§ 5 Vyhláška Úřadu pro ochranu osobních údajů o upřesnění podmínek stanovených v § 6 a 17 zákona o elektronickém podpisu a o upřesnění požadavků na nástroje elektronického podpisu – Bezpečnost postupu při nakládání s párovými daty poskytovatele certifikačních služeb vydávajícího kvalifikované certifikáty

§ 5 Bezpečnost postupu při nakládání s párovými daty poskytovatele certifikačních služeb vydávajícího kvalifikované certifikáty (1) Při vytváření, používání a uchovávání párových dat poskytovatele certifikačních služeb vydávajícího kvalifikované certifikáty musí být jakákoliv manipulace s těmito daty prováděna a) výhradně fyzickými osobami, které jsou pro tuto činnost určeny poskytovatelem certifikačních služeb vydávajícím kvalifikované certifikáty, b) podle postupů stanovených certifikační prováděcí směrnicí, a c) v souladu se systémovou bezpečnostní politikou. (2) Při vytváření párových dat poskytovatele certifikačních služeb vydávajícího kvalifikované certifikáty musí být použity kryptografické algoritmy a jejich parametry, které jsou uvedeny v příloze č. 2 této vyhlášky. (3) Poskytovatel certifikačních služeb vydávající kvalifikované certifikáty je povinen svá data pro vytváření elektronického podpisu zničit po ukončení jejich životního cyklu; o tom pořizuje zápis, který obsahuje a) popis způsobu zničení dat, b) datum zničení dat, c) datum pořízení zápisu, a d) jméno, příjmení a podpis osoby určené poskytovatelem certifikačních služeb vydávajícím kvalifikované certifikáty k tomu, aby zničení dat zajistila. (4) Poskytovatel certifikačních služeb vydávající kvalifikované certifikáty v případě neoprávněného použití nebo vzniku důvodné obavy ze zneužití svých dat pro vytváření elektronického podpisu užívaných pro podepisování vydávaných kvalifikovaných certifikátů a pro podepisování seznamu kvalifikovaných certifikátů, které byly zneplatněny, je bezodkladně povinen a) ukončit platnost svého kvalifikovaného certifikátu, který byl k těmto datům vydán, b) ukončit platnost kvalifikovaných certifikátů, které byly těmito daty podepsány, c) zpřístupnit informaci o ukončení platnosti svého kvalifikovaného certifikátu s uvedením důvodu ukončení platnosti, a to nejméně dvěma na sobě nezávislými způsoby, které umožňují dálkový přístup a jsou nepřetržitě dostupné, a d) informovat osoby, které byly dotčeny ukončením platnosti kvalifikovaného certifikátu podle písmene a), o ukončení platnosti jejich kvalifikovaných certifikátů vydaných tímto poskytovatelem certifikačních služeb. V informaci musí být uveden důvod ukončení platnosti kvalifikovaného certifikátu podle písmene a).