Legalize / Česká republika / Zákon

Zákon o službách vytvářejících důvěru pro elektronické transakce

Typ Zákon

Publikace 2016-09-19

Stav Platný

Zdroj e-Sbírka

Historie novel JSON API

§ 1

Předmět úpravy

Tento zákon upravuje v návaznosti na přímo použitelný předpis Evropské unie^1)

a) některé postupy poskytovatelů služeb vytvářejících důvěru,

b) některé požadavky na služby vytvářející důvěru,

c) působnost Digitální a informační agentury (dále jen „Agentura“) v oblasti služeb vytvářejících důvěru a

d) sankce za porušení povinností v oblasti služeb vytvářejících důvěru.

Postupy kvalifikovaných poskytovatelů služeb vytvářejících důvěru

§ 2

Kvalifikovaný poskytovatel služeb vytvářejících důvěru poskytuje kvalifikovanou službu vytvářející důvěru na základě písemné smlouvy.

§ 3

(1) Kvalifikovaný poskytovatel služeb vytvářejících důvěru uchovává po dobu 10 let dokumenty související s vydáváním

a) kvalifikovaných certifikátů pro elektronické podpisy nebo elektronické pečetě,

b) kvalifikovaných certifikátů pro autentizaci internetových stránek a

c) kvalifikovaných elektronických časových razítek.

(2) Po uplynutí doby uvedené v odstavci 1 kvalifikovaný poskytovatel služeb vytvářejících důvěru uchovává po dobu následujících 15 let údaje, na základě kterých byla ověřena totožnost žadatele o vydání kvalifikovaného certifikátu pro elektronické podpisy nebo elektronické pečetě nebo totožnost fyzické osoby oprávněné jednat za právnickou osobu žádající o vydání kvalifikovaného certifikátu pro elektronickou pečeť.

(3) Pokud nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (dále jen „Nařízení“) nebo tento zákon nestanoví jinak, postupuje se při nakládání s uchovávanými dokumenty podle zákona upravujícího archivnictví a spisovou službu.

§ 4

(1) Kvalifikovaný poskytovatel služeb vytvářejících důvěru, který po ukončení své činnosti nemůže splnit povinnost vést a zpřístupnit evidenci podle čl. 24 odst. 2 písm. h) Nařízení, zajistí bezodkladně po ukončení své činnosti převzetí této evidence jiným kvalifikovaným poskytovatelem služeb vytvářejících důvěru.

(2) Nemůže-li kvalifikovaný poskytovatel služeb vytvářejících důvěru zajistit převzetí evidence podle odstavce 1, předá evidenci bezodkladně Agentuře.

§ 4a

(1) Kvalifikovaný poskytovatel služeb vytvářejících důvěru vydávající kvalifikované certifikáty pro elektronické podpisy, elektronické pečetě nebo autentizaci internetových stránek je oprávněn k plnění svých povinností stanovených právním předpisem využívat ze základního registru obyvatel údaje v rozsahu

a) příjmení,

b) jméno, popřípadě jména,

c) adresa místa pobytu,

d) datum, místo a okres narození, u subjektu údajů, který se narodil v cizině, datum, místo a stát, kde se narodil,

e) datum úmrtí; je-li vydáno rozhodnutí soudu o prohlášení za mrtvého, den, který je v rozhodnutí uveden jako den smrti nebo den, který subjekt údajů prohlášený za mrtvého nepřežil,

f) státní občanství, popřípadě více státních občanství, a

g) čísla a druhy identifikačních dokladů.

(2) Kvalifikovaný poskytovatel služeb vytvářejících důvěru vydávající kvalifikované certifikáty pro elektronické podpisy, elektronické pečetě nebo autentizaci internetových stránek je oprávněn k plnění svých povinností stanovených právním předpisem využívat ze základního registru právnických osob, podnikajících fyzických osob a orgánů veřejné moci údaje v rozsahu

a) jméno, popřípadě jména, a příjmení podnikající fyzické osoby nebo zahraniční osoby a

b) adresa místa pobytu v České republice, popřípadě bydliště v zahraničí podnikající fyzické osoby nebo zahraniční osoby.

(3) Kvalifikovaný poskytovatel služeb vytvářejících důvěru vydávající kvalifikované certifikáty pro elektronické podpisy, elektronické pečetě nebo autentizaci internetových stránek je oprávněn k plnění svých povinností stanovených právním předpisem využívat z informačního systému evidence obyvatel údaje v rozsahu

a) jméno, popřípadě jména, příjmení, rodné příjmení,

b) datum narození,

c) pohlaví,

d) místo a okres narození, a u subjektu údajů, který se narodil v cizině, místo a stát, kde se narodil,

e) rodné číslo,

f) státní občanství,

g) adresa místa trvalého pobytu,

h) datum nabytí právní moci rozhodnutí soudu o schválení smlouvy o nápomoci nebo zastoupení členem domácnosti včetně čísla jednacího a označení soudu, který smlouvu nebo zastoupení schválil, datum nabytí právní moci rozhodnutí soudu o omezení svéprávnosti včetně čísla jednacího a označení soudu, který o omezení svéprávnosti rozhodl, datum nabytí právní moci rozhodnutí soudu o zrušení omezení svéprávnosti, datum odvolání podpůrce soudem a datum zániku zastoupení členem domácnosti,

i) jméno, popřípadě jména, příjmení a rodné číslo opatrovníka,

j) datum úmrtí a

k) den, který byl v rozhodnutí soudu o prohlášení za mrtvého uveden jako den smrti nebo den, který subjekt údajů prohlášený za mrtvého nepřežil.

(4) Kvalifikovaný poskytovatel služeb vytvářejících důvěru vydávající kvalifikované certifikáty pro elektronické podpisy, elektronické pečetě nebo autentizaci internetových stránek je oprávněn k plnění svých povinností stanovených právním předpisem využívat z informačního systému cizinců údaje v rozsahu

a) jméno, popřípadě jména, příjmení, rodné příjmení,

b) datum narození,

c) pohlaví,

d) místo a stát, kde se subjekt údajů narodil,

e) rodné číslo,

f) státní občanství, popřípadě více státních občanství,

g) adresa místa pobytu na území České republiky,

h) datum nabytí právní moci rozhodnutí soudu o omezení svéprávnosti včetně čísla jednacího a označení soudu, který rozhodl o omezení svéprávnosti,

i) datum úmrtí a

j) den, který byl v rozhodnutí soudu o prohlášení za mrtvého uveden jako den smrti nebo den, který subjekt údajů prohlášený za mrtvého nepřežil.

(5) Kvalifikovaný poskytovatel služeb vytvářejících důvěru vydávající kvalifikované certifikáty pro elektronické podpisy, elektronické pečetě nebo autentizaci internetových stránek je oprávněn k plnění svých povinností stanovených právním předpisem využívat z informačního systému evidence občanských průkazů údaje v rozsahu

a) číslo občanského průkazu, popřípadě série občanského průkazu,

b) datum vydání občanského průkazu,

c) označení správního orgánu, který občanský průkaz vydal,

d) datum skončení platnosti občanského průkazu,

e) datum skutečného skončení platnosti neplatného občanského průkazu.

(6) Kvalifikovaný poskytovatel služeb vytvářejících důvěru vydávající kvalifikované certifikáty pro elektronické podpisy, elektronické pečetě nebo autentizaci internetových stránek je oprávněn k plnění svých povinností stanovených právním předpisem využívat z informačního systému evidence cestovních dokladů v rozsahu

a) číslo a druh vydaného cestovního dokladu,

b) datum vydání cestovního dokladu,

c) datum skončení platnosti cestovního dokladu a

d) označení orgánu, který cestovní doklad vydal.

(7) Informační systém, jehož prostřednictvím kvalifikovaný poskytovatel služeb vytvářejících důvěru využívá údaje podle odstavce 1, musí umožnit dálkové a nepřetržité vyhodnocování záznamů o poskytnutí a využití údajů pro potřeby evidenční ochrany údajů podle jiného právního předpisu^3).

Podepisování dokumentu

§ 5

K podepisování elektronickým podpisem lze použít pouze kvalifikovaný elektronický podpis, podepisuje-li elektronický dokument, kterým

a) činí úkon nebo právně jedná stát, územní samosprávný celek, právnická osoba zřízená zákonem nebo právnická osoba zřízená nebo založená státem, územním samosprávným celkem nebo právnickou osobou zřízenou zákonem nebo jejich orgán anebo jiná jejich součást (dále jen „veřejnoprávní podepisující“), nebo

b) činí úkon osoba neuvedená v písmenu a) při výkonu své působnosti.

§ 6

(1) K podepisování elektronickým podpisem lze použít pouze uznávaný elektronický podpis, podepisuje-li se elektronický dokument, kterým se činí úkon vůči veřejnoprávnímu podepisujícímu nebo jiné osobě v souvislosti s výkonem jejich působnosti.

(2) Uznávaným elektronickým podpisem se rozumí zaručený elektronický podpis založený na kvalifikovaném certifikátu pro elektronický podpis nebo kvalifikovaný elektronický podpis.

§ 7

K podepisování elektronickým podpisem lze použít zaručený elektronický podpis, uznávaný elektronický podpis, případně jiný typ elektronického podpisu, podepisuje-li se elektronický dokument, kterým se právně jedná jiným způsobem než způsobem uvedeným v § 5.

Pečetění dokumentu

§ 8

Nestanoví-li jiný právní předpis jako náležitost úkonu nebo právního jednání obsaženého v dokumentu podpis nebo tato náležitost nevyplývá z povahy úkonu nebo právního jednání, veřejnoprávní podepisující a jiná právnická osoba, činí-li úkon při výkonu své působnosti, zapečetí dokument v elektronické podobě kvalifikovanou elektronickou pečetí.

§ 9

(1) K pečetění elektronickou pečetí lze použít pouze uznávanou elektronickou pečeť, pečetí-li se elektronický dokument, kterým se činí úkon vůči veřejnoprávnímu podepisujícímu nebo jiné osobě v souvislosti s výkonem jejich působnosti.

(2) Uznávanou elektronickou pečetí se rozumí zaručená elektronická pečeť založená na kvalifikovaném certifikátu pro elektronickou pečeť nebo kvalifikovaná elektronická pečeť.

§ 10

K pečetění elektronickou pečetí lze použít zaručenou elektronickou pečeť, uznávanou elektronickou pečeť, případně jiný typ elektronické pečeti, pečetí-li se elektronický dokument, kterým se právně jedná jiným způsobem než způsobem uvedeným v § 8.

§ 11

Použití kvalifikovaného elektronického časového razítka

(1) Veřejnoprávní podepisující, který podepsal elektronický dokument, kterým činí úkon nebo právně jedná, způsobem podle § 5, a osoba, která podepsala elektronický dokument, kterým činí úkon při výkonu své působnosti, způsobem podle § 5, opatří podepsaný elektronický dokument kvalifikovaným elektronickým časovým razítkem.

(2) Veřejnoprávní podepisující, který zapečetil elektronický dokument, kterým činí úkon nebo právně jedná, způsobem podle § 8, a osoba, která zapečetila elektronický dokument, kterým činí úkon při výkonu své působnosti, způsobem podle § 8, opatří zapečetěný elektronický dokument kvalifikovaným elektronickým časovým razítkem.

§ 12

Ověřování platnosti zaručeného elektronického podpisu a zaručené elektronické pečetě

Ustanovení čl. 32 odst. 1 písm. a) až e), g) a h) Nařízení se na ověřování platnosti zaručeného elektronického podpisu založeného na kvalifikovaném certifikátu pro elektronický podpis a na ověřování platnosti zaručené elektronické pečetě založené na kvalifikovaném certifikátu pro elektronické pečetě použijí obdobně.

§ 13

Působnost Agentury

(1) Agentura plní úkoly orgánu dohledu podle Nařízení a podle tohoto zákona.

(2) Agentura může dát kvalifikovanému poskytovateli služeb vytvářejících důvěru pokyn zneplatnit jím vydaný kvalifikovaný certifikát, pokud existuje důvodné podezření, že kvalifikovaný certifikát byl padělán, nebo pokud byl vydán na základě nepravdivých údajů. Agentura může dát pokyn zneplatnit kvalifikovaný certifikát také v případě zjištění, že podepisující nebo pečetící osoba používá prostředek pro vytváření elektronických podpisů nebo elektronických pečetí, který vykazuje bezpečnostní nedostatky umožňující padělání elektronických podpisů nebo elektronických pečetí nebo změnu podepisovaných nebo pečetěných dat.

(3) Agentura zveřejňuje způsobem umožňujícím dálkový přístup důvěryhodné seznamy obsahující informace týkající se kvalifikovaných poskytovatelů služeb vytvářejících důvěru spolu s informacemi o jimi poskytovaných kvalifikovaných službách vytvářejících důvěru.

(4) Agentura vede seznam certifikátů, na jejichž základě kvalifikovaní poskytovatelé služeb vytvářejících důvěru podepisují zaručeným elektronickým podpisem nebo pečetí zaručenou elektronickou pečetí vydané kvalifikované certifikáty nebo vydaná kvalifikovaná elektronická časová razítka. Seznam certifikátů zveřejňuje Agentura způsobem umožňujícím dálkový přístup.

(5) Agentura plní povinnost podle čl. 24 odst. 2 písm. h) Nařízení v případě převzetí evidence podle § 4 odst. 2.

(6) Agentura bezodkladně vyrozumí Úřad pro ochranu osobních údajů o zjištěních učiněných v souvislosti s plněním úkolů orgánu dohledu podle odstavce 1, pokud se týkají působnosti tohoto úřadu.

Poskytování služeb vytvářejících důvěru Správou státních služeb vytvářejících důvěru

§ 14

(1) Zřizuje se a vzniká Správa státních služeb vytvářejících důvěru (dále jen „Správa“) jako státní příspěvková organizace. Sídlem Správy je Praha.

(2) Zřizovatelskou funkci vůči Správě vykonává Agentura.

(3) Statutárním orgánem Správy je ředitel. Ředitele Správy jmenuje a odvolává člen vlády pověřený řízením Rady vlády pro informační společnost po dohodě s ministrem vnitra.

(4) Předmětem činnosti Správy je poskytování služeb vytvářejících důvěru pro potřeby České republiky. Bližší podmínky činnosti Správy, včetně podmínek, za jakých Správa poskytuje služby vytvářející důvěru, upravuje statut, který schvaluje člen vlády pověřený řízením Rady vlády pro informační společnost po dohodě s ministrem vnitra.

§ 15

(1) Poskytuje-li Správa službu vytvářející důvěru, jejímž předmětem je certifikát, který není certifikátem pro elektronický podpis, certifikátem pro elektronickou pečeť nebo certifikátem pro autentizaci internetových stránek, vede evidenci certifikátů a osob nebo jejich součástí, kterým byl certifikát vydán.

(2) Evidence obsahuje

a) údaje o fyzické osobě, které byl certifikát vydán, v rozsahu

1. jméno, popřípadě jména a příjmení,

1. datum, místo a okres narození; u fyzické osoby, která se narodila v cizině, datum, místo a stát, kde se narodila,

1. datum úmrtí,

1. adresa místa pobytu, případně též adresa, na kterou mají být doručovány písemnosti,

b) údaje o právnické osobě nebo její součásti, které byl certifikát vydán, v rozsahu

1. obchodní firma nebo název,

1. adresa sídla,

1. identifikační číslo osoby,

c) údaje o certifikátu v rozsahu

1. identifikátor,

1. počátek a konec platnosti,

1. datum a čas aktivace,

1. datum a čas zneplatnění,

d) další údaje v rozsahu

1. identifikátor nosiče, na kterém je certifikát uložen,

1. agendový identifikátor fyzické osoby pro agendu vydávání certifikátů.

(3) Údaje podle odstavce 2 písm. c) jsou veřejně přístupné způsobem umožňujícím dálkový přístup.

(4) Údaje podle odstavce 2 se evidují po dobu platnosti certifikátu a následujících 15 let od konce platnosti certifikátu.

Přestupky fyzických, právnických a podnikajících fyzických osob

§ 16

(1) Fyzická osoba se dopustí přestupku tím, že použije značku důvěry EU^2) v rozporu s čl. 23 odst. 1 Nařízení.

(2) Za přestupek podle odstavce 1 lze uložit pokutu do 2 000 000 Kč.

§ 17

(1) Právnická osoba nebo podnikající fyzická osoba se dopustí přestupku tím, že

a) použije značku důvěry EU^2) v rozporu s čl. 23 odst. 1 Nařízení, nebo

b) v rozporu s čl. 24 odst. 2 písm. h) Nařízení neeviduje nebo nezpřístupňuje veškeré příslušné informace po ukončení činnosti kvalifikovaného poskytovatele služeb vytvářejících důvěru nebo nepředá Agentuře evidenci podle § 4 odst. 2.

(2) Poskytovatel služeb vytvářejících důvěru se dopustí přestupku tím, že

a) nepřijme vhodná technická a organizační opatření k řízení rizik ohrožujících bezpečnost jím poskytovaných služeb podle čl. 19 odst. 1 Nařízení,

b) v rozporu s čl. 19 odst. 2 Nařízení nevyrozumí o narušení bezpečnosti nebo ztrátě integrity bez zbytečného odkladu orgán dohledu podle tohoto zákona nebo osobu, na kterou může mít narušení bezpečnosti nebo ztráta integrity nepříznivý dopad, nebo

c) v rozporu s čl. 21 odst. 3 Nařízení poskytuje služby vytvářející důvěru označené jako kvalifikované předtím, než byl status kvalifikovaného poskytovatele služeb vytvářejících důvěru a kvalifikované služby vyznačen v důvěryhodných seznamech.

(3) Kvalifikovaný poskytovatel služeb vytvářejících důvěru se dopustí přestupku tím, že

a) v rozporu s čl. 20 odst. 1 Nařízení

1. se nepodrobí auditu ze strany subjektu posuzování shody alespoň jednou za 24 měsíců, nebo

1. nepředloží výslednou zprávu o posouzení shody,

b) se nepodrobí auditu ze strany orgánu dohledu podle tohoto zákona nebo subjektu posuzování shody podle čl. 20 odst. 2 Nařízení,

c) nezajistí, aby byl na jeho internetových stránkách k dispozici odkaz na příslušný důvěryhodný seznam podle čl. 23 odst. 2 Nařízení,

d) neoznámí případné změny v poskytování služeb vytvářejících důvěru nebo záměr ukončit některou ze svých činností podle čl. 24 odst. 2 písm. a) Nařízení,

e) zaměstnává zaměstnance nebo využívá subdodavatele v rozporu s čl. 24 odst. 2 písm. b) Nařízení,

f) v rozporu s čl. 24 odst. 2 písm. c) Nařízení,

1. neudržuje dostatečné finanční prostředky, nebo

1. neuzavře vhodné pojištění odpovědnosti,

g) nesplní informační povinnost podle čl. 24 odst. 2 písm. d) Nařízení,

h) nepoužívá důvěryhodné systémy a produkty podle čl. 24 odst. 2 písm. e) Nařízení,

i) nepoužívá důvěryhodné systémy k uchovávání dat podle čl. 24 odst. 2 písm. f) Nařízení,

j) nepřijme vhodná opatření proti padělání a odcizení dat podle čl. 24 odst. 2 písm. g) Nařízení,

k) v rozporu s čl. 24 odst. 2 písm. h) Nařízení neeviduje nebo nezpřístupňuje veškeré příslušné informace,

l) nemá k dispozici aktualizovaný plán ukončení činnosti k zajištění kontinuity služby podle čl. 24 odst. 2 písm. i) Nařízení,

m) neposkytuje kvalifikované služby vytvářející důvěru na základě písemné smlouvy podle § 2,

n) neuchovává dokumenty podle § 3 odst. 1, nebo

o) neuchovává údaje podle § 3 odst. 2.

(4) Kvalifikovaný poskytovatel služeb vytvářejících důvěru vydávající kvalifikované certifikáty se dopustí přestupku tím, že

Čtení tohoto dokumentu nenahrazuje čtení příslušného vydání Sbírky zákonů. Neneseme odpovědnost za případné nepřesnosti vyplývající z převodu originálu do tohoto formátu.