K čl. I
K bodu 1
§ 1 - Čl. 13 odst. 1 alinea druhá směrnice
1999/93/ES stanoví, že opatření přijatá členskými státy musí
obsahovat odkaz na tuto směrnici nebo takový odkaz musí být
učiněn při jejich úředním vyhlášení („referenční
povinnost“). Na základě doporučení odboru kompatibility Úřadu
vlády ČR je odkaz vložen do úvodních ustanovení zákona
současně s poznámkou pod čarou.
K bodu 2
§ 1 - Účel zákona je doplněn o „používání
elektronických značek“, přičemž jejich definice, používání
a další náležitosti jsou specifikovány v dalším textu
novely.
K bodu 3
§ 1 - Jedná se o transpozici ustanovení čl. 4
směrnice 1999/93/ES, podle kterého – mimo jiné – má každý
členský stát aplikovat svou vnitrostátní transpoziční úpravu
pouze na poskytovatele certifikačních služeb usazené na jeho
území.
K bodu 4
Ustanovení § 2 se z důvodu přehlednosti
nahrazuje novým zněním. Vkládá se a upřesňuje několik nových
pojmů, ustanovení některých písmen a bodů však zůstávají
v původním znění.
§ 2 písm. a) – Definice elektronického
podpisu je uvedena do souladu s definicí ve směrnici
1999/93/ES.
Pojem „totožnost“ právní řád České republiky v některých
předpisech sice užívá, avšak bez toho, že by byl obsahově
definován. Jediným zákonem, který pro své účely stanoví
rozsahúdajů zjišťovaných pro prokázání „totožnosti“,
je zákon č. 283/1991 Sb., o Policii České republiky, ve znění
pozdějších předpisů (§ 13). Uvedenou definici však vzhledem
k odlišnému charakteru sledovaného účelu nelze použít v
kontextu příslušných ustanovení návrhu zákona. Z tohoto
důvodu se pojem „totožnost“ nahrazuje pojmem „identita“.
§ 2 písm. c) – Elektronická značka je
z technického hlediska obdobou zaručeného elektronického
podpisu, resp. může mít obdobný účinek a má stejné vlastnosti
vůči označovaným datům jako zaručený elektronický podpis.
Požadavky na zaručený elektronický podpis a na elektronické
značky jsou proto obdobné. Pro účely tohoto zákona se používání
elektronické značky podmiňuje tím, že je založena na
kvalifikovaném systémovém certifikátu, který jednoznačně
spojuje označující osobu a elektronickou značku. Přínos
zavedení možnosti používání elektronických značek tkví
v tom, že na rozdíl od zaručeného elektronického podpisu,
který vytváří fyzická osoba vždy pro jednu určitou datovou
zprávu, mohou být elektronickými značkami datové zprávy
označovány tak, že je iniciována funkce prostředku, který je
vytváří, a označování datových zpráv může probíhat bez
další přímé součinnosti označující osoby.
§ 2 písm. e) – Nepřesný pojem „má“ je
nahrazen pojmem „je držitelem“. V souladu s definicí
v písm. s) se upřesňuje označení „prostředek pro
vytváření elektronických podpisů“. Slova „v
zastoupení“ se nahrazují slovem „jménem“.
§ 2 písm. f) - Označující osoba je obdobou
podepisující osoby, přičemž podepisující osobou může být
pouze fyzická osoba, kdežto označující osobou kromě fyzické
osoby i osoba právnická nebo organizační složka státu. Pro
označování datových zpráv elektronickými značkami používá
označující osoba prostředek pro vytváření těchto dat.
Elektronická značka je založena na kvalifikovaném systémovém
certifikátu, který jednoznačně spojuje označující osobu
s elektronickou značkou. Označující osoba je subjekt, který
je identifikovaný v kvalifikovaném systémovém certifikátu a
elektronická značka je tedy spojována s tímto subjektem.
§ 2 písm. g) – Zavádí se pojem „držitel
certifikátu“, kterým může být fyzická osoba, právnická
osoba i organizační složka státu. Vždy se jedná o subjekt,
který je pro poskytovatele smluvním partnerem. Budoucí držitel
certifikátu může žádat o jeho vydání nejen pro sebe, ale také
pro jinou podepisující nebo označující osobu. Příkladem je
situace, kdy státní orgán žádá o vydání certifikátu pro
svého zaměstnance. Důvodem zavedení je oddělení práv a
povinností subjektů v případech, kdy žadatel a subjekt,
kterému se certifikát vydává, je odlišný od osoby, která drží
data pro vytváření elektronických podpisů či elektronických
značek. V mnoha případech bude ale držitel certifikátu
shodný s podepisující nebo označující osobou.
§ 2 písm. h) - Pojem „subjekt“ je nahrazen pojmy, které přesně
identifikují, o jaké subjekty se jedná.
§ 2 písm. i) - Zavádí se pojem „kvalifikovaný
poskytovatel certifikačních služeb“. Stávající znění zákona
předpokládalo, že poskytovatel certifikačních služeb zajišťuje
pouze jednu „kvalifikovanou službu“, tj. vydávání
kvalifikovaných certifikátů a zároveň toto poskytování oznámil
Ministerstvu informatiky (dále jen „ministerstvo“). Poskytovatel
sice mohl poskytovat i jiné služby spojené s elektronickými
podpisy, ale jejich náležitosti nebyly zákonem upraveny.
Kvalifikovaným poskytovatelem je ten poskytovatel, který zajišťuje
alespoň jednu kvalifikovanou službu, tj. vydávání
kvalifikovaných certifikátů pro používání zaručeného
elektronického podpisu, kvalifikovaných systémových certifikátů
pro používání elektronických značek, kvalifikovaných časových
razítek a prostředků pro bezpečné vytváření elektronického
podpisu.
§ 2 písm. k) – S ohledem na zavedení
možnosti používání elektronických značek se doplňuje definice
pojmu „certifikát“ o funkci spojení dat pro ověřování
elektronických značek s označující osobou s možností
ověřit její identitu. V souladu s definicí v písm.
o) se doplňuje slovo „elektronických“.
§ 2 písm. l) – Definice kvalifikovaného certifikátu se mění
v souvislosti se zavedením pojmu „kvalifikovaný poskytovatel
certifikačních služeb“.
§ 2 písm. m) – Zavádí se pojem „kvalifikovaný systémový
certifikát“. Je obdobou kvalifikovaného certifikátu, na kterém
je založený zaručený elektronický podpis. Na kvalifikovaném
systémovém certifikátu jsou založeny elektronické značky a je
vydáván za účelem označování elektronických dat, a to i bez
průběžné kontroly označující osoby. Tak jako kvalifikovaný
certifikát slouží pro bezpečné předání dat pro ověřování
elektronických podpisů, tak kvalifikovaný systémový certifikát
slouží pro bezpečné předání dat pro ověřování
elektronických značek.
§ 2 písm. p) a q) – Pro používání elektronických značek
jsou pro označující osobu nezbytná data pro jejich vytváření a
pro osobu, která je ověřuje, data pro jejich ověřování. Jedná
se o obdobu dat pro vytváření elektronických podpisů a dat pro
ověřování elektronických podpisů.
§ 2 písm. r) – Zavádí se pojem „kvalifikované časové
razítko“. Při elektronické komunikaci je poměrně často
nezbytné určit, zda datová zpráva existovala v určitém
čase. V souvislosti s elektronickým podpisem může být
důležité zjištění, zda byla datová zpráva elektronicky
podepsána v době platnosti certifikátu, na kterém je
elektronický podpis založen, resp. zda byla podepsána dříve, než
byl certifikát zneplatněn. V praxi se označování časovým
razítkem děje tak, že osoba, která chce mít datovou zprávu
časovým razítkem označenou, ji zašle poskytovateli, ten ji
náležitě a důvěryhodným způsobem označí časovým razítkem
a zašle zpět. Datová zpráva se neposílá ve tvaru, ve kterém
vznikla, ale posílá se její jednoznačná reprezentace (hash).
Předpokladem náležitého fungování tohoto systému je používání
vhodných prostředků a postupů na straně poskytovatele
(synchronizace, důvěryhodný zdroj času, technické vybavení
apod.), jejichž náležitosti stanoví novela v § 6b a které
upřesní prováděcí vyhláška.
§ 2 písm. x) – Pro vytváření elektronických značek potřebuje
označující osoba prostředek, kterým tato data vytváří. Takový
prostředek musí splňovat požadavky stanovené tímto zákonem,
tedy především požadavky stanovené v §17a.
§ 2 písm. y) – S ohledem na ustanovení § 11 a jeho
doplnění se zavádí definice „elektronické podatelny“ jako
pracoviště orgánu veřejné moci, které je určené pro příjem
a odesílání datových zpráv. Další specifikace je obsažena v §
11.
Zde neuvedená ustanovení § 2 zůstávají beze
změny.
K bodu 5
§ 3 odst. 1 - Zavádí se vyvratitelná domněnka
toho, že se podepisující osoba před podepsáním konkrétní
datové zprávy s jejím obsahem seznámila.
K bodu 6
§ 3a odst. 1 – Vyjadřuje se účinek použití
elektronické značky, tj. je-li použita elektronická značka
založená na kvalifikovaném systémovém certifikátu, vytvořená
pomocí prostředku pro vytváření elektronických značek, je
možné ověřit, že určitou elektronickou značkou označila
datovou zprávu určitá označující osoba. Obdobně je v § 3
vyjádřen účinek pro použití zaručeného elektronického
podpisu založeného na kvalifikovaném certifikátu a vytvořeného
pomocí prostředku pro bezpečné vytváření elektronických
podpisů. Tato domněnka dává používání elektronických značek
záruku jednoznačnosti při určení původce datové zprávy.
§ 3a odst. 2 - Ustanovení týkající se
používání elektronických značek uvádí zásadní odlišnost od
použití elektronického podpisu (viz výše) – má se za to, že
označující osoba označila datovou zprávu bez předchozí
kontroly vlastního obsahu této zprávy, tj. s jejím obsahem
se neseznámila. Použití prostředku pro vytváření
elektronických značek však zaručuje, že označené datové
zprávy jsou v souladu s požadavky označující osoby,
které označující osoba pro označení této zprávy zadala.
K bodu 7
§ 4 - Zavedením možnosti používání
elektronických značek je souladu s originálem dosaženo
rovněž jejich použitím, resp. případné porušení obsahu
datové zprávy bude možné zjistit.
K bodu 8
§ 4 – Upraveno vzhledem k zavedení
institutu elektronické značky.
K bodu 9
§ 5 odst. 1 písm. b) - Vypouští se slovo
„jí“, neboť kvalifikovaný certifikát nemusí být vydán
pouze podepisující osobě, ale může být vydán držiteli
certifikátu /viz definice v § 2 písm. g), podepisující osoba a
držitel certifikátu mohou, ale nemusí být identičtí/. I
v takovém případě je však podepisující osoba povinna
neprodleně uvědomit poskytovatele o tom, že její data pro
vytváření elektronických podpisů jsou ohrožena. Vzhledem
k tomu, že zde hrozí nebezpečí z prodlení, musí
podepisující osoba uvědomit přímo poskytovatele a to nikoliv
prostřednictvím držitele certifikátu. Je na držiteli
certifikátu, jakým způsobem upraví svůj vztah s podepisující
osobou.
K bodu 10
§ 5 odst. 1 - (zrušenému) písm. c) –
Ustanovení se zařazuje do nového § 5b, který stanoví povinnosti
držitele kvalifikovaného certifikátu nebo kvalifikovaného
systémového certifikátu. Vyjadřuje se tak oddělení povinností
držitele certifikátu a osob, které jsou v certifikátu
identifikovány.
K bodu 11
§ 5a odst. 1 - Stanoví se povinnosti označující
osoby, které jsou obdobné jako povinnosti podepisující osoby
stanovené v § 5 zákona. I v tomto případě je cílem
maximální ochrana dat pro vytváření elektronických značek a
prostředku pro jejich vytváření před neoprávněným použitím.
Označující osoba je povinna chránit data a prostředky pro
vytváření elektronických značek takovým způsobem, aby nemohlo
dojít k jejich zneužití.
§ 5a odst. 2 – Označující osoba nese
odpovědnost za to, že používá takový prostředek pro vytváření
elektronických značek, který splňuje požadavky tohoto zákona
(viz § 17a). Označující osoba je zejména povinna nastavit
prostředek tak, aby neoznačil jiná data, než která hodlá
označující osoba označit (viz § 17a odst. 2).
§ 5a odst. 3 – Odpovědnostní závazkové
vztahy vzniklé porušením povinností uvedených v odstavci 1
se řeší podle příslušných ustanovení občanského zákoníku.
Dodavatel či výrobce prostředku pro vytváření elektronických
značek však odpovídá za případné vady na prostředku v souladu
s příslušným ustanovením odpovědnosti za vady podle
předpisů soukromého práva.
§ 5b - Držitel je „objednavatelem“ a
„příjemcem“ vydaného certifikátu a je tedy ve vztahu
k poskytovateli smluvní stranou. Odpovědnost za včasné
podávání přesných, pravdivých a úplných informací ve vztahu
k certifikátu spočívá na něm.
K bodu 12
§ 6 (zrušený) - Ustanovení § 6 platného
znění zákona se nahrazují novelizovaným § 6 a 6a. Důvodem
změny je skutečnost, že § 6 platného znění stanovil povinnosti
poskytovatele vydávajícího kvalifikované certifikáty – jediné
služby, na kterou byly stanoveny požadavky. V navrhovaném
znění poskytovatel může zajišťovat i další služby, jejichž
náležitosti budou zákonem nově upraveny (vydávání
kvalifikovaných systémových certifikátu, kvalifikovaných
časových razítek, prostředků pro bezpečné vytváření
elektronických podpisů). Některé povinnosti jsou společné bez
ohledu na to, kterou z uvedených služeb zajišťuje (shrnuty
do nového znění § 6), jiné se vztahují k určité službě
(uvedeny v § 6a, 6b).
§ 6 (navrhovaný) - Uvedený paragraf stanoví
povinnosti, které musí kvalifikovaný poskytovatel splnit bez
ohledu na to, jaké kvalifikované služby zajišťuje.
odst. 1 písm. a) – Důvěra v kvalifikovaného
poskytovatele se opírá mimo jiné o skutečnost, že se kdokoliv
může ujistit o jeho identitě. Tuto povinnost splní například
tak, že v místech, kde poskytuje své služby a kde dochází
ke kontaktu s veřejností, zveřejní předmětné informace
nejméně v rozsahu identifikačních údajů a stejné
informace zveřejní způsobem umožňujícím dálkový přístup.
Důvěra v poskytovatele spočívá rovněž v možnosti
důvěryhodným způsobem získat jeho kvalifikovaný systémový
certifikát, tj. certifikát, který používá při označování
vydávaných kvalifikovaných certifikátů, kvalifikovaných
systémových certifikátů a seznamů těchto certifikátů, které
byly zneplatněny, a kvalifikovaných časových razítek. Tento
kvalifikovaný systémový certifikát uživatelé vkládají do
svých aplikací a je tedy nezbytné, aby bylo možné ověřit jeho
správnost.
§ 6 odst. 1 písm. b) – Ukládá se povinnost
zajistit, aby poskytování kvalifikovaných certifikačních služeb
vykonávaly osoby, které mají takové odborné znalosti a
kvalifikaci a jsou natolik obeznámené s příslušnými
bezpečnostními postupy, že dávají předpoklad řádného
zajištění svěřených činností. Ustanovení vychází
z ustanovení přílohy II písm. e) směrnice 1999/93/ES.
§ 6 odst. 1 písm. c) – Pro řádné fungování
kvalifikovaných služeb je nezbytné používat pouze takové
systémy a nástroje, které lze označit za bezpečné, tj.
splňující požadavky zákona a prováděcí vyhlášky. Prováděcí
vyhláška tyto požadavky upřesní, a to v souladu
s relevantními dokumenty (standardy), které vznikly
z iniciativy Evropské komise. V souladu s článkem 3
(5) směrnice 1999/93/ES se systémy a nástroje považují rovněž
za bezpečné, pokud splňují požadavky technických norem, jejichž
referenční čísla zveřejní komise v Úředním věstníku
Evropských společenství.
§ 6 odst. 1 písm. d) – Kvalifikované
certifikáty a kvalifikovaná časová razítka, která poskytovatel
vydá, musí tento uchovat v nezměněné a ověřitelné podobě
(například pro možnost použití jako důkazu v rámci
soudního řízení). K tomu musí používat bezpečné
systémy, které takové uchování umožní. Pořizování záznamů
či jejich změn mohou provádět pouze osoby, které k tomu
poskytovatel pověřil, a je nutné zajistit možnost kontroly
správnosti záznamů a je nutné, aby změny porušující uvedené
požadavky mohly být identifikovány. Ustanovení vychází
z ustanovení přílohy II písm. l) směrnice 1999/93/ES.
§ 6 odst. 1 písm. e) – Poskytovateli se
ukládá, aby měl po celou dobu své činnosti k dispozici na
provoz takové finanční zdroje, které jsou dostačující pro
zajištění provozu v souladu s požadavky tohoto zákona
a s ohledem na riziko vzniku odpovědnosti za škody. Ustanovení
vychází z ustanovení přílohy II písm. h) směrnice
1999/93/ES, které jako příklad toho, aby poskytovatel mohl nést
odpovědnost za vzniklé škody, uvádí uzavření vhodného
pojištění.
§ 6 odst. 1 písm. f) – Cílem je, aby ten,
komu bude služba poskytována, a to před uzavřením smlouvy o
poskytování certifikačních služeb, byl dostatečně informován
o podmínkách užívání služby, o případných omezeních
užívání, o podmínkách reklamací a řešení vzniklých sporů.
Poskytována je rovněž informace o tom, zda je či není
poskytovatel akreditován, což je pro budoucího držitele
certifikátu důležité s ohledem na ustanovení § 11.
Ustanovení vychází z ustanovení přílohy II písm. k)
směrnice 1999/93/ES.
§ 6 odst. 2 – Podle čl. 3 odst. 1 směrnice
1999/93/ES nebudou členské státy poskytování certifikačních
služeb podmiňovat autorizací. Podle odst. 3 téhož článku
členské státy zajistí zavedení odpovídajícího systému, který
umožní dohled nad poskytovateli, kteří mají sídlo na jejich
území. Kvalifikovaní poskytovatelé tedy pouze oznamují
ministerstvu jako orgánu dohledu zahájení poskytování
kvalifikované služby. Kvalifikovaný systémový certifikát je
ministerstvu předáván za účelem ověření, zda splňuje
požadavky stanovené tímto zákonem. Ministerstvo může být i
důvěryhodným zdrojem informací o tomto certifikátu (např. pro
účely soudního řízení).
§ 6 odst. 3 – Ustanovení vychází z té
části ustanovení přílohy II písm. k) směrnice 1999/93/ES,
které poskytovateli ukládá povinnost bez prodlení informovat o
dobrovolném akreditačním systému, tj. o tom, zda je či není
akreditován. Pokud dojde ke změně ve smyslu odnětí akreditace,
je poskytovatel povinen o této skutečnosti informovat ty subjekty,
kterým kvalifikované služby poskytuje, a další dotčené osoby.
§ 6 odst. 4 – Stanoví se forma smlouvy,
přičemž jiná než písemná se s ohledem na průkaznost
nepřipouští.
§ 6 odst. 5 – Ustanovení vychází z přílohy
II písm. i) směrnice 1999/93/ES, které jako důvod tohoto uchování
uvádí především potřeby poskytnutí důkazu o certifikaci pro
účely soudního řízení. Poskytovatel je povinen uchovat zejména
smlouvu uzavřenou s příjemcem služby, a to včetně žádosti
o její poskytnutí, vydaný certifikát nebo vydané časové
razítko, kopie osobních dokladů, které předložila podepisující
osoba a na jejichž základě byla ověřena identita před vydáním
certifikátu, potvrzení o převzetí certifikátu jeho držitelem,
případně souhlas držitele se zveřejněním kvalifikovaného
certifikátu v seznamu vydaných kvalifikovaných certifikátů
/viz
I směrnice 1999/93/ES, resp. § 12 zákona, požadavky na obsah
kvalifikovaného systémového certifikátu stanoví § 12a.
§ 6a odst. 1 písm. b) – Některé údaje uvádí
v certifikátu přímo poskytovatel, jiné do certifikátu
poskytovatel vkládá na základě dokladů, které mu budoucí
držitel certifikátu předkládá. V obou případech je na
poskytovateli, aby zajistil přesnost, pravdivost a úplnost
uvedených údajů. Poskytovatel má oporu v ustanovení § 5b,
který držiteli certifikátu stanoví povinnost podávat
poskytovateli ve vztahu k certifikátu přesné, pravdivé a
úplné informace. Poskytovatel může například žádat od
držitele právě vydaného certifikátu, aby svým podpisem stvrdil,
že údaje v certifikátu uvedené (ty, které budoucí držitel
poskytl), mají požadované vlastnosti.
§ 6a odst. 1 písm. c) – Poskytovatel je
povinen před vydáním certifikátu ověřit odpovídajícími
prostředky identitu podepisující osoby nebo označující osoby.
To provádí na základě předložených osobních dokladů. Mají-li
být v certifikátu uvedeny i zvláštní znaky podepisující
nebo označující osoby, a to zejména identifikace držitele
certifikátu, pokud není totožný s podepisující osobou,
poskytovatel ověřuje i tyto znaky. V praxi poskytovatelé
upravují detailní postupy při ověřování totožnosti
v dokumentu Certifikační politika, který je veřejně
dostupný.
§ 6a odst. 1 písm. d) – Poskytovatel musí mít
implementovány takové mechanismy, které mu umožní získat tzv.
důkaz držby („proof of possession“ – POP), který zaručuje,
že podepisující osoba má data pro vytváření elektronických
podpisů, která odpovídají datům pro ověřování elektronických
podpisů, ke kterým má být certifikát vydán. Příkladem může
být elektronický podpis jako součást žádosti o vydání
certifikátu a jeho následné ověření daty pro ověřování
elektronických podpisů. Obdobné mechanismy platí pro data pro
vytváření a ověřování elektronických značek.
§ 6a odst. 1 písm. e) – Ustanovení navazuje
na tu část ustanovení přílohy II písm. l) směrnice 1999/93/ES,
která stanoví povinnost používat důvěryhodný systém pro
uchovávání certifikátů v ověřitelné podobě takovým
způsobem, aby certifikáty byly veřejně přístupné pro
vyhledávání pouze tehdy, pokud k tomu držitel certifikátu
poskytl souhlas. Seznam musí být dostupný i dálkovým přístupem
a podmínkou jeho řádného provozování je provádění
aktualizace po každé nastalé změně, přičemž změnou je míněno
vydání nového certifikátu. Změny jsou prováděny bez zbytečného
odkladu.
§ 6a odst. 1 písm. f) – Při srovnání
významu seznamu vydaných certifikátů a seznamu certifikátů,
které byly zneplatněny, lze konstatovat, že první z uvedených
má spíše informativní charakter (pokud držitel nedá souhlas,
certifikát v něm není uveden), kdežto druhý je klíčovým
prvkem bezpečné komunikace s použitím elektronického
podpisu založeného na certifikátu. I z tohoto důvodu je
každý seznam certifikátů, které byly zneplatněny, podepsán
elektronickou značkou poskytovatele založenou na kvalifikovaném
systémovém certifikátu (zejména pro zachování integrity a
nepopiratelnosti původu), který byl ověřen ministerstvem, kdežto
označování či podepisování seznamu vydaných kvalifikovaných
certifikátů není obvyklé. Ustanovení vychází z ustanovení
přílohy II písm. b) směrnice 1999/93/ES.
§ 6a odst. 1 písm. g) – Poskytovatel musí
uplatnit takové mechanismy, aby bylo možné přesně určit, a to
s maximální přesností, kdy byl certifikát vydán nebo
zneplatněn. Ustanovení vychází z ustanovení přílohy II
písm. c) směrnice 1999/93/ES.
§ 6a odst. 1 písm. h) – Poskytovatel je
povinen uplatnit odpovídající opatření proti padělání
certifikátů. Ustanovení vychází z ustanovení přílohy II
písm. g) směrnice 1999/93/ES. Jedná se především o bezpečnostní
postupy při vydávání certifikátů, o použité kryptografické
algoritmy a parametry a další systémová opatření, která budou
upřesněna vyhláškou.
§ 6a odst. 1 písm. i) – Dostupnost uvedených
informací je žádoucí zejména pro osoby, které spoléhají na
elektronické podpisy založené na certifikátech vydaných daným
poskytovatelem, resp. tyto podpisy ověřují zpravidla jako příjemci
elektronicky podepsaných datových zpráv. Obdobně platí pro
používání elektronických značek.
§ 6a odst. 2 – Poskytovatel může jako službu
zajišťovat generování (vytváření) dat pro vytváření
elektronických podpisů nebo elektronických značek. V takovém
případě je povinen přijmout taková opatření, aby bylo
zajištěno utajení těchto dat a tato data nebyla uchovávána a
kopírována, přičemž kopírováním a uchováváním se nemíní
samotný proces generování. Po předání dat budoucímu držiteli
nesmí poskytovatel mít tato data jakkoliv k dispozici.
Ustanovení vychází z ustanovení přílohy II písm. g) a j)
směrnice 1999/93/ES. Poskytovatel musí rovněž zaručit, že jím
vygenerovaná data pro vytváření odpovídají příslušným datům
pro ověřování, tj. příslušná dvojice dat vykonává
požadované funkce a data lze použít doplňujícím se způsobem.
Ustanovení vychází z čl. 6 (1) c) směrnice 1999(93/ES.
§ 6a odst. 3 – Podepisující osoba, držitel
certifikátu nebo označující osoba mohou z různých důvodů
požadovat, aby byl certifikát zneplatněn, a poskytovatel je
povinen v takovém případě certifikát neprodleně
zneplatnit. Těmito důvody jsou zejména ztráta kontroly nad daty
pro vytváření elektronických podpisů nebo elektronických značek
a změna údajů v certifikátu uvedených. Poskytovatel je
povinen certifikát neprodleně zneplatnit i v případě, že
ho držitel, podepisující osoba nebo označující osoba uvědomí,
že hrozí nebezpečí zneužití jejích dat pro vytváření
elektronických podpisů /viz povinnost podepisující osoby v § 5
odst. 1 písm. b) a označující osoby v § 5a odst. 1 písm. b)/.
Poskytovatel certifikát zneplatní i na základě svého rozhodnutí,
a to tehdy, pokud důvěryhodným způsobem zjistí, že byl vydán
na základě nepravdivých údajů (poskytovatel například zjistí,
že se držitel před vydáním certifikátu prokázal odcizenými
osobními doklady) nebo na základě chybných údajů.
§ 6a odst. 4 - Poskytovatel rovněž neprodleně
zneplatní certifikát, pokud údaje, na jejichž základě byl
vydán, pozbyly pravdivosti. Může se jednat například o situaci,
kdy je jako zvláštní znak uvedena v certifikátu funkce
(„ředitel odboru“), podepisující osoba byla zároveň
držitelem certifikátu a poskytovatel se prokazatelně dozví (je mu
například oznámeno zaměstnavatelem), že držitel certifikátu
již tuto funkci nezastává a údaj tedy pozbyl platnosti.
Poskytovatel zneplatní certifikát i v případě, že tak
nemůže učinit sama podepisující nebo označující osoba,
přičemž je prokazatelné, že jej nebude nadále používat a může
tak hrozit jeho zneužití (v případě úmrtí). Činnost
zneplatnění je z hlediska důvěryhodnosti služeb
poskytovatele klíčová. Poskytovatel provede zneplatnění změnou
statutu certifikátu ve svém úložišti certifikátů a informaci o
změně zveřejní pro spoléhající se strany v pravidelném
intervalu. Maximální doba, která může uplynout od okamžiku
řádného doručení žádosti o zneplatnění certifikátu
a jeho zneplatněním, včetně zveřejnění informace v seznamu
certifikátů, které byly zneplatněny, bude stanovena prováděcí
vyhláškou.
K § 6b
§ 6b odst. 1 - Stanoví se specifické povinnosti
kvalifikovaného poskytovatele při vydávání kvalifikovaných
časových razítek.
§ 6b odst. 1 písm. a) - Poskytovateli se stanoví
povinnost vydávat kvalifikovaná časová razítka, která budou
obsahovat všechny náležitosti stanovené tímto zákonem.
§ 6b odst. 1 písm. b) – Časový údaj, který
je do razítka vložen, musí být identický s hodnotou
koordinovaného světového času při vytváření tohoto razítka.
Nemůže se tedy jednat o dva časové údaje (čas vytvoření
razítka a čas vložení do časového razítka). Není možné na
požádání či z jiného důvodu vkládat jinou hodnotu času.
§ 6b odst. 1 písm. c) – Poskytovatel zároveň
nesmí vydat razítko na jiná data, než která jsou předmětem
žádosti.
§ 6b odst. 1 písm. d) – Poskytovatel musí
přijmout dostatečná opatření, zejména technická, technologická
a personální, proti padělání kvalifikovaných časových razítek
a musí přijmout taková opatření, aby jeho jménem nevydával
kvalifikovaná časová razítka jiný subjekt, který k tomu
není oprávněný.
§ 6b odst. 1 písm. e) – Dostupnost uvedených
informací je žádoucí zejména pro osoby, které spoléhají na
časová razítka, a to zpravidla jako příjemci zpráv, které byly
časovými razítky opatřeny.
§ 6b odst. 2 – Poskytovatel je povinen vydat
časové razítko neprodleně poté, co přijal žádost o jeho
vydání. Jeho vydání tedy nelze odkládat, a to bez ohledu na
pracovní dobu poskytovatele, na svátky a pracovní volna. Je tím
zajištěna včasnost vydání časového razítka, která je pro
žadatele o službu klíčová.
K bodům 14 - 19
§ 7 odst. 1 a 2 - Změny se navrhují
v souvislosti se zavedením pojmů „kvalifikovaný
poskytovatel“ a „kvalifikovaný systémový certifikát“ a
upřesňuje se, kterých ustanovení se týká omezení použití
certifikátu.
K bodu 20
§ 9 odst. 2 písm. b) – Změna se provádí
v souvislosti se zavedením pojmu „kvalifikovaný poskytovatel
certifikačních služeb“. Ministerstvo vykonává dozor nad
činností kvalifikovaných poskytovatelů bez ohledu na to, jaké
kvalifikované služby poskytují.
K bodu 21
§ 9 odst. 2 písm. c) - Změna se provádí
v souvislosti se zavedením pojmu „kvalifikovaný poskytovatel
certifikačních služeb“. Ministerstvo vede evidenci
kvalifikovaných poskytovatelů bez ohledu na to, jaké kvalifikované
služby poskytují.
K bodu 22
§ 9 odst. 2 písm. d) (nové) – Ministerstvo
vede evidenci kvalifikovaných systémových certifikátů, které
kvalifikovaní poskytovatelé používají při označování
vydávaných kvalifikovaných certifikátů, kvalifikovaných
systémových certifikátů a kvalifikovaných časových razítek.
Tyto certifikáty jsou ověřeny ministerstvem, a to z hlediska
splnění požadavků zákona.
K bodu 23
§ 9 odst. 2 písm. e) - Ministerstvo bude
zveřejňovat navíc oproti platnému znění zákona přehled
kvalifikovaných poskytovatelů, kteří zajišťují službu
vydávání kvalifikovaných systémových certifikátů,
kvalifikovaných časových razítek a prostředků pro bezpečné
vytváření elektronických podpisů. Zveřejňovány budou rovněž
kvalifikované systémové certifikáty poskytovatelů, na jejichž
základě poskytovatelé označují poskytovatelem vydávané
kvalifikované certifikáty, kvalifikované systémové certifikáty
a vydávaná kvalifikovaná časová razítka. Uživatelé tak budou
mít možnost ověřovat informace o poskytovatelích certifikačních
služeb z dalšího důvěryhodného zdroje.
K bodu 24
§ 9 odst. 2 písm. g) - Příkladný výčet
ustanovení se vypouští. Zákon nově obsahuje více povinností
uložených ministerstvu a odděluje je do odlišných ustanovení
zákona.
K bodu 25
§ 9 odst. 3 – Změna se navrhuje v souvislosti
se zavedením pojmu „kvalifikovaný poskytovatel“ a stanovením
požadavků na více služeb, než tomu bylo v platném znění
zákona. Kontrola bude konána u všech kvalifikovaných
poskytovatelů bez ohledu na to, jaké kvalifikované služby
zajišťují a zda jsou či nejsou akreditováni.
K bodu 26
§ 9 odst. 5 – Stanoví se možnost uložení
pořádkové pokuty za nesplnění povinnosti součinnosti podle
odstavce 3.
K bodu 27
§ 10 odst. 2 písm. a) – Znění se upřesňuje
pro případ, kdy je žadatel právnickou osobou nebo fyzickou osobou
a pro případ, kdy se jedná o organizační složku zahraniční
osoby na území České republiky.
K bodu 28
§ 10 odst. 2 písm. d) – Změna se navrhuje
v souvislosti se zavedením pojmu „kvalifikovaný
poskytovatel“ a stanovením požadavků na něj (viz § 6) a
stanovením požadavků na více služeb, než tomu bylo v platném
znění zákona.
K bodu 29
§ 10 odst. 2 písm. e) – Znění se upravuje
v souvislosti se zavedením pojmu „kvalifikované služby“.
Pro ministerstvo je při řízení o udělení akreditace důležitý
údaj o tom, které kvalifikované certifikační služby hodlá
poskytovatel zajišťovat. Z toho důvodu je tento údaj
vyžadován.
K bodu 30
§ 10 odst. 5 (zrušený) – Jedná se o změnu
s ohledem na volný pohyb služeb v rámci Evropských
společenství.
§ 10 odst. 6 (zrušený) – Ustanovení se
zrušuje, neboť zakládalo zásadní omezení v činnosti
akreditovaného poskytovatele certifikačních služeb (zákaz jiných
činností, než činnosti advokáta, notáře nebo znalce) a
znamenalo podstatné omezení (překážku) práva usazování a
poskytování služeb, a tak bylo v potencionálním rozporu
s články 43 a 49 Smlouvy o založení ES.
§ 10 odst. 7 (zrušený) – Ustanovení se
zrušuje, neboť navrhovaná novela stanoví v § 6 odst. 2 povinnost
ověření kvalifikovaných systémových certifikátů
kvalifikovaných poskytovatelů, nikoliv tedy jen akreditovaných.
K bodu 31
§ 10a - Ustanovení § 10a stanoví náležitosti
postupu, kdy se poskytovatel, kterému byla udělena akreditace,
rozhodne poskytovat další kvalifikovanou službu či kvalifikované
služby.
§ 10a odst. 1 – Poskytovatel může rozšířit
své služby o libovolnou kvalifikovanou službu či více těchto
služeb.
§ 10a odst. 2 - Zamýšlené rozšíření služeb
akreditovaný poskytoval ministerstvu oznamuje v souladu
s běžnou oznamovací povinností podle směrnice 1999/93/ES,
podání nové žádosti o udělení akreditace se nevyžaduje. Aby
ministerstvo mohlo posoudit všechny aspekty rozšíření a
předpoklady pro něj, je nezbytné, aby oznámení obdrželo alespoň
4 měsíce před zahájením poskytování služby.
§ 10a odst. 3 – Pro posouzení rozšíření
služeb musí poskytovatel doložit věcné, personální a
organizační předpoklady pro poskytování dalších
kvalifikovaných služeb, obdobně jako při podání žádosti o
akreditaci.
§ 10a odst. 4 – Pokud akreditovaný
poskytovatel nesplní požadavky stanovené v odst. 3, tj.
nedoloží věcné, personální organizační předpoklady pro
rozšíření služeb, nebo pokud je doloží neúplně či nepřesně,
ministerstvo na tento nedostatek poskytovatele upozorní a určí
lhůtu pro jeho odstranění. Současně poskytovatele upozorní na
případný následek neodstranění nedostatků, tj. zákaz
rozšíření služeb.
§ 10a odst. 5 – Pokud akreditovaný
poskytovatel nesplní všechny podmínky stanovené tímto zákonem
pro poskytování rozšířených služeb, ministerstvo rozšíření
služeb zakáže.
§ 10a odst. 6 – Lhůta 90 dnů se jeví jako
dostatečná k tomu, aby ministerstvo posoudilo, zda je nezbytné
rozšíření služeb zakázat, a zároveň jako únosná pro
poskytovatele.
K bodu 32
§ 11 odst. 1 - Stávající znění se doplňuje
v tom smyslu, že zaručené elektronické podpisy založené na
kvalifikovaných certifikátech vydaných akreditovanými
poskytovateli je nezbytné používat v oblasti orgánů veřejné
moci za účelem podpisu. Použití uznávaných elektronických
podpisů (tedy zaručených elektronických podpisů založených na
kvalifikovaném certifikátu od akreditovaného poskytovatele)
vyžaduje zákon jen pro účely podpisu v oblasti orgánů
veřejné moci. Působnost tohoto ustanovení se tedy vztahuje jen na
ty agendy veřejné moci, které v souladu se svou legislativně
procesní úpravou vyžadují jako náležitost právního úkonu
podpis. Příkladem může být podání v rámci správního
řízení, nebo vydání rozhodnutí v tomto řízení. Pokud
příslušný právní předpis nestanoví jako nutnou metodu
autentizace osoby použití podpisu, pak není nutné používat
uznávaný elektronický podpis. Příkladem mohou být v budoucnu
takové úpravy procesních předpisů, které jako náležitost
vydávané elektronické alternativy veřejné listiny stanoví
použití elektronické značky. Zároveň se ustanovení § 11 odst.
1 nevztahuje na ty agendy veřejné moci, které si pro své účely
vytvoří a legislativně upraví používání vlastních PKI.
Příkladem může být infrastruktura certifikačních autorit NATO
v rámci České republiky či dalších vnitroresortních
autorit, které nevydávají kvalifikované certifikáty a jejichž
použití nespadá do působnosti § 11 zákona. Z těchto
důvodů se na tyto infrastruktury neaplikují ani ustanovení
týkající se používání bezpečných systémů a nástrojů
elektronického podpisu.
K bodu 33 až 34
§ 11 odst. 1 - Legislativní zkratka je navržena
z důvodu, že stávající pojem „zaručený elektronický
podpis založený na kvalifikovaném certifikátu vydaném
akreditovaným poskytovatelem certifikačních služeb“ je pro
praxi nevhodný.
K bodu 35
§ 11 odst. 1 - Znění se doplňuje o zmocnění
k vydání prováděcího předpisu, který stanoví strukturu
údajů, na základě kterých je možné osobu jednoznačně
identifikovat. Takovým údajem je v současné době číslo,
které užívá Ministerstvo práce a sociálních věcí pro
označení osob, jejichž záznamy vede v informačním systému
o dávkách státní sociální podpory a jejich výši, o
poživatelích těchto dávek a žadatelích o tyto dávky a
osobách s nimi společně posuzovaných, vedeném na základě § 63
odst. 3 zákona 117/1995 Sb., o státní sociální podpoře. Tento
způsob identifikace je užíván pro kvalifikované certifikáty
vydávané pro komunikaci jak v oblasti žádostí o sociální
dávky, tak v oblasti podávání některých daňových
přiznání. Výhodou identifikátoru je jeho bezvýznamovost a
jedinečnost a jeho jednoduché mapování na ostatní identifikátory
používané u orgánů státní správy. Na zavedení tohoto
identifikátoru se shodli zástupci ústředních orgánů v rámci
meziresortního připomínkového řízení.
K bodu 36
§ 11 odst. 2 – Elektronické značky založené
na kvalifikovaných systémových certifikátech a uznávané
elektronické podpisy jsou způsobilé zajistit nepopiratelnost
původu a originalitu obsahu dat v elektronické podobě, ke
kterým jsou připojeny. Proto mohou být plnohodnotnými
náležitostmi elektronických písemností orgánů veřejné moci –
mají totiž stejnou funkci jako úřední razítko a podpis úřední
osoby na listině.
§ 11 odst. 3 – Datové zprávy přijímané a
odesílané orgánem veřejné moci podle odst. 1 je nutné
adekvátním způsobem zpracovávat. Za tímto účelem je
k zajištění správného používání elektronických podpisů
v těchto orgánech možné použít pouze příslušná
pracoviště – elektronické podatelny.
K bodu 37
§ 12 odst. 1 písm. b) – Znění se specifikuje
pro případ, kdy je poskytovatel právnickou osobou nebo fyzickou
osobou a v souladu se směrnicí 1999/93/ES se stanoví
povinnost uvádět údaj o státu, ve kterém je poskytovatel usazen.
K bodu 38
§ 12 odst. 1 písm. c) – Znění ustanovení se
doplňuje v souladu s § 61 zákona č. 301/2000 Sb., o
matrikách.
K bodu 39
§ 12 odst. 1 písm. f) – Náležitostí
certifikátu je elektronická značka poskytovatele, tj. poskytovatel
jí označuje vydávaný certifikát. Vzhledem k tomu, že
elektronická značka je zaručeným elektronickým podpisem ve
smyslu směrnice 1999/93/ES, má v tomto případě stejnou
funkci jako zaručený elektronický podpis podle přílohy 1 písm.
(h) směrnice 1999/93/ES.
K bodu 40
§ 12 odst. 2 – Uvede-li poskytovatel
v certifikátu omezení pro jeho použití, je nezbytné, aby
toto omezení bylo zjevné třetím stranám, tj. osobám, které se
na certifikát spoléhají při ověřování elektronického
podpisu. Ustanovení vychází z článku 6 odst. 3 směrnice
1999/93/ES, věta první.
K bodu 41
§ 12a - Obdobně jako § 12 upravuje náležitosti
kvalifikovaného certifikátu, jsou v § 12a upraveny nezbytné
náležitosti kvalifikovaného systémového certifikátu.
Náležitosti jsou upraveny v souladu s mezinárodními
technickými normami, které stanoví požadavky na obsah
certifikátu.
§ 12a písm. a) – Náležitostí certifikátu
je jeho označení, že se jedná o kvalifikovaný systémový
certifikát vydaný podle tohoto zákona.
§ 12a písm. b) - Náležitostí certifikátu je
identifikace poskytovatele, který jej vydal, přičemž se
specifikují údaje, které je nutné uvést.
§ 12a písm. c) - Náležitostí certifikátu je jednoznačná
identifikace označující osoby. Zpravidla se bude jednat o název
právnické osoby nebo organizační složky státu, může se však
jednat i o fyzickou osobu, jejímž označením bude jméno (příp.
jména) a příjmení. V certifikátu lze uvést i označení
prostředku pro vytváření elektronických značek, který bude pro
označování používán. Uvedené náležitosti jsou jednou z
klíčových položek certifikátu, neboť označují držitele dat
pro vytváření elektronických značek, tedy toho, kdo
elektronickou značku vytváří.
§ 12a písm. d) - Náležitostí certifikátu
jsou data pro ověřování elektronických značek (odpovídající
datům pro jejich vytváření). Právě k těmto datům se
certifikát vydává a slouží pro jejich bezpečné předání,
tedy tato data se „certifikují“.
§ 12a písm. e) - Náležitostí certifikátu je
elektronická značka poskytovatele, tj. poskytovatel jí označuje
vydávaný certifikát.
§ 12a písm. f) - Náležitostí certifikátu je
číslo certifikátu, které je unikátní u daného poskytovatele a
je tedy jednoznačnou identifikací certifikátu.
§ 12a písm. g) - Náležitostí certifikátu je
uvedení časového údaje, od kterého okamžiku do kterého
okamžiku je platný (pokud nebude během této doby zneplatněn).
§ 12a písm. h) – Je-li použití certifikátu
spojeno s omezením, musí být toto omezení v certifikátu
uvedeno a musí být zjevné třetím stranám.
§ 12b - Obdobně jako § 12 upravuje náležitosti
kvalifikovaného certifikátu a § 12a náležitosti kvalifikovaného
systémového certifikátu, upravuje § 12b náležitosti
kvalifikovaného časového razítka. Náležitosti jsou upraveny
v souladu s mezinárodními technickými normami, které
stanoví požadavky na obsah časového razítka.
§ 12b písm. a) – Náležitostí časového
razítka je jeho číslo, které je unikátní u daného
poskytovatele, a toto číslo je tedy jednoznačnou identifikací
časového razítka.
§ 12b písm. b) – Poskytovatel vydává časová
razítka podle pravidel, která pro jejich vydávání stanoví. Aby
tato pravidla byla jednoznačně identifikovatelná, jsou označená
tak, aby je bylo možné odlišit od jiných (např. předcházejících)
verzí. Ponechává se na poskytovateli, jaké označení zvolí,
zpravidla se užívá tzv. OID. Položka je důležitá proto, aby
třetí strany mohly dohledat, jaké postupy poskytovatel volil při
vydávání razítek a jaké záruky poskytuje.
§ 12b písm. c) - Náležitostí časového
razítka je identifikace poskytovatele, který jej vydal, přičemž
se specifikují údaje, které je nutné uvést.
§ 12b písm. d) – Náležitostí časového
razítka je časový údaj, tj. hodnota času. Jedná se o čas
vytváření časového razítka, přičemž je možné použít
pouze koordinovaný světový čas. Hodnotu času může
reprezentovat např. hash.
§ 12b písm. e) - Náležitostí časového
razítka jsou data v elektronické podobě, k nimž je
časové razítko vydáno. Obdobně jako v písm. d) se může
jednat o reprezentaci těchto dat.
§ 12b písm. f) - Náležitostí časového
razítka je elektronická značka kvalifikovaného poskytovatele, tj.
poskytovatel jí označuje vydávaný certifikát.
K bodu 42
§ 13 odst. 1 – Povinnost stanovená v platném
znění zákona pro akreditované poskytovatele se navrhuje vztáhnout
na všechny kvalifikované poskytovatele. Uvedené povinnosti
vycházejí z dokumentu (technické specifikace), který vydal
pod názvem Policy requirements for certification authorities issuing
qualified certificates z iniciativy Evropské komise European
Telecommunications Standards Institute v roce 2002 s označením
TS 101 456 V.1.2.1. Obecně lze požadavek formulovat tak, že
poskytovatel má připravené postupy, které uplatní v případě
ukončení své činnosti, a to zejména s ohledem na nezbytnost
(a povinnost stanovenou v § 6 odst. 5 a 6) uchování evidence
vztahující se k poskytovaným službám. Tyto informace a
dokumenty musí být uchovány zejména proto, aby mohly být použity
jako důkaz v soudním řízení.
§ 13 odst. 2 – V souvislosti se změnou
v odst. 1 se rozšiřuje okruh poskytovatelů, jejichž evidenci
převezme ministerstvo, pokud poskytovatel nemůže splnit zajištění
jejího předání jinému kvalifikovanému poskytovateli. Převzetí
ministerstvo oznamuje dotčeným subjektům.
§ 13 odst. 3 – Může nastat situace, kdy
poskytovatel není schopen nahlásit ministerstvu, že ukončuje svou
činnost. I v takových případech je nutné, aby evidence
podle odst. 1 byla nadále spravována.
K bodu 43 a 44
§ 14 odst. 1 – Změny se provádí
v souvislosti se zavedením pojmu „kvalifikovaný poskytovatel
certifikačních služeb“.
K bodu 45
§ 14 odst. 3 – Ministerstvo může v případě,
že odňalo akreditaci, rozhodnout o tom, že je poskytovatel povinen
zneplatnit certifikáty vydané jako kvalifikované. Jedná se o
krajní opatření pro případ, že by ministerstvo zjistilo vážné
bezpečnostní nedostatky, které by zpochybnily důvěryhodnost
vydaných certifikátů.
K bodu 46
§ 15 – Změna se navrhuje v souvislosti se
zavedením pojmu „kvalifikovaný poskytovatel“, pojmu „certifikát
vydaný jako kvalifikovaný“ a pojmy souvisejícími s používáním
elektronických značek.
odst. 2 (zrušený) – Ustanovení byla
zohledněna v navržených ustanoveních § 6a odst. 1 písm.
g).
K bodu 47
§ 16 - Změna se navrhuje pro dosažení
kompatibility s článkem 7 odst. 1 směrnice 1999/93/ES.
§ 16 odst. 1 – Smyslem ustanovení je uznávání
kvalifikovaného certifikátu ve všech členských státech EU bez
ohledu na to, ve kterém členském státu byl vydán.
§ 16 odst. 2 – Certifikáty vydané ve třetích
státech jako kvalifikované (ve smyslu tohoto zákona) mohou být za
dále uvedených podmínek považovány za rovnocenné kvalifikovaným
certifikátům vydaným podle tohoto zákona. Těmito podmínkami
jsou:
§ 16 odst. 2 písm. a) - poskytovatel pocházející
ze třetího státu splňuje podmínky práva ES a byl akreditován
v některém členském státu EU,
§ 16 odst. 2 písm. b) – poskytovatel, který
je usazen v některém z členských států EU a splňuje
podmínky práva ES, převezme odpovědnost za platnost a správnost
certifikátu ve stejném rozsahu jako u svých kvalifikovaných
certifikátů ,
§ 16 odst. 2 písm. c) – toto vyplývá
z mezinárodní smlouvy.
K bodu 48
Nadpis § 17 – na základě doporučení odboru
kompatibility Úřadu vlády ČR se vypouští slovo „zaručených“
/dosažení souladu s definicí v § 2 písm. u) a v)/.
K bodu 49
§ 17 odst. 3 – Stanoví se další náležitost
prostředků pro bezpečné vytváření elektronických podpisů, a
to požadavek na jejich bezpečné vydání a požadavek na
důvěryhodný způsob vytvoření dat pro vytváření
elektronických podpisů buď v těchto prostředcích přímo,
nebo přidáním (přenesením) do těchto prostředků. Uvedené
požadavky upřesní prováděcí vyhláška.
K bodu 50
§ 17a - Zavedení používání elektronických
značek vyžaduje stanovení požadavků na prostředky pro jejich
vytváření.
§ 17a odst. 1 písm. a) – Prostředek musí zajistit utajení dat
pro jejich vytváření a musí označující osobě umožnit jejich
spolehlivou ochranu. Pokud má označující osoba odpovědnost za
utajení těchto dat, pak musí technické prostředky náležitým
způsobem umožnit jejich utajení.
§ 17a odst. 1 písm. b) – Zahajuje-li označující osoba použití
tohoto prostředku, musí být jeho prostřednictvím informována,
že tak činí (opatření proti záměně prostředku). Označující
osoba si tak má být vědoma, že s jejím jednáním může
být spojen vznik práv a povinností daných zákonem.
§ 17a odst. 2 – Označující osoba může postupovat tak, že
činnost prostředku iniciuje a prostředek bez její další přímé
kontroly vykonává požadované funkce. Podmínkou je, že
prostředek označí výhradně ty datové zprávy, které označující
osoba pro označení zvolí, tedy že je možné jej nastavit tak,
aby vykonával jen a pouze tyto funkce.
§ 17a odst. 3 – Prostředek musí být chráněn před
neoprávněnou modifikací, jejímž důsledkem by mohlo být
narušení vykonávaných funkcí. Pokud by ke změně došlo,
označující osoba musí tuto změnu zjistit, tj. musí být pro ni
zjevná.
K bodu 51
§ 18 - Upravují se správní delikty
právnických osob dle usnesení vlády č. 162 ze dne 20. února
2002, kterým vláda schválila koncepci reformy správního trestání
obsaženou v návrhu věcného záměru zákona o správním
trestání, který vládě předložil ministr vnitra. Návrh byl
zpracován ve spolupráci s MV za účelem dosažení souladu nové
právní úpravy s navrhovanou koncepcí správního trestání.
K bodu 52
§ 18a – Upravují se přestupky (viz komentář
k bodu 51).
K bodu 53
§ 19 – Stanoví se společná ustanovení ke
správním deliktům a pokutám.
K bodu 54
§ 20 odst. 1 – 5 - Zmocnění k vydávání
prováděcích právních předpisů se rozšiřuje s ohledem na
nově navržené § 6a a 6b. Dále se zmocnění rozšiřuje o
stanovení struktury údajů, na základě kterých je možné osobu
jednoznačně identifikovat podle § 11 odst. 1 a na elektronické
podatelny orgánu veřejné moci podle nově navrženého § 11 odst.
3. Navrhovatel předpokládá, že upřesněním požadavků na
elektronické podatelny vyhláškou přispěje k vyšší
kvalitě jejich fungování. Zmocnění se dále rozšiřuje
s ohledem na nově navržený § 17a. Ve všech odstavcích
zmocnění se upřesňuje, ke kterým ustanovením zákona se
zmocnění vztahuje.
K Článku II.
Přechodné ustanovení se vztahuje na
poskytovatele, kterým byla udělena akreditace do doby nabytí
účinnosti tohoto zákona. Akreditovaní poskytovatelé musí
z technických a technologických důvodů přizpůsobit svou
službu vydávání kvalifikovaných certifikátů tomuto zákonu do
poloviny roku 2005.
K Článku III.
Vzhledem
k tomu, že se jedná o rozsáhlejší novelu zákona, navrhuje
se zmocnit předsedu vlády k tomu, aby ve Sbírce zákonů vyhlásil
úplné znění zákona č. 227/2000 Sb., o elektronickém podpisu a
o změně některých dalších zákonů (zákon o elektronickém
podpisu), jak vyplývá ze zákonů jej měnících.
K Článku IV
Zákon nabývá účinnosti dnem vyhlášení.
Výjimkou je ustanovení o uznávání kvalifikovaných certifikátů,
které je možné naplnit až okamžikem vstupu do EU.
V Praze dne 5. listopadu 2003
předseda vlády
Vladimír Špidla v. r.
ministr informatiky
Vladimír Mlynář v. r.