Zákon o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu)

ČÁST PRVNÍ

ELEKTRONICKÝ PODPIS

§ 1

Účel zákona

Tento zákon upravuje v souladu s právem Evropských společenství^1) používání elektronického podpisu, elektronické značky, poskytování certifikačních služeb a souvisejících služeb poskytovateli usazenými na území České republiky, kontrolu povinností stanovených tímto zákonem a sankce za porušení povinností stanovených tímto zákonem.

§ 2

Vymezení některých pojmů

Pro účely tohoto zákona se rozumí

• a) elektronickým podpisem údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které slouží jako metoda k jednoznačnému ověření identity podepsané osoby ve vztahu k datové zprávě,

• b) zaručeným elektronickým podpisem elektronický podpis, který splňuje následující požadavky

• 1. je jednoznačně spojen s podepisující osobou,

• 1. umožňuje identifikaci podepisující osoby ve vztahu k datové zprávě,

• 1. byl vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou výhradní kontrolou,

• 1. je k datové zprávě, ke které se vztahuje, připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat,

• c) elektronickou značkou údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které splňují následující požadavky

• 1. jsou jednoznačně spojené s označující osobou a umožňují její identifikaci prostřednictvím kvalifikovaného systémového certifikátu,

• 1. byly vytvořeny a připojeny k datové zprávě pomocí prostředků pro vytváření elektronických značek, které označující osoba může udržet pod svou výhradní kontrolou,

• 1. jsou k datové zprávě, ke které se vztahují, připojeny takovým způsobem, že je možné zjistit jakoukoli následnou změnu dat,

• d) datovou zprávou elektronická data, která lze přenášet prostředky pro elektronickou komunikaci a uchovávat na technických nosičích dat, používaných při zpracování a přenosu dat elektronickou formou, jakož i data uložená na technických nosičích ve formě datového souboru,

• e) podepisující osobou fyzická osoba, která je držitelem prostředku pro vytváření elektronických podpisů a jedná jménem svým nebo jménem jiné fyzické či právnické osoby,

• f) označující osobou fyzická osoba, právnická osoba nebo organizační složka státu, která drží prostředek pro vytváření elektronických značek a označuje datovou zprávu elektronickou značkou,

• g) držitelem certifikátu fyzická osoba, právnická osoba nebo organizační složka státu, která požádala o vydání kvalifikovaného certifikátu nebo kvalifikovaného systémového certifikátu pro sebe nebo pro podepisující nebo označující osobu a které byl certifikát vydán,

• h) poskytovatelem certifikačních služeb fyzická osoba, právnická osoba nebo organizační složka státu, která vydává certifikáty a vede jejich evidenci, případně poskytuje další služby spojené s elektronickými podpisy,

• i) kvalifikovaným poskytovatelem certifikačních služeb poskytovatel certifikačních služeb, který vydává kvalifikované certifikáty nebo kvalifikované systémové certifikáty nebo kvalifikovaná časová razítka nebo prostředky pro bezpečné vytváření elektronických podpisů (dále jen „kvalifikované certifikační služby“) a splnil ohlašovací povinnost podle § 6,

• j) akreditovaným poskytovatelem certifikačních služeb poskytovatel certifikačních služeb, jemuž byla udělena akreditace podle tohoto zákona,

• k) certifikátem datová zpráva, která je vydána poskytovatelem certifikačních služeb, spojuje data pro ověřování elektronických podpisů s podepisující osobou a umožňuje ověřit její identitu, nebo spojuje data pro ověřování elektronických značek s označující osobou a umožňuje ověřit její identitu,

• l) kvalifikovaným certifikátem certifikát, který má náležitosti podle § 12 a byl vydán kvalifikovaným poskytovatelem certifikačních služeb,

• m) kvalifikovaným systémovým certifikátem certifikát, který má náležitosti podle § 12a a byl vydán kvalifikovaným poskytovatelem certifikačních služeb,

• n) daty pro vytváření elektronických podpisů jedinečná data, která podepisující osoba používá k vytváření elektronického podpisu,

• o) daty pro ověřování elektronických podpisů jedinečná data, která se používají pro ověření elektronického podpisu,

• p) daty pro vytváření elektronických značek jedinečná data, která označující osoba používá k vytváření elektronických značek,

• q) daty pro ověřování elektronických značek jedinečná data, která se používají pro ověření elektronických značek,

• r) kvalifikovaným časovým razítkem datová zpráva, kterou vydal kvalifikovaný poskytovatel certifikačních služeb a která důvěryhodným způsobem spojuje data v elektronické podobě s časovým okamžikem, a zaručuje, že uvedená data v elektronické podobě existovala před daným časovým okamžikem,

• s) prostředkem pro vytváření elektronických podpisů technické zařízení nebo programové vybavení, které se používá k vytváření elektronických podpisů,

• t) prostředkem pro ověřování elektronických podpisů technické zařízení nebo programové vybavení, které se používá k ověřování elektronických podpisů,

• u) prostředkem pro bezpečné vytváření elektronických podpisů prostředek pro vytváření elektronického podpisu, který splňuje požadavky stanovené tímto zákonem,

• v) prostředkem pro bezpečné ověřování elektronických podpisů prostředek pro ověřování podpisu, který splňuje požadavky stanovené tímto zákonem,

• w) nástrojem elektronického podpisu technické zařízení nebo programové vybavení, nebo jejich součásti, používané poskytovatelem certifikačních služeb pro vytváření nebo ověřování elektronických podpisů nebo pro zajištění certifikačních služeb,

• x) prostředkem pro vytváření elektronických značek zařízení, které používá označující osoba pro vytváření elektronických značek a které splňuje další náležitosti stanovené tímto zákonem,

• y) akreditací osvědčení, že poskytovatel certifikačních služeb splňuje podmínky stanovené tímto zákonem pro výkon činnosti akreditovaného poskytovatele certifikačních služeb.

§ 3

Soulad s požadavky na podpis

(1) Datová zpráva je podepsána, pokud je opatřena elektronickým podpisem. Pokud se neprokáže opak, má se za to, že se podepisující osoba před podepsáním datové zprávy s jejím obsahem seznámila.

(2) Použití zaručeného elektronického podpisu založeného na kvalifikovaném certifikátu a vytvořeného pomocí prostředku pro bezpečné vytváření podpisu umožňuje ověřit, že datovou zprávu podepsala osoba uvedená na tomto kvalifikovaném certifikátu.

§ 3a

(1) Použití elektronické značky založené na kvalifikovaném systémovém certifikátu a vytvořené pomocí prostředku pro vytváření elektronických značek umožňuje ověřit, že datovou zprávu označila touto elektronickou značkou označující osoba.

(2) Pokud označující osoba označila datovou zprávu, má se za to, že tak učinila automatizovaně bez přímého ověření obsahu datové zprávy a vyjádřila tím svou vůli.

§ 4

Soulad s originálem

Použití zaručeného elektronického podpisu nebo elektronické značky zaručuje, že dojde-li k porušení obsahu datové zprávy od okamžiku, kdy byla podepsána nebo označena, toto porušení bude možno zjistit.

§ 5

Povinnosti podepisující osoby

(1) Podepisující osoba je povinna

• a) zacházet s prostředky, jakož i s daty pro vytváření zaručeného elektronického podpisu s náležitou péčí tak, aby nemohlo dojít k jejich neoprávněnému použití,

• b) uvědomit neprodleně poskytovatele certifikačních služeb, který vydal kvalifikovaný certifikát, o tom, že hrozí nebezpečí zneužití jejích dat pro vytváření zaručeného elektronického podpisu.

(2) Za škodu způsobenou porušením povinností podle odstavce 1 odpovídá podepisující osoba podle zvláštních právních předpisů.^1a) Odpovědnosti se však zprostí, pokud prokáže, že ten, komu vznikla škoda, neprovedl veškeré úkony potřebné k tomu, aby si ověřil, že zaručený elektronický podpis je platný a jeho kvalifikovaný certifikát nebyl zneplatněn.

§ 5a

Povinnosti označující osoby

(1) Označující osoba je povinna

• a) zacházet s prostředkem, jakož i s daty pro vytváření elektronických značek s náležitou péčí tak, aby nemohlo dojít k jejich neoprávněnému použití,

• b) uvědomit neprodleně poskytovatele certifikačních služeb, který vydal kvalifikovaný systémový certifikát, o tom, že hrozí nebezpečí zneužití jejích dat pro vytváření elektronických značek.

(2) Označující osoba je povinna zajistit, aby prostředek pro vytváření elektronických značek, který používá, splňoval požadavky stanovené tímto zákonem.

(3) Za škodu způsobenou porušením povinnosti podle odstavce 1 odpovídá označující osoba, i když škodu nezavinila, podle zvláštních právních předpisů,^1a) odpovědnost za vady podle zvláštních předpisů tím není dotčena.^1a) Odpovědnosti se však zprostí, pokud prokáže, že ten, komu vznikla škoda, neprovedl veškeré úkony potřebné k tomu, aby si ověřil, že elektronická značka je platná a její kvalifikovaný systémový certifikát nebyl zneplatněn.

§ 5b

Povinnosti držitele certifikátu

Držitel certifikátu je povinen bez zbytečného odkladu podávat přesné, pravdivé a úplné informace poskytovateli certifikačních služeb ve vztahu ke kvalifikovanému certifikátu a ve vztahu ke kvalifikovanému systémovému certifikátu.

§ 6

Kvalifikovaný poskytovatel certifikačních služeb

(1) Kvalifikovaný poskytovatel certifikačních služeb je povinen

• a) zajistit, aby se každý mohl ujistit o jeho identitě a jeho kvalifikovaném systémovém certifikátu, na jehož základě označuje vydané kvalifikované certifikáty nebo kvalifikované systémové certifikáty a seznamy certifikátů, které byly zneplatněny, nebo kvalifikovaná časová razítka,

• b) zajistit, aby poskytování kvalifikovaných certifikačních služeb vykonávaly osoby s odbornými znalostmi a kvalifikací nezbytnou pro poskytování kvalifikované certifikační služby a obeznámené s příslušnými bezpečnostními postupy,

• c) používat bezpečné systémy a bezpečné nástroje elektronického podpisu, zajistit dostatečnou bezpečnost postupů, které tyto systémy a nástroje podporují, a zajistit dostatečnou kryptografickou bezpečnost těchto nástrojů; systémy a nástroje jsou považovány za bezpečné, pokud odpovídají požadavkům stanoveným tímto zákonem a prováděcí vyhláškou, nebo pokud splňují požadavky technických norem uvedených v rozhodnutí Komise vydaném na základě článku 3 (5) směrnice 99/93/ES,

• d) používat bezpečné systémy pro uchovávání kvalifikovaných certifikátů a kvalifikovaných systémových certifikátů nebo kvalifikovaných časových razítek v ověřitelné podobě takovým způsobem, aby záznamy nebo jejich změny mohly provádět pouze pověřené osoby, aby bylo možno kontrolovat správnost záznamů a aby jakékoliv technické nebo programové změny porušující tyto bezpečnostní požadavky byly zjevné,

• e) mít po celou dobu své činnosti k dispozici dostatečné finanční zdroje nebo jiné finanční zajištění na provoz v souladu s požadavky uvedenými v tomto zákoně a s ohledem na riziko vzniku odpovědnosti za škodu,

• f) před uzavřením smlouvy o poskytování kvalifikovaných certifikačních služeb s osobou, která žádá o poskytování služeb podle tohoto zákona, informovat tuto osobu písemně o přesných podmínkách pro využívání kvalifikovaných certifikačních služeb, včetně případných omezení pro jejich použití, o podmínkách reklamací a řešení vzniklých sporů a o tom, zda je, či není akreditován Ministerstvem vnitra (dále jen „ministerstvo“) podle § 10; tyto informace lze předat elektronicky.

(2) Není-li poskytovatel certifikačních služeb akreditován ministerstvem, je povinen ohlásit ministerstvu nejméně 30 dnů před zahájením poskytování kvalifikované certifikační služby, že ji bude poskytovat, a okamžik, kdy její poskytování zahájí. Zároveň předá ministerstvu k ověření svůj kvalifikovaný systémový certifikát uvedený v odstavci 1 písm. a).

(3) Pokud byla kvalifikovanému poskytovateli certifikačních služeb, který získal akreditaci podle § 10 tohoto zákona, akreditace ministerstvem odňata, je povinen bez prodlení informovat o této skutečnosti subjekty, kterým poskytuje své kvalifikované certifikační služby, a další dotčené osoby.

(4) Kvalifikovaný poskytovatel certifikačních služeb poskytuje služby podle tohoto zákona na základě smlouvy. Smlouva musí být písemná.

(5) Kvalifikovaný poskytovatel certifikačních služeb uchovává dokumenty související s poskytovanými kvalifikovanými certifikačními službami podle tohoto zákona, zejména

• a) smlouvu o poskytování kvalifikované certifikační služby, včetně žádosti o poskytování služby,

• b) vydaný kvalifikovaný certifikát, vydaný kvalifikovaný systémový certifikát nebo vydané kvalifikované časové razítko,

• c) kopie předložených osobních dokladů podepisující osoby nebo dokladů, na jejichž základě byla ověřena identita označující osoby,

• d) potvrzení o převzetí kvalifikovaného certifikátu nebo kvalifikovaného systémového certifikátu držitelem, případně jeho souhlas se zveřejněním kvalifikovaného certifikátu v seznamu vydaných kvalifikovaných certifikátů,

• e) prohlášení držitele certifikátu o tom, že mu byly poskytnuty informace podle odstavce 1 písm. f),

• f) dokumenty a záznamy související s životním cyklem vydaného kvalifikovaného certifikátu nebo kvalifikovaného systémového certifikátu, jejichž náležitosti upřesní prováděcí vyhláška.

(6) Skartační lhůta dokumentů souvisejících s poskytovanými kvalifikovanými certifikačními službami podle tohoto zákona, které uchovává kvalifikovaný poskytovatel certifikačních služeb, činí 10 let. Po uplynutí této lhůty kvalifikovaný poskytovatel certifikačních služeb uchovává po dobu následujících 20 let údaje umožňující jednoznačnou identifikaci podepisující osoby nebo označující osoby v rozsahu jméno, popřípadě jména, příjmení, rodné číslo nebo datum narození a číslo dokladu, na jehož základě byla ověřena identita podepisující osoby, a vydané kvalifikované certifikáty nebo kvalifikované systémové certifikáty. Kvalifikovaný poskytovatel je povinen zajistit jím uchovávané dokumenty podle odstavce 5 a údaje podle věty druhé před ztrátou, zneužitím, zničením nebo poškozením. Veškeré dokumenty podle věty první může kvalifikovaný poskytovatel certifikačních služeb pořizovat a uchovávat v elektronické podobě. Pokud tento zákon nestanoví jinak, postupuje se při nakládání s uchovávanými dokumenty podle zákona o archivnictví a spisové službě.

(7) Kvalifikovaný poskytovatel certifikačních služeb předá seznamy certifikátů zneplatněných v daném roce, které byly vydány jako kvalifikované, ministerstvu, a to ve lhůtě do 31. ledna kalendářního roku následujícího po uplynutí 10 let od ukončení kalendářního roku, ve kterém byly tyto seznamy vydány.

(8) Zaměstnanci kvalifikovaného poskytovatele certifikačních služeb, případně jiné fyzické osoby, které přicházejí do styku s osobními údaji a daty pro vytváření elektronických podpisů podepisujících osob a elektronických značek označujících osob, jsou povinni zachovávat mlčenlivost o těchto údajích a datech a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení těchto údajů a dat. Povinnost mlčenlivosti trvá i po skončení pracovního nebo jiného obdobného poměru nebo po provedení příslušných prací; uvedené osoby může zbavit mlčenlivosti ten, v jehož zájmu tuto povinnost mají, nebo soud.

§ 6a

Povinnosti kvalifikovaného poskytovatele certifikačních služeb při vydávání kvalifikovaných certifikátů a kvalifikovaných systémových certifikátů

(1) Kvalifikovaný poskytovatel certifikačních služeb, který vydává kvalifikované certifikáty nebo kvalifikované systémové certifikáty (dále jen „certifikáty vydané jako kvalifikované“), je povinen

• a) zajistit, aby certifikáty jím vydané jako kvalifikované obsahovaly všechny náležitosti stanovené tímto zákonem,

• b) zajistit, aby údaje uvedené v certifikátech jím vydaných jako kvalifikované byly přesné, pravdivé a úplné,

• c) před vydáním certifikátu jako kvalifikovaného bezpečně ověřit odpovídajícími prostředky identitu podepisující osoby nebo identitu označující osoby, případně i její zvláštní znaky, vyžaduje-li to účel takového certifikátu,

• d) zjistit, zda v okamžiku podání žádosti o vydání certifikátu jako kvalifikovaného měla podepisující osoba data pro vytváření elektronických podpisů odpovídající datům pro ověřování elektronických podpisů nebo označující osoba data pro vytváření elektronických značek odpovídající datům pro ověřování elektronických značek, která obsahuje žádost o vydání certifikátu,

• e) zajistit provozování bezpečného a veřejně přístupného seznamu certifikátů vydaných jako kvalifikované, k jejichž zveřejnění dal držitel certifikátu souhlas v souladu s § 6 odst. 5 písm. d), a zajistit dostupnost tohoto seznamu i dálkovým přístupem a údaje v seznamu obsažené při každé změně bez zbytečného odkladu aktualizovat,

• f) zajistit provozování bezpečného a veřejně přístupného seznamu certifikátů vydaných jako kvalifikované, které byly zneplatněny, a to i dálkovým přístupem,

• g) zajistit, aby datum a čas s uvedením hodiny, minuty a sekundy, kdy je certifikát vydaný jako kvalifikovaný vydán nebo zneplatněn, mohly být přesně určeny,

• h) přijmout odpovídající opatření proti zneužití a padělání certifikátů vydaných jako kvalifikované,

• i) poskytovat na vyžádání třetím osobám podstatné informace o podmínkách pro využívání certifikátů vydaných jako kvalifikované, včetně omezení pro jejich použití, a informace o tom, zda je, či není akreditován ministerstvem; tyto informace lze poskytovat elektronicky.

(2) Pokud kvalifikovaný poskytovatel certifikačních služeb, který vydává certifikáty jako kvalifikované, vytváří pro podepisující osobu data pro vytváření elektronických podpisů nebo pro označující osobu data pro vytváření elektronických značek,

• a) musí zajistit utajení těchto dat před jejich předáním, nesmí tato data kopírovat a uchovávat je déle, než je nezbytné,

• b) musí zaručit, že tato data odpovídají datům pro ověřování elektronických podpisů nebo datům pro ověřování elektronických značek.

(3) Kvalifikovaný poskytovatel certifikačních služeb, který vydává certifikáty jako kvalifikované, musí neprodleně zneplatnit certifikát, pokud o to držitel, podepisující osoba nebo označující osoba požádá, nebo pokud ho uvědomí, že hrozí nebezpečí zneužití jejich dat pro vytváření elektronických podpisů nebo elektronických značek, nebo v případě, že byl certifikát vydán na základě nepravdivých nebo chybných údajů.