Text předpisu:
486
PŘEDSEDA VLÁDY
vyhlašuje
úplné znění zákona č. 227/2000 Sb.,
o elektronickém podpisu a o změně některých dalších zákonů (zákon o
elektronickém podpisu),
jak vyplývá ze změn provedených zákonem č. 226/2002
Sb., zákonem č. 517/2002 Sb.
a zákonem č. 440/2004 Sb.
ZÁKON
o elektronickém podpisuParlament
se usnesl na tomto zákoně České republiky:
ČÁST PRVNÍ
ELEKTRONICKÝ PODPIS
§ 1
Účel zákonaTento
zákon upravuje v souladu s právem Evropských společenství
1) používání
elektronického podpisu, elektronické značky, poskytování certifikačních služeb a
souvisejících služeb poskytovateli usazenými na území České republiky, kontrolu
povinností stanovených tímto zákonem a sankce za porušení povinností stanovených
tímto zákonem.
§ 2
Vymezení některých pojmůPro
účely tohoto zákona se rozumí
- a)
- elektronickým podpisem údaje v elektronické podobě, které jsou připojené k
datové zprávě nebo jsou s ní logicky spojené a které slouží jako metoda k
jednoznačnému ověření identity podepsané osoby ve vztahu k datové
zprávě,
- b)
- zaručeným elektronickým podpisem elektronický podpis, který splňuje
následující požadavky
- 1.
- je jednoznačně spojen s podepisující osobou,
- 2.
- umožňuje identifikaci podepisující osoby ve vztahu k datové
zprávě,
- 3.
- byl vytvořen a připojen k datové zprávě pomocí prostředků, které
podepisující osoba může udržet pod svou výhradní kontrolou,
- 4.
- je k datové zprávě, ke které se vztahuje, připojen takovým způsobem, že
je možno zjistit jakoukoliv následnou změnu dat,
- c)
- elektronickou značkou údaje v elektronické podobě, které jsou připojené k
datové zprávě nebo jsou s ní logicky spojené a které splňují následující
požadavky
- 1.
- jsou jednoznačně spojené s označující osobou a umožňují její
identifikaci prostřednictvím kvalifikovaného systémového
certifikátu,
- 2.
- byly vytvořeny a připojeny k datové zprávě pomocí prostředku pro
vytváření elektronických značek, které označující osoba může udržet pod svou
výhradní kontrolou,
- 3.
- jsou k datové zprávě, ke které se vztahují, připojeny takovým způsobem,
že je možné zjistit jakoukoli následnou změnu dat,
- d)
- datovou zprávou elektronická data, která lze přenášet prostředky pro
elektronickou komunikaci a uchovávat na záznamových médiích, používaných při
zpracování a přenosu dat elektronickou formou,
- e)
- podepisující osobou fyzická osoba, která je držitelem prostředku pro
vytváření elektronických podpisů a jedná jménem svým nebo jménem jiné fyzické
či právnické osoby,
- f)
- označující osobou fyzická osoba, právnická osoba nebo organizační složka
státu, která drží prostředek pro vytváření elektronických značek a označuje
datovou zprávu elektronickou značkou,
- g)
- držitelem certifikátu fyzická osoba, právnická osoba nebo organizační
složka státu, která požádala o vydání kvalifikovaného certifikátu nebo
kvalifikovaného systémového certifikátu pro sebe nebo pro podepisující nebo
označující osobu a které byl certifikát vydán,
- h)
- poskytovatelem certifikačních služeb fyzická osoba, právnická osoba nebo
organizační složka státu, která vydává certifikáty a vede jejich evidenci,
případně poskytuje další služby spojené s elektronickými podpisy,
- i)
- kvalifikovaným poskytovatelem certifikačních služeb poskytovatel
certifikačních služeb, který vydává kvalifikované certifikáty nebo
kvalifikované systémové certifikáty nebo kvalifikovaná časová razítka nebo
prostředky pro bezpečné vytváření elektronických podpisů (dále jen
"kvalifikované certifikační služby") a splnil ohlašovací povinnost podle §
6,
- j)
- akreditovaným poskytovatelem certifikačních služeb poskytovatel
certifikačních služeb, jemuž byla udělena akreditace podle tohoto
zákona,
- k)
- certifikátem datová zpráva, která je vydána poskytovatelem certifikačních
služeb, spojuje data pro ověřování elektronických podpisů s podepisující
osobou a umožňuje ověřit její identitu, nebo spojuje data pro ověřování
elektronických značek s označující osobou a umožňuje ověřit její
identitu,
- l)
- kvalifikovaným certifikátem certifikát, který má náležitosti podle § 12 a
byl vydán kvalifikovaným poskytovatelem certifikačních služeb,
- m)
- kvalifikovaným systémovým certifikátem certifikát, který má náležitosti
podle § 12a a byl vydán kvalifikovaným poskytovatelem certifikačních
služeb,
- n)
- daty pro vytváření elektronických podpisů jedinečná data, která
podepisující osoba používá k vytváření elektronického podpisu,
- o)
- daty pro ověřování elektronických podpisů jedinečná data, která se
používají pro ověření elektronického podpisu,
- p)
- daty pro vytváření elektronických značek jedinečná data, která označující
osoba používá k vytváření elektronických značek,
- q)
- daty pro ověřování elektronických značek jedinečná data, která se
používají pro ověření elektronických značek,
- r)
- kvalifikovaným časovým razítkem datová zpráva, kterou vydal kvalifikovaný
poskytovatel certifikačních služeb a která důvěryhodným způsobem spojuje data
v elektronické podobě s časovým okamžikem, a zaručuje, že uvedená data v
elektronické podobě existovala před daným časovým okamžikem,
- s)
- prostředkem pro vytváření elektronických podpisů technické zařízení nebo
programové vybavení, které se používá k vytváření elektronických
podpisů,
- t)
- prostředkem pro ověřování elektronických podpisů technické zařízení nebo
programové vybavení, které se používá k ověřování elektronických
podpisů,
- u)
- prostředkem pro bezpečné vytváření elektronických podpisů prostředek pro
vytváření elektronického podpisu, který splňuje požadavky stanovené tímto
zákonem,
- v)
- prostředkem pro bezpečné ověřování elektronických podpisů prostředek pro
ověřování podpisu, který splňuje požadavky stanovené tímto zákonem,
- w)
- nástrojem elektronického podpisu technické zařízení nebo programové
vybavení, nebo jejich součásti, používané pro zajištění certifikačních služeb
nebo pro vytváření nebo ověřování elektronických podpisů,
- x)
- prostředkem pro vytváření elektronických značek zařízení, které používá
označující osoba pro vytváření elektronických značek a které splňuje další
náležitosti stanovené tímto zákonem,
- y)
- elektronickou podatelnou pracoviště orgánu veřejné moci určené pro příjem
a odesílání datových zpráv,
- z)
- akreditací osvědčení, že poskytovatel certifikačních služeb splňuje
podmínky stanovené tímto zákonem pro výkon činnosti akreditovaného
poskytovatele certifikačních služeb.
§ 3
Soulad s požadavky na podpis(1)
Datová zpráva je podepsána, pokud je opatřena elektronickým podpisem. Pokud se
neprokáže opak, má se za to, že se podepisující osoba před podepsáním datové
zprávy s jejím obsahem seznámila.
(2)
Použití zaručeného elektronického podpisu založeného na kvalifikovaném
certifikátu a vytvořeného pomocí prostředku pro bezpečné vytváření podpisu
umožňuje ověřit, že datovou zprávu podepsala osoba uvedená na tomto
kvalifikovaném certifikátu.
§ 3a(1)
Použití elektronické značky založené na kvalifikovaném systémovém certifikátu a
vytvořené pomocí prostředku pro vytváření elektronických značek umožňuje ověřit,
že datovou zprávu označila touto elektronickou značkou označující
osoba.
(2)
Pokud označující osoba označila datovou zprávu, má se za to, že tak učinila
automatizovaně bez přímého ověření obsahu datové zprávy a vyjádřila tím svou
vůli.
§ 4
Soulad s originálemPoužití
zaručeného elektronického podpisu nebo elektronické značky zaručuje, že dojde-li
k porušení obsahu datové zprávy od okamžiku, kdy byla podepsána nebo označena,
toto porušení bude možno zjistit.
§ 5
Povinnosti podepisující osoby(1)
Podepisující osoba je povinna
- a)
- zacházet s prostředky, jakož i s daty pro vytváření zaručeného
elektronického podpisu s náležitou péčí tak, aby nemohlo dojít k jejich
neoprávněnému použití,
- b)
- uvědomit neprodleně poskytovatele certifikačních služeb, který vydal
kvalifikovaný certifikát, o tom, že hrozí nebezpečí zneužití jejích dat pro
vytváření zaručeného elektronického podpisu.
(2)
Za škodu způsobenou porušením povinností podle odstavce 1 odpovídá podepisující
osoba podle zvláštních právních předpisů.
1a) Odpovědnosti se však
zprostí, pokud prokáže, že ten, komu vznikla škoda, neprovedl veškeré úkony
potřebné k tomu, aby si ověřil, že zaručený elektronický podpis je platný a jeho
kvalifikovaný certifikát nebyl zneplatněn.
§ 5a
Povinnosti označující osoby(1)
Označující osoba je povinna
- a)
- zacházet s prostředkem, jakož i s daty pro vytváření elektronických značek
s náležitou péčí tak, aby nemohlo dojít k jejich neoprávněnému
použití,
- b)
- uvědomit neprodleně poskytovatele certifikačních služeb, který vydal
kvalifikovaný systémový certifikát, o tom, že hrozí nebezpečí zneužití jejích
dat pro vytváření elektronických značek.
(2)
Označující osoba je povinna zajistit, aby prostředek pro vytváření
elektronických značek, který používá, splňoval požadavky stanovené tímto
zákonem.
(3)
Za škodu způsobenou porušením povinnosti podle odstavce 1 odpovídá označující
osoba, i když škodu nezavinila, podle zvláštních právních
předpisů,
1a) odpovědnost za vady podle zvláštních předpisů tím není
dotčena.
1a) Odpovědnosti se však zprostí, pokud prokáže, že ten, komu
vznikla škoda, neprovedl veškeré úkony potřebné k tomu, aby si ověřil, že
elektronická značka je platná a její kvalifikovaný systémový certifikát nebyl
zneplatněn.
§ 5b
Povinnosti držitele certifikátuDržitel
certifikátu je povinen bez zbytečného odkladu podávat přesné, pravdivé a úplné
informace poskytovateli certifikačních služeb ve vztahu ke kvalifikovanému
certifikátu a ve vztahu ke kvalifikovanému systémovému
certifikátu.
§ 6
Kvalifikovaný poskytovatel certifikačních služeb(1)
Kvalifikovaný poskytovatel certifikačních služeb je povinen
- a)
- zajistit, aby se každý mohl ujistit o jeho identitě a jeho kvalifikovaném
systémovém certifikátu, na jehož základě označuje vydané kvalifikované
certifikáty nebo kvalifikované systémové certifikáty a seznamy certifikátů,
které byly zneplatněny, nebo kvalifikovaná časová razítka,
- b)
- zajistit, aby poskytování kvalifikovaných certifikačních služeb vykonávaly
osoby s odbornými znalostmi a kvalifikací nezbytnou pro poskytování
kvalifikované certifikační služby a obeznámené s příslušnými bezpečnostními
postupy,
- c)
- používat bezpečné systémy a bezpečné nástroje elektronického podpisu,
zajistit dostatečnou bezpečnost postupů, které tyto systémy a nástroje
podporují, a zajistit dostatečnou kryptografickou bezpečnost těchto nástrojů;
systémy a nástroje jsou považovány za bezpečné, pokud odpovídají požadavkům
stanoveným tímto zákonem a prováděcí vyhláškou, nebo pokud splňují požadavky
technických norem uvedených v rozhodnutí Komise vydaném na základě článku 3
(5) směrnice 1999/93/ES,
- d)
- používat bezpečné systémy pro uchovávání kvalifikovaných certifikátů a
kvalifikovaných systémových certifikátů nebo kvalifikovaných časových razítek
v ověřitelné podobě takovým způsobem, aby záznamy nebo jejich změny mohly
provádět pouze pověřené osoby, aby bylo možno kontrolovat správnost záznamů a
aby jakékoliv technické nebo programové změny porušující tyto bezpečnostní
požadavky byly zjevné,
- e)
- mít po celou dobu své činnosti k dispozici dostatečné finanční zdroje nebo
jiné finanční zajištění na provoz v souladu s požadavky uvedenými v tomto
zákoně a s ohledem na riziko vzniku odpovědnosti za škodu,
- f)
- před uzavřením smlouvy o poskytování kvalifikovaných certifikačních služeb
s osobou, která žádá o poskytování služeb podle tohoto zákona, informovat tuto
osobu písemně o přesných podmínkách pro využívání kvalifikovaných
certifikačních služeb, včetně případných omezení pro jejich použití, a o
podmínkách reklamací a řešení vzniklých sporů a o tom, zda je, či není
akreditován Ministerstvem informatiky (dále jen "ministerstvo") podle § 10;
tyto informace lze předat elektronicky.
(2)
Není-li poskytovatel certifikačních služeb akreditován ministerstvem, je povinen
ohlásit ministerstvu nejméně 30 dnů před zahájením poskytování kvalifikované
certifikační služby, že ji bude poskytovat, a okamžik, kdy její poskytování
zahájí. Zároveň předá ministerstvu k ověření svůj kvalifikovaný systémový
certifikát uvedený v odstavci 1 písm. a).
(3)
Pokud byla kvalifikovanému poskytovateli certifikačních služeb, který získal
akreditaci podle § 10 tohoto zákona, akreditace ministerstvem odňata, je povinen
bez prodlení informovat o této skutečnosti subjekty, kterým poskytuje své
kvalifikované certifikační služby, a další dotčené osoby.
(4)
Kvalifikovaný poskytovatel certifikačních služeb poskytuje služby podle tohoto
zákona na základě smlouvy. Smlouva musí být písemná.
(5)
Kvalifikovaný poskytovatel certifikačních služeb uchovává informace a
dokumentaci související s poskytovanými kvalifikovanými certifikačními službami
podle tohoto zákona, zejména
- a)
- smlouvu o poskytování kvalifikované certifikační služby, včetně žádosti o
poskytování služby,
- b)
- vydaný kvalifikovaný certifikát, vydaný kvalifikovaný systémový certifikát
nebo vydané kvalifikované časové razítko,
- c)
- kopie předložených osobních dokladů podepisující osoby nebo dokladů, na
jejichž základě byla ověřena identita označující osoby,
- d)
- potvrzení o převzetí kvalifikovaného certifikátu nebo kvalifikovaného
systémového certifikátu držitelem, případně jeho souhlas se zveřejněním
kvalifikovaného certifikátu v seznamu vydaných kvalifikovaných
certifikátů,
- e)
- prohlášení držitele certifikátu o tom, že mu byly poskytnuty informace
podle odstavce 1 písm. f),
- f)
- dokumenty a záznamy související s životním cyklem vydaného kvalifikovaného
certifikátu nebo kvalifikovaného systémového certifikátu, jejichž náležitosti
upřesní prováděcí vyhláška.
(6)
Veškeré informace a dokumentaci o poskytovaných službách podle tohoto zákona
uchovává kvalifikovaný poskytovatel certifikačních služeb po dobu nejméně 10
let. Kvalifikovaný poskytovatel je povinen zajistit uchovávané informace a
dokumentaci před ztrátou, zneužitím, zničením nebo poškozením za podmínek, které
upřesní prováděcí vyhláška. Informace a dokumentaci podle věty první může
kvalifikovaný poskytovatel certifikačních služeb pořizovat a uchovávat v
elektronické podobě. Pokud tento zákon nestanoví jinak, postupuje se při
nakládání s informacemi a dokumentací podle zvláštního právního
předpisu.
2)(7)
Zaměstnanci kvalifikovaného poskytovatele certifikačních služeb, případně jiné
fyzické osoby, které přicházejí do styku s osobními údaji a daty pro vytváření
elektronických podpisů podepisujících osob a elektronických značek označujících
osob, jsou povinni zachovávat mlčenlivost o těchto údajích a datech a o
bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení těchto
údajů a dat. Povinnost mlčenlivosti trvá i po skončení pracovního nebo jiného
obdobného poměru nebo po provedení příslušných prací; uvedené osoby může zbavit
mlčenlivosti ten, v jehož zájmu tuto povinnost mají, nebo soud.
§ 6a
Povinnosti kvalifikovaného poskytovatele certifikačních
služeb
při vydávání kvalifikovaných certifikátů a kvalifikovaných
systémových certifikátů(1)
Kvalifikovaný poskytovatel certifikačních služeb, který vydává kvalifikované
certifikáty nebo kvalifikované systémové certifikáty (dále jen "certifikáty
vydané jako kvalifikované"), je povinen
- a)
- zajistit, aby certifikáty jím vydané jako kvalifikované obsahovaly všechny
náležitosti stanovené tímto zákonem,
- b)
- zajistit, aby údaje uvedené v certifikátech jím vydaných jako
kvalifikované byly přesné, pravdivé a úplné,
- c)
- před vydáním certifikátu jako kvalifikovaného bezpečně ověřit
odpovídajícími prostředky identitu podepisující osoby nebo identitu označující
osoby, případně i její zvláštní znaky, vyžaduje-li to účel takového
certifikátu,
- d)
- zjistit, zda v okamžiku podání žádosti o vydání certifikátu jako
kvalifikovaného měla podepisující osoba data pro vytváření elektronických
podpisů odpovídající datům pro ověřování elektronických podpisů nebo
označující osoba data pro vytváření elektronických značek odpovídající datům
pro ověřování elektronických značek, která obsahuje žádost o vydání
certifikátu,
- e)
- zajistit provozování bezpečného a veřejně přístupného seznamu certifikátů
vydaných jako kvalifikované, k jejichž zveřejnění dal držitel certifikátu
souhlas v souladu s § 6 odst. 5 písm. d), a zajistit dostupnost tohoto seznamu
i dálkovým přístupem a údaje v seznamu obsažené při každé změně bez zbytečného
odkladu aktualizovat,
- f)
- zajistit provozování bezpečného a veřejně přístupného seznamu certifikátů
vydaných jako kvalifikované, které byly zneplatněny, a to i dálkovým
přístupem,
- g)
- zajistit, aby datum a čas s uvedením hodiny, minuty a sekundy, kdy je
certifikát vydaný jako kvalifikovaný vydán nebo zneplatněn, mohly být přesně
určeny,
- h)
- přijmout odpovídající opatření proti zneužití a padělání certifikátů
vydaných jako kvalifikované,
- i)
- poskytovat na vyžádání třetím osobám podstatné informace o podmínkách pro
využívání certifikátů vydaných jako kvalifikované, včetně omezení pro jejich
použití, a informace o tom, zda je, či není akreditován ministerstvem; tyto
informace lze poskytovat elektronicky.
(2)
Pokud kvalifikovaný poskytovatel certifikačních služeb, který vydává certifikáty
jako kvalifikované, vytváří pro podepisující osobu data pro vytváření
elektronických podpisů nebo pro označující osobu data pro vytváření
elektronických značek,
- a)
- musí zajistit utajení těchto dat před jejich předáním, nesmí tato data
kopírovat a uchovávat je déle, než je nezbytné,
- b)
- musí zaručit, že tato data odpovídají datům pro ověřování elektronických
podpisů nebo datům pro ověřování elektronických značek.
(3)
Kvalifikovaný poskytovatel certifikačních služeb, který vydává certifikáty jako
kvalifikované, musí neprodleně zneplatnit certifikát, pokud o to držitel,
podepisující osoba nebo označující osoba požádá, nebo pokud ho uvědomí, že hrozí
nebezpečí zneužití jejich dat pro vytváření elektronických podpisů nebo
elektronických značek, nebo v případě, že byl certifikát vydán na základě
nepravdivých nebo chybných údajů.
(4)
Kvalifikovaný poskytovatel certifikačních služeb musí rovněž neprodleně
zneplatnit certifikát vydaný jako kvalifikovaný, dozví-li se prokazatelně, že
podepisující nebo označující osoba zemřela nebo zanikla nebo ji soud
způsobilosti k právním úkonům zbavil nebo omezil,
2a) nebo pokud
údaje, na jejichž základě byl certifikát vydán, pozbyly pravdivosti.
§ 6b
Povinnosti kvalifikovaného poskytovatele certifikačních
služeb
při vydávání kvalifikovaných časových razítek(1)
Kvalifikovaný poskytovatel certifikačních služeb, který vydává kvalifikovaná
časová razítka, je povinen
- a)
- zajistit, aby časová razítka jím vydávaná jako kvalifikovaná obsahovala
všechny náležitosti stanovené tímto zákonem,
- b)
- zajistit, aby časový údaj vložený do kvalifikovaného časového razítka
odpovídal hodnotě koordinovaného světového času při vytváření kvalifikovaného
časového razítka,
- c)
- zajistit, aby data v elektronické podobě, která jsou předmětem žádosti o
vydání kvalifikovaného časového razítka, jednoznačně odpovídala datům v
elektronické podobě obsaženým ve vydaném kvalifikovaném časovém
razítku,
- d)
- přijmout odpovídající opatření proti padělání kvalifikovaných časových
razítek,
- e)
- poskytovat na vyžádání třetím osobám podstatné informace o podmínkách pro
využívání kvalifikovaných časových razítek, včetně omezení pro jejich použití
a informace o tom, zda je, či není akreditován ministerstvem; tyto informace
lze poskytovat elektronicky.
(2)
Kvalifikovaný poskytovatel certifikačních služeb vydá kvalifikované časové
razítko neprodleně po přijetí žádosti o jeho vydání.
§ 7
Odpovědnost za škodu(1)
Za škodu způsobenou porušením povinností stanovených tímto zákonem odpovídá
kvalifikovaný poskytovatel certifikačních služeb podle zvláštních právních
předpisů.
1a)(2)
Kvalifikovaný poskytovatel certifikačních služeb neodpovídá za škodu vyplývající
z použití certifikátu vydaného jako kvalifikovaný, která vznikla v důsledku
nedodržení omezení pro jeho použití podle § 12 odst. 1 písm. i) a j) a § 12a
písm. h).
§ 8
Ochrana osobních údajůOchrana
osobních údajů se řídí zvláštním právním předpisem.
3)
§ 9
Akreditace a dozor(1)
Udělování akreditací k působení jako akreditovaný poskytovatel certifikačních
služeb, jakož i dozor nad dodržováním tohoto zákona náleží
ministerstvu.
(2)
Ministerstvo
- a)
- uděluje a odnímá akreditace k působení jako akreditovaný poskytovatel
certifikačních služeb subjektům působícím na území České republiky,
- b)
- vykonává dozor nad činností akreditovaných poskytovatelů certifikačních
služeb a kvalifikovaných poskytovatelů certifikačních služeb, ukládá jim
opatření k nápravě a pokuty za porušení povinností podle tohoto
zákona,
- c)
- vede evidenci udělených akreditací a jejich změn a evidenci
kvalifikovaných poskytovatelů certifikačních služeb,
- d)
- vede evidenci vydaných kvalifikovaných systémových certifikátů, které
používá kvalifikovaný poskytovatel certifikačních služeb podle § 6 odst. 1
písm. a) a které byly podle § 6 odst. 2 ověřeny ministerstvem,
- e)
- průběžně uveřejňuje přehled udělených akreditací, přehled kvalifikovaných
poskytovatelů certifikačních služeb a jejich kvalifikovaných služeb a
kvalifikované systémové certifikáty podle písmena d), a to i způsobem
umožňujícím dálkový přístup,
- f)
- vyhodnocuje shodu nástrojů elektronického podpisu s požadavky stanovenými
tímto zákonem a prováděcí vyhláškou,
- g)
- plní další povinnosti stanovené tímto zákonem.
(3)
Za účelem výkonu dozoru je akreditovaný poskytovatel certifikačních služeb a
kvalifikovaný poskytovatel certifikačních služeb povinen pověřeným zaměstnancům
ministerstva umožnit v nezbytně nutném rozsahu vstup do obchodních a provozních
prostor, na požádání předložit veškerou dokumentaci, záznamy, doklady,
písemnosti a jiné podklady související s jeho činností, umožnit jim v nezbytně
nutné míře přístup do svého informačního systému a poskytnout informace a
veškerou potřebnou součinnost.
(4)
Není-li tímto zákonem stanoveno jinak, postupuje ministerstvo při výkonu dozoru
podle zvláštního právního předpisu.
4)(5)
Kvalifikovanému poskytovateli certifikačních služeb, který nesplnil povinnost
součinnosti podle odstavce 3, lze uložit pořádkovou pokutu do výše 1 000 000
Kč.
§ 10
Podmínky udělení akreditace pro poskytování
certifikačních služeb(1)
Každý poskytovatel certifikačních služeb může požádat ministerstvo o udělení
akreditace pro výkon činnosti akreditovaného poskytovatele certifikačních
služeb. Podání žádosti o akreditaci podléhá správnímu
poplatku.
5)(2)
V žádosti o akreditaci podle odstavce 1 musí žadatel doložit
- a)
- v případě právnické osoby obchodní firmu nebo název, sídlo, popřípadě
adresu organizační složky zahraniční osoby na území České republiky, a
identifikační číslo žadatele, bylo-li přiděleno; v případě fyzické osoby
jméno, popřípadě jména, příjmení, případně dodatek, místo usazení, místo
podnikání, pokud je odlišné od místa usazení, a identifikační číslo žadatele,
bylo-li přiděleno,
- b)
- doklad o oprávnění k podnikatelské činnosti a u osoby zapsané do
obchodního rejstříku také výpis z obchodního rejstříku ne starší než 3
měsíce,
- c)
- výpis z rejstříku trestů podnikatele - fyzické osoby nebo statutárních
představitelů právnické osoby v případě, že žadatelem je právnická osoba, ne
starší než 3 měsíce,
- d)
- věcné, personální a organizační předpoklady pro činnost kvalifikovaného
poskytovatele certifikačních služeb podle § 6, 6a a 6b tohoto zákona,
- e)
- údaj o tom, které kvalifikované certifikační služby hodlá žadatel
poskytovat,
- f)
- doklad o zaplacení správního poplatku.
(3)
Jestliže žádost neobsahuje všechny požadované údaje, ministerstvo řízení přeruší
a vyzve žadatele, aby ji ve stanovené lhůtě doplnil. Jestliže tak žadatel v této
lhůtě neučiní, ministerstvo řízení zastaví. Správní poplatek se v takovém
případě nevrací.
(4)
Splňuje-li žadatel všechny podmínky předepsané tímto zákonem pro udělení
akreditace, vydá ministerstvo rozhodnutí, jímž mu akreditaci udělí. V opačném
případě žádost o udělení akreditace zamítne.
§ 10a
Podmínky pro rozšíření služeb akreditovaného
poskytovatele certifikačních služeb(1)
Akreditovaný poskytovatel certifikačních služeb může rozšířit poskytování
kvalifikovaných certifikačních služeb o vydávání kvalifikovaných certifikátů,
kvalifikovaných systémových certifikátů, kvalifikovaných časových razítek nebo o
vydávání prostředků pro bezpečné vytváření elektronických podpisů podle tohoto
zákona (dále jen "rozšiřované služby").
(2)
Akreditovaný poskytovatel certifikačních služeb je povinen rozšíření podle
odstavce 1 oznámit ministerstvu tak, aby ministerstvo oznámení obdrželo alespoň
4 měsíce před zahájením poskytování služby.
(3)
V oznámení musí akreditovaný poskytovatel certifikačních služeb doložit věcné,
personální a organizační předpoklady pro zajištění rozšiřovaných
služeb.
(4)
Nedoloží-li akreditovaný poskytovatel certifikačních služeb skutečnosti podle
odstavce 3, anebo jsou-li tyto skutečnosti neúplné nebo nepřesné, ministerstvo
na to akreditovaného poskytovatele certifikačních služeb upozorní s tím, že
nebudou-li tyto vady ve lhůtě, kterou k tomu určí, odstraněny, rozhodnutím
rozšiřování služeb zakáže.
(5)
Ministerstvo oznámené rozšíření zakáže, pokud akreditovaný poskytovatel
certifikačních služeb nesplnil všechny podmínky předepsané tímto zákonem pro
poskytování rozšiřovaných služeb.
(6)
O zákazu rozšíření poskytování kvalifikovaných certifikačních služeb vydá
ministerstvo rozhodnutí nejpozději do 90 dnů od okamžiku, kdy obdrželo
oznámení.
§ 11(1)
V oblasti orgánů veřejné moci je možné za účelem podpisu používat pouze zaručené
elektronické podpisy a kvalifikované certifikáty vydávané akreditovanými
poskytovateli certifikačních služeb (dále jen "uznávaný elektronický podpis").
To platí i pro výkon veřejné moci vůči fyzickým a právnickým osobám. Pokud je
uznávaný elektronický podpis užíván v oblasti orgánů veřejné moci, musí
kvalifikovaný certifikát obsahovat takové údaje, aby osoba byla jednoznačně
identifikovatelná. Strukturu údajů, na základě kterých je možné osobu
jednoznačně identifikovat, stanoví ministerstvo prováděcím právním
předpisem.
(2)
Písemnosti orgánů veřejné moci v elektronické podobě označené elektronickou
značkou založenou na kvalifikovaném systémovém certifikátu vydaném akreditovaným
poskytovatelem certifikačních služeb nebo podepsané uznávaným elektronickým
podpisem mají stejné právní účinky jako veřejné listiny vydané těmito
orgány.
(3)
Orgán veřejné moci přijímá a odesílá datové zprávy podle odstavce 1
prostřednictvím elektronické podatelny.
§ 12
Náležitosti kvalifikovaného certifikátu(1)
Kvalifikovaný certifikát musí obsahovat
- a)
- označení, že je vydán jako kvalifikovaný certifikát podle tohoto
zákona,
- b)
- v případě právnické osoby obchodní firmu nebo název a stát, ve kterém je
kvalifikovaný poskytovatel usazen; v případě fyzické osoby jméno, popřípadě
jména, příjmení, případně dodatek, a stát, ve kterém je kvalifikovaný
poskytovatel usazen,
- c)
- jméno, popřípadě jména, a příjmení podepisující osoby nebo pseudonym s
příslušným označením, že se jedná o pseudonym,
- d)
- zvláštní znaky podepisující osoby, vyžaduje-li to účel kvalifikovaného
certifikátu,
- e)
- data pro ověřování podpisu, která odpovídají datům pro vytváření podpisu,
jež jsou pod kontrolou podepisující osoby,
- f)
- elektronickou značku poskytovatele certifikačních služeb založenou na
kvalifikovaném systémovém certifikátu poskytovatele, který kvalifikovaný
certifikát vydává,
- g)
- číslo kvalifikovaného certifikátu unikátní u daného poskytovatele
certifikačních služeb,
- h)
- počátek a konec platnosti kvalifikovaného certifikátu,
- i)
- případně údaje o tom, zda se používání kvalifikovaného certifikátu omezuje
podle povahy a rozsahu jen pro určité použití,
- j)
- případně omezení hodnot transakcí, pro něž lze kvalifikovaný certifikát
použít.
(2)
Omezení pro použití kvalifikovaného certifikátu podle odstavce 1 písm. i) a j)
musí být zjevná třetím stranám.
(3)
Další osobní údaje smí kvalifikovaný certifikát obsahovat jen se svolením
podepisující osoby.
§ 12a
Náležitosti kvalifikovaného systémového
certifikátuKvalifikovaný
systémový certifikát musí obsahovat
- a)
- označení, že je vydán jako kvalifikovaný systémový certifikát podle tohoto
zákona,
- b)
- v případě právnické osoby obchodní firmu nebo název a stát, ve kterém je
kvalifikovaný poskytovatel usazen; v případě fyzické osoby jméno, popřípadě
jména, příjmení, případně dodatek, a stát, ve kterém je kvalifikovaný
poskytovatel usazen,
- c)
- jednoznačnou identifikaci označující osoby, případně prostředku pro
vytváření elektronických značek,
- d)
- data pro ověřování elektronických značek, která odpovídají datům pro
vytváření elektronických značek, jež jsou pod kontrolou označující
osoby,
- e)
- elektronickou značku poskytovatele certifikačních služeb založenou na
kvalifikovaném systémovém certifikátu poskytovatele, který kvalifikovaný
systémový certifikát vydává,
- f)
- číslo kvalifikovaného systémového certifikátu unikátní u daného
kvalifikovaného poskytovatele certifikačních služeb,
- g)
- počátek a konec platnosti kvalifikovaného systémového certifikátu,
- h)
- omezení pro použití kvalifikovaného systémového certifikátu, přičemž tato
omezení musí být zjevná třetím stranám.
§ 12b
Náležitosti kvalifikovaného časového razítkaKvalifikované
časové razítko musí obsahovat
- a)
- číslo kvalifikovaného časového razítka unikátní u daného kvalifikovaného
poskytovatele certifikačních služeb,
- b)
- označení pravidel, podle kterých kvalifikovaný poskytovatel certifikačních
služeb kvalifikované časové razítko vydal,
- c)
- v případě právnické osoby obchodní firmu nebo název a stát, ve kterém je
kvalifikovaný poskytovatel usazen; v případě fyzické osoby jméno, popřípadě
jména, příjmení, případně dodatek, a stát, ve kterém je kvalifikovaný
poskytovatel usazen,
- d)
- hodnotu času, která odpovídá koordinovanému světovému času při vytváření
kvalifikovaného časového razítka,
- e)
- data v elektronické podobě, pro která bylo kvalifikované časové razítko
vydáno,
- f)
- elektronickou značku kvalifikovaného poskytovatele certifikačních služeb,
který kvalifikované časové razítko vydal.
§ 13
Povinnosti kvalifikovaného poskytovatele certifikačních
služeb při ukončení činnosti(1)
Kvalifikovaný poskytovatel certifikačních služeb musí záměr ukončit svou činnost
ohlásit ministerstvu nejméně 3 měsíce před plánovaným datem ukončení činnosti a
musí vynaložit veškeré možné úsilí k tomu, aby evidence vedená podle § 6 odst. 5
byla převzata jiným kvalifikovaným poskytovatelem certifikačních služeb.
Kvalifikovaný poskytovatel certifikačních služeb dále musí prokazatelně
informovat každou podepisující osobu, označující osobu a držitele, kterým
poskytuje své certifikační služby, o svém záměru ukončit svoji činnost nejméně 2
měsíce před plánovaným datem ukončení činnosti.
(2)
Nemůže-li kvalifikovaný poskytovatel certifikačních služeb zajistit, aby
evidenci vedenou podle § 6 odst. 5 převzal jiný kvalifikovaný poskytovatel
certifikačních služeb, je povinen to nejpozději 30 dnů před plánovaným datem
ukončení činnosti ministerstvu ohlásit. V takovém případě ministerstvo převezme
evidenci a oznámí to dotčeným subjektům.
(3)
Ustanovení odstavců 1 a 2 se použijí přiměřeně také v případě, když
kvalifikovaný poskytovatel certifikačních služeb zanikne, zemře nebo přestane
vykonávat svoji činnost, aniž splní ohlašovací povinnost podle odstavce
1.
§ 14
Opatření k nápravě(1)
Zjistí-li ministerstvo, že akreditovaný poskytovatel certifikačních služeb nebo
kvalifikovaný poskytovatel certifikačních služeb porušuje povinnosti stanovené
tímto zákonem, uloží mu, aby ve stanovené lhůtě zjednal nápravu a případně určí,
jaká opatření k odstranění nedostatků je tento poskytovatel certifikačních
služeb povinen přijmout.
(2)
V případě, že se akreditovaný poskytovatel certifikačních služeb dopustí
závažnějšího porušení povinností stanovených tímto zákonem nebo ve stanovené
lhůtě neodstraní nedostatky zjištěné ministerstvem, je ministerstvo oprávněno mu
udělenou akreditaci odejmout.
(3)
Rozhodne-li ministerstvo o odnětí akreditace, může současně rozhodnout o
zneplatnění certifikátů vydaných jako kvalifikované poskytovatelem
certifikačních služeb v době platnosti akreditace.
§ 15
Zrušení kvalifikovaného certifikátu nebo kvalifikovaného
systémového certifikátuMinisterstvo
může nařídit kvalifikovanému poskytovateli certifikačních služeb jako předběžné
opatření
7) zneplatnění certifikátu vydaného jako kvalifikovaný, pokud
existuje důvodné podezření, že certifikát byl padělán nebo pokud byl vydán na
základě nepravdivých údajů. Rozhodnutí o zneplatnění certifikátu vydaného jako
kvalifikovaný může být vydáno také v případě, kdy bylo zjištěno, že podepisující
nebo označující osoba používá prostředek pro vytváření podpisu nebo prostředek
pro vytváření elektronických značek, který vykazuje bezpečnostní nedostatky,
které by umožnily padělání zaručených elektronických podpisů nebo elektronických
značek nebo změnu podepisovaných nebo označovaných údajů.
§ 16
Uznávání zahraničních kvalifikovaných
certifikátů(1)
Certifikát, který je vydán poskytovatelem certifikačních služeb usazeným v
některém z členských států Evropské unie jako kvalifikovaný, je kvalifikovaným
certifikátem ve smyslu tohoto zákona.
(2)
Certifikát, který je vydán jako kvalifikovaný ve smyslu tohoto zákona v jiném
než členském státu Evropské unie, je kvalifikovaným certifikátem ve smyslu
tohoto zákona, pokud
- a)
- poskytovatel certifikačních služeb splňuje podmínky práva Evropských
společenství1) a byl akreditován k působení jako akreditovaný
poskytovatel certifikačních služeb v některém z členských států Evropské unie,
nebo
- b)
- poskytovatel certifikačních služeb usazený v některém z členských států
Evropské unie, který splňuje podmínky práva Evropských
společenství,1) převezme odpovědnost za platnost a správnost
certifikátu ve stejném rozsahu jako u svých kvalifikovaných certifikátů,
nebo
- c)
- to vyplývá z mezinárodní smlouvy.
§ 17
Prostředky pro bezpečné vytváření a ověřování
elektronických podpisů(1)
Prostředek pro bezpečné vytváření podpisu musí za pomoci odpovídajících
technických a programových prostředků a postupů minimálně zajistit, že
- a)
- data pro vytváření podpisu se mohou vyskytnout pouze jednou a že jejich
utajení je náležitě zajištěno,
- b)
- data pro vytváření podpisu nelze při náležitém zajištění odvodit ze
znalosti způsobu jejich vytváření a že podpis je chráněn proti padělání s
využitím existující dostupné technologie,
- c)
- data pro vytváření podpisu mohou být podepisující osobou spolehlivě
chráněna proti zneužití třetí osobou.
(2)
Prostředky pro bezpečné vytváření podpisu nesmí měnit data, která se podepisují,
ani zabraňovat tomu, aby tato data byla předložena podepisující osobě před
vlastním procesem podepisování.
(3)
Prostředky pro bezpečné vytváření elektronických podpisů musí být před svým
použitím bezpečným způsobem vydány a data pro vytváření elektronických podpisů
musí být důvěryhodným způsobem v těchto prostředcích vytvořena nebo do nich
přidána.
(4)
Prostředek pro bezpečné ověřování podpisu musí za pomoci odpovídajících
technických a programových prostředků a postupů minimálně zajistit, aby
- a)
- data používaná pro ověření podpisu odpovídala datům zobrazeným osobě
provádějící ověření,
- b)
- podpis byl spolehlivě ověřen a výsledek tohoto ověření byl řádně
zobrazen,
- c)
- ověřující osoba mohla spolehlivě zjistit obsah podepsaných dat,
- d)
- pravost a platnost certifikátu při ověřování podpisu byly spolehlivě
zjištěny,
- e)
- výsledek ověření a totožnost podepisující osoby byly řádně
zobrazeny,
- f)
- bylo jasně uvedeno použití pseudonymu,
- g)
- bylo možné zjistit veškeré změny ovlivňující
bezpečnost.
§ 17a
Prostředky pro vytváření elektronických značek(1)
Prostředek pro vytváření elektronických značek musí za pomoci odpovídajících
technických a programových prostředků a postupů minimálně zajistit, že
- a)
- data pro vytváření elektronických značek jsou dostatečným způsobem utajena
a jsou označující osobou spolehlivě chráněna proti zneužití třetí
osobou,
- b)
- označující osoba je informována, že zahajuje používání tohoto
prostředku.
(2)
Prostředek pro vytváření elektronických značek musí být nastaven tak, aby i bez
další kontroly označující osoby označil právě a pouze ty datové zprávy, které
označující osoba k označení zvolí.
(3)
Prostředek pro vytváření elektronických značek musí být chráněn proti
neoprávněné změně a musí zaručovat, že jakákoli jeho změna bude patrná
označující osobě.
§ 18
Správní delikty právnických osob(1)
Kvalifikovanému poskytovateli certifikačních služeb, který
- a)
- nezajistí, aby se každý mohl ujistit o jeho identitě a jeho kvalifikovaném
systémovém certifikátu podle § 6 odst. 1 písm. a),
- b)
- nezajistí, aby poskytování kvalifikovaných certifikačních služeb
vykonávaly osoby s odbornými znalostmi a kvalifikací nezbytnými pro
poskytované kvalifikované certifikační služby a obeznámené s příslušnými
bezpečnostními postupy,
- c)
- nezajištěním dostatečné bezpečnosti používaných systémů a nástrojů
elektronického podpisu a postupů, které tyto systémy a nástroje podporují
podle § 6 odst. 1 písm. c) a d), ohrozí bezpečnost poskytovaných
kvalifikovaných certifikačních služeb,
- d)
- nedisponuje dostatečnými finančními zdroji nebo jiným finančním zajištěním
na provoz podle § 6 odst. 1 písm. e), a tím ohrozí bezpečnost poskytovaných
kvalifikovaných certifikačních služeb,
- e)
- nesplní informační povinnost podle § 6 odst. 1 písm. f), § 6 odst. 3 nebo
§ 13 odst. 1,
- f)
- nesplní ohlašovací povinnost podle § 6 odst. 2, včetně předání
kvalifikovaného systémového certifikátu k ověření, nebo podle § 13 odst. 1
nebo 2,
- g)
- poskytne certifikační služby na základě jiné než písemné smlouvy,
- h)
- neuchovává informace a dokumentaci podle § 6 odst. 5,
- i)
- neuchovává veškeré informace a dokumentaci podle § 6 odst. 6 po dobu
nejméně 10 let, nebo
- j)
- nezajistí uchovávané informace a dokumentaci před ztrátou, zneužitím,
zničením nebo poškozením podle § 6 odst. 6,
se uloží pokuta do
výše 10 000 000 Kč.
(2)
Kvalifikovanému poskytovateli certifikačních služeb, který vydává kvalifikované
certifikáty nebo kvalifikované systémové certifikáty a který
- a)
- nezajistí, aby certifikáty jím vydané jako kvalifikované obsahovaly
všechny náležitosti stanovené tímto zákonem,
- b)
- nezajistí, aby údaje uvedené v certifikátech vydaných jako kvalifikované
byly přesné, pravdivé a úplné,
- c)
- neověří identitu osoby podle § 6a odst. 1 písm. c),
- d)
- nezajistí soulad dat podle § 6a odst. 1 písm. d),
- e)
- nezajistí provozování bezpečného a veřejně přístupného seznamu certifikátů
vydaných jako kvalifikované a nezajistí jeho dostupnost a aktualizaci podle §
6a odst. 1 písm. e),
- f)
- nezajistí provozování bezpečného a veřejně přístupného seznamu certifikátů
vydaných jako kvalifikované, které byly zneplatněny, a to i dálkovým
přístupem,
- g)
- nezajistí, aby datum a čas s uvedením hodiny, minuty a sekundy, kdy je
certifikát vydaný jako kvalifikovaný vydán nebo zneplatněn, mohly být přesně
určeny,
- h)
- nepřijetím odpovídajících opatření proti zneužití a padělání certifikátů
vydaných jako kvalifikované ohrozí bezpečnost poskytovaných kvalifikovaných
certifikačních služeb,
- i)
- nesplní informační povinnost podle § 6a odst. 1 písm. i),
- j)
- nezajistí soulad a utajení dat podle § 6a odst. 2, pokud tato data pro
podepisující nebo označující osobu vytváří,
- k)
- kopíruje a uchovává data podle § 6a odst. 2, pokud tato data pro
podepisující nebo označující osobu vytváří, nebo
- l)
- nezneplatní certifikát podle § 6a odst. 3 a 4,
se uloží
pokuta do výše 10 000 000 Kč.
(3)
Kvalifikovanému poskytovateli certifikačních služeb, který vydává kvalifikovaná
časová razítka a který
- a)
- nezajistí, aby časová razítka jím vydávaná jako kvalifikovaná obsahovala
všechny náležitosti stanovené v § 12b,
- b)
- nezajistí, aby časový údaj vložený do kvalifikovaného časového razítka
odpovídal hodnotě koordinovaného světového času při vytváření kvalifikovaného
časového razítka,
- c)
- nezajistí, aby data v elektronické podobě, která jsou předmětem žádosti o
vydání kvalifikovaného časového razítka, odpovídala datům v elektronické
podobě obsaženým ve vydaném kvalifikovaném časovém razítku,
- d)
- nepřijme odpovídající opatření proti padělání kvalifikovaných časových
razítek, a tím ohrozí bezpečnost poskytovaných kvalifikovaných certifikačních
služeb,
- e)
- nesplní informační povinnost podle § 6b odst. 1 písm. e), nebo
- f)
- nevydá kvalifikované časové razítko neprodleně po přijetí žádosti o jeho
vydání,
se uloží pokuta do výše 10 000 000 Kč.
(4)
Kvalifikovanému poskytovateli certifikačních služeb, který vydává prostředky pro
bezpečné vytváření elektronických podpisů a který
- a)
- nevydá prostředky pro bezpečné vytváření elektronických podpisů bezpečně
podle § 17 odst. 3, nebo
- b)
- nevytvoří v těchto prostředcích nebo nepřidá do těchto prostředků data pro
vytváření elektronických podpisů důvěryhodným způsobem podle § 17 odst.
3,
se uloží pokuta do výše 10 000 000 Kč.
(5)
Akreditovanému poskytovateli certifikačních služeb, který nesplní oznamovací
povinnost podle § 10a odst. 2, se uloží pokuta do výše 10 000 000
Kč.
(6)
Akreditovanému poskytovateli certifikačních služeb, který poruší zákaz vydaný
ministerstvem podle § 10a odst. 5, se uloží pokuta do výše 10 000 000
Kč.
§ 18a
Přestupky(1)
Kvalifikovaný poskytovatel certifikačních služeb se dopustí přestupku tím,
že
- a)
- nezajistí, aby se každý mohl ujistit o jeho identitě a jeho kvalifikovaném
systémovém certifikátu podle § 6 odst. 1 písm. a),
- b)
- nezajistí, aby poskytování kvalifikovaných certifikačních služeb
vykonávaly osoby s odbornými znalostmi a kvalifikací nezbytnými pro
poskytované kvalifikované certifikační služby a obeznámené s příslušnými
bezpečnostními postupy,
- c)
- nezajištěním dostatečné bezpečnosti používaných systémů a nástrojů
elektronického podpisu a postupů, které tyto systémy a nástroje podporují
podle § 6 odst. 1 písm. c) a písm. d), ohrozí bezpečnost poskytovaných
kvalifikovaných certifikačních služeb,
- d)
- nedisponuje dostatečnými finančními zdroji nebo jiným finančním zajištěním
na provoz podle § 6 odst. 1 písm. e), a tím ohrozí bezpečnost poskytovaných
kvalifikovaných certifikačních služeb,
- e)
- nesplní informační povinnost podle § 6 odst. 1 písm. f), § 6 odst. 3 nebo
§ 13 odst. 1,
- f)
- nesplní ohlašovací povinnost podle § 6 odst. 2, včetně předání
kvalifikovaného systémového certifikátu k ověření nebo podle § 13 odst. 1 nebo
2,
- g)
- poskytne certifikační služby na základě jiné než písemné smlouvy,
- h)
- neuchovává informace a dokumentaci podle § 6 odst. 5,
- i)
- neuchovává veškeré informace a dokumentaci podle § 6 odst. 6 po dobu
nejméně 10 let, nebo
- j)
- nezajistí uchovávané informace a dokumentaci před ztrátou, zneužitím,
zničením nebo poškozením podle § 6 odst. 6.
(2)
Kvalifikovaný poskytovatel certifikačních služeb, který vydává kvalifikované
certifikáty nebo kvalifikované systémové certifikáty, se dopustí přestupku tím,
že
- a)
- nezajistí, aby certifikáty jím vydané jako kvalifikované obsahovaly
všechny náležitosti stanovené tímto zákonem,
- b)
- nezajistí, aby údaje uvedené v certifikátech vydaných jako kvalifikované
byly přesné, pravdivé a úplné,
- c)
- neověří identitu osoby podle § 6a odst. 1 písm. c),
- d)
- nezajistí soulad dat podle § 6a odst. 1 písm. d),
- e)
- nezajistí provozování bezpečného a veřejně přístupného seznamu certifikátů
vydaných jako kvalifikované a nezajistí jeho dostupnost a aktualizaci podle §
6a odst. 1 písm. e),
- f)
- nezajistí provozování bezpečného a veřejně přístupného seznamu certifikátů
vydaných jako kvalifikované, které byly zneplatněny, a to i dálkovým
přístupem,
- g)
- nezajistí, aby datum a čas s uvedením hodiny, minuty a sekundy, kdy je
certifikát vydaný jako kvalifikovaný vydán nebo zneplatněn, mohly být přesně
určeny,
- h)
- nepřijetím odpovídajících opatření proti zneužití a padělání certifikátů
vydaných jako kvalifikované ohrozí bezpečnost poskytovaných kvalifikovaných
certifikačních služeb,
- i)
- nesplní informační povinnost podle § 6a odst. 1 písm. i),
- j)
- nezajistí soulad a utajení dat podle § 6a odst. 2, pokud tato data pro
podepisující nebo označující osobu vytváří,
- k)
- kopíruje a uchovává data podle § 6a odst. 2, pokud tato data pro
podepisující nebo označující osobu vytváří, nebo
- l)
- nezneplatní certifikát podle § 6a odst. 3 a 4.
(3)
Kvalifikovaný poskytovatel certifikačních služeb, který vydává kvalifikovaná
časová razítka, se dopustí přestupku tím, že
- a)
- nezajistí, aby časová razítka jím vydávaná jako kvalifikovaná obsahovala
všechny náležitosti stanovené v § 12b,
- b)
- nezajistí, aby časový údaj vložený do kvalifikovaného časového razítka
odpovídal hodnotě koordinovaného světového času při vytváření kvalifikovaného
časového razítka,
- c)
- nezajistí, aby data v elektronické podobě, která jsou předmětem žádosti o
vydání kvalifikovaného časového razítka, odpovídala datům v elektronické
podobě obsaženým ve vydaném kvalifikovaném časovém razítku,
- d)
- nepřijme odpovídající opatření proti padělání kvalifikovaných časových
razítek, a tím ohrozí bezpečnost poskytovaných kvalifikovaných certifikačních
služeb,
- e)
- nesplní informační povinnost podle § 6b odst. 1 písm. e), nebo
- f)
- nevydá kvalifikované časové razítko neprodleně po přijetí žádosti o jeho
vydání.
(4)
Kvalifikovaný poskytovatel certifikačních služeb, který vydává prostředky pro
bezpečné vytváření elektronických podpisů, se dopustí přestupku tím, že
- a)
- nevydá prostředky pro bezpečné vytváření elektronických podpisů bezpečně
podle § 17 odst. 3, nebo
- b)
- nevytvoří v těchto prostředcích nebo nepřidá do těchto prostředků data pro
vytváření elektronických podpisů důvěryhodným způsobem podle § 17 odst.
3.
(5)
Fyzická osoba se dopustí přestupku tím, že poruší povinnost mlčenlivosti podle §
6 odst. 7.
(6)
Za přestupky podle odstavců 1 až 4 lze uložit pokutu do výše 10 000 000
Kč.
(7)
Za přestupek podle odstavce 5 lze uložit pokutu do výše 250 000 Kč.
§ 19
Společná ustanovení(1)
Právnická osoba za správní delikt neodpovídá, jestliže prokáže, že vynaložila
veškeré úsilí, které bylo možno požadovat, aby porušení právní povinnosti
zabránila.
(2)
Při určení výměry pokuty právnické osobě se přihlédne k závažnosti správního
deliktu, zejména ke způsobu jeho spáchání a jeho následkům a k okolnostem, za
nichž bylo spácháno.
(3)
Odpovědnost právnické osoby za správní delikt zaniká, jestliže správní orgán o
něm nezahájil řízení do 1 roku ode dne, kdy se o něm dozvěděl, nejpozději však
do 3 let ode dne, kdy byl spáchán.
(4)
Správní delikty podle tohoto zákona v prvním stupni projednává
ministerstvo.
(5)
Na odpovědnost za jednání, k němuž došlo při podnikání fyzické
osoby
8) nebo v přímé souvislosti s ním, se vztahují ustanovení zákona
o odpovědnosti a postihu právnické osoby.
(6)
Pokuty vybírá a vymáhá místně příslušný územní finanční úřad. Výnos z pokut je
příjmem státního rozpočtu.
§ 20
Zmocňovací ustanovení(1)
Ministerstvo stanoví prováděcím právním předpisem způsob splnění informační
povinnosti podle § 6 odst. 1 písm. a) a f) a odst. 3, kvalifikační požadavky
podle § 6 odst. 1 písm. b), požadavky na bezpečné systémy a bezpečné nástroje
podle § 6 odst. 1 písm. c) a d), způsob uchovávání informací a dokumentace podle
§ 6 odst. 5 a 6 a způsob, jakým se splnění těchto požadavků dokládá.
(2)
Ministerstvo stanoví prováděcím právním předpisem způsob ověření souladu dat
podle § 6a odst. 1 písm. d), způsob zajištění bezpečnosti seznamů podle § 6a
odst. 1 písm. e) a f), určení data a času podle § 6a odst. 1 písm. g),
náležitosti opatření podle § 6a odst. 1 písm. h), způsob splnění informační
povinnosti podle § 6a odst. 1 písm. i), způsob ochrany a zajištění souladu dat
podle § 6a odst. 2, způsob zneplatnění certifikátů podle § 6a odst. 3 a 4 a
způsob, jakým se splnění těchto požadavků dokládá.
(3)
Ministerstvo stanoví prováděcím právním předpisem způsob zajištění přesnosti
času při vytváření kvalifikovaného časového razítka podle § 6b odst. 1 písm. b),
způsob zajištění souladu dat podle § 6b odst. 1 písm. c), náležitosti opatření
podle § 6b odst. 1 písm. d), způsob splnění informační povinnosti podle § 6b
odst. 1 písm. e) a způsob, jakým se splnění těchto požadavků
dokládá.
(4)
Ministerstvo stanoví prováděcím právním předpisem strukturu údajů, na základě
kterých je možné osobu jednoznačně identifikovat, a postupy orgánů veřejné moci
uplatňované při přijímání a odesílání datových zpráv prostřednictvím
elektronické podatelny podle § 11 odst. 3.
(5)
Ministerstvo stanoví prováděcím právním předpisem způsob zajištění postupů,
které musí podporovat prostředky pro bezpečné vytváření a ověřování
elektronických podpisů při ochraně dat pro vytváření elektronických podpisů
podle § 17 a prostředky pro vytváření elektronických značek při ochraně dat pro
vytváření elektronických značek podle § 17a, a způsob, jakým se splnění těchto
požadavků dokládá.
ČÁST DEVÁTÁ
ÚČINNOST
§ 28Tento
zákon nabývá účinnosti prvním dnem třetího kalendářního měsíce po dni jeho
vyhlášení.
* * *Zákon
č. 226/2002 Sb., kterým se mění zákon č. 141/1961 Sb., o trestním řízení soudním
(trestní řád), ve znění pozdějších předpisů, zákon č. 99/1963 Sb., občanský
soudní řád, ve znění pozdějších předpisů, zákon č. 337/1992 Sb., o správě daní a
poplatků, ve znění pozdějších předpisů, zákon č. 71/1967 Sb., o správním řízení
(správní řád), ve znění pozdějších předpisů, a zákon č. 227/2000 Sb., o
elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém
podpisu), nabyl účinnosti prvním dnem kalendářního měsíce následujícího po dni
vyhlášení (1. července 2002).
Zákon
č. 517/2002 Sb., kterým se provádějí některá opatření v soustavě ústředních
orgánů státní správy a mění některé zákony, nabyl účinnosti dnem 1. ledna
2003.
Zákon
č. 440/2004 Sb., kterým se mění zákon č. 227/2000 Sb., o elektronickém podpisu a
o změně některých dalších zákonů (zákon o elektronickém podpisu), ve znění
pozdějších předpisů, nabyl účinnosti dnem jeho vyhlášení (26. července
2004).
Předseda vlády:
JUDr. Gross v.
r.____________________________________________________________
- 1)
- Směrnice Evropského parlamentu a Rady 1999/93/ES ze dne 13. prosince 1999
o zásadách Společenství pro elektronické podpisy.
- 1a)
- Zákon č. 40/1964 Sb., občanský zákoník, ve znění pozdějších předpisů.
- 2)
- Zákon č. 97/1974 Sb., o archivnictví, ve znění pozdějších předpisů.
- 2a)
- § 10 zákona č. 40/1964 Sb., občanský zákoník, ve znění pozdějších
předpisů.
- 3)
- Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých
zákonů.
- 4)
- Zákon č. 552/1991 Sb., o státní kontrole, ve znění pozdějších
předpisů.
- 5)
- Zákon č. 368/1992 Sb., o správních poplatcích, ve znění pozdějších
předpisů.
- 7)
- § 43 zákona č. 71/1967 Sb., o správním řízení (správní řád), ve znění
pozdějších předpisů.
- 8)
- § 2 odst. 2 zákona č. 513/1991 Sb., obchodní zákoník, ve znění pozdějších
předpisů.