provozování bezpečného a veřejně přístupného seznamu
certifikátů vydaných jako kvalifikované, které byly zneplatněny, a to i
dálkovým přístupem,
g) nezajistí, aby datum a čas s uvedením hodiny, minuty a sekundy, kdy
je certifikát vydaný jako kvalifikovaný vydán nebo zneplatněn, mohly
být přesně určeny,
h) nepřijetím odpovídajících opatření proti zneužití a padělání
certifikátů vydaných jako kvalifikované ohrozí bezpečnost poskytovaných
kvalifikovaných certifikačních služeb,
i) nesplní informační povinnost podle § 6a odst. 1 písm. i),
j) nezajistí soulad a utajení dat podle § 6a odst. 2, pokud tato data
pro podepisující nebo označující osobu vytváří,
k) kopíruje a uchovává data podle § 6a odst. 2, pokud tato data pro
podepisující nebo označující osobu vytváří, nebo
l) nezneplatní certifikát podle § 6a odst. 3 a 4, se uloží pokuta do
výše 10 000 000 Kč.
(3) Kvalifikovanému poskytovateli certifikačních služeb, který vydává
kvalifikovaná časová razítka a který
a) nezajistí, aby časová razítka jím vydávaná jako kvalifikovaná
obsahovala všechny náležitosti stanovené v § 12b,
b) nezajistí, aby časový údaj vložený do kvalifikovaného časového
razítka odpovídal hodnotě koordinovaného světového času při vytváření
kvalifikovaného časového razítka,
c) nezajistí, aby data v elektronické podobě, která jsou předmětem
žádosti o vydání kvalifikovaného časového razítka, odpovídala datům v
elektronické podobě obsaženým ve vydaném kvalifikovaném časovém
razítku,
d) nepřijme odpovídající opatření proti padělání kvalifikovaných
časových razítek, a tím ohrozí bezpečnost poskytovaných kvalifikovaných
certifikačních služeb,
e) nesplní informační povinnost podle § 6b odst. 1 písm. e), nebo
f) nevydá kvalifikované časové razítko neprodleně po přijetí žádosti o
jeho vydání,
se uloží pokuta do výše 10 000 000 Kč.
(4) Kvalifikovanému poskytovateli certifikačních služeb, který vydává
prostředky pro bezpečné vytváření elektronických podpisů a který
a) nevydá prostředky pro bezpečné vytváření elektronických podpisů
bezpečně podle § 17 odst. 3, nebo
b) nevytvoří v těchto prostředcích nebo nepřidá do těchto prostředků
data pro vytváření elektronických podpisů důvěryhodným způsobem podle §
17 odst. 3,
se uloží pokuta do výše 10 000 000 Kč.
(5) Akreditovanému poskytovateli certifikačních služeb, který nesplní
oznamovací povinnost podle § 10a odst. 2, se uloží pokuta do výše 10
000 000 Kč.
(6) Akreditovanému poskytovateli certifikačních služeb, který poruší
zákaz vydaný ministerstvem podle § 10a odst. 5, se uloží pokuta do výše
10 000 000 Kč.
§ 18a
Přestupky
(1) Kvalifikovaný poskytovatel certifikačních služeb se dopustí
přestupku tím, že
a) nezajistí, aby se každý mohl ujistit o jeho identitě a jeho
kvalifikovaném systémovém certifikátu podle § 6 odst. 1 písm. a),
b) nezajistí, aby poskytování kvalifikovaných certifikačních služeb
vykonávaly osoby s odbornými znalostmi a kvalifikací nezbytnými pro
poskytované kvalifikované certifikační služby a obeznámené s
příslušnými bezpečnostními postupy,
c) nezajištěním dostatečné bezpečnosti používaných systémů a nástrojů
elektronického podpisu a postupů, které tyto systémy a nástroje
podporují podle § 6 odst. 1 písm. c) a písm. d), ohrozí bezpečnost
poskytovaných kvalifikovaných certifikačních služeb,
d) nedisponuje dostatečnými finančními zdroji nebo jiným finančním
zajištěním na provoz podle § 6 odst. 1 písm. e), a tím ohrozí
bezpečnost poskytovaných kvalifikovaných certifikačních služeb,
e) nesplní informační povinnost podle § 6 odst. 1 písm. f), § 6 odst. 3
nebo § 13 odst. 1,
f) nesplní ohlašovací povinnost podle § 6 odst. 2, včetně předání
kvalifikovaného systémového certifikátu k ověření nebo podle § 13 odst.
1 nebo 2,
g) poskytne certifikační služby na základě jiné než písemné smlouvy,
h) neuchovává dokumenty a údaje podle § 6 odst. 5 a 6, nebo
i) nezajistí uchovávané dokumenty a údaje před ztrátou, zneužitím,
zničením nebo poškozením podle § 6 odst. 6.
(2) Kvalifikovaný poskytovatel certifikačních služeb, který vydává
kvalifikované certifikáty nebo kvalifikované systémové certifikáty, se
dopustí přestupku tím, že
a) nezajistí, aby certifikáty jím vydané jako kvalifikované obsahovaly
všechny náležitosti stanovené tímto zákonem,
b) nezajistí, aby údaje uvedené v certifikátech vydaných jako
kvalifikované byly přesné, pravdivé a úplné,
c) neověří identitu osoby podle § 6a odst. 1 písm. c),
d) nezajistí soulad dat podle § 6a odst. 1 písm. d),
e) nezajistí provozování bezpečného a veřejně přístupného seznamu
certifikátů vydaných jako kvalifikované a nezajistí jeho dostupnost a
aktualizaci podle § 6a odst. 1 písm. e),
f) nezajistí provozování bezpečného a veřejně přístupného seznamu
certifikátů vydaných jako kvalifikované, které byly zneplatněny, a to i
dálkovým přístupem,
g) nezajistí, aby datum a čas s uvedením hodiny, minuty a sekundy, kdy
je certifikát vydaný jako kvalifikovaný vydán nebo zneplatněn, mohly
být přesně určeny,
h) nepřijetím odpovídajících opatření proti zneužití a padělání
certifikátů vydaných jako kvalifikované ohrozí bezpečnost poskytovaných
kvalifikovaných certifikačních služeb,
i) nesplní informační povinnost podle § 6a odst. 1 písm. i),
j) nezajistí soulad a utajení dat podle § 6a odst. 2, pokud tato data
pro podepisující nebo označující osobu vytváří,
k) kopíruje a uchovává data podle § 6a odst. 2, pokud tato data pro
podepisující nebo označující osobu vytváří, nebo
l) nezneplatní certifikát podle § 6a odst. 3 a 4.
(3) Kvalifikovaný poskytovatel certifikačních služeb, který vydává
kvalifikovaná časová razítka, se dopustí přestupku tím, že
a) nezajistí, aby časová razítka jím vydávaná jako kvalifikovaná
obsahovala všechny náležitosti stanovené v § 12b,
b) nezajistí, aby časový údaj vložený do kvalifikovaného časového
razítka odpovídal hodnotě koordinovaného světového času při vytváření
kvalifikovaného časového razítka,
c) nezajistí, aby data v elektronické podobě, která jsou předmětem
žádosti o vydání kvalifikovaného časového razítka, odpovídala datům v
elektronické podobě obsaženým ve vydaném kvalifikovaném časovém
razítku,
d) nepřijme odpovídající opatření proti padělání kvalifikovaných
časových razítek, a tím ohrozí bezpečnost poskytovaných kvalifikovaných
certifikačních služeb,
e) nesplní informační povinnost podle § 6b odst. 1 písm. e), nebo
f) nevydá kvalifikované časové razítko neprodleně po přijetí žádosti o
jeho vydání.
(4) Kvalifikovaný poskytovatel certifikačních služeb, který vydává
prostředky pro bezpečné vytváření elektronických podpisů, se dopustí
přestupku tím, že
a) nevydá prostředky pro bezpečné vytváření elektronických podpisů
bezpečně podle § 17 odst. 3, nebo
b) nevytvoří v těchto prostředcích nebo nepřidá do těchto prostředků
data pro vytváření elektronických podpisů důvěryhodným způsobem podle §
17 odst. 3.
(5) Fyzická osoba se dopustí přestupku tím, že poruší povinnost
mlčenlivosti podle § 6 odst. 7.
(6) Za přestupky podle odstavců 1 až 4 lze uložit pokutu do výše 10 000
000 Kč.
(7) Za přestupek podle odstavce 5 lze uložit pokutu do výše 250 000 Kč.
§ 19
Společná ustanovení
(1) Právnická osoba za správní delikt neodpovídá, jestliže prokáže, že
vynaložila veškeré úsilí, které bylo možno požadovat, aby porušení
právní povinnosti zabránila.
(2) Při určení výměry pokuty právnické osobě se přihlédne k závažnosti
správního deliktu, zejména ke způsobu jeho spáchání a jeho následkům a
k okolnostem, za nichž bylo spácháno.
(3) Odpovědnost právnické osoby za správní delikt zaniká, jestliže
správní orgán o něm nezahájil řízení do 1 roku ode dne, kdy se o něm
dozvěděl, nejpozději však do 3 let ode dne, kdy byl spáchán.
(4) Správní delikty podle tohoto zákona v prvním stupni projednává
ministerstvo.
(5) Na odpovědnost za jednání, k němuž došlo při podnikání fyzické
osoby^8) nebo v přímé souvislosti s ním, se vztahují ustanovení zákona
o odpovědnosti a postihu právnické osoby.
(6) Výnos z pokut je příjmem státního rozpočtu.
§ 20
Zmocňovací ustanovení
(1) Ministerstvo stanoví prováděcím právním předpisem způsob splnění
informační povinnosti podle § 6 odst. 1 písm. a) a f) a odst. 3,
kvalifikační požadavky podle § 6 odst. 1 písm. b), požadavky na
bezpečné systémy a bezpečné nástroje podle § 6 odst. 1 písm. c) a d),
způsob uchovávání informací a dokumentace podle § 6 odst. 5 a 6 a
způsob, jakým se splnění těchto požadavků dokládá.
(2) Ministerstvo stanoví prováděcím právním předpisem způsob ověření
souladu dat podle § 6a odst. 1 písm. d), způsob zajištění bezpečnosti
seznamů podle § 6a odst. 1 písm. e) a f), určení data a času podle § 6a
odst. 1 písm. g), náležitosti opatření podle § 6a odst. 1 písm. h),
způsob splnění informační povinnosti podle § 6a odst. 1 písm. i),
způsob ochrany a zajištění souladu dat podle § 6a odst. 2, způsob
zneplatnění certifikátů podle § 6a odst. 3 a 4 a způsob, jakým se
splnění těchto požadavků dokládá.
(3) Ministerstvo stanoví prováděcím právním předpisem způsob zajištění
přesnosti času při vytváření kvalifikovaného časového razítka podle §
6b odst. 1 písm. b), způsob zajištění souladu dat podle § 6b odst. 1
písm. c), náležitosti opatření podle § 6b odst. 1 písm. d), způsob
splnění informační povinnosti podle § 6b odst. 1 písm. e) a způsob,
jakým se splnění těchto požadavků dokládá.
(4) Ministerstvo stanoví prováděcím právním předpisem strukturu údajů,
na základě kterých je možné osobu jednoznačně identifikovat, a postupy
pro ověřování platnosti zaručeného elektronického podpisu, elektronické
značky, kvalifikovaného certifikátu, kvalifikovaného systémového
certifikátu a kvalifikovaného časového razítka.
(5) Ministerstvo stanoví prováděcím právním předpisem způsob zajištění
postupů, které musí podporovat prostředky pro bezpečné vytváření a
ověřování elektronických podpisů při ochraně dat pro vytváření
elektronických podpisů podle § 17 a prostředky pro vytváření
elektronických značek při ochraně dat pro vytváření elektronických
značek podle § 17a, a způsob, jakým se splnění těchto požadavků
dokládá.
ČÁST DRUHÁ
zrušena
§ 21
zrušen
ČÁST TŘETÍ
zrušena
§ 22
zrušen
ČÁST ČTVRTÁ
zrušena
§ 23
zrušen
ČÁST PÁTÁ
Změna občanského soudního řádu
§ 24
Zákon č. 99/1963 Sb., občanský soudní řád, ve znění zákona č. 36/1967
Sb., zákona č. 158/1969 Sb., zákona č. 49/1973 Sb., zákona č. 20/1975
Sb., zákona č. 133/1982 Sb., zákona č. 180/1990 Sb., zákona č. 328/1991
Sb., zákona č. 519/1991 Sb., zákona č. 263/1992 Sb., zákona č. 24/1993
Sb., zákona č. 171/1993 Sb., zákona č. 117/1994 Sb., zákona č. 152/1994
Sb., zákona č. 216/1994 Sb., zákona č. 84/1995 Sb., zákona č. 118/1995
Sb., zákona č. 160/1995 Sb., zákona č. 238/1995 Sb., zákona č. 247/1995
Sb., nálezu Ústavního soudu č. 31/1996 Sb., zákona č. 142/1996 Sb.,
nálezu Ústavního soudu č. 269/1996 Sb., zákona č. 202/1997 Sb., zákona
č. 227/1997 Sb., zákona č. 15/1998 Sb., zákona č. 91/1998 Sb., zákona
č. 165/1998 Sb., zákona č. 326/1999 Sb., zákona č. 360/1999 Sb., nálezu
Ústavního soudu č. 2/2000 Sb., zákona č. 27/2000 Sb., zákona č. 30/2000
Sb., zákona č. 46/2000 Sb., zákona č. 105/2000 Sb., zákona č. 130/2000
Sb., zákona č. 155/2000 Sb. a zákona č. 220/2000 Sb., se mění takto:
V § 42 odst. 1 věta první zní: "Podání je možno učinit písemně, ústně
do protokolu, v elektronické podobě podepsané elektronicky podle
zvláštních předpisů, telegraficky nebo telefaxem.".
ČÁST ŠESTÁ
Změna trestního řádu
§ 25
Zákon č. 141/1961 Sb., o trestním řízení soudním (trestní řád), ve
znění zákona č. 57/1965 Sb., zákona č. 58/1969 Sb., zákona č. 149/1969
Sb., zákona č. 48/1973 Sb., zákona č. 29/1978 Sb., zákona č. 43/1980
Sb., zákona č. 159/1989 Sb., zákona č. 178/1990 Sb., zákona č. 303/1990
Sb., zákona č. 558/1991 Sb., zákona č. 25/1993 Sb., zákona č. 115/1993
Sb., zákona č. 292/1993 Sb., zákona č. 154/1994 Sb., nálezu Ústavního
soudu č. 214/1994 Sb., nálezu Ústavního soudu č. 8/1995 Sb., zákona č.
152/1995 Sb., zákona č. 150/1997 Sb., zákona č. 209/1997 Sb., zákona č.
148/1998 Sb., zákona č. 166/1998 Sb., zákona č. 191/1999 Sb., zákona č.
29/2000 Sb. a zákona č. 30/2000 Sb., se mění takto:
V § 59 odstavec 1 zní:
"(1) Podání se posuzuje vždy podle svého obsahu, i když je nesprávně
označeno. Lze je učinit písemně, ústně do protokolu, v elektronické
podobě podepsané elektronicky podle zvláštních předpisů, telegraficky,
telefaxem nebo dálnopisem.".
ČÁST SEDMÁ
Změna zákona o ochraně osobních údajů
§ 26
Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých
zákonů, se mění takto:
V § 29 se doplňuje odstavec 4, který zní:
"(4) Úřad uděluje a odnímá akreditace k působení jako akreditovaný
poskytovatel certifikačních služeb a provádí dozor nad dodržováním
povinností stanovených zákonem o elektronickém podpisu.".
ČÁST OSMÁ
Změna zákona o správních poplatcích
§ 27
Zákon č. 368/1992 Sb., o správních poplatcích, ve znění zákona č.
10/1993 Sb., zákona č. 72/1994 Sb., zákona č. 85/1994 Sb., zákona č.
273/1994 Sb., zákona č. 36/1995 Sb., zákona č. 118/1995 Sb., zákona č.
160/1995 Sb., zákona č. 301/1995 Sb., zákona č. 151/1997 Sb., zákona č.
305/1997 Sb., zákona č. 149/1998 Sb., zákona č. 157/1998 Sb., zákona č.
167/1998 Sb., zákona č. 63/1999 Sb., zákona č. 166/1999 Sb., zákona č.
167/1999 Sb., zákona č. 223/1999 Sb., zákona č. 326/1999 Sb., zákona č.
352/1999 Sb., zákona č. 357/1999 Sb., zákona č. 360/1999 Sb., zákona č.
363/1999 Sb., zákona č. 46/2000 Sb., zákona č. 62/2000 Sb., zákona č.
117/2000 Sb., zákona č. 133/2000 Sb., zákona č. 151/2000 Sb., zákona č.
153/2000 Sb., zákona č. 154/2000 Sb., zákona č. 156/2000 Sb. a zákona
č. 158/2000 Sb., se mění takto:
1. V příloze k zákonu (Sazebník správních poplatků) se doplňuje nová
část XII, která zní:
"ČÁST XII
ŘÍZENÍ PODLE ZÁKONA O ELEKTRONICKÉM PODPISU
Položka 162
a) podání žádosti o akreditaci poskytovatele certifikačních služeb
Kč 100 000,-
b) podání žádosti o vyhodnocení shody nástrojů elektronického
podpisu s požadavky Kč 10 000,-.".
2. REJSTŘÍK K SAZEBNÍKU se doplňuje o část XII, která zní:
"ČÁST XII
Řízení podle zákona o elektronickém podpisu 162.".
3. Tečka za částí XI se vypouští.
ČÁST DEVÁTÁ
ÚČINNOST
§ 28
Tento zákon nabývá účinnosti prvním dnem třetího kalendářního měsíce po
dni jeho vyhlášení.
Klaus v. r.
Havel v. r.
Zeman v. r.
Vybraná ustanovení novel
Čl.II zákona č. 440/2004 Sb.
Přechodná ustanovení
Poskytovatelé certifikačních služeb, kterým byla udělena akreditace k
působení jako akreditovaný poskytovatel certifikačních služeb přede
dnem nabytí účinnosti tohoto zákona, jsou povinni přizpůsobit službu
vydávání kvalifikovaných certifikátů zákonu č. 227/2000 Sb., o
elektronickém podpisu a o změně některých dalších zákonů (zákon o
elektronickém podpisu), ve znění čl. I tohoto zákona, do 1. července
2005.
Čl. XXIX zákona č. 223/2009 Sb.
Přechodné ustanovení
Řízení zahájená přede dnem nabytí účinnosti tohoto zákona a do tohoto
dne neskončená se dokončí a práva a povinnosti s nimi související se
posuzují podle dosavadních právních předpisů.
1) Směrnice Evropského parlamentu a Rady 99/93/ES ze dne 13. prosince
1999 o zásadách Společenství pro elektronické podpisy.
1a) Zákon č. 40/1964 Sb., občanský zákoník, ve znění pozdějších
předpisů.
2a) § 10 zákona č. 40/1964 Sb., občanský zákoník, ve znění pozdějších
předpisů.
3) Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých
zákonů.
3a) Rozhodnutí Komise Evropských společenství 2009/767/ES ze dne 16.
října 2009, kterým se stanovují opatření pro usnadnění užití postupů s
využitím elektronických prostředků prostřednictvím „jednotných
kontaktních míst“ podle směrnice Evropského parlamentu a Rady
2006/123/ES o službách na vnitřním trhu.
5) Zákon č. 368/1992 Sb., o správních poplatcích, ve znění pozdějších
předpisů.
7) § 43 zákona č. 71/1967 Sb., o správním řízení (správní řád), ve
znění pozdějších předpisů.
8) § 2 odst. 2 zákona č. 513/1991 Sb., obchodní zákoník, ve znění
pozdějších předpisů.
9) Rozhodnutí Komise 2011/130/EU ze dne 25. února 2011, kterým se
stanoví minimální požadavky na přeshraniční zpracování dokumentů
elektronicky podepsaných příslušnými orgány podle směrnice 2006/123/ES
Evropského parlamentu a Rady o službách na vnitřním trhu.
