Zákon o elektronickém podpisu
227/2000 Sb.
Poslední změna zákona:
§ 6Kvalifikovaný poskytovatel certifikačních služeb
(1) Kvalifikovaný poskytovatel certifikačních služeb je povinen
a) zajistit, aby se každý mohl ujistit o jeho identitě a jeho kvalifikovaném systémovém certifikátu, na jehož základě označuje vydané kvalifikované certifikáty nebo kvalifikované systémové certifikáty a seznamy certifikátů, které byly zneplatněny, nebo kvalifikovaná časová razítka,
b) zajistit, aby poskytování kvalifikovaných certifikačních služeb vykonávaly osoby s odbornými znalostmi a kvalifikací nezbytnou pro poskytování kvalifikované certifikační služby a obeznámené s příslušnými bezpečnostními postupy,
c) používat bezpečné systémy a bezpečné nástroje elektronického podpisu, zajistit dostatečnou bezpečnost postupů, které tyto systémy a nástroje podporují, a zajistit dostatečnou kryptografickou bezpečnost těchto nástrojů; systémy a nástroje jsou považovány za bezpečné, pokud odpovídají požadavkům stanoveným tímto zákonem a prováděcí vyhláškou, nebo pokud splňují požadavky technických norem uvedených v rozhodnutí Komise vydaném na základě článku 3 (5) směrnice 99/93/ES,
d) používat bezpečné systémy pro uchovávání kvalifikovaných certifikátů a kvalifikovaných systémových certifikátů nebo kvalifikovaných časových razítek v ověřitelné podobě takovým způsobem, aby záznamy nebo jejich změny mohly provádět pouze pověřené osoby, aby bylo možno kontrolovat správnost záznamů a aby jakékoliv technické nebo programové změny porušující tyto bezpečnostní požadavky byly zjevné,
e) mít po celou dobu své činnosti k dispozici dostatečné finanční zdroje nebo jiné finanční zajištění na provoz v souladu s požadavky uvedenými v tomto zákoně a s ohledem na riziko vzniku odpovědnosti za škodu,
f) před uzavřením smlouvy o poskytování kvalifikovaných certifikačních služeb s osobou, která žádá o poskytování služeb podle tohoto zákona, informovat tuto osobu písemně o přesných podmínkách pro využívání kvalifikovaných certifikačních služeb, včetně případných omezení pro jejich použití, o podmínkách reklamací a řešení vzniklých sporů a o tom, zda je, či není akreditován Ministerstvem vnitra (dále jen "ministerstvo") podle § 10; tyto informace lze předat elektronicky.
(2) Není-li poskytovatel certifikačních služeb akreditován ministerstvem, je povinen ohlásit ministerstvu nejméně 30 dnů před zahájením poskytování kvalifikované certifikační služby, že ji bude poskytovat, a okamžik, kdy její poskytování zahájí. Zároveň předá ministerstvu k ověření svůj kvalifikovaný systémový certifikát uvedený v odstavci 1 písm. a).
(3) Pokud byla kvalifikovanému poskytovateli certifikačních služeb, který získal akreditaci podle § 10 tohoto zákona, akreditace ministerstvem odňata, je povinen bez prodlení informovat o této skutečnosti subjekty, kterým poskytuje své kvalifikované certifikační služby, a další dotčené osoby.
(4) Kvalifikovaný poskytovatel certifikačních služeb poskytuje služby podle tohoto zákona na základě smlouvy. Smlouva musí být písemná.
(5) Kvalifikovaný poskytovatel certifikačních služeb uchovává dokumenty související s poskytovanými kvalifikovanými certifikačními službami podle tohoto zákona, zejména
a) smlouvu o poskytování kvalifikované certifikační služby, včetně žádosti o poskytování služby,
b) vydaný kvalifikovaný certifikát, vydaný kvalifikovaný systémový certifikát nebo vydané kvalifikované časové razítko,
c) kopie předložených osobních dokladů podepisující osoby nebo dokladů, na jejichž základě byla ověřena identita označující osoby,
d) potvrzení o převzetí kvalifikovaného certifikátu nebo kvalifikovaného systémového certifikátu držitelem, případně jeho souhlas se zveřejněním kvalifikovaného certifikátu v seznamu vydaných kvalifikovaných certifikátů,
e) prohlášení držitele certifikátu o tom, že mu byly poskytnuty informace podle odstavce 1 písm. f),
f) dokumenty a záznamy související s životním cyklem vydaného kvalifikovaného certifikátu nebo kvalifikovaného systémového certifikátu, jejichž náležitosti upřesní prováděcí vyhláška.
(6) Skartační lhůta dokumentů souvisejících s poskytovanými kvalifikovanými certifikačními službami podle tohoto zákona, které uchovává kvalifikovaný poskytovatel certifikačních služeb, činí 10 let. Po uplynutí této lhůty kvalifikovaný poskytovatel certifikačních služeb uchovává po dobu následujících 20 let údaje umožňující jednoznačnou identifikaci podepisující osoby nebo označující osoby v rozsahu jméno, popřípadě jména, příjmení, rodné číslo nebo datum narození a číslo dokladu, na jehož základě byla ověřena identita podepisující osoby, a vydané kvalifikované certifikáty nebo kvalifikované systémové certifikáty. Kvalifikovaný poskytovatel je povinen zajistit jím uchovávané dokumenty podle odstavce 5 a údaje podle věty druhé před ztrátou, zneužitím, zničením nebo poškozením. Veškeré dokumenty podle věty první může kvalifikovaný poskytovatel certifikačních služeb pořizovat a uchovávat v elektronické podobě. Pokud tento zákon nestanoví jinak, postupuje se při nakládání s uchovávanými dokumenty podle zákona o archivnictví a spisové službě.
(7) Kvalifikovaný poskytovatel certifikačních služeb předá seznamy certifikátů zneplatněných v daném roce, které byly vydány jako kvalifikované, ministerstvu, a to ve lhůtě do 31. ledna kalendářního roku následujícího po uplynutí 10 let od ukončení kalendářního roku, ve kterém byly tyto seznamy vydány.
(8) Zaměstnanci kvalifikovaného poskytovatele certifikačních služeb, případně jiné fyzické osoby, které přicházejí do styku s osobními údaji a daty pro vytváření elektronických podpisů podepisujících osob a elektronických značek označujících osob, jsou povinni zachovávat mlčenlivost o těchto údajích a datech a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení těchto údajů a dat. Povinnost mlčenlivosti trvá i po skončení pracovního nebo jiného obdobného poměru nebo po provedení příslušných prací; uvedené osoby může zbavit mlčenlivosti ten, v jehož zájmu tuto povinnost mají, nebo soud.