ZÁKON c. 227 ze dne 29. cervna 2000 o elektronickém podpisu a o zmene nekterých dalších zákonu (zákon o elektronickém podpisu)
Zmena: 226/2002 Sb., 517/2002 Sb.
Parlament se usnesl na tomto zákone Ceské republiky:
CÁST PRVNÍ. Elektronický podpis
§ 1. Úcel zákona
Tento zákon upravuje používání elektronického podpisu, poskytování souvisejících služeb, kontrolu povinností stanovených tímto zákonem a sankce za porušení povinností stanovených tímto zákonem.
§ 2. Vymezení nekterých pojmu
Pro úcely tohoto zákona se rozumí
a) elektronickým podpisem údaje v elektronické podobe, které jsou pripojené k datové zpráve nebo jsou s ní logicky spojené a které umožnují overení totožnosti podepsané osoby ve vztahu k datové zpráve,
b) zaruceným elektronickým podpisem elektronický podpis, který splnuje následující požadavky:
1. je jednoznacne spojen s podepisující osobou,
2. umožnuje identifikaci podepisující osoby ve vztahu k datové zpráve,
3. byl vytvoren a pripojen k datové zpráve pomocí prostredku, které podepisující osoba muže udržet pod svou výhradní kontrolou,
4. je k datové zpráve, ke které se vztahuje, pripojen takovým zpusobem, že je možno zjistit jakoukoliv následnou zmenu dat;
c) datovou zprávou elektronická data, která lze prenášet prostredky pro elektronickou komunikaci a uchovávat na záznamových médiích, používaných pri zpracování a prenosu dat elektronickou formou,
d) podepisující osobou fyzická osoba, která má prostredek pro vytvárení podpisu a jedná jménem svým nebo v zastoupení jiné fyzické ci právnické osoby,
e) poskytovatelem certifikacních služeb subjekt, který vydává certifikáty a vede jejich evidenci, prípadne poskytuje další služby spojené s elektronickými podpisy,
f) akreditovaným poskytovatelem certifikacních služeb poskytovatel certifikacních služeb, jemuž byla udelena akreditace podle tohoto zákona,
g) certifikátem datová zpráva, která je vydána poskytovatelem certifikacních služeb, spojuje data pro overování podpisu s podepisující osobou a umožnuje overit její totožnost,
h) kvalifikovaným certifikátem certifikát, který má náležitosti stanovené tímto zákonem a byl vydán poskytovatelem certifikacních služeb, splnujícím podmínky, stanovené tímto zákonem pro poskytovatele certifikacních služeb vydávající kvalifikované certifikáty,
i) daty pro vytvárení elektronických podpisu jedinecná data, která podepisující osoba používá k vytvárení elektronického podpisu,
j) daty pro overování elektronických podpisu jedinecná data, která se používají pro overení elektronického podpisu,
k) prostredkem pro vytvárení elektronických podpisu technické zarízení nebo programové vybavení, které se používá k vytvárení elektronických podpisu,
l) prostredkem pro overování elektronických podpisu technické zarízení nebo programové vybavení, které se používá k overování elektronických podpisu,
m) prostredkem pro bezpecné vytvárení elektronických podpisu prostredek pro vytvárení elektronického podpisu, který splnuje požadavky stanovené tímto zákonem,
n) prostredkem pro bezpecné overování elektronických podpisu prostredek pro overování podpisu, který splnuje požadavky stanovené tímto zákonem,
o) nástrojem elektronického podpisu technické zarízení nebo programové vybavení, nebo jejich soucásti, používané pro zajištení certifikacních služeb nebo pro vytvárení nebo overování elektronických podpisu,
p) akreditací osvedcení, že poskytovatel certifikacních služeb splnuje podmínky stanovené tímto zákonem pro výkon cinnosti akreditovaného poskytovatele certifikacních služeb.
§ 3. Soulad s požadavky na podpis
1) Datová zpráva je podepsána, pokud je opatrena elektronickým podpisem.
2) Použití zaruceného elektronického podpisu založeného na kvalifikovaném certifikátu a vytvoreného pomocí prostredku pro bezpecné vytvárení podpisu umožnuje overit, že datovou zprávu podepsala osoba uvedená na tomto kvalifikovaném certifikátu.
§ 4. Soulad s originálem
Použití zaruceného elektronického podpisu zarucuje, že dojde-li k porušení obsahu datové zprávy od okamžiku, kdy byla podepsána, toto porušení bude možno zjistit.
§ 5. Povinnosti podepisující osoby
1) Podepisující osoba je povinna
a) zacházet s prostredky jakož i s daty pro vytvárení zaruceného elektronického podpisu s náležitou pécí tak, aby nemohlo dojít k jejich neoprávnenému použití,
b) uvedomit neprodlene poskytovatele certifikacních služeb, který jí vydal kvalifikovaný certifikát, o tom, že hrozí nebezpecí zneužití jejích dat pro vytvárení zaruceného elektronického podpisu,
c) podávat presné, pravdivé a úplné informace poskytovateli certifikacních služeb ve vztahu ke kvalifikovanému certifikátu.
2) Za škodu zpusobenou porušením povinností podle odstavce 1 odpovídá podepisující osoba) podle zvláštních právních predpisu (1). Odpovednosti se však zprostí, pokud prokáže, že ten, komu vznikla škoda, neprovedl veškeré úkony potrebné k tomu, aby si overil, že zarucený elektronický podpis je platný a jeho kvalifikovaný certifikát nebyl zneplatnen.
§ 6. Povinnosti poskytovatele certifikacních služeb vydávajícího kvalifikované certifikáty
1) Poskytovatel certifikacních služeb, který vydává kvalifikované certifikáty, je povinen
a) zajistit, aby certifikáty jím vydané jako kvalifikované obsahovaly všechny náležitosti kvalifikovaných certifikátu stanovené tímto zákonem,
b) zajistit, aby údaje uvedené v kvalifikovaných certifikátech byly presné, pravdivé a úplné,
c) pred vydáním kvalifikovaného certifikátu bezpecne overit odpovídajícími prostredky totožnost osoby, které kvalifikovaný certifikát vydává, prípadne i její zvláštní znaky, vyžaduje-li to úcel kvalifikovaného certifikátu,
d) zjistit, zda v okamžiku vydání kvalifikovaného certifikátu mela podepisující osoba data pro vytvárení elektronických podpisu odpovídající datum pro overování elektronických podpisu, která obsahuje kvalifikovaný certifikát,
e) zajistit, aby se každý mohl ujistit o identite poskytovatele certifikacních služeb a jeho kvalifikovaném certifikátu,
f) zajistit provozování bezpecného a verejne prístupného seznamu vydaných kvalifikovaných certifikátu, a to i dálkovým prístupem, a údaje v nem obsažené pri každé zmene okamžite aktualizovat,
g) zajistit provozování bezpecného a verejne prístupného seznamu kvalifikovaných certifikátu, které byly zneplatneny, a to i dálkovým prístupem,
h) zajistit, aby datum a cas s uvedením hodiny, minuty a sekundy, kdy je kvalifikovaný certifikát vydán nebo zneplatnen, mohly být presne urceny a tyto údaje byly dostupné tretím stranám,
i) prijímat do pracovního nebo obdobného pomeru osoby, které mají odborné znalosti, zkušenosti a kvalifikaci nezbytnou pro poskytované služby, a které jsou obeznámeny s príslušnými bezpecnostními postupy,
j) používat bezpecné systémy a nástroje elektronického podpisu a zajistit dostatecnou bezpecnost postupu, které tyto systémy a nástroje podporují; nástroj elektronického podpisu je bezpecný, pokud odpovídá požadavkum stanoveným tímto zákonem a provádecí vyhláškou; toto musí být overeno Ministerstvem informatiky (dále jen “Ministerstvo”),
k) prijmout odpovídající opatrení proti zneužití a padelání kvalifikovaných certifikátu a zajistit utajení dat pro vytvárení zarucených elektronických podpisu v prípade, že poskytovatel certifikacních služeb umožnuje podepisující osobe jejich vytvorení v rámci poskytovaných služeb,
l) mít k dispozici dostatecné financní zdroje na provoz v souladu s požadavky uvedenými v tomto zákone a s ohledem na riziko odpovednosti za škody,
m) uchovávat veškeré informace a dokumentaci o vydaných kvalifikovaných certifikátech po dobu nejméne 10 let od ukoncení platnosti kvalifikovaného certifikátu; informace a dokumentaci muže uchovávat v elektronické podobe,
n) pred uzavrením smluvního vztahu s osobou, která žádá o vydání kvalifikovaného certifikátu, informovat ji písemne o presných podmínkách pro užívání kvalifikovaného certifikátu, vcetne prípadných omezení pro jeho použití, a o podmínkách reklamací; je rovnež povinen tuto osobu informovat o tom, zda je ci není akreditován Ministerstvem podle § 10; tyto informace lze predat elektronicky; podstatné cásti techto informací musí být na vyžádání k dispozici tretím osobám, které se spoléhají na tento kvalifikovaný certifikát,
o) používat bezpecný systém pro uchovávání kvalifikovaných certifikátu v overitelné podobe takovým zpusobem, aby záznamy nebo jejich zmeny mohly provádet pouze poverené osoby, aby bylo možno kontrolovat správnost záznamu a aby jakékoliv technické nebo programové zmeny porušující tyto bezpecnostní požadavky byly zjevné.
2) Poskytovatel certifikacních služeb, který vydává kvalifikované certifikáty, vydává podepisujícím osobám kvalifikované certifikáty na základe smlouvy. Smlouva musí být písemná, jinak je neplatná.
3) Poskytovatel certifikacních služeb, který vydává kvalifikované certifikáty, nesmí uchovávat a kopírovat data pro vytvárení zaruceného elektronického podpisu osob, kterým poskytuje své certifikacní služby.
4) Pokud byla poskytovateli certifikacních služeb, který vydává kvalifikované certifikáty, akreditace Ministerstvem odnata, je povinen informovat o této skutecnosti subjekty, kterým poskytuje své certifikacní služby a uvést tuto skutecnost v seznamech vedených podle odstavce 1 písm. f) a g).
5) Není-li poskytovatel certifikacních služeb akreditován Ministerstvem, je povinen ohlásit Ministerstvu nejméne 30 dnu pred vydáním prvního kvalifikovaného certifikátu, že bude vydávat kvalifikované certifikáty.
6) Pokud poskytovatel certifikacních služeb, který vydává kvalifikované certifikáty, uvede v kvalifikovaném certifikátu omezení pro použití tohoto certifikátu vcetne omezení hodnoty transakce, pro kterou lze kvalifikovaný certifikát použít, musí být tato omezení rozpoznatelná tretími stranami.
7) Poskytovatel certifikacních služeb, který vydává kvalifikované certifikáty, musí neprodlene ukoncit platnost certifikátu, pokud o to podepisující osoba požádá nebo v prípade, že byl certifikát vydán na základe nepravdivých nebo chybných údaju.
8) Poskytovatel certifikacních služeb musí rovnež ukoncit platnost kvalifikovaného certifikátu, dozví-li se prokazatelne, že podepisující osoba zemrela nebo ji soud zpusobilosti k právním úkonum zbavil nebo omezil (2), nebo pokud údaje, na základe kterých byl certifikát vydán, prestaly platit.
9) O veškeré cinnosti poskytovatele certifikacních služeb, který vydává kvalifikované
certifikáty, musí být vedena provozní dokumentace, která musí obsahovat tyto údaje: a) smlouvu s podepisující osobou o vydání kvalifikovaného certifikátu, b) vydaný kvalifikovaný certifikát, c) kopie predložených osobních dokladu podepisující osoby, d) potvrzení o prevzetí kvalifikovaného certifikátu podepisující osobou, e) presné casové urcení doby platnosti vydaného kvalifikovaného certifikátu.
10) Zamestnanci poskytovatele certifikacních služeb, který vydává kvalifikované certifikáty, prípadne jiné fyzické osoby, které pricházejí do styku s osobními údaji a daty pro vytvárení elektronických podpisu podepisujících osob, jsou povinni zachovávat mlcenlivost o osobních údajích, datech pro vytvárení elektronických podpisu a o bezpecnostních opatreních, jejichž zverejnení by ohrozilo zabezpecení osobních údaju a dat pro vytvárení elektronických podpisu. Povinnost mlcenlivosti trvá i po skoncení zamestnání nebo príslušných prací.
§ 7. Odpovednost za škodu
1) Za škodu zpusobenou porušením povinností stanovených tímto zákonem odpovídá poskytovatel certifikacních služeb vydávající kvalifikované certifikáty podle zvláštních ) právních predpisu (1).
2) Poskytovatel certifikacních služeb neodpovídá za škodu vyplývající z použití kvalifikovaného certifikátu, která vznikla v dusledku nedodržení omezení pro jeho použití.
§ 8. Ochrana osobních údaju
Ochrana osobních údaju se rídí zvláštním právním predpisem (3).
§ 9. Akreditace a dozor
1) Udelování akreditací k pusobení jako akreditovaný poskytovatel certifikacních služeb, jakož i dozor nad dodržováním tohoto zákona náleží Ministerstvu.
2) Ministerstvo
a) udeluje a odnímá akreditace k pusobení jako akreditovaný poskytovatel certifikacních služeb subjektum pusobícím na území Ceské republiky,
b) vykonává dozor nad cinností akreditovaných poskytovatelu certifikacních služeb a poskytovatelu certifikacních služeb vydávajících kvalifikované certifikáty, ukládá jim opatrení k náprave a pokuty za porušení povinností podle tohoto zákona,
c) vede evidenci udelených akreditací a jejich zmen a evidenci poskytovatelu certifikacních služeb, kterí Ministerstvu oznámili, že vydávají kvalifikované certifikáty,
d) pravidelne uverejnuje prehled udelených akreditací a prehled poskytovatelu certifikacních služeb vydávajících kvalifikované certifikáty, a to i zpusobem umožnujícím dálkový prístup,
e) vyhodnocuje shodu nástroju elektronického podpisu s požadavky stanovenými tímto zákonem a provádecí vyhláškou,
f) plní další povinnosti stanovené tímto zákonem (napríklad § 10 odst. 7, § 13 odst. 2 a § 16 odst. 2).
3) Za úcelem výkonu dozoru je akreditovaný poskytovatel certifikacních služeb vydávající kvalifikované certifikáty povinen povereným zamestnancum Ministerstva umožnit v nezbytne nutném rozsahu vstup do obchodních a provozních prostor, na požádání predložit veškerou dokumentaci, záznamy, doklady, písemnosti a jiné podklady související s jeho cinností, umožnit jim v nezbytne nutné míre prístup do svého informacního systému a poskytnout informace a veškerou potrebnou soucinnost.
4) Není-li tímto zákonem stanoveno jinak, postupuje Ministerstvo pri výkonu dozoru podle zvláštního právního predpisu (4).
§ 10. Podmínky udelení akreditace pro poskytování certifikacních služeb
1) Každý poskytovatel certifikacních služeb muže požádat Ministerstvo o udelení akreditace pro výkon cinnosti akreditovaného poskytovatele certifikacních služeb. Podání žádosti
.o akreditaci podléhá správnímu poplatku (5).
2) V žádosti o akreditaci podle odstavce 1 musí žadatel doložit
a) obchodní jméno, sídlo a identifikacní císlo žadatele,
b) doklad o oprávnení k podnikatelské cinnosti a u osoby zapsané do obchodního rejstríku také výpis z obchodního rejstríku ne starší než 3 mesíce,
c) výpis z rejstríku trestu podnikatele – fyzické osoby nebo statutárních predstavitelu právnické osoby v prípade, že žadatelem je právnická osoba, ne starší než 3 mesíce,
d) vecné, personální a organizacní predpoklady pro cinnost poskytovatele certifikacních
služeb vydávajícího kvalifikované certifikáty podle § 6 tohoto zákona,
e) údaj o tom, zda žadatel již vydává nebo hodlá vydávat kvalifikované certifikáty,
f) doklad o zaplacení správního poplatku.
3) Jestliže žádost neobsahuje všechny požadované údaje, Ministerstvo rízení preruší a vyzve žadatele, aby ji ve stanovené lhute doplnil. Jestliže tak žadatel v této lhute neuciní, Ministerstvo rízení zastaví. Správní poplatek se v takovém prípade nevrací.
4) Splnuje-li žadatel všechny podmínky predepsané tímto zákonem pro udelení akreditace, vydá Ministerstvo rozhodnutí, jímž mu akreditaci udelí. V opacném prípade žádost o udelení akreditace zamítne.
5) Akreditovaný poskytovatel certifikacních služeb musí mít sídlo na území Ceské republiky.
6) Krome cinností uvedených v tomto zákone muže akreditovaný poskytovatel certifikacních služeb bez souhlasu Ministerstva pusobit jen jako advokát, notár nebo znalec (6).
7) Soucástí rozhodnutí Ministerstva o akreditaci je overení kvalifikovaného certifikátu poskytovatele certifikacních služeb Ministerstvem.
§ 11.
V oblasti orgánu verejné moci je možné používat pouze zarucené elektronické podpisy a kvalifikované certifikáty, vydávané akreditovanými poskytovateli certifikacních služeb. To platí i pro výkon verejné moci vuci fyzickým a právnickým osobám. Pokud je zarucený elektronický podpis založený na kvalifikovaném certifikátu užíván v oblasti orgánu verejné moci, musí kvalifikovaný certifikát obsahovat takové údaje, aby osoba byla jednoznacne identifikovatelná.
§ 12. Náležitosti kvalifikovaného certifikátu
1) Kvalifikovaný certifikát musí obsahovat
a) oznacení, že je vydán jako kvalifikovaný certifikát podle tohoto zákona,
b) obchodní jméno poskytovatele certifikacních služeb a jeho sídlo, jakož i údaj, že certifikát byl vydán v Ceské republice,
c) jméno a príjmení podepisující osoby nebo její pseudonym s príslušným oznacením, že se jedná o pseudonym,
d) zvláštní znaky podepisující osoby, vyžaduje-li to úcel kvalifikovaného certifikátu,
e) data pro overování podpisu, která odpovídají datum pro vytvárení podpisu, jež jsou
pod kontrolou podepisující osoby,
f) zarucený elektronický podpis poskytovatele certifikacních služeb, který kvalifikovaný certifikát vydává,
g) císlo kvalifikovaného certifikátu unikátní u daného poskytovatele certifikacních služeb,
h) pocátek a konec platnosti kvalifikovaného certifikátu,
i) prípadne údaje o tom, zda se používání kvalifikovaného certifikátu omezuje podle povahy a rozsahu jen pro urcité použití,
j) prípadne omezení hodnot transakcí, pro než lze kvalifikovaný certifikát použít.
2) Další osobní údaje smí kvalifikovaný certifikát obsahovat jen se svolením podepisující osoby.
§ 13. Povinnosti akreditovaného poskytovatele certifikacních služeb pri ukoncení cinnosti
1) Akreditovaný poskytovatel certifikacních služeb musí zámer ukoncit svou cinnost ohlásit Ministerstvu nejméne 3 mesíce pred plánovaným datem ukoncení cinnosti a musí vynaložit veškeré možné úsilí na to, aby platné kvalifikované certifikáty byly prevzaty jiným akreditovaným poskytovatelem certifikacních služeb. Akreditovaný poskytovatel certifikacních služeb dále musí prokazatelne informovat každou podepisující osobu, které poskytuje své certifikacní služby, o svém zámeru ukoncit svoji cinnost nejméne 2 mesíce predem.
2) Nemuže-li akreditovaný poskytovatel certifikacních služeb zajistit, aby platné kvalifikované certifikáty prevzal jiný akreditovaný poskytovatel certifikacních služeb, je povinen na to vcas Ministerstvo upozornit. V takovém prípade Ministerstvo prevezme evidenci vydaných kvalifikovaných certifikátu a oznámí to dotceným podepisujícím osobám.
3) Ustanovení odstavcu 1 a 2 se použijí primerene také v prípade, když akreditovaný poskytovatel certifikacních služeb zanikne, zemre nebo prestane vykonávat svoji cinnost, aniž splní ohlašovací povinnost podle odstavce 1.
§ 14. Opatrení k náprave
1) Zjistí-li Ministerstvo, že akreditovaný poskytovatel certifikacních služeb nebo poskytovatel certifikacních služeb vydávající kvalifikované certifikáty porušuje povinnosti stanovené tímto zákonem, uloží mu, aby ve stanovené lhute sjednal nápravu a prípadne urcí, jaká opatrení k odstranení nedostatku je tento poskytovatel certifikacních služeb povinen prijmout.
2) V prípade, že se akreditovaný poskytovatel certifikacních služeb dopustí závažnejšího porušení povinností stanovených tímto zákonem nebo ve stanovené lhute neodstraní nedostatky zjištené Ministerstvem, je Ministerstvo oprávneno mu udelenou akreditaci odejmout.
3) Rozhodne-li Ministerstvo o odnetí akreditace, muže ukoncit soucasne platnost kvalifikovaných certifikátu vydaných poskytovatelem certifikacních služeb v dobe platnosti akreditace.
§ 15. Zrušení kvalifikovaného certifikátu
1) Ministerstvo muže narídit poskytovateli certifikacních služeb jako predbežné opatrení (7) zneplatnení kvalifikovaného certifikátu podepisující osoby, pokud existuje duvodné podezrení, že kvalifikovaný certifikát byl padelán nebo pokud byl vydán na základe nepravdivých údaju. Narízení o zneplatnení kvalifikovaného certifikátu muže být vydáno také v prípade, kdy bylo zjišteno, že podepisující osoba používá prostredek pro vytvárení podpisu, který vykazuje bezpecnostní nedostatky, které by umožnily padelání zarucených elektronických podpisu nebo zmenu podepisovaných údaju.
2) Seznam certifikátu podle § 6 odst. 1 písm. g) musí obsahovat presný casový údaj, od kdy byl certifikát zneplatnen. Zneplatnené certifikáty není povoleno opetovne zprovoznit a používat.
§ 16. Uznávání zahranicních certifikátu
1) Certifikát, který je vydán zahranicním poskytovatelem certifikacních služeb jako kvalifikovaný ve smyslu tohoto zákona, muže být používán jako kvalifikovaný certifikát tehdy, je-li uznán poskytovatelem certifikacních služeb, který vydává kvalifikované certifikáty podle tohoto zákona, a za podmínky, že tento poskytovatel certifikacních služeb zarucí ve stejném rozsahu jako u svých kvalifikovaných certifikátu správnost a platnost kvalifikovaného certifikátu vydaného v zahranicí.
2) Certifikát, který je vydán zahranicním poskytovatelem certifikacních služeb jako kvalifikovaný ve smyslu tohoto zákona, je uznán jako kvalifikovaný certifikát tehdy, pokud to vyplývá z rozhodnutí Ministerstva nebo mezinárodních smluv nebo pokud bude mezi príslušným zahranicním orgánem nebo zahranicním poskytovatelem certifikacních služeb a Ministerstvem uzavrena dohoda o vzájemném uznávání certifikátu.
§ 17. Prostredky pro bezpecné vytvárení a overování zarucených elektronických podpisu
1) Prostredek pro bezpecné vytvárení podpisu musí za pomoci odpovídajících technických a programových prostredku a postupu minimálne zajistit, že
a) data pro vytvárení podpisu se mohou vyskytnout pouze jednou a že jejich utajení je náležite zajišteno,
b) data pro vytvárení podpisu nelze pri náležitém zajištení odvodit ze znalosti zpusobu jejich vytvárení a že podpis je chránen proti padelání s využitím existující dostupné technologie,
c) data pro vytvárení podpisu mohou být podepisující osobou spolehlive chránena proti zneužití tretí osobou.
2) Prostredky pro bezpecné vytvárení podpisu nesmí menit data, která se podepisují, ani zabranovat tomu, aby tato data byla predložena podepisující osobe pred vlastním procesem podepisování.
3) Prostredek pro bezpecné overování podpisu musí za pomoci odpovídajících technických a programových prostredku a postupu minimálne zajistit, aby
a) data používaná pro overení podpisu odpovídala datum zobrazeným osobe provádející overení,
b) podpis byl spolehlive overen a výsledek tohoto overení byl rádne zobrazen,
c) overující osoba mohla spolehlive zjistit obsah podepsaných dat,
d) pravost a platnost certifikátu pri overování podpisu byly spolehlive zjišteny,
e) výsledek overení a totožnost podepisující osoby byly rádne zobrazeny,
f) bylo jasne uvedeno použití pseudonymu,
g) bylo možné zjistit veškeré zmeny ovlivnující bezpecnost.
§ 18. Pokuty
1) Akreditovanému poskytovateli certifikacních služeb nebo poskytovateli certifikacních služeb vydávajícímu kvalifikované certifikáty, který poruší povinnost uloženou mu tímto zákonem, muže Ministerstvo uložit pokutu až do výše 10 000 000 Kc.
2) Pokud akreditovaný poskytovatel certifikacních služeb nebo poskytovatel certifikacních služeb vydávající kvalifikované certifikáty porušil do jednoho roku ode dne, kdy nabylo rozhodnutí o uložení pokuty právní moci, povinnosti uložené mu tímto zákonem opakovane, muže mu být uložena pokuta do výše 20 000 000 Kc.
3) Akreditovaný poskytovatel certifikacních služeb nebo poskytovatel certifikacních služeb vydávající kvalifikované certifikáty, který marí kontrolu provádenou Ministerstvem, muže být potrestán porádkovou pokutou do výše 1 000 000 Kc, a to i opakovane.
4) Osobe, která, byt z nedbalosti, neposkytne Ministerstvu pri výkonu kontroly potrebnou soucinnost, muže být uložena pokuta do výše 25 000 Kc, a to i opakovane.
5) Pri rozhodování o výši pokuty se prihlíží zejména ke zpusobu jednání, míre zavinení, závažnosti, rozsahu, dobe trvání a následkum protiprávního jednání.
6) Pokutu lze uložit do jednoho roku ode dne, kdy príslušný orgán porušení povinnosti zjistil, nejdéle však do trí let ode dne, kdy k porušení povinnosti došlo.
7) Pokutu vybírá Ministerstvo. Pokutu vymáhá územní financní orgán podle zvláštního právního predpisu (8).
8) Výnos pokut je príjmem státního rozpoctu Ceské republiky.
§ 19
Není-li v tomto zákone stanoveno jinak, vztahuje se na rízení podle tohoto zákona zvláštní právní predpis (9).
§ 20. Zmocnovací ustanovení
Ministerstvo se zmocnuje vydávat vyhlášky k upresnování podmínek stanovených v § 6 a 17 a zpusobu, jakým se jejich splnení bude dokládat, a k upresnení požadavku, které musí splnovat nástroje elektronického podpisu, a k náležitostem postupu a zpusobu vyhodnocování shody nástroju elektronického podpisu s temito požadavky.
CÁST DRUHÁ Zmena obcanského zákoníku
§ 21
Zákon c. 40/1964 Sb., obcanský zákoník, ve znení zákona c. 58/1969 Sb., zákona c. 131/1982 Sb., zákona c. 94/1988 Sb., zákona c. 188/1988 Sb., zákona c. 87/1990 Sb., zákona c. 105/1990 Sb., zákona c. 116/1990 Sb., zákona c. 87/1991 Sb., zákona c. 509/1991 Sb., zákona c. 264/1992 Sb., zákona c. 267/1994 Sb., zákona c. 104/1995 Sb., zákona c. 118/1995 Sb., zákona c. 89/1996 Sb., zákona c. 94/1996 Sb., zákona c. 227/1997 Sb., zákona c. 91/1998 Sb., zákona c. 165/1998 Sb., zákona c. 159/1999 Sb., zákona c. 363/1999 Sb., zákona c. 27/2000 Sb. a zákona c. 103/2000 Sb., se mení takto:
V § 40 odst. 3 se doplnuje tato veta: “Je-li právní úkon ucinen elektronickými prostredky, muže být podepsán elektronicky podle zvláštních predpisu.”.
CÁST TRETÍ. Zmena zákona c. 337/1992 Sb. o správe daní a poplatku
§ 22
Zákon c. 337/1992 Sb., o správe daní a poplatku, ve znení zákona c. 35/1993 Sb., zákona c. 157/1993 Sb., zákona c. 302/1993 Sb., zákona c. 315/1993 Sb., zákona c. 323/1993 Sb., zákona c. 85/1994 Sb., zákona c. 255/1994 Sb., zákona c. 59/1995 Sb., zákona c. 118/1995 Sb., zákona c. 323/1996 Sb., zákona c. 61/1997 Sb., zákona c. 242/1997 Sb., zákona c. 91/1998 Sb., zákona c. 168/1998 Sb. a zákona c. 29/2000 Sb., se mení takto:
V § 21 odstavce 2 a 3 znejí: “2) Stanoví-li tak tento nebo zvláštní zákon, podávají danové subjekty o své danové povinnosti príslušnému správci dane priznání, hlášení a vyúctování na predepsaných tiskopisech. Tiskopisy zverejnené v elektronické podobe lze podepsat elektronicky podle zvláštních predpisu.
3) Jiná podání v danových vecech, jako jsou oznámení, žádosti, návrhy, námitky, odvolání apod. lze ucinit bud písemne nebo ústne do protokolu nebo elektronicky podepsané podle zvláštních predpisu ci za použití jiných prenosových technik (dálnopis, telefax apod.).”
CÁST CTVRTÁ. Zmena správního rádu
§ 23
Zákon c. 71/1967 Sb., o správním rízení (správní rád), ve znení zákona c. 29/2000 Sb., se mení takto:
V § 19 odstavec 1 zní: “1) Podání lze ucinit písemne nebo ústne do protokolu nebo v elektronické podobe podepsané elektronicky podle zvláštních predpisu. Lze je též ucinit telegraficky; takové podání obsahující návrh ve veci je treba písemne nebo ústne do protokolu doplnit nejpozdeji do 3 dnu.”.
CÁST PÁTÁ. Zmena obcanského soudního rádu
§ 24
Zákon c. 99/1963 Sb., obcanský soudní rád, ve znení zákona c. 36/1967 Sb., zákona c. 158/1969 Sb., zákona c. 49/1973 Sb., zákona c. 20/1975 Sb., zákona c. 133/1982 Sb., zákona c. 180/1990 Sb., zákona c. 328/1991 Sb., zákona c. 519/1991 Sb., zákona c. 263/1992 Sb., zákona c. 24/1993 Sb., zákona c. 171/1993 Sb., zákona c. 117/1994 Sb., zákona c. 152/1994 Sb., zákona c. 216/1994 Sb., zákona c. 84/1995 Sb., zákona c. 118/1995 Sb., zákona c. 160/1995 Sb., zákona c. 238/1995 Sb., zákona c. 247/1995 Sb., nálezu Ústavního soudu c. 31/1996 Sb., zákona c. 142/1996 Sb., nálezu Ústavního soudu c. 269/1996 Sb., zákona c. 202/1997 Sb., zákona c. 227/1997 Sb., zákona c. 15/1998 Sb., zákona c. 91/1998 Sb., zákona c. 165/1998 Sb., zákona c. 326/1999 Sb., zákona c. 360/1999 Sb., nálezu Ústavního soudu c. 2/2000 Sb., zákona c. 27/2000 Sb., zákona c. 30/2000 Sb., zákona c. 46/2000 Sb., zákona c. 105/2000 Sb. a zákona c. 130/2000 Sb., se mení takto:
V § 42 odstavec 1 zní:
“1) Podání je možno ucinit písemne, ústne do protokolu, v elektronické podobe podepsané elektronicky podle zvláštních predpisu, telegraficky nebo telefaxem.”.
CÁST ŠESTÁ. Zmena trestního rádu
§ 25
Zákon c. 141/1961 Sb., o trestním rízení soudním (trestní rád), ve znení zákona c. 57/1965 Sb., zákona c. 58/1969 Sb., zákona c. 149/1969 Sb., zákona c. 48/1973 Sb., zákona c. 29/1978 Sb., zákona c. 43/1980 Sb., zákona c. 159/1989 Sb., zákona c. 178/1990 Sb., zákona c. 303/1990 Sb., zákona c. 558/1991 Sb., zákona c. 25/1993 Sb., zákona c. 115/1993 Sb., zákona c. 292/1993 Sb., zákona c. 154/1994 Sb., nálezu Ústavního soudu c. 214/1994 Sb., nálezu Ústavního soudu c. 8/1995 Sb., zákona c. 152/1995 Sb., zákona c. 150/1997 Sb., zákona c. 209/1997 Sb., zákona c. 148/1998 Sb., zákona c. 166/1998 Sb., zákona c. 191/1999 Sb., zákona c. 29/2000 Sb. a zákona c. 30/2000 Sb., se mení takto:
V § 59 odstavec 1 zní: “1) Podání se posuzuje vždy podle svého obsahu, i když je nesprávne oznaceNº Lze je ucinit písemne, ústne do protokolu, v elektronické podobe podepsané elektronicky podle zvláštních predpisu, telegraficky, telefaxem nebo dálnopisem.”.
CÁST SEDMÁ. Zmena zákona o ochrane osobních údaju
§ 26
Zákon c. 101/2000 Sb., o ochrane osobních údaju a o zmene nekterých zákonu, se mení takto:
V § 29 se doplnuje odstavec 4, který zní:
“4) Ministerstvo udeluje a odnímá akreditace k pusobení jako akreditovaný poskytovatel certifikacních služeb a provádí dozor nad dodržováním povinností stanovených zákonem o elektronickém podpisu.”.
CÁST OSMÁ. Zmena zákona o správních poplatcích
§ 27
Zákon c. 368/1992 Sb., o správních poplatcích, ve znení zákona c. 10/1993 Sb., zákona c. 72/1994 Sb., zákona c. 85/1994 Sb., zákona c. 273/1994 Sb., zákona c. 36/1995 Sb., zákona c. 118/1995 Sb., zákona c. 160/1995 Sb., zákona c. 301/1995 Sb., zákona c. 151/1997 Sb., zákona c. 305/1997 Sb., zákona c. 149/1998 Sb., zákona c. 157/1998 Sb., zákona c. 167/1998 Sb., zákona c. 63/1999 Sb., zákona c. 166/1999 Sb., zákona c. 167/1999 Sb., zákona c. 223/1999 Sb., zákona c. 326/1999 Sb., zákona c. 352/1999 Sb., zákona c. 357/1999 Sb., zákona c. 360/1999 Sb., zákona c. 363/1999 Sb., zákona c. 46/2000 Sb., zákona c. 62/2000 Sb., zákona c. 117/2000 Sb., zákona c. 133/2000 Sb. a zákona c. 151/2000 Sb., se mení takto:
1. V príloze k zákonu (Sazebník správních poplatku) se doplnuje nová cást XII, která zní:
“CÁST XII. Rízení podle zákona o elektronickém podpisu Položka 162
a) podání žádosti o akreditaci poskytovatele certifikacních služeb Kc 100 000,-
b) podání žádosti o vyhodnocení shody nástroju elektronického podpisu s požadavky Kc 10 000,-.”.
2. Rejstrík k Sazebníku se doplnuje o cást XII, která zní:
“CÁST XII. Rízení podle zákona o elektronickém podpisu 162.”.
3. Tecka za cástí XI se vypouští.
CÁST DEVÁTÁ. Úcinnost
§ 28
Tento zákon nabývá úcinnosti prvním dnem tretího kalendárního mesíce po dni jeho vyhlášení.
Klaus v.r. Havel v.r. Zeman v.r.
—————————————————————————————————
(1) Zákon c. 40/1964 Sb., obcanský zákoník, ve znení pozdejších predpisu.
(2) § 10 zákona c. 40/1964 Sb., obcanský zákoník, ve znení zákona c. 509/1991 Sb.
(3) Zákon c. 101/2000 Sb., o ochrane osobních údaju a o zmene nekterých zákonu.
(4) Zákon c. 552/1991 Sb., o státní kontrole, ve znení pozdejších predpisu.
(5) Zákon c. 368/1992 Sb., o správních poplatcích, ve znení pozdejších predpisu.
(6) Zákon c. 85/1996 Sb., o advokacii, ve znení zákona c. 210/1999 Sb., zákon c. 358/1992 Sb., o notárích a jejich cinnosti (notárský rád), ve znení pozdejších predpisu, zákon c. 36/1967 Sb.,
o znalcích a tlumocnících.
(7) § 43 zákona c. 71/1967 Sb., o správním rízení (správní rád).
(8) Zákon c. 337/1992 Sb., o správe daní a poplatku, ve znení pozdejších predpisu.
(9) Zákon c. 71/1967 Sb., o správním rízení (správní rád), ve znení pozdejších predpisu.
—————————————————————————————————
Act 227 of june 29, 2000. Electronic Signature and Amendements
The Parliament of the Czech Republic has passed the following legislation:
PART ONE. ELECTRONIC SIGNATURE
Article 1. The Purpose of the Act
The legislation regulates the application of electronic signature, the rendition of related services, the enforcement of obligations set forth by the Act, and the penalization of violations of the obligations stipulated by the Act.
Article 2. Definition of Certain Terms
For the purposes of the Act, it applies that:
a) an electronic signature is information in electronic form, attached to a data statement or logically related thereto, which enables its recipient to verify the identity of the undersigned;
b) a guaranueed electronic signature is a signature which satisfies the following requirements:
1) it is clearly linked to the undersigned;
2) it provides for the identification of the undersigned in respect of the data statement;
3) it is created and attached to the data statement with the aid of means which are solely controlled by the undersigned;
4) is attached to the respective data statement in a manner which enables its recipients to detect any and all subsequent data alteration;
c) a data statement means electronic data which can be transferred by electronic communication means and stored in data carriers used for electronic data processing and transmission;
d) the undersigned is a physical person who has the means to create an electronic signature and who acts on its own behalf or on behalf of another physical or legal entity;
e) a provider of certification services is an entity that issues certificates and keeps record thereof, and may provide other services related to electronic signatures;
f) an accredited provider of certified services is a provider of certification services on the basis of accreditation granted in accordance with this Act;
g) a certificate is a data statement issued by the provider of certification services, which links identity verification data with the undersigned as part of the identity verification process;
h) a qualified certificate is a certificate comprising all the particulars stipulated by the Act; it is issued by the provider of certification services which must satisfy all the conditions stipulated by the Act applicable to providers of certification services authorized to issue qualified certificates;
i) data used for the creation of electronic signatures are specific data which the undersigned uses for creating electronic signatures;
j) data used for the verification of electronic signatures are specific data used for verifying electronic signatures;
k) means for the creation of electronic signatures are technical devices or software programs which the undersigned uses for creating electronic signatures;
l) means for the verification of electronic signatures are technical devices or software programs used for verifying electronic signatures;
m) means for secure creation of electronic signatures are means used for creating electronic signatures, which meet the requirements stipulated by the Act;
n) means for secure verification of electronic signatures are means used for verifying electronic signatures, which meet the requirements stipulated by the Act;
o) electronic signature instruments are technical devices or software programs, or parts thereof, used in the rendition of certification services or for the creation or verification of electronic signatures;
p) an accreditation certificate means that the provider of certification services meets the requirements stipulated by the Act, applicable to providers of certification services.
Article 3. Compliance with Signature Requirements
1. A data statement is signed, if provided with an electronic signature.
2. The application of a guaranteed electronic signature, based on a qualified certificate and secured signature creation, enables the recipient to verify whether a data statement has been signed by the person specified in the qualified certificate.
Article 4. Compliance with the Original
A guaranteed electronic signature means that any adulteration of the contents of an undersigned data statement can be traced from the point of signature.
Article 5. Obligations of the Signatory
1. The signatory is obliged to:
a) handle the means, as well as the data used for the creation of a guaranteed electronic signature with a duly care to prevent their abuse;
b) notify the provider of certified services and issuer of its qualified certificate, without undue delay, if danger of abuse occurs in respect of the data that the signatory uses for the creation of a guaranteed electronic signature;
c) to provide the provider of certification services with accurate, true, and complete information on matters pertaining to the qualified certificate.
2. The signatory shall be held liable for any violation of the obligations specified in Paragraph 1 herein above to the extent of special legislation.(1) However, if the signatory proves that the damaged party failed to perform all the procedures necessary to verify the validity of the guaranteed electronic signature, his liability shall be waived, provided that his qualified certificate has not been invalidated.
Article 6. Obligations of the Provider of Certification Services and Issuer of Qualified Certificates
1. Providers of certification services and issuers of qualified certificates are obliged:
a) to ensure that all the certificates they issue as qualified certificates have all the particulars required under the Act for qualified certificates;
b) to ensure that all data specified in qualified certificates are accurate, true, and complete;
c) to verify the identity of the recipients of qualified certificates prior to issue, using relevant means of identification, including special identification symbols, if it is deemed necessary for the purposes of the given qualified certificate;
d) to establish, at the time of issue of the qualified certificate, whether the signatory’s data for creating electronic signatures corresponded with the data for verifying electronic signatures, contained in the qualified certificate;
e) to ensure that everyone would be able to verify the identity of the provider of certification services and its qualified certificate;
f) to compile and operate a well-secured list of qualified certificates, accessible to the public even on a long-distance basis, and to update it on a current basis;
g) to operate a well-secured and publicly accessible list of invalidated qualified certificates, even on a long-distance basis;
h) to ensure that the date and time of issue and/or invalidation of qualified certificates – including the hour, minute, and second – can be exactly determined and this information be accessible to third parties;
i) to hire or contract professional persons with specialized knowledge, experience, and qualifications to provide certification services, and to ensure that such persons be well acquainted with relevant security procedures;
j) to use security systems and electronic signature instruments, as well as adequate security procedures to support these systems and instruments; an electronic signature instrument is considered secure if it satisfies all the requirements stipulated by the Act and the relevant rules of procedure; this must be verified by the Office for Personal Data Protection (hereinafter “The Office”);
k) to adopt adequate measures against the possibility of abuse or forgery of qualified certificates and for the protection of the data used in the creation of guaranteed electronic signatures, if the provider’s services include the creation thereof;
l) to dispose of sufficient financial resources, in accordance with the requirements stipulated by the Act and with consideration to liability risks;
m) to keep all information and documentation on each qualified certificate issued, for at least 10 years following the expiry of the qualified certificate’s validity; both the information and documentation may be stored in electronic form;
n) to inform applicants for a qualified certificate, prior to entering contractual relations with them, of the exact conditions applicable to the use of qualified certificates, including limitations thereof; and to inform them whether or not they have been accredited by The Office under the provisions of Section 10 hereof; and to disclose a substantial portion of this information to third parties relying on the given qualified certificate;
o) to use a secure system for the storage of qualified certificates so that entries and amendments thereto could be made by authorized persons only, the accuracy of entries could be verified, and any and all technical or program alterations violating these security requirements could be easily detected.
2. The provider of certification services and issuer of qualified certificate issues qualified certificates to signatories on a contractual basis. The contract must be executed in writing to be valid.
3. The provider of certification services and issuer of qualified certificates must not store or copy data used for the creation of guaranteed electronic signatures of persons who contract services from the provider of certification services.
4. In the event that The Office withdraws accreditation from a provider of certification services and issuer of qualified certificates, the provider is obliged to notify of this circumstance all the persons who contract services from this provider and disclose this circumstance in the list specified in Paragraph 1(f,g) herein above.
5. Providers of certification services that are not accredited by The Office and intend to issue qualified certificates are obliged to report their intention to The Office no later than 30 days prior to issuing the first qualified certificate.
6. In the event that a provider of certification services and issuer of qualified certificates specifies limitations on the use of the certificate, including limitation on the amount of transaction for which the qualified certificate can be applied, the limitations must be apparent to third parties.
7. The provider of certification services and issuer of qualified certificates must terminate the validity of a qualified certificate, if the signatory so demands or if it is established that the certificate was issued on basis of false or inaccurate information.
8. Furthermore, the provider of certification services and issuer of qualified certificates must terminate the validity of a qualified certificate, if it establishes that the signatory has died or been declared legally incompetent, fully or partly,(2) or if the data used for the issue of the certificate become invalid.
9. Providers of certification services and issuers of qualified certificates must keep documentation of its operations, which must contain:
a) contracts with signatories on the issue of qualified certificates;
b) the qualified certificates issued to date;
c) copies of personal data submitted by signatories;
d) confirmation of acceptance of a qualified certificate from each signatory;
e) exact time of the qualified certificate’s validity.
10. The employees of a provider of certification services and issuer of qualified certificates, or other physical persons who come into contact with personal information and data used for the creation of electronic signatures by signatories, are obliged to observe the rule of confidentiality in respect of the personal information, data, and security measures used for and involved in the creation of electronic signatures, as their disclosure would jeopardize the security of the information and data used for the creation of electronic signatures. This obligation prevails even after ending the employment or the given work assignment.
Article 7. Professional Liability
1. Providers of certification services and issuers of qualified certificates are liable for violations of their obligations stipulated by the Act, to the extent of special legislation.(1)
2. Providers of certification services and issuers of qualified certificates are not liable for losses caused by failure to comply with limitations on its use.
Article 8. Personal Data Protection
Protection of personal data is subject to special legal provisions. (3)
Article 9. Accreditation and Supervision
1. The Office is the sole authority empowered to issue accreditation to providers, thus authorizing them to render certification services, and to enforce adherence to the provisions of the Act.
2. The Office:
a) grants and withdraws accreditation to/from providers of accredited certification services in the territory of the Czech Republic;
b) supervises the activities of accredited providers of certification services and issuers of qualified certificates, imposes remedial measures on them, as well as penalties for non-compliance with obligations stipulated by the Act;
c) keeps record of accreditation’s issued to date and amendments thereto, and of those providers of certification services that have notified The Office that they issue qualified certificates;
d) publishes a list of accreditation’s issued to date, regularly, and a list of accredited providers of certification services and issuers of qualified certificates; these announcements must be accessible on a long-distance basis;
e) fulfils other obligations stipulated by the Act and the relevant rules of procedure;
f) fulfils other obligations stipulated by the Act (e.g., Sec. 10(7), Sec. 13(2) and Sec. 16(2).
3. For the purposes of supervision, accredited providers of certification services and issuers of qualified certificates are obliged to allow, to the extent necessary, authorized employees of The Office to enter their commercial premises and operations, examine – upon request – any and all documentation, records, documents, correspondence, and other papers related to their activities, facilitate access, to the extent necessary, to their information systems, and provide them with all the information and co-operation necessary.
4. Unless otherwise stipulated in the Act, The Office shall perform supervision in accordance with special legislation. (4)
Article 10. Conditions of Granting Accreditation to Providers of Certification Services
1. Every provider of certification services may file an application with The Office for a permit to become an accredited provider of certification services. Filing an application for accreditation is subject to an administrative fee.(5)
2. An application for accreditation must have the following particulars:
a) the registered title, address, and identification number of the applicant;
b) the applicant’s trade license and, for entities registered in the Commercial Register, also a transcript from the Commercial Register, not older than 3 months;
c) a transcript from the Crime Register, if a physical person or statutory proxy of a legal entity, in the event that the applicant is a legal entity, not older than 3 months;
d) material, personal, and organizational prerequisites applicable to providers of certification services and issuers of qualified certificates, in accordance with Sec. 6 of the Act;
e) information as to whether the applicant issues or intends to issue qualified certificates;
f) a proof of payment of the administrative fee.
3. In the event that the application does not contain all the required particulars, The Office shall interrupt the proceedings and ask the applicant to complement the missing part(s) within a certain time limit. If the applicant fails to comply, The Office shall arrest the proceedings. The administrative fee shall not be refunded.
4. If the applicant meets all the accreditation conditions required by the Act, The Office shall pass a decision to grant the accreditation. In the opposite event, the application for accreditation shall be rejected.
5. Accredited providers of certification services must be registered in the territory of the Czech Republic.
6. Apart from activities specified in the Act, accredited providers of certification services may act as attorneys, notaries, and court-certified experts; (6) all other activities are subject to a prior consent from The Office.
7. Verification of the qualified certificate of applicant and provider of certification services, by The Office, forms an integral part of The Office’s decision to grant an accreditation.
Article 11.
Public administration authorities shall accept only guaranteed electronic signatures and qualified certificates issued by accredited providers of certification services.
Article 12. Qualified Certificate Particulars
1. A qualified certificate must contain:
a) a note stating that it has been issued as a qualified certificate in accordance with the Act;
b) the registered title and address of the provider of certification services, and information stating that the certificate has been issued in the Czech Republic;
c) the first name and surname of the signatory or his pseudonym, with a note stating that it is a pseudonym;
d) special symbols of the signatory, if so required for the purposes of a qualified certificate;
e) data for verification of the signature; these data must correspond with the data used for the creation of electronic signatures which are specific to the undersigned;
f) a guaranteed electronic signature of the provider of certification services and issuer of qualified certificates;
g) number of the qualified certificate which is unique for the specific provider of certification services;
h) the commencement and expiry of the effective period of the qualified certificate;
i) information specifying that the use of the qualified certificate is subject to limitations in respect of the type or extent of use, if applicable;
j) information specifying that the qualified certificate is subject to a limitation on the amount of transaction, if applicable.
2. Qualified certificate may contain other personal data only with the consent of the signatory.
Article 13. Obligations of Accredited Providers of Certification Services after Termination of Activities
1. Accredited providers of certification services must notify The Office of their intent to terminate their activities at least 3 months in advance and make every effort to transfer the valid qualified certificates to another accredited provider of certification services. Furthermore, accredited providers of certification services must notify the signatories, which contract their services, of their intent to terminate their activities at least 2 months in advance.
2. Accredited providers of certification services that are unable to find another accredited provider of certification services as their successor must notify The Office of this circumstance in a timely manner. Upon receiving such notification, The Office takes over the list of accredited qualified certificates issued to date and notifies the respective signatories accordingly.
3. The provisions of Paragraphs 1 and 2 herein above shall apply as deemed appropriate also in the event that the given accredited provider of certification services is dissolved, dies, or ceases to conduct its activities, without meeting its reporting obligation in accordance with Paragraph 1 herein above.
Article 14. Remedial Measures
1. In the event that The Office establishes that an accredited provider of certification services or a provider of certification services violates its obligations stipulated by the Act, The Office orders the provider to remedy the situation within a certain time limit; The Office may determine what measures would this provider of certification services be obliged to take.
2. In the event that an accredited provider of certification services commits a more severe violation of its obligations or fails to do so within the time limit, The Office shall have the right to withdraw accreditation from this provider.
3. If The Office decides to withdraw accreditation from an accredited provider of certification services, the Office may also invalidate the qualified certificates issued by the provider of certification services during the accreditation period.
Article 15. Invalidation of Qualified Certificates
1. The Office may order a provider of certification services to invalidate a signatory’s qualified certificate, as a preliminary measure,(7) if a well-founded prejudice exists to suspect that the given qualified certificate is forged or has been issued on the basis of false information. An order to invalidate may also be issued in the event that the means that the signatory uses for the creation of electronic signatures show to have security flaws which could facilitate forging of electronic signatures or alteration thereof.
2. The list of certificates specified in Sec. 6(1g) must indicate the exact time of the certificate’s invalidation. Invalidated certificates must not be permitted be renewed or used again.
Article 16. Honouring Foreign Certificates
1. Certificates issued by a foreign provider of certification services, which are considered qualified under the terms of the Act, may be used as qualified certificates, if honoured as such by a provider of certification services that issues qualified certificates in accordance with the Act, and under the condition that this provider of certification services guarantees the accuracy and validity of the foreign qualified certificates to the same extent as its own qualified certificates.
2. Certificates issued by a foreign provider of certification services as qualified certificates, under the terms of the Act, can be honoured as qualified certificates, if so recognized by a decision of The Office or under the terms of international conventions, or if an agreement on bilateral recognition of certificates is entered between a foreign authority competence or a foreign provider of certification services and The Office.
Article 17. Means Used for Secure Creation and Verification of Guaranteed Electronic Signatures
1. The means for secure creation of electronic signatures is a set of certain technical and program facilities and procedures that must ensure at least that:
a) the data used for the creation of electronic signatures occur only once and their security is duly assured;
b) the data used for the creation of electronic signatures are sufficiently secured to eliminate the possibility of deduction by persons familiar with the mode and means of their creation, and adequately protected against forgery with the aid of state-of-the-art technology;
c) the data used for the creation of electronic signatures are properly protected against abuse by a third party.
2. The means used for the creation of electronic signatures must not modify the data used for signing or prevent them from being presented to the signatory before signing.
3. The means for secure verification of electronic signatures is a set of certain technical and program facilities and procedures that must ensure at least that:
a) the data used for the verification of electronic signatures correspond with the data presented to the signatory before signing;
b) the signature is reliably verified and the result of the verification duly displayed;
c) the verifier can reliably to verify the contents of the undersigned data;
d) the verity and validity of the certificate can be reliably verified;
e) the results of the verification and the identity of the signatory must be duly displayed;
f) the use of a synonym must be indicated clearly;
g) all alterations jeopardizing security can be detected.
Article 18. Penalties
1. The Office may impose a penalty of up to CZK 10,000,000 to accredited providers of certification services or providers of certification services and issuers of qualified certificates for violating their obligations stipulated by the Act.
2. In the event that an accredited provider of certification services or provider of certification services and issuer of qualified certificates commits another violation of its obligations stipulated by the Act within one year of penalization, The Office may impose a penalty of up to CZK 20,000,000.00.
3. Accredited providers of certification services or providers of certification services and issuers of qualified certificates who hamper The Office in its supervision activities may be imposed a penalty of up to CZK 1,000,000.00 for each violation.
4. Persons who fail duly to cooperage with The Office during its supervision activities may be imposed a penalty of up to CZK 25,000.00 for each violation of this duty.
5. In its decision-making on the amount of penalty, The Office takes into consideration especially the manner of such conduct, the degree of fault, the gravity of the violation, the extent and duration thereof, and the consequences of the unlawful conduct.
6. The penalty may be imposed up to one year, but no later than three years, from the day of detection.
7. The Office collects penalties. Penalties are solicited by the financial institution of competence by venue, in accordance with special legislation. (8)
8. Penalties constitute revenues to the state budget of the Czech Republic.
Article 19.
Unless otherwise stipulated in the Act, proceedings arising from the Act are subject to special legislation.(9)
Article 20. Authorization Provisions
The Office is authorized to issue decrees further specifying the provisions of Section 6 and 17 hereof and the manner proving adherence thereto; and further specifying the requirements on the instruments used for electronic signatures; and further specifying the particulars of the process and manner of assessing compliance of electronic signature instruments with these requirements.
PART TWO. Amendments to the Civil Code
Article 21.
Act Nº 40/1964 Coll., the Civil Code, as subsequently amended by Act Nº 58/1969 Coll., Act Nº 131/1982 Coll., Act Nº 94/1988 Coll., Act Nº 188/1988 Coll., Act Nº 87/1990 Coll., Act Nº 105/1990 Coll., Act Nº 116/1990 Coll., Act Nº 87/1991 Coll., Act Nº 509/1991 Coll., Act Nº 264/1992 Coll., Act Nº 267/1994 Coll., Act Nº 104/1995 Coll., Act Nº 118/1995 Coll., Act Nº 89/1996 Coll., Act Nº 94/1996 Coll., Act Nº 227/1997 Coll., Act Nº 91/1998 Coll., Act Nº 165/1998 Coll., Act Nº 159/1999 Coll., Act Nº 363/1999 Coll., Act Nº 27/2000 Coll., and Act Nº 103/2000 Coll., is hereby amended as follows:
Section 40(3) is hereby supplemented with the following sentence: “Legal procedures performed with the aid of electronic means may be signed electronically, in accordance with special legislation”.
PART THREE. Amendments to Act Nº 337/1992 Coll., on Administration of Taxes and Fees
Article 22.
Act Nº 337/1992 Coll., on administrative taxes and fees, as subsequently amended by Act Nº 35/1993 Coll., Act Nº 157/1993 Coll., Act Nº 323/1993 Coll., Act Nº 85/1994 Coll., Act Nº 255/1994 Coll., Act Nº 59/1995 Coll., Act Nº 118/1995 Coll., Act Nº 323/1996 Coll., Act Nº 61/1997 Coll., Act Nº 242/1997 Coll., Act Nº 91/1998 Coll., Act Nº 168/1998 Coll., Act Nº 29/2000 Coll., Act Nº 159/2000 Coll., and Act Nº 218/2000 Coll., is hereby amended as follows:
Sec. 21(2,3) reads: “2. Provided that it is so stipulated by this or another Act, taxpayers shall submit their income tax declarations, reports, and remittances to the tax administration authority of competence by venue, using pre-printed forms. Forms issued in electronic form may be signed electronically, in accordance with special legislation.
3. Other motions concerning tax matters, such as notifications, applications, propositions, objections, appeals, etc. may be submitted in writing; put on record verbally; or submitted in electronic form, signed in accordance with special legislation, or with the aid of transmission technology (telex, fax message, etc.)”
PART FOUR. Amendments to the Administration Code
Article 23.
Act Nº 71/1967 Coll., on administrative proceedings (the Administration Code), as subsequently amended by Act Nº 29/2000 Coll., and is hereby amended as follows:
Section 19(1) reads:
“1. Motions may be made in writing; put on record verbally; or submitted in electronic form, signed electronically, in accordance with special legislation. Motions may also be made telegraphically; motions containing a proposition concerning a certain matter must be put on record in writing or verbally subsequently within 3 days.”
PART FIVE. Amendments to the Rules of Court
Article 24.
Act Nº 99/1993 Coll., the Civil Proceedings Code, as subsequently amended by Act Nº 36/1967 Coll., Act Nº 158/1969 Coll., Act Nº 49/1973 Coll., Act Nº 20/1975 Coll., Act Nº 133/1982 Coll., Act Nº 180/1990 Coll., Act Nº 328/1991 Coll., Act Nº 519/1991 Coll., Act Nº 263/1992 Coll., Act Nº 24/1993 Coll., Act Nº 171/1993 Coll., Act Nº 117/1994 Coll., Act Nº 152/1994 Coll., Act Nº 216/1994 Coll., Act Nº 84/1995 Coll., Act Nº 118/1995 Coll., Act Nº 160/1995 Coll., Act Nº 238/1995 Coll., Act Nº 247/1995 Coll., Act Nº Finding of the Constitutional court Nº 31/1996 Coll., Act Nº 142/1996 Coll., Finding of the Constitutional Court Nº 269/1996 Coll., Act Nº 202/1997 Coll., Act Nº 227/1997 Coll., Act Nº 15/1998 Coll., Act Nº 91/1998 Coll., Act Nº 165/1998 Coll., Act Nº 326/1999 Coll., Act Nº 360/1999 Coll., Finding of the Constitutional Court Nº 2/2000 Coll., Act Nº 27/2000 Coll., Act Nº 30/2000 Coll., Act Nº 46/2000 Coll., Act Nº 105/2000 Coll., Act Nº 130/2000 Coll., Act Nº 155/2000 Coll., and Act Nº 220/2000 Coll., is hereby amended as follows:
Section 42(1), first sentence reads: “Motions may be made in writing; put on record verbally; or submitted in electronic form, signed electronically, in accordance with special legislation; or telegraphically or per facsimile.”
PART SIX. Amendments to the Penal Code
Article 25.
Act Nº 141/1961 Coll., on penal court proceedings (the Penal Code), as subsequently amended by Act Nº 57/1965 Coll., Act Nº 58/1969 Coll., Act Nº 149/1969 Coll., Act Nº 48/1973 Coll., Act Nº 29/1978 Coll., Act Nº 43/1980 Coll., Act Nº 159/1989 Coll., Act Nº 178/1990 Coll., Act Nº 303/1990 Coll., Act Nº 558/1991 Coll., Act Nº 25/1993 Coll., Act Nº 115/1993 Coll., Act Nº 292/1993 Coll., Act Nº 154/1994 Coll., Finding of the Constitutional Court Nº 214/1994 Coll., Finding of the Constitutional Court Nº 8/1995 Coll., Act Nº 152/1995 Coll., Act Nº 150/1997 Coll., Act Nº 209/1997 Coll., Act Nº 148/1998 Coll., Act Nº 166/1998 Coll., Act Nº 191/1999 Coll., Act Nº 20/2000 Coll., and Act Nº 30/2000 Coll., is hereby amended as follows:
Section 59(1) reads:
“1. Every motion shall be assessed according to its contents, even if incorrectly marked. Motions may be made in writing; put on record verbally; or submitted in electronic form, signed electronically, in accordance with special legislation; or telegraphically or per facsimile”.
PART SEVEN. Amendments to the Personal Data Protection Act
Article 26.
Act Nº 101/2000 Coll., on protection of personal data and on amendments to certain legislation, is amended as follows:
Section 29 is extended by Paragraph 4, which reads:
“4. The Office grants and withdraws accreditation to/from entities operating as accredited providers of certification services and supervisors enforcing adherence to obligations stipulated by the Electronic Signature Act.”
PART EIGHT. Amendments to the Act on Administrative Fees
Article 27.
Act Nº 368/1992 Coll., on administrative fees, as subsequently amended by Act. Nº 10/1993 Coll., Act Nº 72/1994 Coll., Act Nº 36/1995 Coll., Act Nº 118/1995 Coll., Act Nº 160/1995 Coll., Act Nº 301/1995 Coll., Act Nº 151/1997 Coll., Act Nº 305/1997 Coll., Act Nº 149/1998 Coll., Act Nº 157/1998 Coll., Act Nº 167/1998 Coll., Act Nº 63/1999 Coll., Act Nº 166/1999 Coll., Act Nº 167/1999 Coll., Act Nº 223/1999 Coll., Act Nº 326/1999 Coll., Act Nº 352/1999 Coll., Act Nº 357/1999 Coll., Act Nº 360/1999 Coll., Act Nº 363/1999 Coll., Act Nº 46/2000 Coll., Act Nº 62/2000 Coll., Act Nº 117/2000 Coll., Nº 133/2000 Coll., Nº 151/2000 Coll., Nº 153/2000 Coll., Nº 154/2000 Coll., Nº 156/2000 Coll., and Nº 158/2000 Coll., is hereby amended as follows:
1. The Annex to the Act (Table of Administrative Fees) is hereby complemented by Part XII that reads:
“PART XII. PROCEEDINGS UNDER THE ELECTRONIC SIGNATURE ACT
Article 27
Item 162
a) submission of an application for accreditation by a provider of certification services CZK 100,000.00
b) submission of an application for conformity evaluation of electronic signature instruments CZK 10,000.00″
2. INDEX TO TABLE OF ADMINISTRATIVE FEES is hereby supplemented as follows:
“PART XII. Proceedings under the Electronic Signature Act item 162″.
3. The period (dot) after Part XI is to be omitted.
PART NINE.
Article 28.
The Act comes into force and effect on the first day of the third calendar month following promulgation date.
Klaus, m.p.
Havel, m.p.
Zeman, m.p.
————————————————————————————————–
Notes
(1) Act Nº 40/1964 Coll., the Civil Code, as amended.
(2) Sec. 10 of Act Nº 40/1964 Coll., as amended by Act Nº 509/1991 Coll.
(3) Act Nº 101/2000 Coll., on personal data protection, and amendments to relevant legislation.
(4) Act Nº 552/1991 Coll., on state supervision, as amended.
(5) Act Nº 368/1992 Coll., on administrative fees, as amended.
(6) Act Nº 85/1996 Coll., on defense law, as amended by Act Nº 210/1999 Coll.
Act Nº 358/1992 Coll., on notaries and their activities (the Notarial Code), as amended
Act Nº 36/1967 Coll., on court experts and interpreters.
(7) Sec. 43 of Act Nº 71/1967 Coll., on administrative proceedings (the Administration Code).
(8) Act Nº 337/1992 Coll., on administration and taxes and fees, as amended.
(9) Act Nº 71/1967 Coll., as amended by Act Nº 29/2000 Coll.