obsah

Okresní soud v Trutnově

Právní předpisy

Přehled:

227/2000 Sb. ZÁKON ze dne 29. června 2000
o elektronickém podpisu a o změně některých dalších zákonů
(zákon o elektronickém podpisu)

495/2004 Sb.  NAŘÍZENÍ VLÁDY ze dne 25. srpna 2004,
kterým se provádí zákon č. 227/2000 Sb.,
o elektronickém podpisu a o změně některých dalších zákonů
(zákon o elektronickém podpisu), ve znění pozdějších předpisů

496/2004 Sb. VYHLÁŠKA ze dne 29. července 2004
o elektronických podatelnách

 

-> zpět <-                                                  227/2000 Sb.

 

ZÁKON

ze dne 29. června 2000

 

o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu)

 

Změna: 226/2002 Sb.

Změna: 517/2002 Sb.

Změna: 440/2004 Sb.

Změna: 635/2004 Sb.

Změna: 501/2004 Sb.

 

            Parlament se usnesl na tomto zákoně České republiky:

 

ČÁST PRVNÍ

 

ELEKTRONICKÝ PODPIS

 

§ 1

Účel zákona

 

            Tento zákon upravuje v souladu s právem Evropských společenství 1) používání elektronického podpisu, elektronické značky, poskytování certifikačních služeb a souvisejících služeb poskytovateli usazenými na území České republiky, kontrolu povinností stanovených tímto zákonem a sankce za porušení povinností stanovených tímto zákonem.

 

§ 2

Vymezení některých pojmů

 

            Pro účely tohoto zákona se rozumí

a) elektronickým podpisem údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které slouží jako metoda k jednoznačnému ověření identity podepsané osoby ve vztahu k datové zprávě,

 

b) zaručeným elektronickým podpisem elektronický podpis, který splňuje následující požadavky1. je jednoznačně spojen s podepisující osobou,

2. umožňuje identifikaci podepisující osoby ve vztahu k datové zprávě,

3. byl vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou výhradní kontrolou,

4. je k datové zprávě, ke které se vztahuje, připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat,

 

c) elektronickou značkou údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které splňují následující požadavky1. jsou jednoznačně spojené s označující osobou a umožňují její identifikaci prostřednictvím kvalifikovaného systémového certifikátu,

2. byly vytvořeny a připojeny k datové zprávě pomocí prostředků pro vytváření elektronických značek, které označující osoba může udržet pod svou výhradní kontrolou,

3. jsou k datové zprávě, ke které se vztahují, připojeny takovým způsobem, že je možné zjistit jakoukoli následnou změnu dat,

 

d) datovou zprávou elektronická data, která lze přenášet prostředky pro elektronickou komunikaci a uchovávat na záznamových médiích, používaných při zpracování a přenosu dat elektronickou formou,

 

e) podepisující osobou fyzická osoba, která je držitelem prostředku pro vytváření elektronických podpisů a jedná jménem svým nebo jménem jiné fyzické či právnické osoby,

 

f) označující osobou fyzická osoba, právnická osoba nebo organizační složka státu, která drží prostředek pro vytváření elektronických značek a označuje datovou zprávu elektronickou značkou,

 

g) držitelem certifikátu fyzická osoba, právnická osoba nebo organizační složka státu, která požádala o vydání kvalifikovaného certifikátu nebo kvalifikovaného systémového certifikátu pro sebe nebo pro podepisující nebo označující osobu a které byl certifikát vydán,

 

h) poskytovatelem certifikačních služeb fyzická osoba, právnická osoba nebo organizační složka státu, která vydává certifikáty a vede jejich evidenci, případně poskytuje další služby spojené s elektronickými podpisy,

 

i) kvalifikovaným poskytovatelem certifikačních služeb poskytovatel certifikačních služeb, který vydává kvalifikované certifikáty nebo kvalifikované systémové certifikáty nebo kvalifikovaná časová razítka nebo prostředky pro bezpečné vytváření elektronických podpisů (dále jen "kvalifikované certifikační služby") a splnil ohlašovací povinnost podle § 6,

 

j) akreditovaným poskytovatelem certifikačních služeb poskytovatel certifikačních služeb, jemuž byla udělena akreditace podle tohoto zákona,

 

k) certifikátem datová zpráva, která je vydána poskytovatelem certifikačních služeb, spojuje data pro ověřování elektronických podpisů s podepisující osobou a umožňuje ověřit její identitu, nebo spojuje data pro ověřování elektronických značek s označující osobou a umožňuje ověřit její identitu,

 

l) kvalifikovaným certifikátem certifikát, který má náležitosti podle § 12 a byl vydán kvalifikovaným poskytovatelem certifikačních služeb,

 

m) kvalifikovaným systémovým certifikátem certifikát, který má náležitosti podle § 12a a byl vydán kvalifikovaným poskytovatelem certifikačních služeb,

 

n) daty pro vytváření elektronických podpisů jedinečná data, která podepisující osoba používá k vytváření elektronického podpisu,

 

o) daty pro ověřování elektronických podpisů jedinečná data, která se používají pro ověření elektronického podpisu,

 

p) daty pro vytváření elektronických značek jedinečná data, která označující osoba používá k vytváření elektronických značek,

 

q) daty pro ověřování elektronických značek jedinečná data, která se používají pro ověření elektronických značek,

 

r) kvalifikovaným časovým razítkem datová zpráva, kterou vydal kvalifikovaný poskytovatel certifikačních služeb a která důvěryhodným způsobem spojuje data v elektronické podobě s časovým okamžikem, a zaručuje, že uvedená data v elektronické podobě existovala před daným časovým okamžikem,

 

s) prostředkem pro vytváření elektronických podpisů technické zařízení nebo programové vybavení, které se používá k vytváření elektronických podpisů,

 

t) prostředkem pro ověřování elektronických podpisů technické zařízení nebo programové vybavení, které se používá k ověřování elektronických podpisů,

 

u) prostředkem pro bezpečné vytváření elektronických podpisů prostředek pro vytváření elektronického podpisu, který splňuje požadavky stanovené tímto zákonem,

 

v) prostředkem pro bezpečné ověřování elektronických podpisů prostředek pro ověřování podpisu, který splňuje požadavky stanovené tímto zákonem,

 

w) nástrojem elektronického podpisu technické zařízení nebo programové vybavení, nebo jejich součásti, používané pro zajištění certifikačních služeb nebo pro vytváření nebo ověřování elektronických podpisů,

 

x) prostředkem pro vytváření elektronických značek zařízení, které používá označující osoba pro vytváření elektronických značek a které splňuje další náležitosti stanovené tímto zákonem,

 

y) elektronickou podatelnou pracoviště orgánu veřejné moci určené pro příjem a odesílání datových zpráv,

 

z) akreditací osvědčení, že poskytovatel certifikačních služeb splňuje podmínky stanovené tímto zákonem pro výkon činnosti akreditovaného poskytovatele certifikačních služeb.

 

§ 3

Soulad s požadavky na podpis

 

            (1) Datová zpráva je podepsána, pokud je opatřena elektronickým podpisem. Pokud se neprokáže opak, má se za to, že se podepisující osoba před podepsáním datové zprávy s jejím obsahem seznámila.

 

            (2) Použití zaručeného elektronického podpisu založeného na kvalifikovaném certifikátu a vytvořeného pomocí prostředku pro bezpečné vytváření podpisu umožňuje ověřit, že datovou zprávu podepsala osoba uvedená na tomto kvalifikovaném certifikátu.

 

§ 3a

 

            (1) Použití elektronické značky založené na kvalifikovaném systémovém certifikátu a vytvořené pomocí prostředku pro vytváření elektronických značek umožňuje ověřit, že datovou zprávu označila touto elektronickou značkou označující osoba.

 

            (2) Pokud označující osoba označila datovou zprávu, má se za to, že tak učinila automatizovaně bez přímého ověření obsahu datové zprávy a vyjádřila tím svou vůli.

 

§ 4

Soulad s originálem

 

            Použití zaručeného elektronického podpisu nebo elektronické značky zaručuje, že dojde-li k porušení obsahu datové zprávy od okamžiku, kdy byla podepsána nebo označena, toto porušení bude možno zjistit.

 

§ 5

Povinnosti podepisující osoby

 

            (1) Podepisující osoba je povinna

 

a) zacházet s prostředky, jakož i s daty pro vytváření zaručeného elektronického podpisu s náležitou péčí tak, aby nemohlo dojít k jejich neoprávněnému použití,

 

b) uvědomit neprodleně poskytovatele certifikačních služeb, který vydal kvalifikovaný certifikát, o tom, že hrozí nebezpečí zneužití jejích dat pro vytváření zaručeného elektronického podpisu.

 

            (2) Za škodu způsobenou porušením povinností podle odstavce 1 odpovídá podepisující osoba podle zvláštních právních předpisů. 1a) Odpovědnosti se však zprostí, pokud prokáže, že ten, komu vznikla škoda, neprovedl veškeré úkony potřebné k tomu, aby si ověřil, že zaručený elektronický podpis je platný a jeho kvalifikovaný certifikát nebyl zneplatněn.

 

§ 5a

Povinnosti označující osoby

 

            (1) Označující osoba je povinna

a) zacházet s prostředkem, jakož i s daty pro vytváření elektronických značek s náležitou péčí tak, aby nemohlo dojít k jejich neoprávněnému použití,

 

b) uvědomit neprodleně poskytovatele certifikačních služeb, který vydal kvalifikovaný systémový certifikát, o tom, že hrozí nebezpečí zneužití jejích dat pro vytváření elektronických značek.

 

            (2) Označující osoba je povinna zajistit, aby prostředek pro vytváření elektronických značek, který používá, splňoval požadavky stanovené tímto zákonem.

 

            (3) Za škodu způsobenou porušením povinnosti podle odstavce 1 odpovídá označující osoba, i když škodu nezavinila, podle zvláštních právních předpisů, 1a) odpovědnost za vady podle zvláštních předpisů tím není dotčena. 1a) Odpovědnosti se však zprostí, pokud prokáže, že ten, komu vznikla škoda, neprovedl veškeré úkony potřebné k tomu, aby si ověřil, že elektronická značka je platná a její kvalifikovaný systémový certifikát nebyl zneplatněn.

 

§ 5b

Povinnosti držitele certifikátu

 

            Držitel certifikátu je povinen bez zbytečného odkladu podávat přesné, pravdivé a úplné informace poskytovateli certifikačních služeb ve vztahu ke kvalifikovanému certifikátu a ve vztahu ke kvalifikovanému systémovému certifikátu.

 

§ 6

Kvalifikovaný poskytovatel certifikačních služeb

 

            (1) Kvalifikovaný poskytovatel certifikačních služeb je povinen

a) zajistit, aby se každý mohl ujistit o jeho identitě a jeho kvalifikovaném systémovém certifikátu, na jehož základě označuje vydané kvalifikované certifikáty nebo kvalifikované systémové certifikáty a seznamy certifikátů, které byly zneplatněny, nebo kvalifikovaná časová razítka,

 

b) zajistit, aby poskytování kvalifikovaných certifikačních služeb vykonávaly osoby s odbornými znalostmi a kvalifikací nezbytnou pro poskytování kvalifikované certifikační služby a obeznámené s příslušnými bezpečnostními postupy,

 

c) používat bezpečné systémy a bezpečné nástroje elektronického podpisu, zajistit dostatečnou bezpečnost postupů, které tyto systémy a nástroje podporují, a zajistit dostatečnou kryptografickou bezpečnost těchto nástrojů; systémy a nástroje jsou považovány za bezpečné, pokud odpovídají požadavkům stanoveným tímto zákonem a prováděcí vyhláškou, nebo pokud splňují požadavky technických norem uvedených v rozhodnutí Komise vydaném na základě článku 3 (5) směrnice 99/93/ES,

 

d) používat bezpečné systémy pro uchovávání kvalifikovaných certifikátů a kvalifikovaných systémových certifikátů nebo kvalifikovaných časových razítek v ověřitelné podobě takovým způsobem, aby záznamy nebo jejich změny mohly provádět pouze pověřené osoby, aby bylo možno kontrolovat správnost záznamů a aby jakékoliv technické nebo programové změny porušující tyto bezpečnostní požadavky byly zjevné,

 

e) mít po celou dobu své činnosti k dispozici dostatečné finanční zdroje nebo jiné finanční zajištění na provoz v souladu s požadavky uvedenými v tomto zákoně a s ohledem na riziko vzniku odpovědnosti za škodu,

 

f) před uzavřením smlouvy o poskytování kvalifikovaných certifikačních služeb s osobou, která žádá o poskytování služeb podle tohoto zákona, informovat tuto osobu písemně o přesných podmínkách pro využívání kvalifikovaných certifikačních služeb, včetně případných omezení pro jejich použití, o podmínkách reklamací a řešení vzniklých sporů a o tom, zda je, či není akreditován Ministerstvem informatiky (dále jen "ministerstvo") podle § 10; tyto informace lze předat elektronicky.

 

            (2) Není-li poskytovatel certifikačních služeb akreditován ministerstvem, je povinen ohlásit ministerstvu nejméně 30 dnů před zahájením poskytování kvalifikované certifikační služby, že ji bude poskytovat, a okamžik, kdy její poskytování zahájí. Zároveň předá ministerstvu k ověření svůj kvalifikovaný systémový certifikát uvedený v odstavci 1 písm. a).

 

            (3) Pokud byla kvalifikovanému poskytovateli certifikačních služeb, který získal akreditaci podle § 10 tohoto zákona, akreditace ministerstvem odňata, je povinen bez prodlení informovat o této skutečnosti subjekty, kterým poskytuje své kvalifikované certifikační služby, a další dotčené osoby.

 

            (4) Kvalifikovaný poskytovatel certifikačních služeb poskytuje služby podle tohoto zákona na základě smlouvy. Smlouva musí být písemná.

 

            (5) Kvalifikovaný poskytovatel certifikačních služeb uchovává informace a dokumentaci související s poskytovanými kvalifikovanými certifikačními službami podle tohoto zákona, zejména

a) smlouvu o poskytování kvalifikované certifikační služby, včetně žádosti o poskytování služby,

 

b) vydaný kvalifikovaný certifikát, vydaný kvalifikovaný systémový certifikát nebo vydané kvalifikované časové razítko,

 

c) kopie předložených osobních dokladů podepisující osoby nebo dokladů, na jejichž základě byla ověřena identita označující osoby,

 

d) potvrzení o převzetí kvalifikovaného certifikátu nebo kvalifikovaného systémového certifikátu držitelem, případně jeho souhlas se zveřejněním kvalifikovaného certifikátu v seznamu vydaných kvalifikovaných certifikátů,

 

e) prohlášení držitele certifikátu o tom, že mu byly poskytnuty informace podle odstavce 1 písm. f),

 

f) dokumenty a záznamy související s životním cyklem vydaného kvalifikovaného certifikátu nebo kvalifikovaného systémového certifikátu, jejichž náležitosti upřesní prováděcí vyhláška.

 

            (6) Veškeré informace a dokumentaci o poskytovaných službách podle tohoto zákona uchovává kvalifikovaný poskytovatel certifikačních služeb po dobu nejméně 10 let. Kvalifikovaný poskytovatel je povinen zajistit uchovávané informace a dokumentaci před ztrátou, zneužitím, zničením nebo poškozením za podmínek, které upřesní prováděcí vyhláška. Informace a dokumentaci podle věty první může kvalifikovaný poskytovatel certifikačních služeb pořizovat a uchovávat v elektronické podobě. Pokud tento zákon nestanoví jinak, postupuje se při nakládání s informacemi a dokumentací podle zvláštního právního předpisu. 2)

 

            (7) Zaměstnanci kvalifikovaného poskytovatele certifikačních služeb, případně jiné fyzické osoby, které přicházejí do styku s osobními údaji a daty pro vytváření elektronických podpisů podepisujících osob a elektronických značek označujících osob, jsou povinni zachovávat mlčenlivost o těchto údajích a datech a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení těchto údajů a dat. Povinnost mlčenlivosti trvá i po skončení pracovního nebo jiného obdobného poměru nebo po provedení příslušných prací; uvedené osoby může zbavit mlčenlivosti ten, v jehož zájmu tuto povinnost mají, nebo soud.

 

§ 6a

Povinnosti kvalifikovaného poskytovatele certifikačních služeb při vydávání kvalifikovaných certifikátů a kvalifikovaných systémových certifikátů

 

            (1) Kvalifikovaný poskytovatel certifikačních služeb, který vydává kvalifikované certifikáty nebo kvalifikované systémové certifikáty (dále jen "certifikáty vydané jako kvalifikované"), je povinen

a) zajistit, aby certifikáty jím vydané jako kvalifikované obsahovaly všechny náležitosti stanovené tímto zákonem,

 

b) zajistit, aby údaje uvedené v certifikátech jím vydaných jako kvalifikované byly přesné, pravdivé a úplné,

 

c) před vydáním certifikátu jako kvalifikovaného bezpečně ověřit odpovídajícími prostředky identitu podepisující osoby nebo identitu označující osoby, případně i její zvláštní znaky, vyžaduje-li to účel takového certifikátu,

 

d) zjistit, zda v okamžiku podání žádosti o vydání certifikátu jako kvalifikovaného měla podepisující osoba data pro vytváření elektronických podpisů odpovídající datům pro ověřování elektronických podpisů nebo označující osoba data pro vytváření elektronických značek odpovídající datům pro ověřování elektronických značek, která obsahuje žádost o vydání certifikátu,

 

e) zajistit provozování bezpečného a veřejně přístupného seznamu certifikátů vydaných jako kvalifikované, k jejichž zveřejnění dal držitel certifikátu souhlas v souladu s § 6 odst. 5 písm. d), a zajistit dostupnost tohoto seznamu i dálkovým přístupem a údaje v seznamu obsažené při každé změně bez zbytečného odkladu aktualizovat,

 

f) zajistit provozování bezpečného a veřejně přístupného seznamu certifikátů vydaných jako kvalifikované, které byly zneplatněny, a to i dálkovým přístupem,

 

g) zajistit, aby datum a čas s uvedením hodiny, minuty a sekundy, kdy je certifikát vydaný jako kvalifikovaný vydán nebo zneplatněn, mohly být přesně určeny,

 

h) přijmout odpovídající opatření proti zneužití a padělání certifikátů vydaných jako kvalifikované,

 

i) poskytovat na vyžádání třetím osobám podstatné informace o podmínkách pro využívání certifikátů vydaných jako kvalifikované, včetně omezení pro jejich použití, a informace o tom, zda je, či není akreditován ministerstvem; tyto informace lze poskytovat elektronicky.

 

            (2) Pokud kvalifikovaný poskytovatel certifikačních služeb, který vydává certifikáty jako kvalifikované, vytváří pro podepisující osobu data pro vytváření elektronických podpisů nebo pro označující osobu data pro vytváření elektronických značek,

a) musí zajistit utajení těchto dat před jejich předáním, nesmí tato data kopírovat a uchovávat je déle, než je nezbytné,

 

b) musí zaručit, že tato data odpovídají datům pro ověřování elektronických podpisů nebo datům pro ověřování elektronických značek.

 

            (3) Kvalifikovaný poskytovatel certifikačních služeb, který vydává certifikáty jako kvalifikované, musí neprodleně zneplatnit certifikát, pokud o to držitel, podepisující osoba nebo označující osoba požádá, nebo pokud ho uvědomí, že hrozí nebezpečí zneužití jejich dat pro vytváření elektronických podpisů nebo elektronických značek, nebo v případě, že byl certifikát vydán na základě nepravdivých nebo chybných údajů.

 

            (4) Kvalifikovaný poskytovatel certifikačních služeb musí rovněž neprodleně zneplatnit certifikát vydaný jako kvalifikovaný, dozví-li se prokazatelně, že podepisující nebo označující osoba zemřela nebo zanikla nebo ji soud způsobilosti k právním úkonům zbavil nebo omezil, 2a) nebo pokud údaje, na jejichž základě byl certifikát vydán, pozbyly pravdivosti.

 

§ 6b

Povinnosti kvalifikovaného poskytovatele certifikačních služeb při vydávání kvalifikovaných časových razítek

 

            (1) Kvalifikovaný poskytovatel certifikačních služeb, který vydává kvalifikovaná časová razítka, je povinen

a) zajistit, aby časová razítka jím vydávaná jako kvalifikovaná obsahovala všechny náležitosti stanovené tímto zákonem,

 

b) zajistit, aby časový údaj vložený do kvalifikovaného časového razítka odpovídal hodnotě koordinovaného světového času při vytváření kvalifikovaného časového razítka,

 

c) zajistit, aby data v elektronické podobě, která jsou předmětem žádosti o vydání kvalifikovaného časového razítka, jednoznačně odpovídala datům v elektronické podobě obsaženým ve vydaném kvalifikovaném časovém razítku,

 

d) přijmout odpovídající opatření proti padělání kvalifikovaných časových razítek,

 

e) poskytovat na vyžádání třetím osobám podstatné informace o podmínkách pro využívání kvalifikovaných časových razítek, včetně omezení pro jejich použití a informace o tom, zda je, či není akreditován ministerstvem; tyto informace lze poskytovat elektronicky.

 

            (2) Kvalifikovaný poskytovatel certifikačních služeb vydá kvalifikované časové razítko neprodleně po přijetí žádosti o jeho vydání.

 

§ 7

Odpovědnost za škodu

 

            (1) Za škodu způsobenou porušením povinností stanovených tímto zákonem odpovídá kvalifikovaný poskytovatel certifikačních služeb podle zvláštních právních předpisů. 1a)

 

            (2) Kvalifikovaný poskytovatel certifikačních služeb neodpovídá za škodu vyplývající z použití certifikátu vydaného jako kvalifikovaný, která vznikla v důsledku nedodržení omezení pro jeho použití podle § 12 odst. 1 písm. i) a j) a § 12a písm. h).

 

§ 8

Ochrana osobních údajů

 

            Ochrana osobních údajů se řídí zvláštním právním předpisem. 3)

 

§ 9

Akreditace a dozor

 

            (1) Udělování akreditací k působení jako akreditovaný poskytovatel certifikačních služeb, jakož i dozor nad dodržováním tohoto zákona náleží ministerstvu.

 

            (2) Ministerstvo

 

a) uděluje a odnímá akreditace k působení jako akreditovaný poskytovatel certifikačních služeb subjektům působícím na území České republiky,

 

b) vykonává dozor nad činností akreditovaných poskytovatelů certifikačních služeb a kvalifikovaných poskytovatelů certifikačních služeb, ukládá jim opatření k nápravě a pokuty za porušení povinností podle tohoto zákona,

 

c) vede evidenci udělených akreditací a jejich změn a evidenci kvalifikovaných poskytovatelů certifikačních služeb,

 

d) vede evidenci vydaných kvalifikovaných systémových certifikátů, které používá kvalifikovaný poskytovatel certifikačních služeb podle § 6 odst. 1 písm. a) a které byly podle § 6 odst. 2 ověřeny ministerstvem,

 

e) průběžně uveřejňuje přehled udělených akreditací, přehled kvalifikovaných poskytovatelů certifikačních služeb a jejich kvalifikovaných služeb a kvalifikované systémové certifikáty podle písmena d), a to i způsobem umožňujícím dálkový přístup,

 

f) vyhodnocuje shodu nástrojů elektronického podpisu s požadavky stanovenými tímto zákonem a prováděcí vyhláškou,

 

g) plní další povinnosti stanovené tímto zákonem.

 

            (3) Za účelem výkonu dozoru je akreditovaný poskytovatel certifikačních služeb a kvalifikovaný poskytovatel certifikačních služeb povinen pověřeným zaměstnancům ministerstva umožnit v nezbytně nutném rozsahu vstup do obchodních a provozních prostor, na požádání předložit veškerou dokumentaci, záznamy, doklady, písemnosti a jiné podklady související s jeho činností, umožnit jim v nezbytně nutné míře přístup do svého informačního systému a poskytnout informace a veškerou potřebnou součinnost.

 

            (4) Není-li tímto zákonem stanoveno jinak, postupuje ministerstvo při výkonu dozoru podle zvláštního právního předpisu. 4)

 

            (5) Kvalifikovanému poskytovateli certifikačních služeb, který nesplnil povinnost součinnosti podle odstavce 3, lze uložit pořádkovou pokutu do výše 1 000 000 Kč.

 

§ 10

Podmínky udělení akreditace pro poskytování certifikačních služeb

 

            (1) Každý poskytovatel certifikačních služeb může požádat ministerstvo o udělení akreditace pro výkon činnosti akreditovaného poskytovatele certifikačních služeb.

 

            (2) V žádosti o akreditaci podle odstavce 1 musí žadatel doložit

a) v případě právnické osoby obchodní firmu nebo název, sídlo, popřípadě adresu organizační složky zahraniční osoby na území České republiky, a identifikační číslo žadatele, bylo-li přiděleno; v případě fyzické osoby jméno, popřípadě jména, příjmení, případně dodatek, místo usazení, místo podnikání, pokud je odlišné od místa usazení, a identifikační číslo žadatele, bylo-li přiděleno,

 

b) doklad o oprávnění k podnikatelské činnosti a u osoby zapsané do obchodního rejstříku také výpis z obchodního rejstříku ne starší než 3 měsíce,

 

c) výpis z rejstříku trestů podnikatele - fyzické osoby nebo statutárních představitelů právnické osoby v případě, že žadatelem je právnická osoba, ne starší než 3 měsíce,

 

d) věcné, personální a organizační předpoklady pro činnost kvalifikovaného poskytovatele certifikačních služeb podle § 6, 6a a 6b tohoto zákona,

 

e) údaj o tom, které kvalifikované certifikační služby hodlá žadatel poskytovat.

 

            (3) Jestliže žádost neobsahuje všechny požadované údaje, ministerstvo řízení přeruší a vyzve žadatele, aby ji ve stanovené lhůtě doplnil. Jestliže tak žadatel v této lhůtě neučiní, ministerstvo řízení zastaví.

 

            (4) Splňuje-li žadatel všechny podmínky předepsané tímto zákonem pro udělení akreditace, vydá ministerstvo rozhodnutí, jímž mu akreditaci udělí. V opačném případě žádost o udělení akreditace zamítne.

 

§ 10a

Podmínky pro rozšíření služeb akreditovaného poskytovatele certifikačních služeb

 

            (1) Akreditovaný poskytovatel certifikačních služeb může rozšířit poskytování kvalifikovaných certifikačních služeb o vydávání kvalifikovaných certifikátů, kvalifikovaných systémových certifikátů, kvalifikovaných časových razítek nebo o vydávání prostředků pro bezpečné vytváření elektronických podpisů podle tohoto zákona (dále jen "rozšiřované služby").

 

            (2) Akreditovaný poskytovatel certifikačních služeb je povinen rozšíření podle odstavce 1 oznámit ministerstvu tak, aby ministerstvo oznámení obdrželo alespoň 4 měsíce před zahájením poskytování služby.

 

            (3) V oznámení musí akreditovaný poskytovatel certifikačních služeb doložit věcné, personální a organizační předpoklady pro zajištění rozšiřovaných služeb.

 

            (4) Nedoloží-li akreditovaný poskytovatel certifikačních služeb skutečnosti podle odstavce 3, anebo jsou-li tyto skutečnosti neúplné nebo nepřesné, ministerstvo na to akreditovaného poskytovatele certifikačních služeb upozorní s tím, že nebudou-li tyto vady ve lhůtě, kterou k tomu určí, odstraněny, rozhodnutím rozšiřování služeb zakáže.

 

            (5) Ministerstvo oznámené rozšíření zakáže, pokud akreditovaný poskytovatel certifikačních služeb nesplnil všechny podmínky předepsané tímto zákonem pro poskytování rozšiřovaných služeb.

 

            (6) O zákazu rozšíření poskytování kvalifikovaných certifikačních služeb vydá ministerstvo rozhodnutí nejpozději do 90 dnů od okamžiku, kdy obdrželo oznámení.

 

§ 11

 

            (1) V oblasti orgánů veřejné moci je možné za účelem podpisu používat pouze zaručené elektronické podpisy a kvalifikované certifikáty vydávané akreditovanými poskytovateli certifikačních služeb (dále jen "uznávaný elektronický podpis"). To platí i pro výkon veřejné moci vůči fyzickým a právnickým osobám. Pokud je uznávaný elektronický podpis užíván v oblasti orgánů veřejné moci, musí kvalifikovaný certifikát obsahovat takové údaje, aby osoba byla jednoznačně identifikovatelná. Strukturu údajů, na základě kterých je možné osobu jednoznačně identifikovat, stanoví ministerstvo prováděcím právním předpisem.

 

            (2) Písemnosti orgánů veřejné moci v elektronické podobě označené elektronickou značkou založenou na kvalifikovaném systémovém certifikátu vydaném akreditovaným poskytovatelem certifikačních služeb nebo podepsané uznávaným elektronickým podpisem mají stejné právní účinky jako veřejné listiny vydané těmito orgány.

 

            (3) Orgán veřejné moci přijímá a odesílá datové zprávy podle odstavce 1 prostřednictvím elektronické podatelny.

 

§ 12

Náležitosti kvalifikovaného certifikátu

 

            (1) Kvalifikovaný certifikát musí obsahovat

a) označení, že je vydán jako kvalifikovaný certifikát podle tohoto zákona,

 

b) v případě právnické osoby obchodní firmu nebo název a stát, ve kterém je kvalifikovaný poskytovatel usazen; v případě fyzické osoby jméno, popřípadě jména, příjmení, případně dodatek, a stát, ve kterém je kvalifikovaný poskytovatel usazen,

 

c) jméno, popřípadě jména, a příjmení podepisující osoby nebo její pseudonym s příslušným označením, že se jedná o pseudonym,

 

d) zvláštní znaky podepisující osoby, vyžaduje-li to účel kvalifikovaného certifikátu,

 

e) data pro ověřování podpisu, která odpovídají datům pro vytváření podpisu, jež jsou pod kontrolou podepisující osoby,

 

f) elektronickou značku poskytovatele certifikačních služeb založenou na kvalifikovaném systémovém certifikátu poskytovatele, který kvalifikovaný certifikát vydává,

 

g) číslo kvalifikovaného certifikátu unikátní u daného poskytovatele certifikačních služeb,

 

h) počátek a konec platnosti kvalifikovaného certifikátu,

 

i) případně údaje o tom, zda se používání kvalifikovaného certifikátu omezuje podle povahy a rozsahu jen pro určité použití,

 

j) případně omezení hodnot transakcí, pro něž lze kvalifikovaný certifikát použít.

 

            (2) Omezení pro použití kvalifikovaného certifikátu podle odstavce 1 písm. i) a j) musí být zjevná třetím stranám.

 

            (3) Další osobní údaje smí kvalifikovaný certifikát obsahovat jen se svolením podepisující osoby.

 

§ 12a

Náležitosti kvalifikovaného systémového certifikátu

 

            Kvalifikovaný systémový certifikát musí obsahovat

a) označení, že je vydán jako kvalifikovaný systémový certifikát podle tohoto zákona,

 

b) v případě právnické osoby obchodní firmu nebo název a stát, ve kterém je kvalifikovaný poskytovatel usazen; v případě fyzické osoby jméno, popřípadě jména, příjmení, případně dodatek, a stát, ve kterém je kvalifikovaný poskytovatel usazen,

 

c) jednoznačnou identifikaci označující osoby, případně prostředku pro vytváření elektronických značek,

 

d) data pro ověřování elektronických značek, která odpovídají datům pro vytváření elektronických značek, jež jsou pod kontrolou označující osoby,

 

e) elektronickou značku poskytovatele certifikačních služeb založenou na kvalifikovaném systémovém certifikátu poskytovatele, který kvalifikovaný systémový certifikát vydává,

 

f) číslo kvalifikovaného systémového certifikátu unikátní u daného kvalifikovaného poskytovatele certifikačních služeb,

 

g) počátek a konec platnosti kvalifikovaného systémového certifikátu,

 

h) omezení pro použití kvalifikovaného systémového certifikátu, přičemž tato omezení musí být zjevná třetím stranám.

 

§ 12b

Náležitosti kvalifikovaného časového razítka

 

            Kvalifikované časové razítko musí obsahovat

a) číslo kvalifikovaného časového razítka unikátní u daného kvalifikovaného poskytovatele certifikačních služeb,

 

b) označení pravidel, podle kterých kvalifikovaný poskytovatel certifikačních služeb kvalifikované časové razítko vydal,

 

c) v případě právnické osoby obchodní firmu nebo název a stát, ve kterém je kvalifikovaný poskytovatel usazen; v případě fyzické osoby jméno, popřípadě jména, příjmení, případně dodatek, a stát, ve kterém je kvalifikovaný poskytovatel usazen,

 

d) hodnotu času, která odpovídá koordinovanému světovému času při vytváření kvalifikovaného časového razítka,

 

e) data v elektronické podobě, pro která bylo kvalifikované časové razítko vydáno,

 

f) elektronickou značku kvalifikovaného poskytovatele certifikačních služeb, který kvalifikované časové razítko vydal.

 

§ 13

Povinnosti kvalifikovaného poskytovatele certifikačních služeb při ukončení činnosti

 

            (1) Kvalifikovaný poskytovatel certifikačních služeb musí záměr ukončit svou činnost ohlásit ministerstvu nejméně 3 měsíce před plánovaným datem ukončení činnosti a musí vynaložit veškeré možné úsilí k tomu, aby evidence vedená podle § 6 odst. 5 byla převzata jiným kvalifikovaným poskytovatelem certifikačních služeb. Kvalifikovaný poskytovatel certifikačních služeb dále musí prokazatelně informovat každou podepisující osobu, označující osobu a držitele, kterým poskytuje své certifikační služby, o svém záměru ukončit svoji činnost nejméně 2 měsíce před plánovaným datem ukončení činnosti.

 

            (2) Nemůže-li kvalifikovaný poskytovatel certifikačních služeb zajistit, aby evidenci vedenou podle § 6 odst. 5 převzal jiný kvalifikovaný poskytovatel certifikačních služeb, je povinen to nejpozději 30 dnů před plánovaným datem ukončení činnosti ministerstvu ohlásit. V takovém případě ministerstvo převezme evidenci a oznámí to dotčeným subjektům.

 

            (3) Ustanovení odstavců 1 a 2 se použijí přiměřeně také v případě, když kvalifikovaný poskytovatel certifikačních služeb zanikne, zemře nebo přestane vykonávat svoji činnost, aniž splní ohlašovací povinnost podle odstavce 1.

 

§ 14

Opatření k nápravě

 

            (1) Zjistí-li ministerstvo, že akreditovaný poskytovatel certifikačních služeb nebo kvalifikovaný poskytovatel certifikačních služeb porušuje povinnosti stanovené tímto zákonem, uloží mu, aby ve stanovené lhůtě sjednal nápravu, a případně určí, jaká opatření k odstranění nedostatků je tento poskytovatel certifikačních služeb povinen přijmout.

 

            (2) V případě, že se akreditovaný poskytovatel certifikačních služeb dopustí závažnějšího porušení povinností stanovených tímto zákonem nebo ve stanovené lhůtě neodstraní nedostatky zjištěné ministerstvem, je ministerstvo oprávněno mu udělenou akreditaci odejmout.

 

            (3) Rozhodne-li ministerstvo o odnětí akreditace, může současně rozhodnout o zneplatnění certifikátů vydaných jako kvalifikované poskytovatelem certifikačních služeb v době platnosti akreditace.

 

§ 15

Zrušení kvalifikovaného certifikátu nebo kvalifikovaného systémového certifikátu

 

            Ministerstvo může nařídit kvalifikovanému poskytovateli certifikačních služeb jako předběžné opatření 7) zneplatnění certifikátu vydaného jako kvalifikovaný, pokud existuje důvodné podezření, že certifikát byl padělán, nebo pokud byl vydán na základě nepravdivých údajů. Rozhodnutí o zneplatnění certifikátu vydaného jako kvalifikovaný může být vydáno také v případě, kdy bylo zjištěno, že podepisující nebo označující osoba používá prostředek pro vytváření podpisu nebo prostředek pro vytváření elektronických značek, který vykazuje bezpečnostní nedostatky, které by umožnily padělání zaručených elektronických podpisů nebo elektronických značek nebo změnu podepisovaných nebo označovaných údajů.

 

§ 16

Uznávání zahraničních kvalifikovaných certifikátů

 

            (1) Certifikát, který je vydán poskytovatelem certifikačních služeb usazeným v některém z členských států Evropské unie jako kvalifikovaný, je kvalifikovaným certifikátem ve smyslu tohoto zákona.

 

            (2) Certifikát, který je vydán jako kvalifikovaný ve smyslu tohoto zákona v jiném než členském státu Evropské unie, je kvalifikovaným certifikátem ve smyslu tohoto zákona, pokud

a) poskytovatel certifikačních služeb splňuje podmínky práva Evropských společenství 1) a byl akreditován k působení jako akreditovaný poskytovatel certifikačních služeb v některém z členských států Evropské unie,

 

b) poskytovatel certifikačních služeb usazený v některém z členských států Evropské unie, který splňuje podmínky práva Evropských společenství, 1) převezme odpovědnost za platnost a správnost certifikátu ve stejném rozsahu jako u svých kvalifikovaných certifikátů, nebo

 

c) to vyplývá z mezinárodní smlouvy.

 

§ 17

Prostředky pro bezpečné vytváření a ověřování elektronických podpisů

 

            (1) Prostředek pro bezpečné vytváření podpisu musí za pomoci odpovídajících technických a programových prostředků a postupů minimálně zajistit, že

a) data pro vytváření podpisu se mohou vyskytnout pouze jednou a že jejich utajení je náležitě zajištěno,

 

b) data pro vytváření podpisu nelze při náležitém zajištění odvodit ze znalosti způsobu jejich vytváření a že podpis je chráněn proti padělání s využitím existující dostupné technologie,

 

c) data pro vytváření podpisu mohou být podepisující osobou spolehlivě chráněna proti zneužití třetí osobou.

 

            (2) Prostředky pro bezpečné vytváření podpisu nesmí měnit data, která se podepisují, ani zabraňovat tomu, aby tato data byla předložena podepisující osobě před vlastním procesem podepisování.

 

            (3) Prostředky pro bezpečné vytváření elektronických podpisů musí být před svým použitím bezpečným způsobem vydány a data pro vytváření elektronických podpisů musí být důvěryhodným způsobem v těchto prostředcích vytvořena nebo do nich přidána.

 

            (4) Prostředek pro bezpečné ověřování podpisu musí za pomoci odpovídajících technických a programových prostředků a postupů minimálně zajistit, aby

a) data používaná pro ověření podpisu odpovídala datům zobrazeným osobě provádějící ověření,

 

b) podpis byl spolehlivě ověřen a výsledek tohoto ověření byl řádně zobrazen,

 

c) ověřující osoba mohla spolehlivě zjistit obsah podepsaných dat,

 

d) pravost a platnost certifikátu při ověřování podpisu byly spolehlivě zjištěny,

 

e) výsledek ověření a totožnost podepisující osoby byly řádně zobrazeny,

 

f) bylo jasně uvedeno použití pseudonymu,

 

g) bylo možné zjistit veškeré změny ovlivňující bezpečnost.

 

§ 17a

Prostředky pro vytváření elektronických značek

 

            (1) Prostředek pro vytváření elektronických značek musí za pomoci odpovídajících technických a programových prostředků a postupů minimálně zajistit, že

a) data pro vytváření elektronických značek jsou dostatečným způsobem utajena a jsou označující osobou spolehlivě chráněna proti zneužití třetí osobou,

 

b) označující osoba je informována, že zahajuje používání tohoto prostředku.

 

            (2) Prostředek pro vytváření elektronických značek musí být nastaven tak, aby i bez další kontroly označující osoby označil právě a pouze ty datové zprávy, které označující osoba k označení zvolí.

 

            (3) Prostředek pro vytváření elektronických značek musí být chráněn proti neoprávněné změně a musí zaručovat, že jakákoli jeho změna bude patrná označující osobě.

 

§ 18

Správní delikty právnických osob

 

            (1) Kvalifikovanému poskytovateli certifikačních služeb, který

a) nezajistí, aby se každý mohl ujistit o jeho identitě a jeho kvalifikovaném systémovém certifikátu podle § 6 odst. 1 písm. a),

 

b) nezajistí, aby poskytování kvalifikovaných certifikačních služeb vykonávaly osoby s odbornými znalostmi a kvalifikací nezbytnými pro poskytované kvalifikované certifikační služby a obeznámené s příslušnými bezpečnostními postupy,

 

c) nezajištěním dostatečné bezpečnosti používaných systémů a nástrojů elektronického podpisu a postupů, které tyto systémy a nástroje podporují podle § 6 odst. 1 písm. c) a d), ohrozí bezpečnost poskytovaných kvalifikovaných certifikačních služeb,

 

d) nedisponuje dostatečnými finančními zdroji nebo jiným finančním zajištěním na provoz podle § 6 odst. 1 písm. e), a tím ohrozí bezpečnost poskytovaných kvalifikovaných certifikačních služeb,

 

e) nesplní informační povinnost podle § 6 odst. 1 písm. f), § 6 odst. 3 nebo § 13 odst. 1,

 

f) nesplní ohlašovací povinnost podle § 6 odst. 2, včetně předání kvalifikovaného systémového certifikátu k ověření nebo podle § 13 odst. 1 nebo 2,

 

g) poskytne certifikační služby na základě jiné než písemné smlouvy,

 

h) neuchovává informace a dokumentaci podle § 6 odst. 5,

 

i) neuchovává veškeré informace a dokumentaci podle § 6 odst. 6 po dobu nejméně 10 let, nebo

 

j) nezajistí uchovávané informace a dokumentaci před ztrátou, zneužitím, zničením nebo poškozením podle § 6 odst. 6,

            se uloží pokuta do výše 10 000 000 Kč.

 

            (2) Kvalifikovanému poskytovateli certifikačních služeb, který vydává kvalifikované certifikáty nebo kvalifikované systémové certifikáty a který

a) nezajistí, aby certifikáty jím vydané jako kvalifikované obsahovaly všechny náležitosti stanovené tímto zákonem,

 

b) nezajistí, aby údaje uvedené v certifikátech vydaných jako kvalifikované byly přesné, pravdivé a úplné,

 

c) neověří identitu osoby podle § 6a odst. 1 písm. c),

 

d) nezajistí soulad dat podle § 6a odst. 1 písm. d),

 

e) nezajistí provozování bezpečného a veřejně přístupného seznamu certifikátů vydaných jako kvalifikované a nezajistí jeho dostupnost a aktualizaci podle § 6a odst. 1 písm. e),

 

f) nezajistí provozování bezpečného a veřejně přístupného seznamu certifikátů vydaných jako kvalifikované, které byly zneplatněny, a to i dálkovým přístupem,

 

g) nezajistí, aby datum a čas s uvedením hodiny, minuty a sekundy, kdy je certifikát vydaný jako kvalifikovaný vydán nebo zneplatněn, mohly být přesně určeny,

 

h) nepřijetím odpovídajících opatření proti zneužití a padělání certifikátů vydaných jako kvalifikované ohrozí bezpečnost poskytovaných kvalifikovaných certifikačních služeb,

 

i) nesplní informační povinnost podle § 6a odst. 1 písm. i),

 

j) nezajistí soulad a utajení dat podle § 6a odst. 2, pokud tato data pro podepisující nebo označující osobu vytváří,

 

k) kopíruje a uchovává data podle § 6a odst. 2, pokud tato data pro podepisující nebo označující osobu vytváří, nebo

 

l) nezneplatní certifikát podle § 6a odst. 3 a 4, se uloží pokuta do výše 10 000 000 Kč.

 

            (3) Kvalifikovanému poskytovateli certifikačních služeb, který vydává kvalifikovaná časová razítka a který

a) nezajistí, aby časová razítka jím vydávaná jako kvalifikovaná obsahovala všechny náležitosti stanovené v § 12b,

 

b) nezajistí, aby časový údaj vložený do kvalifikovaného časového razítka odpovídal hodnotě koordinovaného světového času při vytváření kvalifikovaného časového razítka,

 

c) nezajistí, aby data v elektronické podobě, která jsou předmětem žádosti o vydání kvalifikovaného časového razítka, odpovídala datům v elektronické podobě obsaženým ve vydaném kvalifikovaném časovém razítku,

 

d) nepřijme odpovídající opatření proti padělání kvalifikovaných časových razítek, a tím ohrozí bezpečnost poskytovaných kvalifikovaných certifikačních služeb,

 

e) nesplní informační povinnost podle § 6b odst. 1 písm. e), nebo

 

f) nevydá kvalifikované časové razítko neprodleně po přijetí žádosti o jeho vydání,

            se uloží pokuta do výše 10 000 000 Kč.

 

            (4) Kvalifikovanému poskytovateli certifikačních služeb, který vydává prostředky pro bezpečné vytváření elektronických podpisů a který

a) nevydá prostředky pro bezpečné vytváření elektronických podpisů bezpečně podle § 17 odst. 3, nebo

 

b) nevytvoří v těchto prostředcích nebo nepřidá do těchto prostředků data pro vytváření elektronických podpisů důvěryhodným způsobem podle § 17 odst. 3,

            se uloží pokuta do výše 10 000 000 Kč.

 

            (5) Akreditovanému poskytovateli certifikačních služeb, který nesplní oznamovací povinnost podle § 10a odst. 2, se uloží pokuta do výše 10 000 000 Kč.

 

            (6) Akreditovanému poskytovateli certifikačních služeb, který poruší zákaz vydaný ministerstvem podle § 10a odst. 5, se uloží pokuta do výše 10 000 000 Kč.

 

§ 18a

Přestupky

 

            (1) Kvalifikovaný poskytovatel certifikačních služeb se dopustí přestupku tím, že

a) nezajistí, aby se každý mohl ujistit o jeho identitě a jeho kvalifikovaném systémovém certifikátu podle § 6 odst. 1 písm. a),

 

b) nezajistí, aby poskytování kvalifikovaných certifikačních služeb vykonávaly osoby s odbornými znalostmi a kvalifikací nezbytnými pro poskytované kvalifikované certifikační služby a obeznámené s příslušnými bezpečnostními postupy,

 

c) nezajištěním dostatečné bezpečnosti používaných systémů a nástrojů elektronického podpisu a postupů, které tyto systémy a nástroje podporují podle § 6 odst. 1 písm. c) a písm. d), ohrozí bezpečnost poskytovaných kvalifikovaných certifikačních služeb,

 

d) nedisponuje dostatečnými finančními zdroji nebo jiným finančním zajištěním na provoz podle § 6 odst. 1 písm. e), a tím ohrozí bezpečnost poskytovaných kvalifikovaných certifikačních služeb,

 

e) nesplní informační povinnost podle § 6 odst. 1 písm. f), § 6 odst. 3 nebo § 13 odst. 1,

 

f) nesplní ohlašovací povinnost podle § 6 odst. 2, včetně předání kvalifikovaného systémového certifikátu k ověření nebo podle § 13 odst. 1 nebo 2,

 

g) poskytne certifikační služby na základě jiné než písemné smlouvy,

 

h) neuchovává informace a dokumentaci podle § 6 odst. 5,

 

i) neuchovává veškeré informace a dokumentaci podle § 6 odst. 6 po dobu nejméně 10 let, nebo

 

j) nezajistí uchovávané informace a dokumentaci před ztrátou, zneužitím, zničením nebo poškozením podle § 6 odst. 6.

 

            (2) Kvalifikovaný poskytovatel certifikačních služeb, který vydává kvalifikované certifikáty nebo kvalifikované systémové certifikáty, se dopustí přestupku tím, že

a) nezajistí, aby certifikáty jím vydané jako kvalifikované obsahovaly všechny náležitosti stanovené tímto zákonem,

 

b) nezajistí, aby údaje uvedené v certifikátech vydaných jako kvalifikované byly přesné, pravdivé a úplné,

 

c) neověří identitu osoby podle § 6a odst. 1 písm. c),

 

d) nezajistí soulad dat podle § 6a odst. 1 písm. d),

 

e) nezajistí provozování bezpečného a veřejně přístupného seznamu certifikátů vydaných jako kvalifikované a nezajistí jeho dostupnost a aktualizaci podle § 6a odst. 1 písm. e),

 

f) nezajistí provozování bezpečného a veřejně přístupného seznamu certifikátů vydaných jako kvalifikované, které byly zneplatněny, a to i dálkovým přístupem,

 

g) nezajistí, aby datum a čas s uvedením hodiny, minuty a sekundy, kdy je certifikát vydaný jako kvalifikovaný vydán nebo zneplatněn, mohly být přesně určeny,

 

h) nepřijetím odpovídajících opatření proti zneužití a padělání certifikátů vydaných jako kvalifikované ohrozí bezpečnost poskytovaných kvalifikovaných certifikačních služeb,

 

i) nesplní informační povinnost podle § 6a odst. 1 písm. i),

 

j) nezajistí soulad a utajení dat podle § 6a odst. 2, pokud tato data pro podepisující nebo označující osobu vytváří,

 

k) kopíruje a uchovává data podle § 6a odst. 2, pokud tato data pro podepisující nebo označující osobu vytváří, nebo

 

l) nezneplatní certifikát podle § 6a odst. 3 a 4.

 

            (3) Kvalifikovaný poskytovatel certifikačních služeb, který vydává kvalifikovaná časová razítka, se dopustí přestupku tím, že

a) nezajistí, aby časová razítka jím vydávaná jako kvalifikovaná obsahovala všechny náležitosti stanovené v § 12b,

 

b) nezajistí, aby časový údaj vložený do kvalifikovaného časového razítka odpovídal hodnotě koordinovaného světového času při vytváření kvalifikovaného časového razítka,

 

c) nezajistí, aby data v elektronické podobě, která jsou předmětem žádosti o vydání kvalifikovaného časového razítka, odpovídala datům v elektronické podobě obsaženým ve vydaném kvalifikovaném časovém razítku,

 

d) nepřijme odpovídající opatření proti padělání kvalifikovaných časových razítek, a tím ohrozí bezpečnost poskytovaných kvalifikovaných certifikačních služeb,

 

e) nesplní informační povinnost podle § 6b odst. 1 písm. e), nebo

 

f) nevydá kvalifikované časové razítko neprodleně po přijetí žádosti o jeho vydání.

 

            (4) Kvalifikovaný poskytovatel certifikačních služeb, který vydává prostředky pro bezpečné vytváření elektronických podpisů, se dopustí přestupku tím, že

a) nevydá prostředky pro bezpečné vytváření elektronických podpisů bezpečně podle § 17 odst. 3, nebo

 

b) nevytvoří v těchto prostředcích nebo nepřidá do těchto prostředků data pro vytváření elektronických podpisů důvěryhodným způsobem podle § 17 odst. 3.

 

            (5) Fyzická osoba se dopustí přestupku tím, že poruší povinnost mlčenlivosti podle § 6 odst. 7.

 

            (6) Za přestupky podle odstavců 1 až 4 lze uložit pokutu do výše 10 000 000 Kč.

 

            (7) Za přestupek podle odstavce 5 lze uložit pokutu do výše 250 000 Kč.

 

§ 19

Společná ustanovení

 

            (1) Právnická osoba za správní delikt neodpovídá, jestliže prokáže, že vynaložila veškeré úsilí, které bylo možno požadovat, aby porušení právní povinnosti zabránila.

 

            (2) Při určení výměry pokuty právnické osobě se přihlédne k závažnosti správního deliktu, zejména ke způsobu jeho spáchání a jeho následkům a k okolnostem, za nichž bylo spácháno.

 

            (3) Odpovědnost právnické osoby za správní delikt zaniká, jestliže správní orgán o něm nezahájil řízení do 1 roku ode dne, kdy se o něm dozvěděl, nejpozději však do 3 let ode dne, kdy byl spáchán.

 

            (4) Správní delikty podle tohoto zákona v prvním stupni projednává ministerstvo.

 

            (5) Na odpovědnost za jednání, k němuž došlo při podnikání fyzické osoby 8) nebo v přímé souvislosti s ním, se vztahují ustanovení zákona o odpovědnosti a postihu právnické osoby.

 

            (6) Pokuty vybírá a vymáhá místně příslušný územní finanční úřad. Výnos z pokut je příjmem státního rozpočtu.

 

§ 20

Zmocňovací ustanovení

 

            (1) Ministerstvo stanoví prováděcím právním předpisem způsob splnění informační povinnosti podle § 6 odst. 1 písm. a) a f) a odst. 3, kvalifikační požadavky podle § 6 odst. 1 písm. b), požadavky na bezpečné systémy a bezpečné nástroje podle § 6 odst. 1 písm. c) a d), způsob uchovávání informací a dokumentace podle § 6 odst. 5 a 6 a způsob, jakým se splnění těchto požadavků dokládá.

 

            (2) Ministerstvo stanoví prováděcím právním předpisem způsob ověření souladu dat podle § 6a odst. 1 písm. d), způsob zajištění bezpečnosti seznamů podle § 6a odst. 1 písm. e) a f), určení data a času podle § 6a odst. 1 písm. g), náležitosti opatření podle § 6a odst. 1 písm. h), způsob splnění informační povinnosti podle § 6a odst. 1 písm. i), způsob ochrany a zajištění souladu dat podle § 6a odst. 2, způsob zneplatnění certifikátů podle § 6a odst. 3 a 4 a způsob, jakým se splnění těchto požadavků dokládá.

 

            (3) Ministerstvo stanoví prováděcím právním předpisem způsob zajištění přesnosti času při vytváření kvalifikovaného časového razítka podle § 6b odst. 1 písm. b), způsob zajištění souladu dat podle § 6b odst. 1 písm. c), náležitosti opatření podle § 6b odst. 1 písm. d), způsob splnění informační povinnosti podle § 6b odst. 1 písm. e) a způsob, jakým se splnění těchto požadavků dokládá.

 

            (4) Ministerstvo stanoví prováděcím právním předpisem strukturu údajů, na základě kterých je možné osobu jednoznačně identifikovat, a postupy orgánů veřejné moci uplatňované při přijímání a odesílání datových zpráv prostřednictvím elektronické podatelny podle § 11 odst. 3.

 

            (5) Ministerstvo stanoví prováděcím právním předpisem způsob zajištění postupů, které musí podporovat prostředky pro bezpečné vytváření a ověřování elektronických podpisů při ochraně dat pro vytváření elektronických podpisů podle § 17 a prostředky pro vytváření elektronických značek při ochraně dat pro vytváření elektronických značek podle § 17a, a způsob, jakým se splnění těchto požadavků dokládá.

 

ČÁST DRUHÁ

 

Změna občanského zákoníku

 

§ 21

 

            Zákon č. 40/1964 Sb. , občanský zákoník, ve znění zákona č. 58/1969 Sb. , zákona č. 131/1982 Sb. , zákona č. 94/1988 Sb. , zákona č. 188/1988 Sb. , zákona č. 87/1990 Sb. , zákona č. 105/1990 Sb. , zákona č. 116/1990 Sb. , zákona č. 87/1991 Sb. , zákona č. 509/1991 Sb. , zákona č. 264/1992 Sb. , zákona č. 267/1994 Sb. , zákona č. 104/1995 Sb. , zákona č. 118/1995 Sb. , zákona č. 89/1996 Sb. , zákona č. 94/1996 Sb. , zákona č. 227/1997 Sb. , zákona č. 91/1998 Sb. , zákona č. 165/1998 Sb. , zákona č. 159/1999 Sb. , zákona č. 363/1999 Sb. , zákona č. 27/2000 Sb. a zákona č. 103/2000 Sb. , se mění takto:

 

            V § 40 odst. 3 se doplňuje tato věta:

 

            "Je-li právní úkon učiněn elektronickými prostředky, může být podepsán elektronicky podle zvláštních předpisů.".

 

ČÁST TŘETÍ

 

Změna zákona č. 337/1992 Sb. , o správě daní a poplatků

 

§ 22

 

            Zákon č. 337/1992 Sb. , o správě daní a poplatků, ve znění zákona č. 35/1993 Sb. , zákona č. 157/1993 Sb. , zákona č. 302/1993 Sb. , zákona č. 315/1993 Sb. , zákona č. 323/1993 Sb. , zákona č. 85/1994 Sb. , zákona č. 255/1994 Sb. , zákona č. 59/1995 Sb. , zákona č. 118/1995 Sb. , zákona č. 323/1996 Sb. , zákona č. 61/1997 Sb. , zákona č. 242/1997 Sb. , zákona č. 91/1998 Sb. , zákona č. 168/1998 Sb. , zákona č. 29/2000 Sb. , zákona č. 159/2000 Sb. a zákona č. 218/2000 Sb. , se mění takto:

 

            V § 21 odstavce 2 a 3 znějí:

 

            "(2) Stanoví-li tak tento nebo zvláštní zákon, podávají daňové subjekty o své daňové povinnosti příslušnému správci daně přiznání, hlášení a vyúčtování na předepsaných tiskopisech. Tiskopisy zveřejněné v elektronické podobě lze podepsat elektronicky podle zvláštních předpisů.

 

            (3) Jiná podání v daňových věcech, jako jsou oznámení, žádosti, návrhy, námitky, odvolání apod., lze učinit buď písemně nebo ústně do protokolu nebo elektronicky podepsané podle zvláštních předpisů či za použití jiných přenosových technik (dálnopis, telefax apod.).".

 

ČÁST ČTVRTÁ

 

zrušena

 

§ 23

zrušen

 

ČÁST PÁTÁ

 

Změna občanského soudního řádu

 

§ 24

 

            Zákon č. 99/1963 Sb. , občanský soudní řád, ve znění zákona č. 36/1967 Sb. , zákona č. 158/1969 Sb. , zákona č. 49/1973 Sb. , zákona č. 20/1975 Sb. , zákona č. 133/1982 Sb. , zákona č. 180/1990 Sb. , zákona č. 328/1991 Sb. , zákona č. 519/1991 Sb. , zákona č. 263/1992 Sb. , zákona č. 24/1993 Sb. , zákona č. 171/1993 Sb. , zákona č. 117/1994 Sb. , zákona č. 152/1994 Sb. , zákona č. 216/1994 Sb. , zákona č. 84/1995 Sb. , zákona č. 118/1995 Sb. , zákona č. 160/1995 Sb. , zákona č. 238/1995 Sb. , zákona č. 247/1995 Sb. , nálezu Ústavního soudu č. 31/1996 Sb. , zákona č. 142/1996 Sb. , nálezu Ústavního soudu č. 269/1996 Sb. , zákona č. 202/1997 Sb. , zákona č. 227/1997 Sb. , zákona č. 15/1998 Sb. , zákona č. 91/1998 Sb. , zákona č. 165/1998 Sb. , zákona č. 326/1999 Sb. , zákona č. 360/1999 Sb. , nálezu Ústavního soudu č. 2/2000 Sb. , zákona č. 27/2000 Sb. , zákona č. 30/2000 Sb. , zákona č. 46/2000 Sb. , zákona č. 105/2000 Sb. , zákona č. 130/2000 Sb. , zákona č. 155/2000 Sb. a zákona č. 220/2000 Sb. , se mění takto:

 

            V § 42 odst. 1 věta první zní: "Podání je možno učinit písemně, ústně do protokolu, v elektronické podobě podepsané elektronicky podle zvláštních předpisů, telegraficky nebo telefaxem.".

 

ČÁST ŠESTÁ

 

Změna trestního řádu

 

§ 25

 

            Zákon č. 141/1961 Sb. , o trestním řízení soudním (trestní řád), ve znění zákona č. 57/1965 Sb. , zákona č. 58/1969 Sb. , zákona č. 149/1969 Sb. , zákona č. 48/1973 Sb. , zákona č. 29/1978 Sb. , zákona č. 43/1980 Sb. , zákona č. 159/1989 Sb. , zákona č. 178/1990 Sb. , zákona č. 303/1990 Sb. , zákona č. 558/1991 Sb. , zákona č. 25/1993 Sb. , zákona č. 115/1993 Sb. , zákona č. 292/1993 Sb. , zákona č. 154/1994 Sb. , nálezu Ústavního soudu č. 214/1994 Sb. , nálezu Ústavního soudu č. 8/1995 Sb. , zákona č. 152/1995 Sb. , zákona č. 150/1997 Sb. , zákona č. 209/1997 Sb. , zákona č. 148/1998 Sb. , zákona č. 166/1998 Sb. , zákona č. 191/1999 Sb. , zákona č. 29/2000 Sb. a zákona č. 30/2000 Sb. , se mění takto:

 

            V § 59 odstavec 1 zní:

 

            "(1) Podání se posuzuje vždy podle svého obsahu, i když je nesprávně označeno. Lze je učinit písemně, ústně do protokolu, v elektronické podobě podepsané elektronicky podle zvláštních předpisů, telegraficky, telefaxem nebo dálnopisem.".

 

ČÁST SEDMÁ

 

Změna zákona o ochraně osobních údajů

 

§ 26

 

            Zákon č. 101/2000 Sb. , o ochraně osobních údajů a o změně některých zákonů, se mění takto:

 

            V § 29 se doplňuje odstavec 4 , který zní:

 

            "(4) Úřad uděluje a odnímá akreditace k působení jako akreditovaný poskytovatel certifikačních služeb a provádí dozor nad dodržováním povinností stanovených zákonem o elektronickém podpisu.".

 

ČÁST OSMÁ

 

Změna zákona o správních poplatcích

 

§ 27

 

            Zákon č. 368/1992 Sb. , o správních poplatcích, ve znění zákona č. 10/1993 Sb. , zákona č. 72/1994 Sb. , zákona č. 85/1994 Sb. , zákona č. 273/1994 Sb. , zákona č. 36/1995 Sb. , zákona č. 118/1995 Sb. , zákona č. 160/1995 Sb. , zákona č. 301/1995 Sb. , zákona č. 151/1997 Sb. , zákona č. 305/1997 Sb. , zákona č. 149/1998 Sb. , zákona č. 157/1998 Sb. , zákona č. 167/1998 Sb. , zákona č. 63/1999 Sb. , zákona č. 166/1999 Sb. , zákona č. 167/1999 Sb. , zákona č. 223/1999 Sb. , zákona č. 326/1999 Sb. , zákona č. 352/1999 Sb. , zákona č. 357/1999 Sb. , zákona č. 360/1999 Sb. , zákona č. 363/1999 Sb. , zákona č. 46/2000 Sb. , zákona č. 62/2000 Sb. , zákona č. 117/2000 Sb. , zákona č. 133/2000 Sb. , zákona č. 151/2000 Sb. , zákona č. 153/2000 Sb. , zákona č. 154/2000 Sb., zákona č. 156/2000 Sb. a zákona č. 158/2000 Sb. , se mění takto:

 

            1. V příloze k zákonu (Sazebník správních poplatků) se doplňuje nová část XII , která zní:

 

"ČÁST XII

 

ŘÍZENÍ PODLE ZÁKONA O ELEKTRONICKÉM PODPISU

 

            Položka 162

a) podání žádosti o akreditaci poskytovatele certifikačních služeb

                                                   Kč 100 000,-

b) podání  žádosti  o  vyhodnocení  shody  nástrojů elektronického

   podpisu s požadavky                             Kč  10 000,-.".

 

            2. REJSTŘÍK K SAZEBNÍKU se doplňuje o část XII, která zní:

 

"ČÁST XII

 

            Řízení podle zákona o elektronickém podpisu 162.".

 

            3. Tečka za částí XI se vypouští.

 

ČÁST DEVÁTÁ

 

ÚČINNOST

 

§ 28

 

            Tento zákon nabývá účinnosti prvním dnem třetího kalendářního měsíce po dni jeho vyhlášení.

 

Klaus v. r.

 

Havel v. r.

 

Zeman v. r.

 

Vybraná ustanovení novel

 

Čl.II zákona č. 440/2004 Sb.

 

Přechodná ustanovení

 

            Poskytovatelé certifikačních služeb, kterým byla udělena akreditace k působení jako akreditovaný poskytovatel certifikačních služeb přede dnem nabytí účinnosti tohoto zákona, jsou povinni přizpůsobit službu vydávání kvalifikovaných certifikátů zákonu č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), ve znění čl. I tohoto zákona, do 1. července 2005.

 

____________________

 

1) Směrnice Evropského parlamentu a Rady 99/93/ES ze dne 13. prosince 1999 o zásadách Společenství pro elektronické podpisy.

 

1a) Zákon č. 40/1964 Sb. , občanský zákoník, ve znění pozdějších předpisů.

 

2) Zákon č. 97/1974 Sb. , o archivnictví, ve znění pozdějších předpisů.

 

2a) § 10 zákona č. 40/1964 Sb. , občanský zákoník, ve znění pozdějších předpisů.

 

3) Zákon č. 101/2000 Sb. , o ochraně osobních údajů a o změně některých zákonů.

 

4) Zákon č. 552/1991 Sb. , o státní kontrole, ve znění pozdějších předpisů.

 

5) Zákon č. 368/1992 Sb. , o správních poplatcích, ve znění pozdějších předpisů.

 

7) § 43 zákona č. 71/1967 Sb. , o správním řízení (správní řád), ve znění pozdějších předpisů.

 

8) § 2 odst. 2 zákona č. 513/1991 Sb. , obchodní zákoník, ve znění pozdějších předpisů.


-> zpět <-

****************************************************************************

-> zpět <-                                                 495/2004 Sb.

 

NAŘÍZENÍ VLÁDY

ze dne 25. srpna 2004,

 

kterým se provádí zákon č. 227/2000 Sb. , o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), ve znění pozdějších předpisů

 

            Vláda nařizuje k provedení zákona č. 227/2000 Sb. , o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), ve znění zákona č. 226/2002 Sb. , zákona č. 517/2002 Sb. a zákona č. 440/2004 Sb. , (dále jen "zákon"):

 

§ 1

 

            (1) Pokud ze zvláštních právních předpisů 1) vyplývá pro orgány veřejné moci povinnost přijímat a odesílat datové zprávy se zaručenými elektronickými podpisy založenými na kvalifikovaných certifikátech vydaných akreditovanými poskytovateli certifikačních služeb (dále jen "uznávaný elektronický podpis"), orgány veřejné moci přijmou k zajištění postupů uplatňovaných při přijímání a odesílání datových zpráv prostřednictvím elektronické podatelny tato organizačně technická opatření:

 

a) provozují jednu nebo více elektronických podatelen; to se považuje za splněné rovněž v případě, kdy orgán veřejné moci dohodne s jiným orgánem veřejné moci, že bude přijímat a odesílat datové zprávy prostřednictvím jím provozované elektronické podatelny,

 

b) vybaví elektronickou podatelnu, pokud ji provozují, technickým a programovým vybavením, které slouží k zajištění postupů orgánu veřejné moci uplatňovaných při přijímání a odesílání datových zpráv prostřednictvím elektronické podatelny podle zvláštního právního předpisu 2) (dále jen "činnosti elektronické podatelny"), a

 

c) vybaví zaměstnance, kteří jsou oprávněni činit právní úkony v oblasti orgánů veřejné moci, kvalifikovanými certifikáty vydanými akreditovanými poskytovateli certifikačních služeb, popřípadě pořídí pro zajištění některých postupů podle zvláštního právního předpisu 2) kvalifikované systémové certifikáty vydané akreditovanými poskytovateli certifikačních služeb.

 

            (2) Kvalifikovaný certifikát podle odstavce 1 písm. c) obsahuje označení orgánu veřejné moci, jeho příslušného organizačního útvaru a zařazení zaměstnance. Kvalifikovaný systémový certifikát podle odstavce 1 písm. c) obsahuje označení orgánu veřejné moci.

 

§ 2

 

            (1) Orgán veřejné moci přijímá a uplatňuje souhrn organizačních, technických a personálních pravidel pro zajištění provozu elektronické podatelny v souladu se zákonem a zvláštními právními předpisy 2) a průběžně s nimi seznamuje zaměstnance pověřené výkonem činností elektronické podatelny. Součástí těchto pravidel jsou postupy pro řízení bezpečnosti a řešení mimořádných událostí.

 

            (2) Orgán veřejné moci zajišťuje

 

a) bezpečnost informačních systémů elektronické podatelny a ochranu dat zpracovávaných elektronickou podatelnou proti ztrátě, pozměnění a neoprávněnému přístupu podle zvláštních právních předpisů 3) ,

 

b) nasazení a provoz technických a programových prostředků elektronické podatelny v souladu s pokyny jeho výrobce nebo dodavatele, a to zejména v souladu s administrátorskými a uživatelskými příručkami,

 

c) průběžnou revizi pravidel podle odstavce 1 z hlediska jejich uplatnění v praxi a souladu se zákonem a pravidelnou kontrolu shody činnosti elektronické podatelny s těmito pravidly a

 

d) neprodlené zpracování přijatých datových zpráv podle postupů stanovených zvláštním právním předpisem 2) .

 

§ 3

 

            (1) Orgán veřejné moci zveřejní na své úřední desce, pokud ji má zřízenu, a též způsobem umožňujícím dálkový přístup informace potřebné k doručování datových zpráv orgánu veřejné moci. Těmito informacemi jsou alespoň

 

a) elektronická adresa elektronické podatelny a údaj o tom, zda je určena pro příjem všech datových zpráv nebo pouze datových zpráv určitého, předem stanoveného obsahu,

 

b) kontaktní údaje pro přijímání datových zpráv na technických nosičích,

 

c) případné další možnosti doručování datových zpráv, zejména prostřednictvím technického zařízení v sídle orgánu veřejné moci či v jeho organizačních jednotkách,

 

d) pravidla potvrzování doručení datových zpráv podle zvláštního právního předpisu 2) včetně vzoru datové zprávy, kterou se doručení potvrzuje,

 

e) technické parametry datových zpráv, pro jejichž přijetí má elektronická podatelna technické a programové vybavení, a technické parametry technických nosičů, na nichž lze předávat orgánu veřejné moci datové zprávy,

 

f) postup orgánu veřejné moci v případě, že u přijaté datové zprávy je zjištěn výskyt počítačového programu, který je způsobilý přivodit škodu na informačním systému nebo na informacích zpracovávaných orgánem veřejné moci, nebo chybný formát zprávy, který může takovou škodu způsobit,

 

g) způsob vyřizování dotazů týkajících se provozu elektronické podatelny,

 

h) aktuální seznam zaměstnanců podle § 1 odst. 1 písm. c) s uvedením příjmení, jména, popřípadě jmen a zařazení těchto zaměstnanců a

 

i) seznam právních předpisů 1) , podle kterých je možné vůči orgánu veřejné moci činit právní úkony v elektronické podobě a náležitosti těchto úkonů, zejména náležitosti týkající se použití uznávaného elektronického podpisu.

 

            (2) Pokud orgán veřejné moci přijímá datové zprávy prostřednictvím dvou nebo více elektronických podatelen, zveřejní údaje uvedené v odstavci 1 pro každou jednotlivou elektronickou podatelnu.

 

§ 4

 

            (1) Orgán veřejné moci oznámí do 30 dnů ode dne nabytí účinnosti tohoto nařízení na adresu elektronické podatelny Ministerstva informatiky elektronickou adresu elektronické podatelny nebo podatelen podle § 1 odst. 1 písm. a).

 

            (2) Orgán veřejné moci bezodkladně oznámí na adresu elektronické podatelny Ministerstva informatiky případnou změnu adresy elektronické podatelny nebo podatelen podle § 1 odst. 1 písm. a).

 

            (3) Oznámení podle odstavců 1 a 2 je podepsáno uznávaným elektronickým podpisem oprávněného zaměstnance nebo označeno elektronickou značkou orgánu veřejné moci podle zákona.

 

            (4) Ministerstvo informatiky v rámci informačního systému podle zvláštního zákona 4) zveřejňuje prostřednictvím portálu veřejné správy evidenci elektronických adres podle odstavce 1.

 

§ 5

 

            Nařízení vlády č. 304/2001 Sb. , kterým se provádí zákon č. 227/2000 Sb. , o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), se zrušuje.

 

§ 6

 

            Toto nařízení nabývá účinnosti dnem 1. ledna 2005.

 

Předseda vlády:

JUDr. Gross v. r.

 

Ministr informatiky:

Mlynář v. r.

 

____________________

 

1) Například zákon č. 337/1992 Sb. , o správě daní a poplatků, ve znění zákona č. 226/2002 Sb. , zákon č. 71/1967 Sb. , o správním řízení (správní řád), ve znění zákona č. 226/2002 Sb. , zákon č. 141/1961 Sb. , o trestním řízení soudním (trestní řád), ve znění zákona č. 226/2002 Sb.

 

2) Vyhláška č. 496/2004 Sb. , o elektronických podatelnách.

 

3) Zákon č. 365/2000 Sb. , o informačních systémech veřejné správy, ve znění zákona č. 517/2002 Sb.

Zákon č. 101/2000 Sb. , o ochraně osobních údajů a o změně některých zákonů, ve znění zákona č. 227/2000 Sb. , zákona č. 177/2001 Sb. , zákona č. 450/2001 Sb. , zákona č. 107/2002 Sb. , zákona č. 309/2002 Sb. , zákona č. 310/2002 Sb. a zákona č. 517/2002 Sb.

 

4) § 4 odst. 1 písm. g) zákona č. 365/2000 Sb. , o informačních systémech veřejné správy, ve znění pozdějších předpisů.


-> zpět <-

****************************************************************************

-> zpět <-                                                 496/2004 Sb.


VYHLÁŠKA

ze dne 29. července 2004

 

o elektronických podatelnách

 

            Ministerstvo informatiky stanoví podle § 20 odst. 4 zákona č. 227/2000 Sb. , o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), ve znění zákona č. 226/2002 Sb. , zákona č. 517/2002 Sb. a zákona č. 440/2004 Sb. , (dále jen "zákon"):

 

§ 1

Předmět úpravy

 

            Tato vyhláška stanoví postupy orgánů veřejné moci uplatňované při přijímání a odesílání datových zpráv prostřednictvím elektronické podatelny a strukturu údajů kvalifikovaného certifikátu, na základě kterých je možné podepisující osobu při přijímání datových zpráv prostřednictvím elektronické podatelny jednoznačně identifikovat.

 

§ 2

Přijetí a doručení datové zprávy

 

            (1) Nestanoví-li tato vyhláška jinak, je přijatá datová zpráva považována za doručenou orgánu veřejné moci, pokud je dostupná elektronické podatelně provozované podle zvláštního právního předpisu 1) .

 

            (2) Pokud je u přijaté datové zprávy zjištěn výskyt chybného formátu nebo počítačového programu, jež jsou způsobilé přivodit škodu na informačním systému nebo na informacích zpracovávaných orgánem veřejné moci (dále jen "škodlivý kód"), může být datová zpráva uložena jen mimo elektronickou podatelnu, a to za předpokladu, že není ohrožena bezpečnost informačního systému orgánu veřejné moci ani bezpečnost zpracovávaných informací. Taková datová zpráva není dostupná elektronické podatelně.

 

            (3) Doručená datová zpráva se ukládá do úložiště doručených datových zpráv ve tvaru, ve kterém byla přijata. Je-li k datové zprávě připojen kvalifikovaný certifikát a zaručený elektronický podpis založený na tomto certifikátu vydaném akreditovaným poskytovatelem certifikačních služeb (dále jen "uznávaný elektronický podpis") nebo kvalifikovaný systémový certifikát a elektronická značka založená na tomto certifikátu vydaném akreditovaným poskytovatelem certifikačních služeb (dále jen "uznávaná elektronická značka"), ukládají se spolu se zprávou.

 

            (4) Doručená datová zpráva se v elektronické podatelně

 

a) eviduje a dále se předává v souladu se zvláštními právními předpisy 2) upravujícími evidenci doručených písemností a další nakládání s nimi s tím, že čas doručení datové zprávy je zaznamenán s přesností na sekundu, a

 

b) označuje identifikátorem elektronické podatelny, který má charakter podacího razítka.

 

            (5) Doručení datové zprávy se potvrzuje odesilateli neprodleně zasláním datové zprávy v souladu s ustanovením § 3, pokud je orgán veřejné moci schopen z přijaté datové zprávy zjistit elektronickou adresu odesilatele. Součástí zprávy o potvrzení doručení je

 

a) uznávaný elektronický podpis oprávněného zaměstnance orgánu veřejné moci nebo uznávaná elektronická značka orgánu veřejné moci,

 

b) datum a čas s uvedením hodiny, minuty a sekundy, kdy byla datová zpráva doručena, a

 

c) charakteristika doručené datové zprávy umožňující její identifikaci.

 

            (6) U doručené datové zprávy elektronická podatelna zjišťuje, zda

 

a) datová zpráva odpovídá technickým parametrům, které orgán veřejné moci zveřejnil podle zvláštního právního předpisu 1) ,

 

b) je připojen uznávaný elektronický podpis nebo uznávaná elektronická značka, případně zda je připojeno kvalifikované časové razítko, pokud zvláštní právní předpis stanoví povinnost připojit jej k datové zprávě,

 

c) zaručený elektronický podpis je platný a jeho kvalifikovaný certifikát nebyl zneplatněn ( § 5 odst. 2 zákona) nebo elektronická značka je platná a její kvalifikovaný systémový certifikát nebyl zneplatněn ( § 5a odst. 3 zákona), případně zda je platné kvalifikované časové razítko, pokud zvláštní právní předpis stanoví povinnost připojit jej k datové zprávě,

 

d) je připojen kvalifikovaný certifikát nebo kvalifikovaný systémový certifikát podle písmene b) nebo zda je uveden akreditovaný poskytovatel certifikačních služeb, který certifikát vydal a vede jeho evidenci, a

 

e) kvalifikovaný certifikát obsahuje údaje, na jejichž základě je možné osobu, která podepsala datovou zprávu, jednoznačně identifikovat.

 

            (7) Pokud elektronická podatelna zjistí, že kvalifikovaný certifikát nebo kvalifikovaný systémový certifikát podle odstavce 6 písm. c) byly v době doručení datové zprávy neplatné, a pokud lze usuzovat, že zaručený elektronický podpis nebo elektronická značka byly vytvořeny v době platnosti tohoto certifikátu, orgán veřejné moci za účelem zjištění platnosti elektronické značky nebo zaručeného elektronického podpisu

 

a) ověří, zda je připojeno platné kvalifikované časové razítko podepsané nebo označené datové zprávy a zda toto razítko bylo vytvořeno před okamžikem zneplatnění certifikátu datové zprávy a zda je platné, nebo

 

b) uvědomí podepsanou osobu, není-li připojeno platné kvalifikované časové razítko, že nemá možnost provést veškeré úkony potřebné k tomu, aby ověřil, že zaručený elektronický podpis nebo elektronická značka jsou platné a jejich kvalifikovaný certifikát nebo kvalifikovaný systémový certifikát nebyly zneplatněny před vytvořením zaručeného elektronického podpisu nebo elektronické značky.

 

            (8) Úkony potřebné k ověření, že zaručený elektronický podpis je platný a jeho kvalifikovaný certifikát nebyl zneplatněn nebo že elektronická značka je platná a její kvalifikovaný systémový certifikát nebyl zneplatněn nebo že kvalifikované časové razítko je platné podle odstavce 6 písm. c), jsou uvedeny v příloze k této vyhlášce.

 

            (9) O výsledku zjištění skutečností uvedených v odstavcích 6 a 7 se při doručení do identifikátoru elektronické podatelny zaznamenávají údaje, které tyto skutečnosti dokládají.

 

§ 3

Odeslání datové zprávy

 

            (1) Odesílaná datová zpráva se v elektronické podatelně ukládá do úložiště vypravených datových zpráv ve tvaru, ve kterém byla odeslána. Je-li k datové zprávě připojen uznávaný elektronický podpis oprávněného zaměstnance orgánu veřejné moci a jeho kvalifikovaný certifikát nebo uznávaná elektronická značka orgánu veřejné moci a její kvalifikovaný systémový certifikát, ukládají se spolu s datovou zprávou.

 

            (2) Před odesláním z orgánu veřejné moci prochází datová zpráva kontrolou výskytu škodlivého kódu.

 

            (3) Odesílaná datová zpráva se v elektronické podatelně eviduje v souladu s vnitřními předpisy orgánu veřejné moci upravujícími evidenci vypravovaných písemností s tím, že čas odeslání datové zprávy je zaznamenán s přesností na sekundu.

 

§ 4

Údaj, na základě kterého je možné osobu jednoznačně identifikovat

 

            Údaj, na jehož základě je možné osobu jednoznačně identifikovat, se uvádí ve struktuře desetimístného čísla v desítkové soustavě v rozsahu 1 100 100 100 až 4 294 967 295 a je spravován ústředním orgánem státní správy. Jeho hodnota není zaměnitelná s rodným číslem a nesmí být osobním údajem podle zvláštního právního předpisu 3) .

 

§ 5

Účinnost

 

            Tato vyhláška nabývá účinnosti dnem 1. ledna 2005.

 

Ministr:

Mlynář v. r.

 

Příl.

Úkony potřebné k ověření, že zaručený elektronický podpis a elektronická značka jsou platné a jejich kvalifikovaný certifikát nebo kvalifikovaný systémový certifikát nebyly zneplatněny, a k ověření platnosti kvalifikovaného časového razítka

 

1. Ověření zaručeného elektronického podpisu a elektronické značky

 

            Ověření zaručeného elektronického podpisu podepisující osoby nebo elektronické značky označující osoby datové zprávy se provádí podle standardů asymetrických kryptografických algoritmů a kryptografických hašovacích funkcí odpovídajících schématům použitým při vytváření zaručeného elektronického podpisu. Parametrem asymetrického kryptografického algoritmu jsou data pro ověřování elektronických podpisů odpovídající datům pro vytváření elektronických podpisů, k nimž byl vydán kvalifikovaný certifikát, nebo data pro ověřování elektronických značek odpovídající datům pro vytváření elektronických značek, k nimž byl vydán kvalifikovaný systémový certifikát. Standardy kryptografických asymetrických algoritmů a kryptografických hašovacích funkcí jsou uvedeny v tabulce č. 1 a 2 této přílohy. Ověření se provádí zpravidla pomocí aplikace bez zásahu ověřující osoby.

 

2. Ověření platnosti certifikátu

 

            a) Ověření intervalu doby platnosti            Ověření, zda v době doručení datové zprávy byl kvalifikovaný certifikát podepisující osoby nebo kvalifikovaný systémový certifikát označující osoby v intervalu doby platnosti. Ověření se provádí zpravidla pomocí aplikace bez zásahu ověřující osoby.

 

            b) Ověření elektronické značky certifikátu            Ověření elektronické značky, kterou kvalifikovaný poskytovatel označil kvalifikovaný certifikát podepisující osoby nebo kvalifikovaný systémový certifikát označující osoby, obdobně jako se ověřuje elektronická značka datové zprávy podle bodu 1. Ověření se provádí zpravidla pomocí aplikace bez zásahu ověřující osoby.

 

            c) Ověření, zda certifikát nebyl zneplatněn            Ověření, zda se kvalifikovaný certifikát podepisující osoby nebo kvalifikovaný systémový certifikát označující osoby nenacházejí v seznamu zneplatněných certifikátů s časem zneplatnění, který předchází času doručení datové zprávy. Rozhodným seznamem zneplatněných certifikátů je pro tyto účely seznam, jehož platnost začíná bezprostředně po čase doručení datové zprávy. Ověření provádí ověřující osoba, aplikace jej zpravidla neprovádí.

 

            d) Ověření elektronické značky seznamu zneplatněných certifikátů            Ověření elektronické značky, kterou kvalifikovaný poskytovatel označil seznam zneplatněných certifikátů, se provádí obdobně jako se ověřuje elektronická značka datové zprávy podle bodu 1.

 

            e) Certifikační cesta            Elektronická značka kvalifikovaného certifikátu podepisující osoby nebo kvalifikovaného systémového certifikátu označující osoby je založena na kvalifikovaném systémovém certifikátu poskytovatele. I ten může být označen elektronickou značkou poskytovatele, která je založena na dalším kvalifikovaném systémovém certifikátu poskytovatele. Tento vztah mezi certifikáty se označuje pojmem certifikační cesta. Pro ověření platnosti certifikátu označující nebo podepisující osoby je nutné provést ověření platnosti všech certifikátů v certifikační cestě podle písm. a) až d) tohoto bodu. Certifikační cesta je vyznačena v každém vydaném certifikátu.

 

3. Ověření kvalifikovaného časového razítka

 

            Ověření elektronické značky kvalifikovaného časového razítka obdobně, jako se ověřuje elektronická značka datové zprávy podle bodu 1.

 

            Ověření platnosti kvalifikovaného systémového certifikátu, na kterém je založena elektronická značka kvalifikovaného časového razítka, obdobně jako se ověřuje platnost certifikátu podle bodu 2.

Tabulka č. 1

 

 

--------------------------------------------------------------------------

Index asymetrického algoritmu  Zkratka kryptografického  Normativní odkazy

                               asymetrického algoritmu

--------------------------------------------------------------------------

1.01                           rsa                       [1]

--------------------------------------------------------------------------

1.02                           dsa                       [2]

--------------------------------------------------------------------------

1.03                           ecdsa-Fp                  [2,3]

--------------------------------------------------------------------------

1.04                           ecdsa-F2m                 [2,3]

--------------------------------------------------------------------------

1.05                           ecgdsa-Fp                 [4]

--------------------------------------------------------------------------

1.06                           ecgdsa-F2m                [4]

--------------------------------------------------------------------------

 

Normativní dokumenty:

 

[1] ISO/IEC 14888-3: Information  technology - Security techniques

    - Digital    signatures    with    appendix    -    Part    3:

    Certificate-based mechanisms.

 

[2] NIST:  FIPS  Publication  186-2:  Digital  Signature  Standard

    (DSS).

 

[3] Public Key  Cryptography for the  Financial Services Industry:

    The Elliptic  Curve Digital Signature  Algorithm (ECDSA), ANSI

    X9.62-1998.

 

[4] ISO/IEC  FCD   15946-2:  Information  technology   -  Security

    techniques - Cryptographic techniques based on elliptic curves

    - Part 2: Digital signatures.

 

Tabulka č. 2

 

--------------------------------------------------------------------------

 Index hashovací funkce  Zkratka kryptografické   Normativní odkazy

                         hashovací funkce

--------------------------------------------------------------------------

 2.01                    sha 1                    [5,6]

--------------------------------------------------------------------------

 2.02                    ripemd160                [5]

--------------------------------------------------------------------------

 

Normativní dokumenty:

 

[5] ISO/IEC 10118-3: Information  technology - Security techniques

    - Hash functions - Part 3: Dedicated hash functions.

 

[6] NIST: FIPS Publication 180-1: Secure Hash Standard (SHS-1).

 

____________________

 

1) Nařízení vlády č. 495/2004 Sb. , kterým se provádí zákon č. 227/2000 Sb. , o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), ve znění pozdějších předpisů.

 

2) Například zákon č. 97/1974 Sb. , o archivnictví, ve znění zákona č. 343/1992 Sb. , zákona č. 27/2000 Sb. , zákona č. 120/2001 Sb. , zákona č. 107/2002 Sb. a zákona č. 320/2002 Sb.

 

3) § 4 písm. a) zákona č. 101/2000 Sb. , o ochraně osobních údajů a o změně některých zákonů.


-> zpět <-

****************************************************************************

ePodatelna