§ 18a Zákon, kterým se mění zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), ve znění pozdějších předpisů – Přestupky
Zákon, kterým se mění zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), ve znění pozdějších předpisů · 440/2004 Sb. · § 18a · IT právo a ochrana dat
Stručně: Paragraf 18a zákona č. 440/2004 Sb. definuje konkrétní přestupky, kterých se může dopustit kvalifikovaný poskytovatel certifikačních služeb, a to jak obecně, tak i v souvislosti s vydáváním kvalifikovaných certifikátů.
§ 18a Přestupky
(1) Kvalifikovaný poskytovatel certifikačních služeb se dopustí přestupku tím, že
a) nezajistí, aby se každý mohl ujistit o jeho identitě a jeho kvalifikovaném systémovém certifikátu podle § 6 odst. 1 písm. a),
b) nezajistí, aby poskytování kvalifikovaných certifikačních služeb vykonávaly osoby s odbornými znalostmi a kvalifikací nezbytnými pro poskytované kvalifikované certifikační služby a obeznámené s příslušnými bezpečnostními postupy,
c) nezajištěním dostatečné bezpečnosti používaných systémů a nástrojů elektronického podpisu a postupů, které tyto systémy a nástroje podporují podle § 6 odst. 1 písm. c) a písm. d), ohrozí bezpečnost poskytovaných kvalifikovaných certifikačních služeb,
d) nedisponuje dostatečnými finančními zdroji nebo jiným finančním zajištěním na provoz podle § 6 odst. 1 písm. e), a tím ohrozí bezpečnost poskytovaných kvalifikovaných certifikačních služeb,
e) nesplní informační povinnost podle § 6 odst. 1 písm. f), § 6 odst. 3 nebo § 13 odst. 1,
f) nesplní ohlašovací povinnost podle § 6 odst. 2, včetně předání kvalifikovaného systémového certifikátu k ověření nebo podle § 13 odst. 1 nebo 2,
g) poskytne certifikační služby na základě jiné než písemné smlouvy,
h) neuchovává informace a dokumentaci podle § 6 odst. 5,
i) neuchovává veškeré informace a dokumentaci podle § 6 odst. 6 po dobu nejméně 10 let, nebo
j) nezajistí uchovávané informace a dokumentaci před ztrátou, zneužitím, zničením nebo poškozením podle § 6 odst. 6.
(2) Kvalifikovaný poskytovatel certifikačních služeb, který vydává kvalifikované certifikáty nebo kvalifikované systémové certifikáty, se dopustí přestupku tím, že
a) nezajistí, aby certifikáty jím vydané jako kvalifikované obsahovaly všechny náležitosti stanovené tímto zákonem,
b) nezajistí, aby údaje uvedené v certifikátech vydaných jako kvalifikované byly přesné, pravdivé a úplné,
c) neověří identitu osoby podle § 6a odst. 1 písm. c),
d) nezajistí soulad dat podle § 6a odst. 1 písm. d),
e) nezajistí provozování bezpečného a veřejně přístupného seznamu certifikátů vydaných jako kvalifikované a nezajistí jeho dostupnost a aktualizaci podle § 6a odst. 1 písm. e),
f) nezajistí provozování bezpečného a veřejně přístupného seznamu certifikátů vydaných jako kvalifikované, které byly zneplatněny, a to i dálkovým přístupem,
g) nezajistí, aby datum a čas s uvedením hodiny, minuty a sekundy, kdy je certifikát vydaný jako kvalifikovaný vydán nebo zneplatněn, mohly být přesně určeny,
h) nepřijetím odpovídajících opatření proti zneužití a padělání certifikátů vydaných jako kvalifikované ohrozí bezpečnost poskytovaných kvalifikovaných certifikačních služeb,
i) nesplní informační povinnost podle § 6a odst. 1 písm. i),
j) nezajistí soulad a utajení dat podle § 6a odst. 2, pokud tato data pro podepisující nebo označující osobu vytváří,
k) kopíruje a uchovává data podle § 6a odst. 2, pokud tato data pro podepisující nebo označující osobu vytváří, nebo
l) nezneplatní certifikát podle § 6a odst. 3 a 4.
(3) Kvalifikovaný poskytovatel certifikačních služeb, který vydává kvalifikovaná časová razítka, se dopustí přestupku tím, že
a) nezajistí, aby časová razítka jím vydávaná jako kvalifikovaná obsahovala všechny náležitosti stanovené v § 12b,
b) nezajistí, aby časový údaj vložený do kvalifikovaného časového razítka odpovídal hodnotě koordinovaného světového času při vytváření kvalifikovaného časového razítka,
c) nezajistí, aby data v elektronické podobě, která jsou předmětem žádosti o vydání kvalifikovaného časového razítka, odpovídala datům v elektronické podobě obsaženým ve vydaném kvalifikovaném časovém razítku,
d) nepřijme odpovídající opatření proti padělání kvalifikovaných časových razítek, a tím ohrozí bezpečnost poskytovaných kvalifikovaných certifikačních služeb,
e) nesplní informační povinnost podle § 6b odst. 1 písm. e), nebo
f) nevydá kvalifikované časové razítko neprodleně po přijetí žádosti o jeho vydání.
(4) Kvalifikovaný poskytovatel certifikačních služeb, který vydává prostředky pro bezpečné vytváření elektronických podpisů, se dopustí přestupku tím, že
a) nevydá prostředky pro bezpečné vytváření elektronických podpisů bezpečně podle § 17 odst. 3, nebo
b) nevytvoří v těchto prostředcích nebo nepřidá do těchto prostředků data pro vytváření elektronických podpisů důvěryhodným způsobem podle § 17 odst. 3.
(5) Fyzická osoba se dopustí přestupku tím, že poruší povinnost mlčenlivosti podle § 6 odst. 7.
(6) Za přestupky podle odstavců 1 až 4 lze uložit pokutu do výše 10 000 000 Kč.
(7) Za přestupek podle odstavce 5 lze uložit pokutu do výše 250 000 Kč.“.
53. § 19 včetně nadpisu a poznámky pod čarou č. 8) zní:
Paragraf 18a zákona č. 440/2004 Sb. definuje konkrétní přestupky, kterých se může dopustit kvalifikovaný poskytovatel certifikačních služeb, a to jak obecně, tak i v souvislosti s vydáváním kvalifikovaných certifikátů.
Co to znamená v praxi
Kvalifikovaný poskytovatel certifikačních služeb musí zajistit, aby jeho identita a kvalifikovaný systémový certifikát byly pro každého ověřitelné.
Musí mít dostatečné finanční zdroje a odborně způsobilé pracovníky, aby byla zajištěna bezpečnost poskytovaných služeb.
Je povinen uchovávat veškeré relevantní informace a dokumentaci po dobu nejméně 10 let a chránit je před ztrátou či zneužitím.
Při vydávání kvalifikovaných certifikátů musí poskytovatel zajistit jejich správnost, úplnost, ověřit identitu žadatele a provozovat bezpečný a aktuální seznam vydaných a zneplatněných certifikátů.
Na co si dát pozor
Nedodržení informačních a ohlašovacích povinností stanovených zákonem může vést k přestupku.
Poskytování certifikačních služeb musí být vždy podloženo písemnou smlouvou.
Zanedbání bezpečnosti systémů a nástrojů nebo nedostatek finančních zdrojů, které ohrozí bezpečnost služeb, je považováno za přestupek.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.