227/2000 Sb.
ZÁKON
ze dne 29. června 2000
o elektronickém podpisu a o změně některých dalších zákonů
(zákon o elektronickém podpisu)
Změna: 226/2002 Sb.
Změna: 517/2002 Sb.
Změna: 440/2004 Sb.
Změna: 635/2004 Sb.
Změna: 501/2004 Sb., 444/2005 Sb.
Změna: 110/2007 Sb.
Změna: 124/2008 Sb.
Změna: 190/2009 Sb.
Změna: 223/2009 Sb.
Změna: 101/2010 Sb.
Změna: 227/2009 Sb.
Změna: 424/2010 Sb.
Změna: 281/2009 Sb.
Změna: 424/2010 Sb. (část)
Změna: 167/2012 Sb.
Změna: 89/2012 Sb.
Změna: 64/2014 Sb.
Parlament se usnesl na tomto zákoně České republiky:
ČÁST PRVNÍ
ELEKTRONICKÝ PODPIS
§ 1
Účel zákona
Tento zákon upravuje v souladu s právem Evropských společenství1) používání
elektronického podpisu, elektronické značky, poskytování certifikačních služeb a
souvisejících služeb poskytovateli usazenými na území České republiky, kontrolu povinností
stanovených tímto zákonem a sankce za porušení povinností stanovených tímto zákonem.
§ 2
Vymezení některých pojmů
Pro účely tohoto zákona se rozumí
a) elektronickým podpisem údaje v elektronické podobě, které jsou připojené
k datové zprávě nebo jsou s ní logicky spojené a které slouží jako metoda k jednoznačnému
ověření identity podepsané osoby ve vztahu k datové zprávě,
b) zaručeným elektronickým podpisem elektronický podpis, který splňuje
následující požadavky
1. je jednoznačně spojen s podepisující osobou,
2. umožňuje
identifikaci podepisující osoby ve vztahu k datové zprávě,
3. byl vytvořen a připojen
k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou
výhradní kontrolou,
4. je k datové zprávě, ke které se vztahuje, připojen takovým
způsobem, že je možno zjistit jakoukoliv následnou změnu dat,
c) elektronickou značkou údaje v elektronické podobě, které jsou připojené
k datové zprávě nebo jsou s ní logicky spojené a které splňují následující požadavky
1. jsou jednoznačně spojené s označující osobou a umožňují její identifikaci prostřednictvím
kvalifikovaného systémového certifikátu,
2. byly vytvořeny a připojeny k datové zprávě
pomocí prostředků pro vytváření elektronických značek, které označující osoba může
udržet pod svou výhradní kontrolou,
3. jsou k datové zprávě, ke které se vztahují,
připojeny takovým způsobem, že je možné zjistit jakoukoli následnou změnu dat,
d) datovou zprávou elektronická data, která lze přenášet prostředky pro
elektronickou komunikaci a uchovávat na technických nosičích dat, používaných při
zpracování a přenosu dat elektronickou formou, jakož i data uložená na technických
nosičích ve formě datového souboru,
e) podepisující osobou fyzická osoba, která je držitelem prostředku pro
vytváření elektronických podpisů a jedná jménem svým nebo jménem jiné fyzické či
právnické osoby,
f) označující osobou fyzická osoba, právnická osoba nebo organizační
složka státu, která drží prostředek pro vytváření elektronických značek a označuje
datovou zprávu elektronickou značkou,
g) držitelem certifikátu fyzická osoba, právnická osoba nebo organizační
složka státu, která požádala o vydání kvalifikovaného certifikátu nebo kvalifikovaného
systémového certifikátu pro sebe nebo pro podepisující nebo označující osobu a které
byl certifikát vydán,
h) poskytovatelem certifikačních služeb fyzická osoba, právnická osoba
nebo organizační složka státu, která vydává certifikáty a vede jejich evidenci, případně
poskytuje další služby spojené s elektronickými podpisy,
i) kvalifikovaným poskytovatelem certifikačních služeb poskytovatel certifikačních
služeb, který vydává kvalifikované certifikáty nebo kvalifikované systémové certifikáty
nebo kvalifikovaná časová razítka nebo prostředky pro bezpečné vytváření elektronických
podpisů (dále jen "kvalifikované certifikační služby") a splnil ohlašovací povinnost
podle § 6,
j) akreditovaným poskytovatelem certifikačních služeb poskytovatel certifikačních
služeb, jemuž byla udělena akreditace podle tohoto zákona,
k) certifikátem datová zpráva, která je vydána poskytovatelem certifikačních
služeb, spojuje data pro ověřování elektronických podpisů s podepisující osobou a
umožňuje ověřit její identitu, nebo spojuje data pro ověřování elektronických značek
s označující osobou a umožňuje ověřit její identitu,
l) kvalifikovaným certifikátem certifikát, který má náležitosti podle
§ 12 a byl vydán kvalifikovaným poskytovatelem certifikačních služeb,
m) kvalifikovaným systémovým certifikátem certifikát, který má náležitosti
podle § 12a a byl vydán kvalifikovaným poskytovatelem certifikačních služeb,
n) daty pro vytváření elektronických podpisů jedinečná data, která podepisující
osoba používá k vytváření elektronického podpisu,
o) daty pro ověřování elektronických podpisů jedinečná data, která se
používají pro ověření elektronického podpisu,
p) daty pro vytváření elektronických značek jedinečná data, která označující
osoba používá k vytváření elektronických značek,
q) daty pro ověřování elektronických značek jedinečná data, která se
používají pro ověření elektronických značek,
r) kvalifikovaným časovým razítkem datová zpráva, kterou vydal kvalifikovaný
poskytovatel certifikačních služeb a která důvěryhodným způsobem spojuje data v elektronické
podobě s časovým okamžikem, a zaručuje, že uvedená data v elektronické podobě existovala
před daným časovým okamžikem,
s) prostředkem pro vytváření elektronických podpisů technické zařízení
nebo programové vybavení, které se používá k vytváření elektronických podpisů,
t) prostředkem pro ověřování elektronických podpisů technické zařízení
nebo programové vybavení, které se používá k ověřování elektronických podpisů,
u) prostředkem pro bezpečné vytváření elektronických podpisů prostředek
pro vytváření elektronického podpisu, který splňuje požadavky stanovené tímto zákonem,
v) prostředkem pro bezpečné ověřování elektronických podpisů prostředek
pro ověřování podpisu, který splňuje požadavky stanovené tímto zákonem,
w) nástrojem elektronického podpisu technické zařízení nebo programové
vybavení, nebo jejich součásti, používané poskytovatelem certifikačních služeb pro
vytváření nebo ověřování elektronických podpisů nebo pro zajištění certifikačních
služeb,
x) prostředkem pro vytváření elektronických značek zařízení, které používá
označující osoba pro vytváření elektronických značek a které splňuje další náležitosti
stanovené tímto zákonem,
y) akreditací osvědčení, že poskytovatel certifikačních služeb splňuje
podmínky stanovené tímto zákonem pro výkon činnosti akreditovaného poskytovatele
certifikačních služeb.
§ 3
Soulad s požadavky na podpis
(1) Datová zpráva je podepsána, pokud je opatřena elektronickým podpisem.
Pokud se neprokáže opak, má se za to, že se podepisující osoba před podepsáním datové
zprávy s jejím obsahem seznámila.
(2) Použití zaručeného elektronického podpisu založeného na kvalifikovaném
certifikátu a vytvořeného pomocí prostředku pro bezpečné vytváření podpisu umožňuje
ověřit, že datovou zprávu podepsala osoba uvedená na tomto kvalifikovaném certifikátu.
§ 3a
(1) Použití elektronické značky založené na kvalifikovaném systémovém certifikátu
a vytvořené pomocí prostředku pro vytváření elektronických značek umožňuje ověřit,
že datovou zprávu označila touto elektronickou značkou označující osoba.
(2) Pokud označující osoba označila datovou zprávu, má se za to, že tak učinila
automatizovaně bez přímého ověření obsahu datové zprávy a vyjádřila tím svou vůli.
§ 4
Soulad s originálem
Použití zaručeného elektronického podpisu nebo elektronické značky zaručuje,
že dojde-li k porušení obsahu datové zprávy od okamžiku, kdy byla podepsána nebo
označena, toto porušení bude možno zjistit.
§ 5
Povinnosti podepisující osoby
(1) Podepisující osoba je povinna
a) zacházet s prostředky, jakož i s daty pro vytváření zaručeného elektronického
podpisu s náležitou péčí tak, aby nemohlo dojít k jejich neoprávněnému použití,
b) uvědomit neprodleně poskytovatele certifikačních služeb, který vydal
kvalifikovaný certifikát, o tom, že hrozí nebezpečí zneužití jejích dat pro vytváření
zaručeného elektronického podpisu.
(2) Za škodu způsobenou porušením povinností podle odstavce 1 odpovídá podepisující
osoba podle zvláštních právních předpisů.1a) Odpovědnosti se však zprostí, pokud
prokáže, že ten, komu vznikla škoda, neprovedl veškeré úkony potřebné k tomu, aby
si ověřil, že zaručený elektronický podpis je platný a jeho kvalifikovaný certifikát
nebyl zneplatněn.
§ 5a
Povinnosti označující osoby
(1) Označující osoba je povinna
a) zacházet s prostředkem, jakož i s daty
pro vytváření elektronických značek s náležitou péčí tak, aby nemohlo dojít k jejich
neoprávněnému použití,
b) uvědomit neprodleně poskytovatele certifikačních služeb,
který vydal kvalifikovaný systémový certifikát, o tom, že hrozí nebezpečí zneužití
jejích dat pro vytváření elektronických značek.
(2) Označující osoba je povinna zajistit, aby prostředek pro vytváření elektronických
značek, který používá, splňoval požadavky stanovené tímto zákonem.
(3) Za škodu způsobenou porušením povinnosti podle odstavce 1 odpovídá označující
osoba, i když škodu nezavinila, podle zvláštních právních předpisů,1a) odpovědnost
za vady podle zvláštních předpisů tím není dotčena.1a) Odpovědnosti se však zprostí,
pokud prokáže, že ten, komu vznikla škoda, neprovedl veškeré úkony potřebné k tomu,
aby si ověřil, že elektronická značka je platná a její kvalifikovaný systémový certifikát
nebyl zneplatněn.
§ 5b
Povinnosti držitele certifikátu
Držitel certifikátu je povinen bez zbytečného odkladu podávat přesné, pravdivé
a úplné informace poskytovateli certifikačních služeb ve vztahu ke kvalifikovanému
certifikátu a ve vztahu ke kvalifikovanému systémovému certifikátu.
§ 6
Kvalifikovaný poskytovatel certifikačních služeb
(1) Kvalifikovaný poskytovatel certifikačních služeb je povinen
a) zajistit, aby se každý mohl ujistit o jeho identitě a jeho kvalifikovaném
systémovém certifikátu, na jehož základě označuje vydané kvalifikované certifikáty
nebo kvalifikované systémové certifikáty a seznamy certifikátů, které byly zneplatněny,
nebo kvalifikovaná časová razítka,
b) zajistit, aby poskytování kvalifikovaných certifikačních služeb vykonávaly
osoby s odbornými znalostmi a kvalifikací nezbytnou pro poskytování kvalifikované
certifikační služby a obeznámené s příslušnými bezpečnostními postupy,
c) používat bezpečné systémy a bezpečné nástroje elektronického podpisu,
zajistit dostatečnou bezpečnost postupů, které tyto systémy a nástroje podporují,
a zajistit dostatečnou kryptografickou bezpečnost těchto nástrojů; systémy a nástroje
jsou považovány za bezpečné, pokud odpovídají požadavkům stanoveným tímto zákonem
a prováděcí vyhláškou, nebo pokud splňují požadavky technických norem uvedených v
rozhodnutí Komise vydaném na základě článku 3 (5) směrnice 99/93/ES,
d) používat bezpečné systémy pro uchovávání kvalifikovaných certifikátů
a kvalifikovaných systémových certifikátů nebo kvalifikovaných časových razítek v
ověřitelné podobě takovým způsobem, aby záznamy nebo jejich změny mohly provádět
pouze pověřené osoby, aby bylo možno kontrolovat správnost záznamů a aby jakékoliv
technické nebo programové změny porušující tyto bezpečnostní požadavky byly zjevné,
e) mít po celou dobu své činnosti k dispozici dostatečné finanční zdroje
nebo jiné finanční zajištění na provoz v souladu s požadavky uvedenými v tomto zákoně
a s ohledem na riziko vzniku odpovědnosti za škodu,
f) před uzavřením smlouvy o poskytování kvalifikovaných certifikačních
služeb s osobou, která žádá o poskytování služeb podle tohoto zákona, informovat
tuto osobu písemně o přesných podmínkách pro využívání kvalifikovaných certifikačních
služeb, včetně případných omezení pro jejich použití, o podmínkách reklamací a řešení
vzniklých sporů a o tom, zda je, či není akreditován Ministerstvem vnitra (dále jen
"ministerstvo") podle § 10; tyto informace lze předat elektronicky.
(2) Není-li poskytovatel certifikačních služeb akreditován ministerstvem,
je povinen ohlásit ministerstvu nejméně 30 dnů před zahájením poskytování kvalifikované
certifikační služby, že ji bude poskytovat, a okamžik, kdy její poskytování zahájí.
Zároveň předá ministerstvu k ověření svůj kvalifikovaný systémový certifikát uvedený
v odstavci 1 písm. a).
(3) Pokud byla kvalifikovanému poskytovateli certifikačních služeb, který
získal akreditaci podle § 10 tohoto zákona, akreditace ministerstvem odňata, je povinen
bez prodlení informovat o této skutečnosti subjekty, kterým poskytuje své kvalifikované
certifikační služby, a další dotčené osoby.
(4) Kvalifikovaný poskytovatel certifikačních služeb poskytuje služby podle
tohoto zákona na základě smlouvy. Smlouva musí být písemná.
(5) Kvalifikovaný poskytovatel certifikačních služeb uchovává dokumenty
související s poskytovanými kvalifikovanými certifikačními službami podle tohoto
zákona, zejména
a) smlouvu o poskytování kvalifikované certifikační služby, včetně žádosti
o poskytování služby,
b) vydaný kvalifikovaný certifikát, vydaný kvalifikovaný systémový certifikát
nebo vydané kvalifikované časové razítko,
c) kopie předložených osobních dokladů podepisující osoby nebo dokladů,
na jejichž základě byla ověřena identita označující osoby,
d) potvrzení o převzetí kvalifikovaného certifikátu nebo kvalifikovaného
systémového certifikátu držitelem, případně jeho souhlas se zveřejněním kvalifikovaného
certifikátu v seznamu vydaných kvalifikovaných certifikátů,
e) prohlášení držitele certifikátu o tom, že mu byly poskytnuty informace
podle odstavce 1 písm. f),
f) dokumenty a záznamy související s životním cyklem vydaného kvalifikovaného
certifikátu nebo kvalifikovaného systémového certifikátu, jejichž náležitosti upřesní
prováděcí vyhláška.
(6) Skartační lhůta dokumentů souvisejících s poskytovanými kvalifikovanými
certifikačními službami podle tohoto zákona, které uchovává kvalifikovaný poskytovatel
certifikačních služeb, činí 10 let. Po uplynutí této lhůty kvalifikovaný poskytovatel
certifikačních služeb uchovává po dobu následujících 20 let údaje umožňující jednoznačnou
identifikaci podepisující osoby nebo označující osoby v rozsahu jméno, popřípadě
jména, příjmení, rodné číslo nebo datum narození a číslo dokladu, na jehož základě
byla ověřena identita podepisující osoby, a vydané kvalifikované certifikáty nebo
kvalifikované systémové certifikáty. Kvalifikovaný poskytovatel je povinen zajistit
jím uchovávané dokumenty podle odstavce 5 a údaje podle věty druhé před ztrátou,
zneužitím, zničením nebo poškozením. Veškeré dokumenty podle věty první může kvalifikovaný
poskytovatel certifikačních služeb pořizovat a uchovávat v elektronické podobě. Pokud
tento zákon nestanoví jinak, postupuje se při nakládání s uchovávanými dokumenty
podle zákona o archivnictví a spisové službě.
(7) Kvalifikovaný poskytovatel certifikačních služeb předá seznamy certifikátů
zneplatněných v daném roce, které byly vydány jako kvalifikované, ministerstvu, a
to ve lhůtě do 31. ledna kalendářního roku následujícího po uplynutí 10 let od ukončení
kalendářního roku, ve kterém byly tyto seznamy vydány.
(8) Zaměstnanci kvalifikovaného poskytovatele certifikačních služeb, případně
jiné fyzické osoby, které přicházejí do styku s osobními údaji a daty pro vytváření
elektronických podpisů podepisujících osob a elektronických značek označujících osob,
jsou povinni zachovávat mlčenlivost o těchto údajích a datech a o bezpečnostních
opatřeních, jejichž zveřejnění by ohrozilo zabezpečení těchto údajů a dat. Povinnost
mlčenlivosti trvá i po skončení pracovního nebo jiného obdobného poměru nebo po provedení
příslušných prací; uvedené osoby může zbavit mlčenlivosti ten, v jehož zájmu tuto
povinnost mají, nebo soud.
§ 6a
Povinnosti kvalifikovaného poskytovatele certifikačních služeb při vydávání
kvalifikovaných certifikátů a kvalifikovaných systémových certifikátů
(1) Kvalifikovaný poskytovatel certifikačních služeb, který vydává kvalifikované
certifikáty nebo kvalifikované systémové certifikáty (dále jen "certifikáty vydané
jako kvalifikované"), je povinen
a) zajistit, aby certifikáty jím vydané jako kvalifikované
obsahovaly všechny náležitosti stanovené tímto zákonem,
b) zajistit, aby údaje uvedené
v certifikátech jím vydaných jako kvalifikované byly přesné, pravdivé a úplné,
c)
před vydáním certifikátu jako kvalifikovaného bezpečně ověřit odpovídajícími prostředky
identitu podepisující osoby nebo identitu označující osoby, případně i její zvláštní
znaky, vyžaduje-li to účel takového certifikátu,
d) zjistit, zda v okamžiku podání
žádosti o vydání certifikátu jako kvalifikovaného měla podepisující osoba data pro
vytváření elektronických podpisů odpovídající datům pro ověřování elektronických
podpisů nebo označující osoba data pro vytváření elektronických značek odpovídající
datům pro ověřování elektronických značek, která obsahuje žádost o vydání certifikátu,
e) zajistit provozování bezpečného a veřejně přístupného seznamu certifikátů vydaných
jako kvalifikované, k jejichž zveřejnění dal držitel certifikátu souhlas v souladu
s § 6 odst. 5 písm. d), a zajistit dostupnost tohoto seznamu i dálkovým přístupem
a údaje v seznamu obsažené při každé změně bez zbytečného odkladu aktualizovat,
f)
zajistit provozování bezpečného a veřejně přístupného seznamu certifikátů vydaných
jako kvalifikované, které byly zneplatněny, a to i dálkovým přístupem,
g) zajistit,
aby datum a čas s uvedením hodiny, minuty a sekundy, kdy je certifikát vydaný jako
kvalifikovaný vydán nebo zneplatněn, mohly být přesně určeny,
h) přijmout odpovídající
opatření proti zneužití a padělání certifikátů vydaných jako kvalifikované,
i) poskytovat
na vyžádání třetím osobám podstatné informace o podmínkách pro využívání certifikátů
vydaných jako kvalifikované, včetně omezení pro jejich použití, a informace o tom,
zda je, či není akreditován ministerstvem; tyto informace lze poskytovat elektronicky.
(2) Pokud kvalifikovaný poskytovatel certifikačních služeb, který vydává
certifikáty jako kvalifikované, vytváří pro podepisující osobu data pro vytváření
elektronických podpisů nebo pro označující osobu data pro vytváření elektronických
značek,
a) musí zajistit utajení těchto dat před jejich předáním, nesmí tato data
kopírovat a uchovávat je déle, než je nezbytné,
b) musí zaručit, že tato data odpovídají
datům pro ověřování elektronických podpisů nebo datům pro ověřování elektronických
značek.
(3) Kvalifikovaný poskytovatel certifikačních služeb, který vydává certifikáty
jako kvalifikované, musí neprodleně zneplatnit certifikát, pokud o to držitel, podepisující
osoba nebo označující osoba požádá, nebo pokud ho uvědomí, že hrozí nebezpečí zneužití
jejich dat pro vytváření elektronických podpisů nebo elektronických značek, nebo
v případě, že byl certifikát vydán na základě nepravdivých nebo chybných údajů.
(4) Kvalifikovaný poskytovatel certifikačních služeb musí rovněž neprodleně
zneplatnit certifikát vydaný jako kvalifikovaný, dozví-li se prokazatelně, že podepisující
nebo označující osoba zemřela nebo zanikla nebo ji soud způsobilosti k právním úkonům
zbavil nebo omezil,2a) nebo pokud údaje, na jejichž základě byl certifikát vydán,
pozbyly pravdivosti.
§ 6b
Povinnosti kvalifikovaného poskytovatele certifikačních služeb při vydávání
kvalifikovaných časových razítek
(1) Kvalifikovaný poskytovatel certifikačních služeb, který vydává kvalifikovaná
časová razítka, je povinen
a) zajistit, aby časová razítka jím vydávaná jako kvalifikovaná
obsahovala všechny náležitosti stanovené tímto zákonem,
b) zajistit, aby časový údaj
vložený do kvalifikovaného časového razítka odpovídal hodnotě koordinovaného světového
času při vytváření kvalifikovaného časového razítka,
c) zajistit, aby data v elektronické
podobě, která jsou předmětem žádosti o vydání kvalifikovaného časového razítka, jednoznačně
odpovídala datům v elektronické podobě obsaženým ve vydaném kvalifikovaném časovém
razítku,
d) přijmout odpovídající opatření proti padělání kvalifikovaných časových
razítek,
e) poskytovat na vyžádání třetím osobám podstatné informace o podmínkách
pro využívání kvalifikovaných časových razítek, včetně omezení pro jejich použití
a informace o tom, zda je, či není akreditován ministerstvem; tyto informace lze
poskytovat elektronicky.
(2) Kvalifikovaný poskytovatel certifikačních služeb vydá kvalifikované časové
razítko neprodleně po přijetí žádosti o jeho vydání.
§ 7
Odpovědnost za škodu
(1) Za škodu způsobenou porušením povinností stanovených tímto zákonem odpovídá
kvalifikovaný poskytovatel certifikačních služeb podle zvláštních právních předpisů.1a)
(2) Kvalifikovaný poskytovatel certifikačních služeb neodpovídá za škodu
vyplývající z použití certifikátu vydaného jako kvalifikovaný, která vznikla v důsledku
nedodržení omezení pro jeho použití podle § 12 odst. 1 písm. i) a j) a § 12a písm.
h).
§ 9
Akreditace
(1) Udělování akreditací k působení jako akreditovaný poskytovatel certifikačních
služeb, jakož i kontrola nad dodržováním tohoto zákona náleží ministerstvu.
(2) Ministerstvo
a) uděluje a odnímá akreditace k působení jako akreditovaný poskytovatel
certifikačních služeb subjektům působícím na území České republiky,
b) vykonává kontrolu nad činností akreditovaných poskytovatelů certifikačních
služeb a kvalifikovaných poskytovatelů certifikačních služeb, ukládá jim opatření
k nápravě a pokuty za porušení povinností podle tohoto zákona,
c) vede evidenci udělených akreditací a jejich změn a evidenci kvalifikovaných
poskytovatelů certifikačních služeb,
d) vede evidenci vydaných kvalifikovaných systémových certifikátů, které
používá kvalifikovaný poskytovatel certifikačních služeb podle § 6 odst. 1 písm.
a) a které byly podle § 6 odst. 2 ověřeny ministerstvem,
e) průběžně uveřejňuje přehled udělených akreditací, přehled kvalifikovaných
poskytovatelů certifikačních služeb a jejich kvalifikovaných služeb a kvalifikované
systémové certifikáty podle písmena d), a to i způsobem umožňujícím dálkový přístup,
f) vyhodnocuje shodu nástrojů elektronického podpisu s požadavky stanovenými
tímto zákonem a prováděcí vyhláškou,
g) vede a zveřejňuje způsobem umožňujícím dálkový přístup seznam důvěryhodných
certifikačních služeb podle právního předpisu Evropských společenství3a),
h) zveřejňuje způsobem umožňujícím dálkový přístup informace o podmínkách
ověření uznávaného elektronického podpisu nebo uznávané elektronické značky, včetně
odkazů na aplikace podle § 11 odst. 5,
i) plní další povinnosti stanovené tímto zákonem.
§ 10
Podmínky udělení akreditace pro poskytování certifikačních služeb
(1) Každý poskytovatel certifikačních služeb může požádat ministerstvo o
udělení akreditace pro výkon činnosti akreditovaného poskytovatele certifikačních
služeb.
(2) V žádosti o akreditaci podle odstavce 1 musí žadatel doložit
a) v případě právnické osoby obchodní firmu nebo název, sídlo,
popřípadě adresu organizační složky zahraniční osoby na území České republiky, a
identifikační číslo osoby žadatele, bylo-li přiděleno; v případě fyzické osoby jméno,
popřípadě jména, příjmení, případně dodatek, místo usazení, místo podnikání, pokud
je odlišné od místa usazení, a identifikační číslo osoby žadatele, bylo-li přiděleno,
b) doklad o oprávnění k podnikatelské činnosti a u osoby zapsané do obchodního rejstříku
také výpis z obchodního rejstříku ne starší než 3 měsíce,
c) věcné, personální a organizační předpoklady
pro činnost kvalifikovaného poskytovatele certifikačních služeb podle § 6, 6a a 6b
tohoto zákona,
d) údaj o tom,
které kvalifikované certifikační služby hodlá žadatel poskytovat.
(3) Jestliže žádost neobsahuje všechny požadované údaje, ministerstvo řízení
přeruší a vyzve žadatele, aby ji ve stanovené lhůtě doplnil. Jestliže tak žadatel
v této lhůtě neučiní, ministerstvo řízení zastaví.
(4) Splňuje-li žadatel všechny podmínky předepsané tímto zákonem pro udělení
akreditace, vydá ministerstvo rozhodnutí, jímž mu akreditaci udělí. V opačném případě
žádost o udělení akreditace zamítne. Akreditace poskytovatele certifikačních služeb
vzniká též marným uplynutím lhůty a způsobem podle § 28 až 30 zákona o volném pohybu
služeb.
§ 10a
Podmínky pro rozšíření služeb akreditovaného poskytovatele certifikačních
služeb
(1) Akreditovaný poskytovatel certifikačních služeb může rozšířit poskytování
kvalifikovaných certifikačních služeb o vydávání kvalifikovaných certifikátů, kvalifikovaných
systémových certifikátů, kvalifikovaných časových razítek nebo o vydávání prostředků
pro bezpečné vytváření elektronických podpisů podle tohoto zákona (dále jen "rozšiřované
služby").
(2) Akreditovaný poskytovatel certifikačních služeb je povinen rozšíření
podle odstavce 1 oznámit ministerstvu tak, aby ministerstvo oznámení obdrželo alespoň
4 měsíce před zahájením poskytování služby.
(3) V oznámení musí akreditovaný poskytovatel certifikačních služeb doložit
věcné, personální a organizační předpoklady pro zajištění rozšiřovaných služeb.
(4) Nedoloží-li akreditovaný poskytovatel certifikačních služeb skutečnosti
podle odstavce 3, anebo jsou-li tyto skutečnosti neúplné nebo nepřesné, ministerstvo
na to akreditovaného poskytovatele certifikačních služeb upozorní s tím, že nebudou-li
tyto vady ve lhůtě, kterou k tomu určí, odstraněny, rozhodnutím rozšiřování služeb
zakáže.
(5) Ministerstvo oznámené rozšíření zakáže, pokud akreditovaný poskytovatel
certifikačních služeb nesplnil všechny podmínky předepsané tímto zákonem pro poskytování
rozšiřovaných služeb.
(6) O zákazu rozšíření poskytování kvalifikovaných certifikačních služeb
vydá ministerstvo rozhodnutí nejpozději do 90 dnů od okamžiku, kdy obdrželo oznámení.
§ 11
(1) K podepisování nebo označování dokumentu v podobě datové zprávy, jehož
prostřednictvím se činí úkon vůči
a) státu,
b) územnímu samosprávnému celku,
c) právnické osobě zřízené zákonem, zřízené nebo založené státem, územním
samosprávným celkem nebo právnickou osobou zřízenou zákonem,
d) právnické osobě neuvedené v písmenech a) až c) a vykonávající působnost
v oblasti veřejné správy, týká-li se dokument této působnosti,
e) fyzické osobě vykonávající působnost v oblasti veřejné správy, týká-li
se dokument této působnosti,
lze použít pouze uznávaný elektronický podpis nebo uznávanou
elektronickou značku.
(2) K podepisování nebo označování dokumentu v podobě datové zprávy, jehož
prostřednictvím činí úkon osoba uvedená v odstavci 1 písm. a) až c) nebo úkon při
výkonu působnosti v oblasti veřejné správy osoba uvedená v odstavci 1 písm. d) a
e), lze užít pouze uznávaný elektronický podpis nebo uznávanou elektronickou značku.
(3) Uznávaným elektronickým podpisem se rozumí
a) zaručený elektronický podpis založený na kvalifikovaném certifikátu
vydaném akreditovaným poskytovatelem certifikačních služeb a obsahujícím údaje, které
umožňují jednoznačnou identifikaci podepisující osoby,
b) zaručený elektronický podpis založený na kvalifikovaném certifikátu
vydaném poskytovatelem certifikačních služeb, který je usazen mimo území České republiky,
byl-li kvalifikovaný certifikát vydán v rámci služby vedené v seznamu důvěryhodných
certifikačních služeb jako služba, pro jejíž poskytování je poskytovatel certifikačních
služeb akreditován, nebo jako služba, nad jejímž poskytováním je vykonáván dohled
podle předpisu Evropské unie3a).
(4) Uznávanou elektronickou značkou se rozumí elektronická značka založená
na kvalifikovaném systémovém certifikátu vydaném akreditovaným poskytovatelem certifikačních
služeb.
(5) Není-li v případě podepisování nebo označování dokumentu podle odstavce
2 uznávaný elektronický podpis nebo uznávaná elektronická značka v referenčním formátu
stanoveném v přímo použitelném předpisu Evropské unie9), osoba uvedená v odstavci
2 předem
a) oznámí ministerstvu stávající možnosti ověření uznávaného elektronického
podpisu nebo uznávané elektronické značky, které splňují požadavky přímo použitelného
předpisu Evropské unie9), a
b) zpřístupní k neomezenému a bezplatnému užití způsobem umožňujícím
dálkový přístup aplikaci, která umožní okamžité ověření uznávaného elektronického
podpisu nebo uznávané elektronické značky podle písmene a).
§ 12
Náležitosti kvalifikovaného certifikátu
(1) Kvalifikovaný certifikát musí obsahovat
a) označení, že je vydán jako
kvalifikovaný certifikát podle tohoto zákona,
b)
v případě právnické osoby obchodní firmu nebo název a stát, ve kterém je kvalifikovaný
poskytovatel usazen; v případě fyzické osoby jméno, popřípadě jména, příjmení, případně
dodatek, a stát, ve kterém je kvalifikovaný poskytovatel usazen,
c) jméno, popřípadě jména, a příjmení podepisující osoby nebo její pseudonym s příslušným
označením, že se jedná o pseudonym,
d) zvláštní znaky podepisující osoby, vyžaduje-li
to účel kvalifikovaného certifikátu,
e) data pro ověřování podpisu, která odpovídají
datům pro vytváření podpisu, jež jsou pod kontrolou podepisující osoby,
f) elektronickou značku poskytovatele certifikačních služeb založenou na
kvalifikovaném systémovém certifikátu poskytovatele, který kvalifikovaný certifikát
vydává,
g) číslo kvalifikovaného certifikátu unikátní u daného poskytovatele certifikačních
služeb,
h) počátek a konec platnosti kvalifikovaného certifikátu,
i) případně údaje
o tom, zda se používání kvalifikovaného certifikátu omezuje podle povahy a rozsahu
jen pro určité použití,
j) případně omezení hodnot transakcí, pro něž lze kvalifikovaný
certifikát použít.
(2) Omezení pro použití kvalifikovaného certifikátu podle odstavce 1 písm.
i) a j) musí být zjevná třetím stranám.
(3) Další osobní údaje smí kvalifikovaný certifikát obsahovat jen se svolením
podepisující osoby.
§ 12a
Náležitosti kvalifikovaného systémového certifikátu
Kvalifikovaný systémový certifikát musí obsahovat
a) označení, že je vydán
jako kvalifikovaný systémový certifikát podle tohoto zákona,
b) v případě právnické
osoby obchodní firmu nebo název a stát, ve kterém je kvalifikovaný poskytovatel usazen;
v případě fyzické osoby jméno, popřípadě jména, příjmení, případně dodatek, a stát,
ve kterém je kvalifikovaný poskytovatel usazen,
c) jednoznačnou identifikaci označující
osoby, případně prostředku pro vytváření elektronických značek,
d) data pro ověřování
elektronických značek, která odpovídají datům pro vytváření elektronických značek,
jež jsou pod kontrolou označující osoby,
e) elektronickou značku poskytovatele certifikačních
služeb založenou na kvalifikovaném systémovém certifikátu poskytovatele, který kvalifikovaný
systémový certifikát vydává,
f) číslo kvalifikovaného systémového certifikátu unikátní
u daného kvalifikovaného poskytovatele certifikačních služeb,
g) počátek a konec
platnosti kvalifikovaného systémového certifikátu,
h) omezení pro použití kvalifikovaného
systémového certifikátu, přičemž tato omezení musí být zjevná třetím stranám.
§ 12b
Náležitosti kvalifikovaného časového razítka
Kvalifikované časové razítko musí obsahovat
a) číslo kvalifikovaného časového
razítka unikátní u daného kvalifikovaného poskytovatele certifikačních služeb,
b)
označení pravidel, podle kterých kvalifikovaný poskytovatel certifikačních služeb
kvalifikované časové razítko vydal,
c) v případě právnické osoby obchodní firmu nebo
název a stát, ve kterém je kvalifikovaný poskytovatel usazen; v případě fyzické osoby
jméno, popřípadě jména, příjmení, případně dodatek, a stát, ve kterém je kvalifikovaný
poskytovatel usazen,
d) hodnotu času, která odpovídá koordinovanému světovému času
při vytváření kvalifikovaného časového razítka,
e) data v elektronické podobě, pro
která bylo kvalifikované časové razítko vydáno,
f) elektronickou značku kvalifikovaného
poskytovatele certifikačních služeb, který kvalifikované časové razítko vydal.
§ 13
Povinnosti kvalifikovaného poskytovatele certifikačních služeb při ukončení
činnosti
(1) Kvalifikovaný poskytovatel certifikačních služeb musí záměr ukončit svou
činnost ohlásit ministerstvu nejméně 3 měsíce před plánovaným datem ukončení činnosti
a musí vynaložit veškeré možné úsilí k tomu, aby evidence vedená podle § 6 odst.
5 byla převzata jiným kvalifikovaným poskytovatelem certifikačních služeb. Kvalifikovaný
poskytovatel certifikačních služeb dále musí prokazatelně informovat každou podepisující
osobu, označující osobu a držitele, kterým poskytuje své certifikační služby, o svém
záměru ukončit svoji činnost nejméně 2 měsíce před plánovaným datem ukončení činnosti.
(2) Nemůže-li kvalifikovaný poskytovatel certifikačních služeb zajistit,
aby evidenci vedenou podle § 6 odst. 5 převzal jiný kvalifikovaný poskytovatel certifikačních
služeb, je povinen to nejpozději 30 dnů před plánovaným datem ukončení činnosti ministerstvu
ohlásit. V takovém případě ministerstvo převezme evidenci a oznámí to dotčeným subjektům.
(3) Ustanovení odstavců 1 a 2 se použijí přiměřeně také v případě, když kvalifikovaný
poskytovatel certifikačních služeb zanikne, zemře nebo přestane vykonávat svoji činnost,
aniž splní ohlašovací povinnost podle odstavce 1.
§ 14
Opatření k nápravě
(1) Zjistí-li ministerstvo, že akreditovaný poskytovatel certifikačních služeb
nebo kvalifikovaný poskytovatel certifikačních služeb porušuje povinnosti stanovené
tímto zákonem, uloží mu, aby ve stanovené lhůtě sjednal nápravu, a případně určí,
jaká opatření k odstranění nedostatků je tento poskytovatel certifikačních služeb
povinen přijmout.
(2) V případě, že se akreditovaný poskytovatel certifikačních služeb dopustí
závažnějšího porušení povinností stanovených tímto zákonem nebo ve stanovené lhůtě
neodstraní nedostatky zjištěné ministerstvem, je ministerstvo oprávněno mu udělenou
akreditaci odejmout.
(3) Rozhodne-li ministerstvo o odnětí akreditace, může současně rozhodnout
o zneplatnění certifikátů vydaných jako kvalifikované poskytovatelem certifikačních
služeb v době platnosti akreditace.
§ 15
Zrušení kvalifikovaného certifikátu nebo kvalifikovaného systémového certifikátu
Ministerstvo může nařídit kvalifikovanému poskytovateli certifikačních služeb
jako předběžné opatření7) zneplatnění certifikátu vydaného jako kvalifikovaný, pokud
existuje důvodné podezření, že certifikát byl padělán, nebo pokud byl vydán na základě
nepravdivých údajů. Rozhodnutí o zneplatnění certifikátu vydaného jako kvalifikovaný
může být vydáno také v případě, kdy bylo zjištěno, že podepisující nebo označující
osoba používá prostředek pro vytváření podpisu nebo prostředek pro vytváření elektronických
značek, který vykazuje bezpečnostní nedostatky, které by umožnily padělání zaručených
elektronických podpisů nebo elektronických značek nebo změnu podepisovaných nebo
označovaných údajů.
§ 16
Uznávání zahraničních kvalifikovaných certifikátů
(1) Certifikát, který je vydán poskytovatelem certifikačních služeb usazeným
v některém z členských států Evropské unie, jiném smluvním státu Dohody o Evropském
hospodářském prostoru nebo Švýcarské konfederaci jako kvalifikovaný, je kvalifikovaným
certifikátem ve smyslu tohoto zákona.
(2) Certifikát, který je vydán jako kvalifikovaný ve smyslu tohoto zákona
v jiném státu, než který je uveden v odstavci 1, je kvalifikovaným certifikátem ve
smyslu tohoto zákona, pokud
a) poskytovatel certifikačních služeb splňuje podmínky práva Evropských
společenství1) a byl akreditován k působení jako akreditovaný poskytovatel certifikačních
služeb v některém z členských států Evropské unie, jiném smluvním státu Dohody o
Evropském hospodářském prostoru nebo Švýcarské konfederaci,
b) poskytovatel certifikačních služeb usazený v některém z členských
států Evropské unie, jiném smluvním státu Dohody o Evropském hospodářském prostoru
nebo Švýcarské konfederaci, který splňuje podmínky práva Evropských společenství,1)
převezme odpovědnost za platnost a správnost certifikátu ve stejném rozsahu jako
u svých kvalifikovaných certifikátů,
c) to vyplývá z mezinárodní smlouvy.
§ 17
Prostředky pro bezpečné vytváření a ověřování elektronických podpisů
(1) Prostředek pro bezpečné vytváření podpisu musí za pomoci odpovídajících
technických a programových prostředků a postupů minimálně zajistit, že
a) data pro
vytváření podpisu se mohou vyskytnout pouze jednou a že jejich utajení je náležitě
zajištěno,
b) data pro vytváření podpisu nelze při náležitém zajištění odvodit ze
znalosti způsobu jejich vytváření a že podpis je chráněn proti padělání s využitím
existující dostupné technologie,
c) data pro vytváření podpisu mohou být podepisující
osobou spolehlivě chráněna proti zneužití třetí osobou.
(2) Prostředky pro bezpečné vytváření podpisu nesmí měnit data, která se
podepisují, ani zabraňovat tomu, aby tato data byla předložena podepisující osobě
před vlastním procesem podepisování.
(3) Prostředky pro bezpečné vytváření elektronických podpisů musí být před
svým použitím bezpečným způsobem vydány a data pro vytváření elektronických podpisů
musí být důvěryhodným způsobem v těchto prostředcích vytvořena nebo do nich přidána.
(4) Prostředek pro bezpečné ověřování podpisu musí za pomoci odpovídajících
technických a programových prostředků a postupů minimálně zajistit, aby
a) data používaná
pro ověření podpisu odpovídala datům zobrazeným osobě provádějící ověření,
b) podpis
byl spolehlivě ověřen a výsledek tohoto ověření byl řádně zobrazen,
c) ověřující
osoba mohla spolehlivě zjistit obsah podepsaných dat,
d) pravost a platnost certifikátu
při ověřování podpisu byly spolehlivě zjištěny,
e) výsledek ověření a totožnost podepisující
osoby byly řádně zobrazeny,
f) bylo jasně uvedeno použití pseudonymu,
g) bylo možné
zjistit veškeré změny ovlivňující bezpečnost.
§ 17a
Prostředky pro vytváření elektronických značek
(1) Prostředek pro vytváření elektronických značek musí za pomoci odpovídajících
technických a programových prostředků a postupů minimálně zajistit, že
a) data pro
vytváření elektronických značek jsou dostatečným způsobem utajena a jsou označující
osobou spolehlivě chráněna proti zneužití třetí osobou,
b) označující osoba je informována,
že zahajuje používání tohoto prostředku.
(2) Prostředek pro vytváření elektronických značek musí být nastaven tak,
aby i bez další kontroly označující osoby označil právě a pouze ty datové zprávy,
které označující osoba k označení zvolí.
(3) Prostředek pro vytváření elektronických značek musí být chráněn proti
neoprávněné změně a musí zaručovat, že jakákoli jeho změna bude patrná označující
osobě.
§ 17b
(1) Data pro vytváření elektronických podpisů lze spolu s kvalifikovaným
certifikátem obsahujícím data pro ověřování elektronických podpisů odpovídající těmto
datům a s daty nezbytně nutnými pro užívání elektronického podpisu zapsat do kontaktního
elektronického čipu občanského průkazu.
(2) K zápisu dat a kvalifikovaného certifikátu podle odstavce 1 je oprávněn
držitel občanského průkazu. Ustanovení § 15b odst. 2 zákona o občanských průkazech
se nepoužije.
§ 18
Správní delikty právnických osob
(1) Kvalifikovanému poskytovateli certifikačních služeb, který
a) nezajistí, aby se každý mohl ujistit o jeho identitě a jeho kvalifikovaném
systémovém certifikátu podle § 6 odst. 1 písm. a),
b) nezajistí, aby poskytování kvalifikovaných certifikačních služeb vykonávaly
osoby s odbornými znalostmi a kvalifikací nezbytnými pro poskytované kvalifikované
certifikační služby a obeznámené s příslušnými bezpečnostními postupy,
c) nezajištěním dostatečné bezpečnosti používaných systémů a nástrojů
elektronického podpisu a postupů, které tyto systémy a nástroje podporují podle §
6 odst. 1 písm. c) a d), ohrozí bezpečnost poskytovaných kvalifikovaných certifikačních
služeb,
d) nedisponuje dostatečnými finančními zdroji nebo jiným finančním zajištěním
na provoz podle § 6 odst. 1 písm. e), a tím ohrozí bezpečnost poskytovaných kvalifikovaných
certifikačních služeb,
e) nesplní informační povinnost podle § 6 odst. 1 písm. f), § 6 odst.
3 nebo § 13 odst. 1,
f) nesplní ohlašovací povinnost podle § 6 odst. 2, včetně předání kvalifikovaného
systémového certifikátu k ověření nebo podle § 13 odst. 1 nebo 2,
g) poskytne certifikační služby na základě jiné než písemné smlouvy,
h) neuchovává dokumenty a údaje podle § 6 odst. 5 a 6, nebo
i) nezajistí uchovávané dokumenty a údaje před ztrátou, zneužitím, zničením
nebo poškozením podle § 6 odst. 6,
se uloží pokuta do výše 10 000 000 Kč.
(2) Kvalifikovanému poskytovateli certifikačních služeb, který vydává kvalifikované
certifikáty nebo kvalifikované systémové certifikáty a který
a) nezajistí, aby certifikáty
jím vydané jako kvalifikované obsahovaly všechny náležitosti stanovené tímto zákonem,
b) nezajistí, aby údaje uvedené v certifikátech vydaných jako kvalifikované byly
přesné, pravdivé a úplné,
c) neověří identitu osoby podle § 6a odst. 1 písm. c),
d) nezajistí soulad dat podle § 6a odst. 1 písm. d),
e) nezajistí provozování bezpečného
a veřejně přístupného seznamu certifikátů vydaných jako kvalifikované a nezajistí
jeho dostupnost a aktualizaci podle § 6a odst. 1 písm. e),
f) nezajistí provozování
bezpečného a veřejně přístupného seznamu certifikátů vydaných jako kvalifikované,
které byly zneplatněny, a to i dálkovým přístupem,
g) nezajistí, aby datum a čas
s uvedením hodiny, minuty a sekundy, kdy je certifikát vydaný jako kvalifikovaný
vydán nebo zneplatněn, mohly být přesně určeny,
h) nepřijetím odpovídajících opatření
proti zneužití a padělání certifikátů vydaných jako kvalifikované ohrozí bezpečnost
poskytovaných kvalifikovaných certifikačních služeb,
i) nesplní informační povinnost
podle § 6a odst. 1 písm. i),
j) nezajistí soulad a utajení dat podle § 6a odst. 2,
pokud tato data pro podepisující nebo označující osobu vytváří,
k) kopíruje a uchovává
data podle § 6a odst. 2, pokud tato data pro podepisující nebo označující osobu vytváří,
nebo
l) nezneplatní certifikát podle § 6a odst. 3 a 4, se uloží pokuta do výše 10
000 000 Kč.
(3) Kvalifikovanému poskytovateli certifikačních služeb, který vydává kvalifikovaná
časová razítka a který
a) nezajistí, aby časová razítka jím vydávaná jako kvalifikovaná
obsahovala všechny náležitosti stanovené v § 12b,
b) nezajistí, aby časový údaj vložený
do kvalifikovaného časového razítka odpovídal hodnotě koordinovaného světového času
při vytváření kvalifikovaného časového razítka,
c) nezajistí, aby data v elektronické
podobě, která jsou předmětem žádosti o vydání kvalifikovaného časového razítka, odpovídala
datům v elektronické podobě obsaženým ve vydaném kvalifikovaném časovém razítku,
d) nepřijme odpovídající opatření proti padělání kvalifikovaných časových razítek,
a tím ohrozí bezpečnost poskytovaných kvalifikovaných certifikačních služeb,
e) nesplní
informační povinnost podle § 6b odst. 1 písm. e), nebo
f) nevydá kvalifikované časové
razítko neprodleně po přijetí žádosti o jeho vydání,
se uloží pokuta do výše 10 000
000 Kč.
(4) Kvalifikovanému poskytovateli certifikačních služeb, který vydává prostředky
pro bezpečné vytváření elektronických podpisů a který
a) nevydá prostředky pro bezpečné
vytváření elektronických podpisů bezpečně podle § 17 odst. 3, nebo
b) nevytvoří v
těchto prostředcích nebo nepřidá do těchto prostředků data pro vytváření elektronických
podpisů důvěryhodným způsobem podle § 17 odst. 3,
se uloží pokuta do výše 10 000
000 Kč.
(5) Akreditovanému poskytovateli certifikačních služeb, který nesplní oznamovací
povinnost podle § 10a odst. 2, se uloží pokuta do výše 10 000 000 Kč.
(6) Akreditovanému poskytovateli certifikačních služeb, který poruší zákaz
vydaný ministerstvem podle § 10a odst. 5, se uloží pokuta do výše 10 000 000 Kč.
§ 18a
Přestupky
(1) Kvalifikovaný poskytovatel certifikačních služeb se dopustí přestupku
tím, že
a) nezajistí, aby se každý mohl ujistit o jeho identitě a jeho kvalifikovaném
systémovém certifikátu podle § 6 odst. 1 písm. a),
b) nezajistí, aby poskytování kvalifikovaných certifikačních služeb vykonávaly
osoby s odbornými znalostmi a kvalifikací nezbytnými pro poskytované kvalifikované
certifikační služby a obeznámené s příslušnými bezpečnostními postupy,
c) nezajištěním dostatečné bezpečnosti používaných systémů a nástrojů
elektronického podpisu a postupů, které tyto systémy a nástroje podporují podle §
6 odst. 1 písm. c) a písm. d), ohrozí bezpečnost poskytovaných kvalifikovaných certifikačních
služeb,
d) nedisponuje dostatečnými finančními zdroji nebo jiným finančním zajištěním
na provoz podle § 6 odst. 1 písm. e), a tím ohrozí bezpečnost poskytovaných kvalifikovaných
certifikačních služeb,
e) nesplní informační povinnost podle § 6 odst. 1 písm. f), § 6 odst.
3 nebo § 13 odst. 1,
f) nesplní ohlašovací povinnost podle § 6 odst. 2, včetně předání kvalifikovaného
systémového certifikátu k ověření nebo podle § 13 odst. 1 nebo 2,
g) poskytne certifikační služby na základě jiné než písemné smlouvy,
h) neuchovává dokumenty a údaje podle § 6 odst. 5 a 6, nebo
i) nezajistí uchovávané dokumenty a údaje před ztrátou, zneužitím, zničením
nebo poškozením podle § 6 odst. 6.
(2) Kvalifikovaný poskytovatel certifikačních služeb, který vydává kvalifikované
certifikáty nebo kvalifikované systémové certifikáty, se dopustí přestupku tím, že
a) nezajistí, aby certifikáty jím vydané jako kvalifikované obsahovaly všechny náležitosti
stanovené tímto zákonem,
b) nezajistí, aby údaje uvedené v certifikátech vydaných
jako kvalifikované byly přesné, pravdivé a úplné,
c) neověří identitu osoby podle
§ 6a odst. 1 písm. c),
d) nezajistí soulad dat podle § 6a odst. 1 písm. d),
e) nezajistí
provozování bezpečného a veřejně přístupného seznamu certifikátů vydaných jako kvalifikované
a nezajistí jeho dostupnost a aktualizaci podle § 6a odst. 1 písm. e),
f) nezajistí
provozování bezpečného a veřejně přístupného seznamu certifikátů vydaných jako kvalifikované,
které byly zneplatněny, a to i dálkovým přístupem,
g) nezajistí, aby datum a čas
s uvedením hodiny, minuty a sekundy, kdy je certifikát vydaný jako kvalifikovaný
vydán nebo zneplatněn, mohly být přesně určeny,
h) nepřijetím odpovídajících opatření
proti zneužití a padělání certifikátů vydaných jako kvalifikované ohrozí bezpečnost
poskytovaných kvalifikovaných certifikačních služeb,
i) nesplní informační povinnost
podle § 6a odst. 1 písm. i),
j) nezajistí soulad a utajení dat podle § 6a odst. 2,
pokud tato data pro podepisující nebo označující osobu vytváří,
k) kopíruje a uchovává
data podle § 6a odst. 2, pokud tato data pro podepisující nebo označující osobu vytváří,
nebo
l) nezneplatní certifikát podle § 6a odst. 3 a 4.
(3) Kvalifikovaný poskytovatel certifikačních služeb, který vydává kvalifikovaná
časová razítka, se dopustí přestupku tím, že
a) nezajistí, aby časová razítka jím
vydávaná jako kvalifikovaná obsahovala všechny náležitosti stanovené v § 12b,
b)
nezajistí, aby časový údaj vložený do kvalifikovaného časového razítka odpovídal
hodnotě koordinovaného světového času při vytváření kvalifikovaného časového razítka,
c) nezajistí, aby data v elektronické podobě, která jsou předmětem žádosti o vydání
kvalifikovaného časového razítka, odpovídala datům v elektronické podobě obsaženým
ve vydaném kvalifikovaném časovém razítku,
d) nepřijme odpovídající opatření proti
padělání kvalifikovaných časových razítek, a tím ohrozí bezpečnost poskytovaných
kvalifikovaných certifikačních služeb,
e) nesplní informační povinnost podle § 6b
odst. 1 písm. e), nebo
f) nevydá kvalifikované časové razítko neprodleně po přijetí
žádosti o jeho vydání.
(4) Kvalifikovaný poskytovatel certifikačních služeb, který vydává prostředky
pro bezpečné vytváření elektronických podpisů, se dopustí přestupku tím, že
a) nevydá
prostředky pro bezpečné vytváření elektronických podpisů bezpečně podle § 17 odst.
3, nebo
b) nevytvoří v těchto prostředcích nebo nepřidá do těchto prostředků data
pro vytváření elektronických podpisů důvěryhodným způsobem podle § 17 odst. 3.
(5) Fyzická osoba se dopustí přestupku tím, že poruší povinnost mlčenlivosti
podle § 6 odst. 7.
(6) Za přestupky podle odstavců 1 až 4 lze uložit pokutu do výše 10 000 000
Kč.
(7) Za přestupek podle odstavce 5 lze uložit pokutu do výše 250 000 Kč.
§ 19
Společná ustanovení
(1) Právnická osoba za správní delikt neodpovídá, jestliže prokáže, že vynaložila
veškeré úsilí, které bylo možno požadovat, aby porušení právní povinnosti zabránila.
(2) Při určení výměry pokuty právnické osobě se přihlédne k závažnosti správního
deliktu, zejména ke způsobu jeho spáchání a jeho následkům a k okolnostem, za nichž
bylo spácháno.
(3) Odpovědnost právnické osoby za správní delikt zaniká, jestliže správní
orgán o něm nezahájil řízení do 1 roku ode dne, kdy se o něm dozvěděl, nejpozději
však do 3 let ode dne, kdy byl spáchán.
(4) Správní delikty podle tohoto zákona v prvním stupni projednává ministerstvo.
(5) Na odpovědnost za jednání, k němuž došlo při podnikání fyzické osoby8)
nebo v přímé souvislosti s ním, se vztahují ustanovení zákona o odpovědnosti a postihu
právnické osoby.
(6) Výnos z pokut je příjmem státního rozpočtu.
§ 20
Zmocňovací ustanovení
(1) Ministerstvo stanoví prováděcím právním předpisem způsob splnění informační
povinnosti podle § 6 odst. 1 písm. a) a f) a odst. 3, kvalifikační požadavky podle
§ 6 odst. 1 písm. b), požadavky na bezpečné systémy a bezpečné nástroje podle § 6
odst. 1 písm. c) a d), způsob uchovávání informací a dokumentace podle § 6 odst.
5 a 6 a způsob, jakým se splnění těchto požadavků dokládá.
(2) Ministerstvo stanoví prováděcím právním předpisem způsob ověření souladu
dat podle § 6a odst. 1 písm. d), způsob zajištění bezpečnosti seznamů podle § 6a
odst. 1 písm. e) a f), určení data a času podle § 6a odst. 1 písm. g), náležitosti
opatření podle § 6a odst. 1 písm. h), způsob splnění informační povinnosti podle
§ 6a odst. 1 písm. i), způsob ochrany a zajištění souladu dat podle § 6a odst. 2,
způsob zneplatnění certifikátů podle § 6a odst. 3 a 4 a způsob, jakým se splnění
těchto požadavků dokládá.
(3) Ministerstvo stanoví prováděcím právním předpisem způsob zajištění přesnosti
času při vytváření kvalifikovaného časového razítka podle § 6b odst. 1 písm. b),
způsob zajištění souladu dat podle § 6b odst. 1 písm. c), náležitosti opatření podle
§ 6b odst. 1 písm. d), způsob splnění informační povinnosti podle § 6b odst. 1 písm.
e) a způsob, jakým se splnění těchto požadavků dokládá.
(4) Ministerstvo stanoví prováděcím právním předpisem strukturu údajů, na
základě kterých je možné osobu jednoznačně identifikovat, a postupy pro ověřování
platnosti zaručeného elektronického podpisu, elektronické značky, kvalifikovaného
certifikátu, kvalifikovaného systémového certifikátu a kvalifikovaného časového razítka.
(5) Ministerstvo stanoví prováděcím právním předpisem způsob zajištění postupů,
které musí podporovat prostředky pro bezpečné vytváření a ověřování elektronických
podpisů při ochraně dat pro vytváření elektronických podpisů podle § 17 a prostředky
pro vytváření elektronických značek při ochraně dat pro vytváření elektronických
značek podle § 17a, a způsob, jakým se splnění těchto požadavků dokládá.
ČÁST PÁTÁ
Změna občanského soudního řádu
§ 24
Zákon č. 99/1963 Sb., občanský soudní řád, ve znění zákona č. 36/1967 Sb.,
zákona č. 158/1969 Sb., zákona č. 49/1973 Sb., zákona č. 20/1975 Sb., zákona č. 133/1982
Sb., zákona č. 180/1990 Sb., zákona č. 328/1991 Sb., zákona č. 519/1991 Sb., zákona
č. 263/1992 Sb., zákona č. 24/1993 Sb., zákona č. 171/1993 Sb., zákona č. 117/1994
Sb., zákona č. 152/1994 Sb., zákona č. 216/1994 Sb., zákona č. 84/1995 Sb., zákona
č. 118/1995 Sb., zákona č. 160/1995 Sb., zákona č. 238/1995 Sb., zákona č. 247/1995
Sb., nálezu Ústavního soudu č. 31/1996 Sb., zákona č. 142/1996 Sb., nálezu Ústavního
soudu č. 269/1996 Sb., zákona č. 202/1997 Sb., zákona č. 227/1997 Sb., zákona č.
15/1998 Sb., zákona č. 91/1998 Sb., zákona č. 165/1998 Sb., zákona č. 326/1999 Sb.,
zákona č. 360/1999 Sb., nálezu Ústavního soudu č. 2/2000 Sb., zákona č. 27/2000 Sb.,
zákona č. 30/2000 Sb., zákona č. 46/2000 Sb., zákona č. 105/2000 Sb., zákona č. 130/2000
Sb., zákona č. 155/2000 Sb. a zákona č. 220/2000 Sb., se mění takto:
V § 42 odst. 1 věta první zní: "Podání je možno učinit písemně, ústně
do protokolu, v elektronické podobě podepsané elektronicky podle zvláštních předpisů,
telegraficky nebo telefaxem.".
ČÁST ŠESTÁ
Změna trestního řádu
§ 25
Zákon č. 141/1961 Sb., o trestním řízení soudním (trestní řád), ve znění
zákona č. 57/1965 Sb., zákona č. 58/1969 Sb., zákona č. 149/1969 Sb., zákona č. 48/1973
Sb., zákona č. 29/1978 Sb., zákona č. 43/1980 Sb., zákona č. 159/1989 Sb., zákona
č. 178/1990 Sb., zákona č. 303/1990 Sb., zákona č. 558/1991 Sb., zákona č. 25/1993
Sb., zákona č. 115/1993 Sb., zákona č. 292/1993 Sb., zákona č. 154/1994 Sb., nálezu
Ústavního soudu č. 214/1994 Sb., nálezu Ústavního soudu č. 8/1995 Sb., zákona č.
152/1995 Sb., zákona č. 150/1997 Sb., zákona č. 209/1997 Sb., zákona č. 148/1998
Sb., zákona č. 166/1998 Sb., zákona č. 191/1999 Sb., zákona č. 29/2000 Sb. a zákona
č. 30/2000 Sb., se mění takto:
V § 59 odstavec 1 zní:
"(1) Podání se posuzuje vždy podle svého obsahu, i když je nesprávně označeno.
Lze je učinit písemně, ústně do protokolu, v elektronické podobě podepsané elektronicky
podle zvláštních předpisů, telegraficky, telefaxem nebo dálnopisem.".
ČÁST SEDMÁ
Změna zákona o ochraně osobních údajů
§ 26
Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů,
se mění takto:
V § 29 se doplňuje odstavec 4, který zní:
"(4) Úřad uděluje a odnímá akreditace k působení jako akreditovaný poskytovatel
certifikačních služeb a provádí dozor nad dodržováním povinností stanovených zákonem
o elektronickém podpisu.".
ČÁST OSMÁ
Změna zákona o správních poplatcích
§ 27
Zákon č. 368/1992 Sb., o správních poplatcích, ve znění zákona č. 10/1993
Sb., zákona č. 72/1994 Sb., zákona č. 85/1994 Sb., zákona č. 273/1994 Sb., zákona
č. 36/1995 Sb., zákona č. 118/1995 Sb., zákona č. 160/1995 Sb., zákona č. 301/1995
Sb., zákona č. 151/1997 Sb., zákona č. 305/1997 Sb., zákona č. 149/1998 Sb., zákona
č. 157/1998 Sb., zákona č. 167/1998 Sb., zákona č. 63/1999 Sb., zákona č. 166/1999
Sb., zákona č. 167/1999 Sb., zákona č. 223/1999 Sb., zákona č. 326/1999 Sb., zákona
č. 352/1999 Sb., zákona č. 357/1999 Sb., zákona č. 360/1999 Sb., zákona č. 363/1999
Sb., zákona č. 46/2000 Sb., zákona č. 62/2000 Sb., zákona č. 117/2000 Sb., zákona
č. 133/2000 Sb., zákona č. 151/2000 Sb., zákona č. 153/2000 Sb., zákona č. 154/2000
Sb., zákona č. 156/2000 Sb. a zákona č. 158/2000 Sb., se mění takto:
1. V příloze k zákonu (Sazebník správních poplatků) se doplňuje nová část
XII, která zní:
2. REJSTŘÍK K SAZEBNÍKU se doplňuje o část XII, která zní:
3. Tečka za částí XI se vypouští.
Klaus v. r.
Havel v. r.
Zeman v. r.
Vybraná ustanovení novel
Čl.II zákona č. 440/2004 Sb.
Přechodná ustanovení
Poskytovatelé certifikačních služeb, kterým byla udělena akreditace k působení
jako akreditovaný poskytovatel certifikačních služeb přede dnem nabytí účinnosti
tohoto zákona, jsou povinni přizpůsobit službu vydávání kvalifikovaných certifikátů
zákonu č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů
(zákon o elektronickém podpisu), ve znění čl. I tohoto zákona, do 1. července 2005.
Čl. XXIX zákona č. 223/2009 Sb.
Přechodné ustanovení
Řízení zahájená přede dnem nabytí účinnosti tohoto zákona a do tohoto dne
neskončená se dokončí a práva a povinnosti s nimi související se posuzují podle dosavadních
právních předpisů.
1) Směrnice Evropského parlamentu a Rady 99/93/ES ze dne 13. prosince 1999 o
zásadách Společenství pro elektronické podpisy.
1a) Zákon č. 40/1964 Sb., občanský zákoník, ve znění pozdějších předpisů.
2a) § 10 zákona č. 40/1964 Sb., občanský zákoník, ve znění pozdějších předpisů.
3) Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.
3a) Rozhodnutí Komise Evropských společenství 2009/767/ES ze dne 16. října 2009,
kterým se stanovují opatření pro usnadnění užití postupů s využitím elektronických
prostředků prostřednictvím „jednotných kontaktních míst“ podle směrnice Evropského
parlamentu a Rady 2006/123/ES o službách na vnitřním trhu.
5) Zákon č. 368/1992 Sb., o správních poplatcích, ve znění pozdějších předpisů.
7) § 43 zákona č. 71/1967 Sb., o správním řízení (správní řád), ve znění pozdějších
předpisů.
8) § 2 odst. 2 zákona č. 513/1991 Sb., obchodní zákoník, ve znění pozdějších
předpisů.
9) Rozhodnutí Komise 2011/130/EU ze dne 25. února 2011, kterým se stanoví minimální
požadavky na přeshraniční zpracování dokumentů elektronicky podepsaných příslušnými
orgány podle směrnice 2006/123/ES Evropského parlamentu a Rady o službách na vnitřním
trhu.