Důvodová zpráva

Návrh zákona o elektronickém podpisu

Sněmovní tisk: č. 415, 3. volební období
Zdroj PSP ČR

Průběžně zpracováváme a vylepšujeme obsah důvodových zpráv. Tento dokument může mít drobné nedostatky ve formátování — aktivně na nich pracujeme.

Tento dokument obsahuje důvodovou zprávu k návrhu zákona ze sněmovního tisku PSP ČR — záměr zákonodárce a odůvodnění jednotlivých ustanovení.

  1. ZHODNOCENÍ PLATNÉHO PRÁVNÍHO STAVU

    Používání moderních telekomunikačních prostředků, jakými jsou elektronická pošta, elektronická výměna dat (EDI), ale i telefaxy a jiné prostředky umožňující dálkový přístup za účelem provádění obchodních transakcí se rapidním tempem zvyšuje a lze očekávat, že se bude dále rozvíjet s tím, jak se informační dálnice a Internet stanou dostupnějšími. Komunikace sdělující závažné informace právní povahy formou netištěných zpráv však může narazit na překážky v právní oblasti, které by zabraňovaly jejich používání či by mohly vyvolat námitky ohledně jejich důkazní hodnoty.

    Nedostatečná národní legislativa vytváří překážky pro mezinárodní obchod, jehož výrazná část se realizuje právě prostřednictvím moderních telekomunikačních prostředků. Rozdíly mezi národními legislativami a rozpory při jejich výkladu ohledně používání komunikačních prostředků se tak mohou stát výrazným faktorem, omezujícím přístup na mezinárodní trhy.

    V českém právním řádu neexistuje jednotná právní úprava, která by jednoznačně připouštěla elektronickou formu dokumentace nebo jednoznačně zakazovala elektronickou formu dokumentace ve všech případech lidského konání.

    Základní právní normou, která by mohla mít vztah k elektronickému obchodu, je především zákon č. 40/1964 Sb., Občanský zákoník, ve znění pozdějších předpisů (dále také jen ObčZ), který v § 40 uvádí: “Nebyl-li právní úkon učiněn ve formě, kterou vyžaduje zákon nebo dohoda účastníků, je neplatný. Písemně uzavřená dohoda může být změněna nebo zrušena pouze písemně. Písemný právní úkon je platný, je-li podepsán jednající osobou; činí-li právní úkon více osob, nemusí být jejich podpisy na téže listině, ledaže právní předpis stanoví jinak. Podpis může být nahrazen mechanickými prostředky v případech, kdy je to obvyklé. Písemná forma je zachována, je-li právní úkon učiněn telegraficky, dálnopisem nebo elektronickými prostředky, jež umožňují zachycení obsahu právního úkonu a určení osoby, která právní úkon učinila.

    Zákon č. 99/1963 Sb., Občanský soudní řád, ve znění pozdějších předpisů (dále také jen OSŘ), jakožto základní procesní předpis ve svém § 125 [Druhy důkazů] uvádí: “Za důkaz mohou sloužit všechny prostředky, jimiž lze zjistit stav věci, zejména výslech svědků, znalecký posudek, zprávy a vyjádření orgánů a právnických osob, listiny, ohledání a výslech účastníků. Pokud není způsob provedení důkazu předepsán, určí jej soud.

    Nespornost podpisu a jeho uznávání může být v občanskoprávních (a tedy i obchodních) vztazích zajištěna dohodou smluvních stran, a to podle ust. § 2 odst. 3 ObčZ: “Účastníci občanskoprávních vztahů si mohou vzájemná práva a povinnosti upravit dohodou odchylně od zákona, jestliže to zákon výslovně nezakazuje a jestliže z povahy ustanovení zákona nevyplývá, že se od něj nelze odchýlit.”

    Strany si mohou své vzájemné vztahy upravit tak, jak to odpovídá jejich souhlasné vůli podle svých potřeb.9 Za splnění podmínky identifikace a autentizace (se současným požadavkem na dodržení principu neodmítnutelnosti) lze provést elektronickou transakci například v prostředí Internetu tak, aby splňovala podmínky ust. § 40, odst. 4 ObčZ, zejména “...určení osoby, která právní úkon učinila.

    Požadavek zajištění identifikace10 a autentizace11 vznikl v podstatě ve stejném okamžiku, kdy došlo k zachycení právního úkonu na nějaké záznamové médium. Právní úprava i praxe dospěly posléze k určitým všeobecně uznávaným způsobům a formám, na jejichž základě se toto určování a ověřování provádějí v případech, že je úkon činěn na papíře. K identifikaci zde slouží nejčastěji vlastnoruční podpis, k němuž jsou připojeny některé osobní údaje (např. jméno, příjmení a rodné číslo), autentizace se uskutečňuje např. legalizací, kterou provádí notář nebo příslušný orgán veřejné správy.

    Jakmile se však začne uvažovat pojem dokument jinak než pouze v klasické písemné formě,12 je zřejmé, že se těmito tradičními nástroji nevystačí. V současné době již nečiní potíže provést digitalizaci písemného dokumentu (jako obrázku, tj. coby faksimile) a přitom přenést i podpis, který je na dokumentu učiněn. Samozřejmě, že pravost podpisu může být zpochybněna a následně pak prokazována (např. znalecky).13 Mimo to může být rovněž zpochybněno, zda v průběhu digitalizace nedošlo ke změně obsahu dokumentu - jinak řečeno k tomu, že podpis je sice pravý, ale digitalizovaná podoba obsahu dokumentu se liší od té, která byla původně identifikována a autentizována. I tento důkaz by bylo pravděpodobně možné pomocí bezpečnostních postupů spojených s digitalizací opatřit.14

    Ještě složitější situace vzniká tam, kde je dokument vytvářen přímo prostředky výpočetní techniky, tedy nikoliv jako digitální faksimile, ale přímo jako digitální záznam obsahu dokumentu (převedením textu do elektronické podoby coby posloupnost jednotlivých znaků – dále zpracovatelných běžným textovým editorem). V zásadě ani zde nestojí otázka tak, že by nebylo možno z technického hlediska opatřit dokument podpisem, ale jde o to, jak zajistit, aby tento podpis byl schopen fungovat jako nástroj identifikace a mohla jím být na jeho základě provedena autentizace.

    Možnosti jsou v podstatě dvě: I. zvláštní zákon o elektronickém obchodu; II. zakotvení elektronického podpisu v českém právním řádu. V obou případech jde prakticky o totéž: učinit dokumenty a podpisy na papíře a elektronické rovnoprávnými.

    S první cestou úzce souvisí jeden z nejvýznamnějších výstupů činnosti Komise OSN pro mezinárodní obchodní právo (United Nations Commission on International Trade Law – UNCITRAL), kterým je Vzorový zákon o elektronickém obchodu. UNCITRAL, který je od roku 1966 Valným shromážděním OSN pověřen harmonizací a unifikací v této oblasti práva, zaujímá nejdůležitější postavení mezi ostatními mezinárodními organizacemi a orgány, které vyvíjejí obdobné aktivity.

    Rozhodnutí UNCITRAL vytvořit vzorovou legislativu ve vztahu k elektronickému obchodu vzniklo jako odezva na skutečnost, že v řadě zemí stávající legislativa týkající se komunikací a ukládání informací není na dostatečné úrovni či je zastaralá, protože nepředpokládá používání elektronického obchodu. V řadě států většinou takové právní předpisy neexistovaly vůbec nebo byla tato problematika řešena pouze částečně, na což měla nepochybně svůj vliv i tradiční nedůvěra k informacím v jiné než písemné formě.V určitých případech stávající legislativa při používání moderních komunikačních prostředků ukládá restriktivní opatření, např. tím, že předepisuje používání “písemných”, “signovaných” či “originálních” dokumentů. Uvedená skutečnost může navodit nejistotu ve vztahu k právní povaze a věrohodnosti informací předložených v jiné formě, než je tradiční dokument vytištěný na papíře. Jde o návrh velmi obecný, který má sloužit všem zemím, jež v souladu s technologickým pokrokem potřebují modernizovat svoji legislativu.

    Cíl Vzorového zákona, který má umožnit či usnadnit provádění elektronického obchodu a zajistit stejné zacházení jak uživatelům podkladů v tištěné formě, tak i uživatelům informací na bázi počítače, má důležitý význam při podpoře ekonomiky a efektivnosti mezinárodního obchodu. Zařazením procedur předepsaných ve Vzorovém zákoně do národních legislativ v těch případech, kdy si strany zvolí používání elektronických prostředků komunikace, může stát, který tyto procedury přijal, vytvořit prostředí nezávislé na klasických médiích.

    Klíčová myšlenka zákona, že informaci nelze upřít právní důsledky, platnost nebo vykonatelnost jen proto, že má formu datové zprávy, je jistým převratem v doposud omezeném chápání písemností a dokumentace jakožto informací výlučně spjatých s papírovým nosičem. Základním principem je, že datové zprávy nesmí být diskriminovány, tj. že nesmí existovat rozpor v zacházení mezi datovými zprávami a dokumenty na papíře. Zákon se zabývá základními pojmy používanými v obchodování, jako jsou “dokument”, “podpis”, “vypracování smluv a jejich platnost”, “uznání datových zpráv stranami”, “potvrzení příjmu” apod. V detailech odkazuji na podrobný článek obsahující i neoficiální překlad tohoto Vzorového zákona.

    Začlenění zákona o elektronickém obchodě do našeho právního řádu – buď jakožto zvláštního zákona, nebo v rámci jiného zákona či jeho novely – by vytvořilo kýžené legislativní podmínky pro opravdový, nikoliv jen očekávaný rozvoj elektronického obchodování. Problémem je, že by si rozsáhlý zákon vyžádal poměrně značné množství legislativních prací, a to jak na zákonu samotném, tak na platných právních normách souvisejících.

    Druhou možností, která neklade tak velké nároky na legislativní proces, přičemž podle názoru předkladatelů vytvoří dostatečné podmínky pro elektronické uzavírání smluv a tedy pro elektronický obchod, je zakotvení elektronického podpisu v naší legislativě.15

    Ve vyspělých zemích je již několik desetiletí věnována pozornost digitálnímu, nyní elektronickému podpisu. V roce 1998 byl na půdě UNCITRAL zpracován Návrh jednotných pravidel o elektronických podpisech16 a v témže roce byl schválen Návrh směrnice Evropského parlamentu a Rady pro účely systému elektronických podpisů /COM/98/297/.17 Poté došlo k řadě změn v pojetí podpisů ze strany UNCITRAL – viz zejména materiál UNCITRAL čj. A/CN.9/WG.IV/WP.80 zpracovaný v roce 1999, který mění původní značně technologicky závislou koncepci elektronických podpisů (v podstatě pouze na bázi podpisů digitálních) na koncepci značně obecnou, umožňující použití i jiných technologií a dokumenty následující (viz materiály WP.81 a WP.82, které byly projednávány na zasedání pracovní skupiny UNCITRAL WG.IV ve Vídni ve dnech 6.-17.9.1999).

    Klíčovým je pojem elektronického podpisu. Ve smyslu závěrů vyplývajících z výše zmíněných dokumentů jej můžeme vymezit tak, že jde o údaje v elektronické podobě, které jsou připojené nebo logicky spojené s datovou zprávou a které jsou použity ke zjištění totožnosti oprávněné osoby ve vztahu k datové zprávě.

    Pro praxi je významné, aby tento podpis byl tzv. bezpečným, či zaručeným.18 Tak je tomu tehdy, když podpis může být ověřen pomocí bezpečnostního postupu nebo jejich kombinací, což má zajistit, že takový podpis je vzhledem k tomu, kdo jej činí jednoznačný, může být použit k identifikaci osoby, která jej vytvořila a oprávněně použila v souvislosti se danou informací či zprávou a je připojen k této zprávě buď držitelem podpisu nebo takovými způsoby, které jsou pod jeho kontrolou.

    Na rozdíl od elektronického podpisu, který je “pouhým podpisem”,19 je účelem zaručeného (bezpečného) elektronického podpisu zajistit, že zprávu podepsala opravdu oprávněná osoba. Vychází z principu existence “ověřovatele informací”, který ověřuje vztah mezi zaručeným elektronickým podpisem a oprávněnou osobou.20 Pravděpodobně nejsoučasnější variantou realizující zaručený elektronický podpis je podpis digitální, vycházející z principu existence dvou klíčů vygenerovaných majitelem podpisu: soukromého a veřejného.

    Zpráva, která má být podepsána, je transformována pomocí signatářova soukromého klíče do posloupnosti znaků (tj. řady písmen a číslic) připojené k vlastní zprávě jako její digitální podpis. Kdokoliv, kdo má k dispozici signatářův veřejný klíč, může si jeho aplikováním na připojený digitální podpis ověřit, zda skutečně je autorem zprávy signatář a zda zpráva nebyla po odeslání změněna. Digitální podpis lze tedy vymezit tak, že jde o funkci odeslané zprávy a tajné informace, která je známa pouze majiteli soukromého klíče a lze jej ověřit pomocí všeobecně známého veřejného klíče.

    Propojení identifikačních údajů vlastníka s jeho veřejným klíčem zajišťuje certifikát, který obsahuje zejména údaje, které vylučují možnost záměny subjektů (zejména veřejný klíč a identifikační údaje), jméno ověřovatele (tzv. certifikační autority) a další. Certifikát je veřejný a může jej mít k dispozici každý, s kým hodlá dotyčný komunikovat a používat zaručeného elektronického podpisu. K tomu, aby mohl sloužit svému účelu, tedy ověřovat, že zpráva odeslaná např. e-mailem byla skutečně podepsána jejím odesílatelem, musí být certifikát ještě elektronicky podepsán certifikační autoritou (ověřovatelem informací); tímto ověřením se zaručuje, že daný veřejný klíč patří opravdu tomu, kdo je označen jako jeho vlastník. V tomto okamžiku se pak stává tím, čím má být, tedy průkazem totožnosti.

    Česká republika prozatím právní úpravu elektronického podpisu nemá, byť se již některé firmy pokoušejí jako ověřovatelé informací působit.Učinit v tomto směru potřebná opatření, se ukazuje být záležitostí velice aktuální, zejména vzhledem ke stále rostoucímu objemu a důležitosti vztahů, které se realizují prostřednictvím Internetu. Existence elektronického podpisu v české legislativě by umožnila i výkon některých prvků veřejné správy dálkovým způsobem. Přitom bude třeba brát v úvahu skutečnost, že k identifikaci a autentizace se bude v budoucnosti nijak vzdálené, používat i jiných prostředků než je elektronický podpis.21

    Z tohoto důvodu je předkládán tento návrh zákona o elektronickém podpisu, který zavede do legislativy pojmy jako “elektronický podpis”, “zaručený elektronický podpis”, “ověřovatel informací”, vymezí práva a povinnosti jednotlivých subjektů (oprávněné osoby – signatáře, ověřovatele informací – pro digitální podpis tzv. certifikační autority, úřadu vykonávajícího dohled nad ověřovateli informací apod.) a především, začlení do ust. § 40 ObčZ alternativní možnost k podpisu na papíře, a to datovou zprávu podepsanou elektronicky podle zvláštních předpisů. Snaha předkladatelů je, aby byl co nejobecnější a technologicky nejméně závislý, neboť při každé změně technologie by bylo třeba měnit text zákona.

    Je třeba zajistit, aby k vytváření i ověřování (zaručených) elektronických podpisů bylo možno používat všech dostupných technologií - ať již softwarově, hardwarově či jinak založených - které budou obsahovat dostatečná bezpečnostní opatření zabraňující jejich zneužití. Nebylo by vhodné, aby v případě jakékoliv změny technologie bylo třeba tuto změnu promítnout do textu zákona, resp. aby se zákonný rámec stal brzdou technického vývoje v této oblasti. Požadované technické standardy by měly být určovány v prvé řadě technickým vývojem v oblasti softwaru a hardwaru a nikoliv svazovány právní úpravou. Výše uvedený přístup je třeba zohlednit i v prováděcích vyhláškách Ministerstva dopravy a spojů vydaných na základě zmocnění podle §21 tohoto zákona.

  2. ODŮVODNĚNÍ HLAVNÍCH PRINCIPŮ NÁVRHU ZÁKONA

    Cílem zákona je umožnit či usnadnit provádění elektronického obchodu a jiných právních úkonů prostřednictvím moderních informačních technologií a prostředky dálkového přístupu a zajistit stejné zacházení jak uživatelům podkladů v tištěné formě, tak i uživatelům elektronicky uložených informací. Hlavním principem navrhovaného zákona je ve smyslu “Vzorového zákona o elektronickém obchodu” a v souladu s připravovanými směrnicemi ES zavést tzv. “funkčně ekvivalentní přístup”, který zajistí, že datové zprávy nesmí být diskriminovány, tj. že nesmí existovat rozpor v zacházení mezi datovými zprávami a dokumenty na papíře. Forma, kterou je určitá informace prezentována či uchovávána, nemůže být považován za důvod, pro který by tato informace pozbyla právní účinnosti, platnosti či uplatnitelnosti.

    Zákon proto definuje pojmy, postupy a subjekty práva účastnící se na vyváření, používání a ověřování elektronických podpisů a zaručených elektronických podpisů, jako prostředků umožňujících používání elektronických dokumentů (datových zpráv) způsobem, který je v souladu s obecně závaznými právními normami. Za tímto účelem je doplněna stávající dikce § 40, odstavce 3 zákona č. 40/1964 Sb., občanský zákoník, ve znění pozdějších předpisů, podle kterého datová zpráva (elektronický dokument) může být podepsána elektronicky podle zvláštních předpisů, tj. podle tohoto navrhovaného zákona.

    Součástí návrhu je i zřízení orgánu státní správy, který bude vykonávat dozor nad ověřovateli informací.

  3. VYSVĚTLENÍ NEZBYTNOSTI NÁVRHU ZÁKONA

    Vláda České republiky svým usnesením č. 525 ze dne 31.května 1999 přijala strategický dokument “Státní informační politika”, ve kterém vytyčila elektronický obchod jako jednu z osmi prioritních oblastí. V materiálu se uvádí mj. že “elektronický obchod znamená pro Česku republiku velkou příležitost zvýšit konkurenceschopnost ekonomiky, podpoření exportu a dá malým a středním podnikům šanci uplatnit se v mezinárodní soutěži. Hlavním úkolem státu v této oblasti je dát subjektům, které chtějí elektronickou formu styků ve svých vztazích s okolním prostředím využívat, jistotu, že se již jedná o dostatečně bezpečnou, prakticky i formálně akceptovanou formu jednání.” Jedním z prioritních úkolů je uzákonit elektronický podpis (tedy spolehlivě potvrdit identitu uživatele, který provádí jakoukoli transakci prostřednictvím telekomunikační sítě) a dát dokumentům v elektronické podobě stejnou právní váhu jako dokumentům klasickým.

    Předkládaný návrh zákona si klade za cíl vytvořit legislativní předpoklady pro využívání elektronického podpisu a tedy i pro rozvoj elektronického obchodu.

  4. ZHODNOCENÍ SOULADU NÁVRHU ZÁKONA S ÚSTAVNÍM POŘÁDKEM ČR

    Předkládaný návrh zákona je v souladu s ústavním pořádkem ČR.

  5. ZHODNOCENÍ SOULADU NÁVRHU ZÁKONA S MEZINÁRODNÍMI SMLOUVAMI A PRÁVNÍMI AKTY ES

    Předkládaný návrh zákona není v rozporu s Evropskou dohodou zakládající přidružení mezi Evropskými společenstvími a jejich členskými státy na jedné straně a Českou republikou na straně druhé. Jiné mezinárodní smlouvy se na tuto oblast nevztahují. Právní akty Evropských společenství doposud tuto problematiku neupravují.

    Předkládaný návrh zákona byl průběžně konzultován s představiteli Evropských společenství i UNCITRAL a je v souladu se záměry, které jsou oběmi mezinárodními institucemi připravovány.

  6. PŘEDPOKLÁDANÝ HOSPODÁŘSKÝ A FINANČNÍ DOSAH NÁVRHU ZÁKONA

Navrhovaný zákon nepředpokládá vyšší nároky na státní rozpočet. Nepředpokládá se zřízení nového úřadu státní správy. Plnit úkoly dozorového orgánu nad ověřovateli informací bude podle předkládaného návrhu stávající ústřední orgán státní správy. náklady na činnost související s plněním těchto úkolů budou částečně pokryty ze správního poplatku při žádosti o povolení působit jako ověřovatel informací, částečně z běžného rozpočtu pověřeného státního orgánu.

Naopak zakotvení elektronického podpisu a očekávaný rozvoj elektronického obchodu v ČR by měl přinést značné efekty pro národní hospodářství státu, protože elektronický obchod bude významným motorem růstu světové ekonomiky v 21.století a klíčovým faktorem konkurenceschopnosti.

K §1

Účelem zákona je vytvořit legislativní předpoklady pro využívání elektronického podpisu a tedy i pro rozvoj elektronického obchodu.

K §2

Základní pojmy související s elektronickým podpisem, které jsou v tomto zákoně definovány, vycházejí z definic ES a UNCITRAL aplikovaných do prostředí ČR.

  1. “Elektronický podpis” jsou údaje v elektronické podobě, které jsou jakýmkoliv způsobem připojené nebo logicky spojené s datovou zprávou a které jsou použity ke zjištění totožnosti oprávněné osoby ve vztahu k datové zprávě; tímto elektronickým podpisem tedy může být faksimile vlastnoručního podpisu dané osoby, speciální kód (PIN, heslo apod.), kterým osoba disponuje, nebo bezpečnější varianta elektronického podpisu, tzv. zaručený elektronický podpis.

  2. “Zaručeným elektronickým podpisem” je míněn elektronický podpis, který je vzhledem k držiteli podpisu jednoznačný, umožňuje  identifikaci oprávněné osoby v souvislosti s datovou zprávou a byl vytvořen a připojen k datové zprávě způsoby, které jsou pod kontrolou oprávněné osoby a je k datové zprávě, jíž se týká, připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat (zajišťuje tedy dvě funkce: 1. identifikaci a autentizaci odesílatele, 2. integritu dat).. Tento druh elektronického podpisu představuje ekvivalent “ověřeného podpisu” na papíru a využívá takových technologických postupů, které umožňují jednoznačnou identifikaci a autentizaci osoby, která podpis vytvořila. Stávající metody využívání kryptografických prostředků na bázi soukromého a veřejného klíče (tzv. digitálního podpisu), ovšem technologicky nezávislá formulace navrhovaného zákona umožňuje využití i jiných, doposud pouze teoreticky uvažovaných metod identifikace osob (např. vzorců DNA, snímků duhovky oka, otisku prstů apod.). Protože dostatečnou právní platnost poskytuje pouze tento zaručený elektronický podpis, je návrh zákona zaměřen především na jeho používání.

  3. “Datovou zprávou” jsou informace vytvořené, přepravované, přijaté či uložené elektronickými, optickými nebo jinými obdobnými prostředky, jakož i jinými prostředky, které umožňují dálkový přenos informací. Tato definice umožňuje pracovat s elektronickými dokumenty, které mají vždy charakter datové zprávy, přičemž se vztahuje na všechny technologie včetně elektronické výměny informací (EDI), komunikaci telegramem, dálnopisem nebo faxem, jakož i nejmodernějšími prostředky umožňující dálkový přístup – především prostřednictvím sítě Internet.

  4. “Oprávněnou osobou” je majitel podpisu, tedy fyzická osoba, která vytvořila elektronický podpis nebo zaručený elektronický podpis. Obecným principem zaručených elektronických podpisů je, že jsou spojeny s konkrétní fyzickou osobou. Vzhledem k tomu, že zaručený elektronický podpis je rovnocennou alternativou k podpisu na papíře, není možné aby existoval elektronický podpis právnické osoby podobně, jako neexistuje v právním řádu jakýkoliv jiný podpis právnické osoby; za právnickou osobu se podepisují statutární představitelé nebo jiné pověřené osoby svým konkrétním jménem podle rozsahu pověření. Pokud by zaručený elektronický podpis reprezentoval právnickou osobu, došlo by k rozšíření práv spojených s právnickou osobou nad rámec práv realizovaných stávajícím klasickým způsobem. Na rozdíl od některých tuzemských i zahraničních návrhů nepoužívá definice formulaci “osoba, která má zařízení na vytváření podpisů”, protože cílem není ověřovat vlastnictví určitého průkazního prostředku, který navíc mohl být odcizen či jinak nelegálně získán, ale prokazovat, zda určitá osoba zprávu podepsala; jde tedy o plnou analogii s klasickou technologií podepisování.

  5. “Ověřovatelem informací” neboli také certifikační autorita je subjekt, který vydává a vede evidenci osvědčení a ověřuje vztah mezi zaručeným elektronickým podpisem a oprávněnou osobou a je k tomu oprávněn Úřadem. Poskytovatel certifikačních služeb může nabídnout širokou škálu služeb podle toho, o který druh elektronického nebo zaručeného elektronického podpisu půjde. Těžiště bude zřejmě v certifikačních službách spojených s elektronickými podpisy, ale obecně, v souladu s technologickou nezávislostí zákona, mohou být použity různé druhy osvědčení k různým účelům a mohou obsahovat různé informace. Informace se mohou sestávat z obvyklých identifikátorů, jako je jméno, adresa, registrační číslo nebo bezpečnostní číslo (PIN), IČO nebo DIČ, nebo zvláštní znaky signatáře (heslo), speciální nástroj (optický klíč) apod. Vzhledem k tomu, že zaručené elektronické podpisy spojené s důvěryhodným poskytovatelem certifikačních služeb, který podléhá kontrole ze strany dozorového orgánu (Úřadu) a který poskytuje bezpečnostní záruky podle tohoto zákona, lze účinně požadovat, aby zaručené elektronické podpisy ověřené takovým poskytovatelem ověřovacích služeb měly mít stejné právní následky jako podpisy vlastnoruční. V tomto požadavku je návrh zákona méně liberální, než návrh ES, což vyplývá z obavy možného zneužití pozice ověřovatele informací. Lze očekávat, že po určité době používání systému elektronických podpisů v ČR a fungování ověřovatelů informací a v souvislosti s očekávaným vstupem do ES lze tuto službu liberalizovat, resp. změnit systém akreditace za dobrovolný.

  6. “Osvědčením” datová zpráva nebo jiný záznam, který je vydán ověřovatelem informací a jehož účelem je zjistit identitu osoby, která podepsala datovou zprávu zaručeným elektronickým podpisem.

K §3

  1. Datová zpráva je podepsána, pokud je opatřena elektronickým podpisem. Jakýkoli jiný způsob elektronického podpisu je podle tohoto ustanoven v souladu s navrhovaným zákonem, aniž by byl předjímán jeho význam pro identifikaci a autentizaci. To bude důležité zejména tam, kde dojde ke sporu a takový podpis bude předkládán jako důkazní prostředek. Jako zásada současně platí, že strany se mohou dohodnout i na tom, že pouhý elektronický podpis (nikoli tedy zaručený) budou používat jako zaručený.

  2. Zaručený elektronický podpis zaručuje, že datovou zprávu podepsala oprávněná osoba. Zaručené elektronické podpisy podložené osvědčením vydaným ověřovatelem informací (poskytovatelem certifikačních služeb), budou uznány jako vlastnoruční podpis v případech, kdy takový vlastnoruční podpis požadují právní předpisy nebo dohoda stran.

K §4

Použití zaručeného elektronického podpisu zaručuje neporušenost obsahu datové zprávy od chvíle, kdy byla podepsána, a to tím způsobem, že dojde-li k porušení obsahu datové zprávy, že toto porušení bude možno zjistit. Jedním z klíčových požadavků na záruky, které použití zaručeného elektronického podpisu přinese účastníkům komunikace je, že kromě identifikace a autentizace odesílatele je zaručena integrita, tj. neporušenost obsahu datové zprávy od okamžiku, kdy byla podepsána zaručeným elektronickým podpisem.

K §5

Podmínky nezbytné k tomu, aby elektronický podpis byl zaručeným elektronickým podpisem, určí Ministerstvo dopravy a spojů vyhláškou. Podmínkami se rozumí technické podmínky. Požadavky na zaručený elektronický podpis musí být stanoveny tak, aby záruky, které zaručený elektronický podpis poskytuje podle tohoto zákona, byly možné. Zaručený elektronický podpis musí zajistit vhodnou technologií (technickými, programovými a procedurálními prostředky), že se může vyskytnout pouze jednou, je zajištěno jeho zabezpečení, nemůže být odvozen (dešifrován), je chráněn proti padělání dostupnými technologiemi a může být spolehlivě chráněn podepsanou osobou před použitím jakoukoliv jinou osobou.

K §6

Strany se mohou dohodnout, že elektronický podpis budou ve vzájemných vztazích považovat za zaručený elektronický podpis. Ustanovení ponechává smluvní volnost stran, která je charakteristická pro soukromoprávní vztahy. Pro případy, kdy se na tom strany dohodnou, je tedy možné používat i prostý elektronický podpis namísto zaručeného a vzájemně si poskytnout záruky, které ze zákona vyplývají pouze při užití zaručeného elektronického podpisu.

K §7

  1. Oprávněná osoba je povinna nakládat s prostředky pro vytvoření zaručeného elektronického podpisu s náležitou péčí tak, aby nemohlo dojít k jejich neoprávněnému použití; uvědomit neprodleně ověřovatele informací v případě, že hrozí nebezpečí zneužití jejího zaručeného elektronického podpisu; zajistit, aby všechny informace, které se jí týkají ve vztahu k zaručenému elektronickému podpisu, jež sdělí ověřovateli informace nebo jiným subjektům, byly přesné, pravdivé a úplné.

  2. Povinnosti uložené majiteli podpisu zakládají odpovědnost podle zák č. 40/1964 Sb., občanský zákoník, ve znění pozdějších předpisů.

  3. Za porušení povinností dle odst. 1 odpovídá oprávněná osoba podle zvláštních předpisů, kterým je zák č. 40/1964 Sb., občanský zákoník, ve znění pozdějších předpisů. Odpovědnosti se však zprostí v případě, kdy prokáže, že ten, komu vznikla škoda, neprovedl veškeré úkony potřebné k tomu, aby si ověřil, že zaručený elektronický podpis je platný a jeho osvědčení nebylo zrušeno. V úvahu zde přichází režim odpovědnosti upravený v § 420 a následujících občanského zákoníku. Není zde zakotvena odpovědnost objektivní, ale za zavinění. Důkazní břemeno bude ležet na provozovateli, který bude muset prokázat, že ten, komu vznikla škoda, porušil povinnost učinit veškeré úkony potřebné k tomu, aby si ověřil, že je elektronický podpis platný a jeho osvědčení nebylo zrušeno.

K §8

  1. Ověřovatel informací je povinen podniknout úkony potřebné k určení totožnosti oprávněné osoby a jakýchkoliv jiných faktů nebo údajů, které ověřovatel informací ověřuje; zajistit, aby se každý mohl ujistit o totožnosti ověřovatele informací, metodě použité k určení totožnosti oprávněné osoby, podmínkách vylučujících použití zaručeného elektronického podpisu a o tom, zda osvědčení nebylo zrušeno a zda zaručený elektronický podpis nebyl zneužit. Dále je povinen sdělit oprávněné osobě způsob, jakým má dát ověřovateli informací zprávu o hrozbě zneužití jejího zaručeného elektronického podpisu, a zajistit, aby všechny informace, které se jí týkají ve vztahu k zaručenému elektronickému podpisu, jež sdělí jiným subjektům, byly přesné, pravdivé a úplné. Ověřovatel informací (poskytovatel certifikačních služeb) ručí osobě, která se spolehne na osvědčení, za správnost všech informací uvedených v osvědčení od data vydání osvědčení, neuvádí-li v osvědčení jinak a za jistotu, že osoba určená v osvědčení vztahujícím se k zaručenému elektronickému podpisu byla v době vydání osvědčení vlastníkem prostředku pro vytváření podpisů uvedeného v osvědčení.

  2. Za škodu způsobenou porušením povinností dle odst. 1 odpovídá ověřovatel informací podle zvláštních předpisů, kterým je zák č. 40/1964 Sb., občanský zákoník, ve znění pozdějších předpisů. Ověřovatel informací může v osvědčení určit hranice použití daného osvědčení a tak nebude ručit za škody způsobené užitím osvědčení s vyznačenými hranicemi použití mimo tyto hranice. Ověřovatel informací není zodpovědný za chyby v informacích uvedených v osvědčení, které byly poskytnuty osobou, které je osvědčení vydáváno, může‑li dokázat, pro ověření oněch informací provedl všechna přiměřená proveditelná opatření.

K §9

Ochrana osobních údajů se řídí zvláštním zákonem, kterým je v současné době zákon č. 256/1992 Sb. o ochraně osobních údajů v informačních systémech. Údaje, které poskytne oprávněná osoba ověřovateli informací, jsou osobními údaji, na které se vztahuje tento zákon. Údaje nesmějí být schraňovány nebo postupovány jiným účelům bez souhlasu jejich původce. Z hlediska práva ES je třeba, aby poskytovatelé certifikačních služeb a státní orgány zodpovědné za akreditaci nebo dohled vyhověly požadavkům formulovaným v nařízeních 95/46/EC a 97/66/EC Evropského parlamentu a Rady Evropy. Těmto nařízením odpovídá nově připravovaný zákon o ochraně osobních údajů, který bude projednáván ve stejné době, jako navrhovaný zákon o elektronickém podpisu.

K §10

  1. Udělování povolení k působení jako ověřovatel informací, jakož i dohled nad dodržováním tohoto zákona náleží Úřadu pro elektronické podpisy” (dále také jen “Úřad”)22. Jedná se výkon státní správy na daném úseku, která je zakotvena v novele zákona č. 2/1969Sb., ve znění pozdějších předpisů, jež je provedena v § 23 tohoto zákona. Úřadje orgánem státní správy podřízeným Ministerstvu dopravy a spojů, pověřeným výkonem státní správy v oblasti elektronických podpisů a ověřovatelů informací podle tohoto zákona. V čele Úřadu stojí předseda, jmenovaný a odvolávaný ministrem dopravy a spojů. Jedná se o tzv. vnitřní dekoncentrát. S ohledem na povahu jeho činností není navrhováno vytvořit ještě další stupně na nižších úrovních.V procesu prací na tomto zákoně byly zvažovány tři alternativy: Ministerstvo dopravy a spojů (MDS) nebo Úřad pro státní informační systém (ÚSIS) nebo připravovaný Úřad pro ochranu osobních údajů (ÚOOD). Podle názoru předkladatelů jsou jako vhodné první a třetí alternativa, vzhledem k tomu, že posláním ÚSIS je budování státního informačního systému, zatímco elektronické podpisy se dotýkají ve značné míře také soukromoprávní oblasti a elektronického obchodu. Jako vhodnější by se jevila alternativa Úřadu pro ochranu osobních údajů, ovšem jelikož v současné době tento úřad neexistuje, je navrhována alternativa první, tj. Ministerstvo dopravy a spojů. V rámci tohoto orgánu státní správy se tedy předpokládá zřízení vnitřního dekoncentrátu Ministerstva v podobě Úřadu pro elektronické podpisy, který bude vykonávat správu v oblasti elektronických podpisů a ověřovatelů informací.

  2. Úřad: uděluje a odnímá povolení k působení jako ověřovatel informací, pokud jde o subjekty působící na území České republiky; dozírá nad činností ověřovatelů informací, ukládá opatření k nápravě a ukládá pokuty za porušení povinnosti držitelům povolení; vede evidenci povolení, které udělil, a jejich změn; pravidelně uveřejňuje přehled žádostí o povolení a přehled udělených povolení a to i způsobem umožňujícím dálkový přístup. Způsobem umožňujícím dálkový přístup se myslím především prostřednictvím sítě Internet, ale technologicky nezávislá formulace umožní přejít i na jiné, budoucí technologie dálkového přístupu.

  3. Za účelem výkonu dozoru je ověřovatel informací povinen Úřadu povolit vstup do obchodních a provozních prostor, na požádání předložit veškerou dokumentaci, záznamy, doklady, písemnosti a jiné podklady související s jeho činností ověřovatele,, umožnit přístup do informačního systému ověřovatele informací a poskytnout informace veškerou potřebnou součinnost. Právo Úřadu kontrolovat činnost ověřovatele informací je nezbytným předpokladem pro výkon dozoru nad činností ověřovatelů informací. Není-li tímto zákonem stanoveno jinak, postupuje Úřad při výkonu dozoru podle zákona České národní rady č. 552/1991 Sb., o státní kontrole, ve znění pozdějších předpisů.

K §11

  1. Působit jako ověřovatel informací může pouze ten, komu bylo vydáno povolení Úřadem. Splní-li žadatel podmínky podle tohoto zákona, jedná se o uplatnění registračního principu, tj. zásady, že po splnění všech stanovených podmínek je povinností Úřadu pro elektronické podpisy povolení vydat.

  2. V žádosti o povolení podle odstavce 1 musí žadatel doložit: obchodní jméno a sídlo ověřovatele informací, výši základního jmění, věcné, personální a organizační předpoklady pro činnost ověřovatele informací podle tohoto zákona, listiny prokazující existenci a postavení ověřovatele informací (Živnostenský list, výpis z obchodního rejstříku nebo jiný dokument upravující podnikání ověřovatele podle zvláštních předpisů – např. jako advokáta, notáře nebo znalce), která nesmí být starší než tři měsíce; výpis z rejstříku trestů podnikatele – fyzické osoby nebo statutárních představitelů právnické osoby, jež jsou žadateli, ne starší než tři měsíce, bezpečnostní dokumentaci; doklad o zaplacení správního poplatku. Výše správního poplatku je stanovena zákonem ČNR č. 368/1992 Sb., o správních poplatcích, ve znění pozdějších předpisů. jehož doplnění je uvedena v § 24 tohoto zákona.

  3. Jestliže žádost neobsahuje všechny požadované údaje, vyzve Úřad žadatele, aby ji ve stanovené lhůtě doplnil. Jestliže tak žadatel v této lhůtě neučiní, Úřad řízení zastaví. Úřad při svém rozhodování postupuje podle obecných předpisů o správním řízení tj. zák. č. 71/1967 Sb., o správním řízení (správní řád).

  4. Úřad může žadatele vyzvat, aby svoji žádost doložil i dalšími údaji potřebnými ke zjištění jeho způsobilosti působit jako ověřovatel informací, popřípadě provést šetření na místě samém. Oprávnění Úřadu provádět další šetření vyplývá z požadavku na vysokou důvěryhodnost ověřovatele informací, který při vydávání osvědčení k zaručenému elektronickému podpisu bude vytvářet předpoklad k právním důsledkům použití zaručeného elektronického podpisu v kombinaci s certifikátem (osvědčením) vydaným důvěryhodným a akreditovaným ověřovatelem informací.

  5. Ověřovatel informací musí mít sídlo na území České republiky. Toto ustanovení je na rozdíl od připravovaného nařízení ES omezující, a to vzhledem k nutnosti kontrolovaného zavádění systému elektronických podpisů do právního řádu a praxe ČR. Lze očekávat, že po určité době používání systému elektronických podpisů v ČR a v souvislosti s očekávaným vstupem do ES lze toto ustanovení zcela vypustit nebo změnit na území Evropských společenství.

  6. Kromě činností uvedených v tomto zákoně může ověřovatel informací bez souhlasu Úřadu působit jen jako advokát, notář nebo znalec. Návrh zákona neumožňuje, aby jako ověřovatel informací působily subjekty, které provádějí jakoukoliv jinou činnost, s výjimkou advokátů, notářů nebo znalců. Důvodem je možný střet zájmů nebo potenciální možnost zneužití možností, které subjekt působící jako ověřovatel informací bude mít, pokud by současně ve své činnosti využíval elektronické podpisy ve svém vlastním zájmu. Není tedy možné, aby jako ověřovatelé informací působily banky, provozovatelé informačních systém a jiné subjekty. Zákon na druhou stranu neomezuje tyto subjekty ve vytváření samostatných subjektů, byť s majetkovou účastí, které by činnost ověřovatele informací provozovaly, pokud splní požadavky podle tohoto zákona. Možnost, aby jako ověřovatel informací působil advokát, notář nebo znalec, což jsou osoby podnikající podle, zvláštních předpisů (zákon č. 85/1996 Sb. o advokacii, zákon České národní rady č. 358/1992 Sb. o notářích a jejich činnosti (notářský řád), ve znění pozdějších předpisů, zákon č. 36/1967 Sb. o znalcích a tlumočnících) vyplývá ze specifického poslání těchto osob, které mají ověřování informací různým způsobem zapracováno do předmětu činnosti a nelze předpokládat střet zájmů vzhledem k postavení advokátů, notářů nebo znalců s oprávněnými osobami v rámci hospodářské soutěže.

  7. Součástí vydaného povolení je ověření prostředku pro vytvoření zaručeného elektronického podpisu ověřovatele informací Úřadem. Aby mohl být dostatečně věrohodně ověřován zaručený elektronický podpis samotného ověřovatele informací, bude jeho prostředek pro vytvoření zaručeného elektronického podpisu ověřen přímo Úřadem.

  8. Ministerstvo dopravy a spojů vydá vyhlášku, v níž stanoví podrobnosti týkající se věcných, personálních a organizačních předpokladů pro činnost ověřovatele a k obsahu bezpečnostní dokumentace. Ministerstvo dopravy a spojů vyhlašuje tímto způsobem závazné podmínky a standardy pro činnost ověřovatele informací.

  9. Strany se mohou mezi sebou dohodnout, že budou uznávat elektronický podpis ověřovatele informací, který nemá povolení působit jako ověřovatel informací podle § 11 odst. 1 tohoto zákona. V takovém případě ustanovení tohoto zákona neplatí. Článek 3 návrhu Direktivy 1999/ /ES Evropského parlamentu a Rady o společném rámci pro elektronické podpisy předpokládá, že členské státy nebudou poskytování ověřovacích služeb podmiňovat předchozím oprávněním. Aby bylo vyhověno tomuto požadavku, který plyne z evropské dohody z října 1993, v němž se Česká republika zavázala přibližovat svůj právní řád právu Evropských společenství, vytváří toto ustanovení možnost, aby ověřovatelem informací byl i ten, kdo k tomu nemá povolení Úřadu podle tohoto zákona; v takovém případě se budou vztahy mezi oprávněnou osobou, ověřovatelem a dalšími stranami plynoucí z použití elektronického podpisu řídit obecnou úpravou obsaženou zejména v občanském zákoníku a zák. č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech, resp. novým projednávaným zákonem o ochraně osobních.

K §12

  1. Ověřovatel informací vydává oprávněným osobám osvědčení o jejich prostředku pro vytvoření zaručeného elektronického podpisu. Obsah osvědčení je upraven v § 13 zákona. Zákon neomezuje oprávněné osoby v počtu vydaných osvědčení, ani nestanoví podmínky pro soukromoprávní smluvní vztah mezi oprávněnou osobou a ověřovatelem informací (tj. např. výši úplaty za vydání osvědčení).

  2. Před vydáním osvědčení podle odst. 1 musí ověřovatel informací bezpečně zjistit identitu oprávněné osoby. Osvědčení musí být podepsáno zaručeným elektronickým podpisem ověřovatele informací. Pokud nezajistí ověřovatel informací povinnost uloženou tímto ustanovením, tj. bezpečně zjistit identitu oprávněné osoby, vzniká tím jeho plná odpovědnost za škodu, která bude v souvislosti se zneužitím zaručeného elektronického podpisu způsobena.

  3. Ověřovatel informací musí zamezit použití nesprávných údajů pro vystavení osvědčení. Je povinen neprodleně ukončit platnost osvědčení, pokud o to oprávněná osoba požádá nebo v případě, že bylo osvědčení vydáno na základě chybných údajů. Rozhodnutí o ukončení platnosti osvědčení může vyplývat z vlastního rozhodnutí oprávněné osoby nebo v případě, že ověřovatel zjistí, že osvědčení bylo vydáno na základě nepravdivých nebo chybných údajů.

  4. Ověřovatel informací musí rovněž ukončit platnost osvědčení, jestliže oprávněná osoba zemře (podle § 7 odst. 2 ObčZ způsobilost fyzické osoby mít práva a povinnosti smrtí zanikne), jestliže ji soud způsobilosti k právním úkonům zbavil nebo omezil (podle § 10 ObčZ), nebo pokud údaje, na základě kterých bylo osvědčení vydáno, přestaly platit (například oprávněná osoba ukončila svoje působení jako statutární představitel právnické osoby).

  5. V případě rozhodnutí Úřadu podle § 14 odst. 2 je ověřovatel informací povinen převzít evidenci oprávněných osob. Úřad může nařídit jakémukoliv ověřovateli, aby za účelem zajištění práv oprávněných osob převzal správu osvědčení od ověřovatele, který končí svoji činnost podle § 14 tohoto zákona.

  6. Ověřovatel informací je povinen přijmout taková opatření, aby oprávněná osoba mohla kdykoli osvědčení zablokovat nebo ukončit platnost osvědčení. Přitom musí oprávněná osoba prokázat svoji totožnost takaby nemohla být možnost zablokování nebo ukončení platnosti zneužita neoprávněnou osobou.

  7. O veškeré činnosti ověřovatele informací musí být vedena provozní dokumentace, která musí obsahovat tyto údaje: smlouvu o vydání osvědčení s oprávněnou osobou; vydané osvědčení; kopie předložených osobních průkazů identity oprávněné osoby; potvrzení o převzetí osvědčení oprávněnou osobou; přesné časové určení doby platnosti vydaného osvědčení. Výčet povinných údajů v dokumentaci neomezuje ověřovatele pro vedení většího rozsahu údajů, pokud tím nejsou narušeny zájmy oprávněné osoby, zejména z hlediska ochrany osobních údajů podle zvláštních zákonů.

  8. Záznamy, které jsou uchovávané v elektronické podobě, musí být podepsány zaručeným elektronickým podpisem ověřovatele informací. Dokumentace musí být uchovávána nejméně 5 let od ukončení platnosti osvědčení a po celou tuto dobu musí být zabezpečena tak, aby k ní byl přístup. Doba pěti let byla stanovena per analogiam s ust. § 31 odst. 2 písm. c) zákona č. 563/1991 Sb. o účetnictví, ve znění pozdějších předpisů.

  9. Ověřovatel informací musí registrovat vydaná osvědčení ve veřejně přístupném registru, a to i s dálkovým přístupem. Takovým registrem může být věstník, zpravodaj, WWW stránka v síti Internet nebo jiná technologie.

  10. V případě zablokování nebo ukončení platnosti osvědčení musí být tato skutečnost zřetelně vyznačena v registru osvědčení včetně přesného časového označení (datum, hodina, minuty, sekundy), kdy k němu došlo. Toto označení (časové razítko) zakládá zproštění odpovědnosti ověřovatele v případě, že zjistí důvody, pro které je třeba ukončit platnost osvědčení, od okamžiku, kdy tak učiní.

K §13

  1. Osvědčení podle § 12 musí obsahovat následující údaje:

  2. obchodní jméno ověřovatele informací a jeho sídlo (§ 8 a násl. ObchZ, § 2 odst. 3 ObchZ);

  3. jméno a příjmení oprávněné osoby, které musí být v případě možnosti záměny opatřeno dodatkem, anebo oprávněné osobě přidělený, nezaměnitelný pseudonym, který jako takový musí být patrný ( zákon nevylučuje možnost používání pseudonymů, ale třetí osoby musejí být informovány o tom, že jde o pseudonym);

  4. datovou zprávu sloužící k ověření zaručeného elektronického podpisu (jde o data pro ověření podpisu, která odpovídají prostředkům pro vytváření podpisů, jež má v držení oprávněná osoba);

  5. označení postupů , s nimiž lze ověřovat zaručený elektronický podpis oprávněné osoby jakož i zaručený elektronický podpis ověřovatele informací;

  6. číslo osvědčení unikátní u daného ověřovatele informací (identifikační kód ověření);

  7. počátek a konec platnosti osvědčení,

  8. zvláštní znaky oprávněné osoby, které musí být uvedeny, vyžaduje-li to účel, pro nějž je ověření určeno (jedná se především o označení oprávněné osoby jako statutárního představitele právnické osoby nebo uvedení jiné charakteristiky oprávněné osoby);

  9. údaje o tom, zda se používání zaručeného elektronického podpisu omezuje podle povahy a rozsahu jen pro určité použití (zde mohou být uvedena případná omezení rozsahu použití zaručeného elektronického podpisu a/nebo případná omezení hodnoty transakcí, pro něž lze zaručený elektronický podpis použít).

  10. Jedná se o údaje, které jsou nezbytné pro použití ověřením každým subjektem, který chce zjistit (ověřit si) totožnost odesílatele datové zprávy, tj. osoby, která datovou zprávu podepsala zaručeným elektronickým podpisem.

  11. Další osobní údaje smí osvědčení obsahovat jen se svolením oprávněné osoby. Toto ustanovení je v souladu se zákonem č. 256/1992 Sb. o ochraně osobních údajů v informačních systémech.

K §14

  1. Ověřovatel informací musí záměr ukončit svou činnost ohlásit Úřadu nejméně tři měsíce před plánovaným datem ukončení činnosti a musí vynaložit veškeré možné úsilí na to, aby platná osvědčení byla převzata jiným ověřovatelem informací. Účelem tohoto ustanovení je zajistit, aby nedošlo k ohrožení elektronického podpisu a nebyly poškozeny zájmy oprávněných osob. Ověřovatel informací dále musí prokazatelně informovat každou oprávněnou osobu o svém záměru ukončit svoji činnost nejméně dva měsíce předem. Musí mu sdělit, který ověřovatel informací převezme správu jeho osvědčení o zaručeném elektronickém podpisu. V souvislosti s předáním osvědčení jinému ověřovateli informací musí být předána také příslušná dokumentace podle § 13 zákona vztahující se k jednotlivým oprávněným osobám, jejichž osvědčení původní ověřovatel vyhotovil.

  2. Nemůže-li ověřovatel informací zajistit, aby platná osvědčení převzal jiný ověřovatel informací, je povinen na to včas Úřad upozornit. Rovněž toto ustanovení má chránit zejména zájmy oprávněných osob. Pokud by ověřovatel nesplnil uvedenou povinnost, mohla by se oprávněná osoba, v případě vzniku škody, domáhat její náhrady podle občanského zákoníku. V takovém případě Úřad rozhodne, který ověřovatel informací převezme platná osvědčení a oznámí to oprávněným osobám. Úřad má právo určit nového ověřovatele informací, který převezme správu těchto osvědčení a určený ověřovatel má na základě ust. § 12 odst. 5 povinnost převzít evidenci osvědčení oprávněných osob.

  3. Ustanovení odst. 1 a 2 se použije přiměřeně také v případě, když ověřovatel informací zanikne, zemře nebo přestane vykonávat svoji činnost, aniž splní ohlašovací povinnost podle odst. 1. V případě právnické osoby může dojít k zániku z řady důvodů, u fyzické osoby navíc může být působení jako ověřovatele informací ukončeno smrtí fyzické osoby; v obou případech je možná i varianta, že ověřovatel přestane vykonávat tuto činnost, aniž by splnil zákonem uloženou ohlašovací povinnost a zajistil přechod oprávněných osob k jinému ověřovateli informací.

K §15

  1. Zjistí-li Úřad, že ověřovatel informací porušuje povinnosti stanovené tímto zákonem nebo povolením podle § 11, uloží mu, aby ve stanovené lhůtě zjednal nápravu, a případně určí, jaká opatření je povinen přijmout.

  2. V případě závažnějších porušení povinností může Úřad zcela nebo zčásti zakázat provoz ověřovateli informací na určitou dobu nebo odebrat povolení působit jako ověřovatel informací.

  3. Rozhodne-li Úřad o odnětí povolení, je současně povinen zajistit převedení dosud vykonávané činnosti dotčeného ověřovatele informací na jiné ověřovatele informací nebo jiným způsobem zajistit plnění smluv mezi ověřovatelem informací, který ukončil činnost, a oprávněnou osobou. Platnost osvědčení, vydaných ověřovatelem informací, který ukončil činnost, zůstává odebráním povolení nedotčena.

K §16

  1. Úřad může nařídit ověřovateli informací zrušení osvědčení o zaručeném elektronickém podpisu, pokud existuje důvodné podezření, že byla osvědčení padělána, nebo pokud byla vydána na základě nepravdivých údajů. Zrušení osvědčení může dojít také v tom případě, kdy osvědčení nejsou dostatečně zabezpečena, nebo se používají technické komponenty, které vykazují bezpečnostní nedostatky, které by umožnily padělání zaručených elektronických podpisů nebo změnu podepisovaných údajů. V zájmu zajištění práv oprávněných osob i jiných subjektů, má zákon umožnit zrušení osvědčení již v případě, že existuje důvodné podezření, že osvědčení bylo paděláno nebo vydáno na podkladě nepravdivých údajů. Tuto skutečnost zjišťuje Úřad v rámci svojí dozorové činnosti. Tento přísný režim odpovídá povaze chráněného zájmu. Za účelem zajištění vysoké bezpečnosti využívání zaručených elektronických podpisů se ponechává na úvaze správního orgánu, zda na základě poznatků, které má k dispozici, učiní opatření, kterými omezí nebo zcela zakáže činnost ověřovatele informací, případně mu uloží provést opatření k nápravě. Přitom postupuje podle zásad pro správní řízení.

  2. Evidence osvědčení musí obsahovat přesné časové označení, od kterého bylo osvědčení zrušeno. Zrušená osvědčení není povoleno opětovně zprovoznit a používat. Časové razítko, určující přesný okamžik, od kterého bylo osvědčení zrušeno, je podstatnou náležitostí z hlediska případně odpovědnosti za škodu způsobenou v souvislosti se zaručeným elektronickým podpisem rersp. jeho zneužitím či nesprávným použitím.

K §17

  1. Osvědčení vydaná zahraničními ověřovateli informací mohou být použita pro účely podle tohoto zákona, jsou-li uznána ověřovatelem informací působícím podle tohoto zákona, čímž ověřovatel informací zaručí ve stejném rozsahu jako u svých osvědčení správnost osvědčení stejně jako jeho platnost a právoplatnost. Vzhledem k povinné akreditaci ověřovatelů informací podle tohoto zákona je třeba formalizovat proces, kterým bude umožněno působit v rámci českého právního řádu zahraničním ověřovatelům informací. První možností je uznání zahraničního ověřovatele českým ověřovatelem informací působícím podle tohoto zákona, přičemž tento český ověřovatel informací zaručuje správnost a právoplatnost osvědčení vydaných v zahraničí. Jde tedy o uznání na základě bilaterální dohody mezi dvěma ověřovateli informací.

  2. Osvědčení vydaná zahraničním ověřovatelem informací jsou uznaná jako osvědčení vydaná ověřovateli informací působícími podle tohoto zákona, pokud obvyklé metody zahraničních ověřovatelů informací zajišťují úroveň spolehlivosti alespoň ekvivalentní té, která je požadována po ověřovatelích informací podle tohoto zákona, a vyplývá to z rozhodnutí Úřadu nebo z mezinárodních smluv nebo pokud bude mezi příslušným zahraničním orgánem nebo zahraničním ověřovatelem informací a Ministerstvem dopravy a spojů uzavřena dohoda o vzájemném uznávání osvědčení. Podmínkou pro uznání osvědčení je použití dostatečně bezpečných metod a technologií, přičemž uznání úrovně spolehlivosti těchto metod vyplývá z rozhodnutí Úřadu, mezinárodní smlouvy nebo dohody mezi zahraničním ověřovatelem informací resp. příslušným zahraničním Úřadem a Úřadem ČR o vzájemném uznávání osvědčení. V případě vstupu ČR do ES bude toto ustanovení přehodnoceno a rozšířeno tak, že jsou recipročně uznáváni ověřovatelé působící ve státech ES podle příslušných směrnic ES. Obdobný proces předpokládá i návrh směrnice ES, podle kterého za účelem usnadnění zahraničních certifikačních služeb se třetími zeměmi a právního uznání elektronických podpisů pocházejících ze třetích zemí vytvoří Komise ES návrhy, které vyhradí dosažení efektivní realizace norem a mezinárodních dohod příslušejících certifikačním službám. Především předloží Radě ES návrhy příslušných mandátů ohledně jednání o bilaterálních a multilaterálních dohod se třetími zeměmi a mezinárodními organizacemi.

K §18

  1. Při používání zaručených elektronických podpisů se mohou používat pouze takové technické a programové komponenty, které spolehlivě zjistí neoprávněnou změnu zaručeného elektronického podpisu nebo datové zprávy a přispívají k ochraně před neoprávněným používáním zaručených elektronických podpisů. Tyto komponenty musí jednoznačně rozpoznat, k jakým údajům a ke které oprávněné osobě se zaručený elektronický podpis vztahuje. Smyslem tohoto ustanovení je zajistit potřebnou ochranu zájmů jak oprávněných osob, tak i dalších subjektů. Které komponenty bude moci používat, stanoví vyhláška Ministerstva dopravy a spojů.

  2. Pro zajištění spolehlivosti při používání komponent musí být zajištěna jejich dostatečná kontrola. Technické a programové komponenty, které byly vytvořeny v zahraničí, jsou pro potřeby tohoto zákona postaveny na roveň a uznávány tehdy, pokud jejich technické parametry splňují stejnou míru spolehlivosti jako technické a programové komponenty stanovené tímto zákonem a prováděcími předpisy.

  3. Technické a programové komponenty, které umožní ověřovat nebo vytvořit zaručený elektronický podpis, musí v sobě zahrnovat taková bezpečnostní opatření, aby nemohlo dojít k jeho zneužití.

  4. Technické a programové komponenty stanoví Ministerstvo dopravy a spojů vyhláškou.

K §19

Výše pokut je stanovena s přihlédnutím k tomu, že porušení povinností ověřovatele informací by mohlo vést k zpochybnění celého systému zaručených elektronických podpisů v ČR.

K §21

Zákon obsahuje zmocňovací ustanovení pro Ministerstvo dopravy a spojů, které v návaznosti na tento zákon stanoví vyhláškou: podmínky, které musí elektronický podpis splňovat, aby mohl být zaručeným elektronickým podpisem podle § 5 zákona; podrobnosti týkající se věcných, personálních a organizačních předpokladů pro činnost ověřovatele a k obsahu bezpečnostní dokumentace podle § 11 odst. 2 zákona; technické a programové komponenty uvedené v § 18 zákona.

K §22

Novela občanského zákoníku, zák. č. 40/1964 Sb., ve znění pozdějších předpisů, § 40, odstavec 3 zrovnoprávňuje písemný právní úkon prováděný klasickým způsobem, tj. na papíře a elektronickou formou podle zásad, obsažených v citovaných zahraničních dokumentech UNCITRAL a ES. Jeho podstatou je umožnění, aby datové zprávy (tj. elektronické dokumenty) byly podepisovány elektronicky podle zvláštních předpisů, což podle navrhovaného zákona umožní zaručenému elektronickému podpisu přiznat charakter vlastnoručního podpisu.

K §23

Viz komentář k § 10 odst. 1.

K §24

Novelou zákona ČNR č. 368/1992 Sb., ve znění pozdějších předpisů se Sazebník správních poplatků doplňuje v části XI o položku 154, kterou je stanovena výše správního poplatku za povolení působit jako ověřovatel informací podle zvláštního zákona ve výši 100 000 Kč. Výše správního poplatku je stanovena s přihlédnutím k požadované vysoké důvěryhodnosti ověřovatele informací a jeho podnikatelské stability, jakož i vzhledem ke složitosti povolovacího řízení.

K §25

Účinnost zákona je navrhována k 1. červenci 2000

1 Zák č. 40/1964 Sb., občanský zákoník, ve znění pozdějších předpisů.

2 Zák. č. 40/1964 Sb., občanský zákoník, ve znění pozdějších předpisů.

3 Zákon č. 256/1992 Sb. o ochraně osobních údajů v informačních systémech

4 Zákon České národní rady č. 552/1991 S., o státní kontrole, ve znění pozdějších předpisů.

5 živnostenský list, výpis z obchodního rejstříku nebo jiný dokument

6 Zákon ČNR č. 368/1992 Sb., o správních poplatcích, ve znění pozdějších předpisů.

7 Zákon č. 85/1996 Sb. o advokacii, zákon České národní rady č. 358/1992 Sb. o notářích a jejich činnosti (notářský řád), ve znění pozdějších předpisů, zákon č. 36/1967 Sb. o znalcích a tlumočnících

8 § 10 zák. č. 40/1964 Sb., občanský zákoník, ve znění pozdějších předpisů

9 Kromě již citovaného ust. § 40 musí přitom platit zásady formulované v ObčZ (a samozřejmě všechna kogentní ustanovení ObchZ a ObčZ) – např. ust. § 3, odst. 1, § 34 – 37 ObčZ.

10 určení, kdo nějaký projev vůle učinil

11 ověření totožnosti osoby

12 Právní řády mnohých států, Českou republiku nevyjímaje, dnes umožňují, aby dokumenty byly vytvořeny již ve svojí původní podobě i jinak než ve formě listiny, zejména pomocí výpočetní techniky; podrobnosti k tomu viz P. Mates, V. Smejkal: Dokumenty budoucnosti, Data Security Management, II., č. 5, 1998, str. 34 a následující.

13 Totéž ovšem platí i o podpisech na listinných dokumentech.

14 Viz Smejkal, V.: Internet@§§§. GRADA, Praha 1999, str. 111.

15 Je použit pojem “elektronický podpis” místo původního “digitální podpis”, protože UNCITRAL v loňském roce změnil svůj přístup směrem k méně technologicky závislým právním normám, tudíž zavedl pojem “elektronický podpis”, který může být v podstatě realizován jakoukoliv technologií – od naskenovaného podpisu na papíře až k digitálnímu podpisu využívajícímu kryptografických metod.

16 Materiál A/CN.9/WG.IV/WP.73

17 Jemu předcházelo sdělení Evropské komise Evropský rámec pro digitální podpisy a šifrování COM /97/503 z roku 1997. V SRN byl v roce 1997 přijat zákon o informačních a komunikačních službách, jehož článek 3 obsahuje úpravu digitálního podpisu.

18 Návrh UNCITRAL v cit. materiálu WP.80 předpokládá existenci dvou stupňů elektronického podpisu: “obyčejný” a tzv. “zaručený elektronický podpis”.

19 Elektronickým podpisem podle tohoto přístupu je i oskenovaný podpis uložený ve formě obrázku na konci dokumentu.

20 Tento termín nahrazuje dřívější “certifikační autoritu”, protože se nemusí jednat jen o certifikační autoritu spravující digitální podpisy, ale např. o databanku snímků duhovek oka, vzorců DNA apod.

21 V praxi se již objevuje využívání např. otisků prstů nebo snímků duhovky oka.

22 Termín “Úřad” vychází ze zavedené terminologie pro instituce vykonávající státní správu na určitém úseku podle své působnosti.

Tento web používá cookies pro zajištění správné funkčnosti, analýzu návštěvnosti a personalizaci obsahu. Více informací

Návrh zákona o elektronickém podpisu | Paragrafiq