(1) | Poskytovatel certifikačních služeb, který vydává kvalifikované certifikáty, je povinen a) | zajistit, aby certifikáty jím vydané jako kvalifikované obsahovaly všechny náležitosti kvalifikovaných certifikátů stanovené tímto zákonem, | b) | zajistit, aby údaje uvedené v kvalifikovaných certifikátech byly přesné, pravdivé a úplné, | c) | před vydáním kvalifikovaného certifikátu bezpečně ověřit odpovídajícími prostředky totožnost osoby, které kvalifikovaný certifikát vydává, případně i její zvláštní znaky, vyžaduje-li to účel kvalifikovaného certifikátu, | d) | zjistit, zda v okamžiku vydání kvalifikovaného certifikátu měla podepisující osoba data pro vytváření elektronických podpisů odpovídající datům pro ověřování elektronických podpisů, která obsahuje kvalifikovaný certifikát, | e) | zajistit, aby se každý mohl ujistit o identitě poskytovatele certifikačních služeb a jeho kvalifikovaném certifikátu, | f) | zajistit provozování bezpečného a veřejně přístupného seznamu vydaných kvalifikovaných certifikátů, a to i dálkovým přístupem, a údaje v něm obsažené při každé změně okamžitě aktualizovat, | g) | zajistit provozování bezpečného a veřejně přístupného seznamu kvalifikovaných certifikátů, které byly zneplatněny, a to i dálkovým přístupem, | h) | zajistit, aby datum a čas s uvedením hodiny, minuty a sekundy, kdy je kvalifikovaný certifikát vydán nebo zneplatněn, mohly být přesně určeny a tyto údaje byly dostupné třetím stranám, | i) | přijímat do pracovního nebo obdobného poměru osoby, které mají odborné znalosti, zkušenosti a kvalifikaci nezbytnou pro poskytované služby, a které jsou obeznámeny s příslušnými bezpečnostními postupy, | j) | používat bezpečné systémy a nástroje elektronického podpisu a zajistit dostatečnou bezpečnost postupů, které tyto systémy a nástroje podporují; nástroj elektronického podpisu je bezpečný, pokud odpovídá požadavkům stanoveným tímto zákonem a prováděcí vyhláškou; toto musí být ověřeno Úřadem pro ochranu osobních údajů (dále jen „Úřad“), | k) | přijmout odpovídající opatření proti zneužití a padělání kvalifikovaných certifikátů a zajistit utajení dat pro vytváření zaručených elektronických podpisů v případě, že poskytovatel certifikačních služeb umožňuje podepisující osobě jejich vytvoření v rámci poskytovaných služeb, | l) | mít k dispozici dostatečné finanční zdroje na provoz v souladu s požadavky uvedenými v tomto zákoně a s ohledem na riziko odpovědnosti za škody, | m) | uchovávat veškeré informace a dokumentaci o vydaných kvalifikovaných certifikátech po dobu nejméně 10 let od ukončení platnosti kvalifikovaného certifikátu; informace a dokumentaci může uchovávat v elektronické podobě, | n) | před uzavřením smluvního vztahu s osobou, která žádá o vydání kvalifikovaného certifikátu, informovat ji písemně o přesných podmínkách pro užívání kvalifikovaného certifikátu, včetně případných omezení pro jeho použití, a o podmínkách reklamací; je rovněž povinen tuto osobu informovat o tom, zda je či není akreditován Úřadem podle § 10; tyto informace lze předat elektronicky; podstatné části těchto informací musí být na vyžádání k dispozici třetím osobám, které se spoléhají na tento kvalifikovaný certifikát, | o) | používat bezpečný systém pro uchovávání kvalifikovaných certifikátů v ověřitelné podobě takovým způsobem, aby záznamy nebo jejich změny mohly provádět pouze pověřené osoby, aby bylo možno kontrolovat správnost záznamů a aby jakékoliv technické nebo programové změny porušující tyto bezpečnostní požadavky byly zjevné. |
|
(2) | Poskytovatel certifikačních služeb, který vydává kvalifikované certifikáty, vydává podepisujícím osobám kvalifikované certifikáty na základě smlouvy. Smlouva musí být písemná, jinak je neplatná. |
(3) | Poskytovatel certifikačních služeb, který vydává kvalifikované certifikáty, nesmí uchovávat a kopírovat data pro vytváření zaručeného elektronického podpisu osob, kterým poskytuje své certifikační služby. |
(4) | Pokud byla poskytovateli certifikačních služeb, který vydává kvalifikované certifikáty, akreditace Úřadem odňata, je povinen informovat o této skutečnosti subjekty, kterým poskytuje své certifikační služby, a uvést tuto skutečnost v seznamech vedených podle odstavce 1 písm. f) a g). |
(5) | Není-li poskytovatel certifikačních služeb akreditován Úřadem, je povinen ohlásit Úřadu nejméně 30 dnů před vydáním prvního kvalifikovaného certifikátu, že bude vydávat kvalifikované certifikáty. |
(6) | Pokud poskytovatel certifikačních služeb, který vydává kvalifikované certifikáty, uvede v kvalifikovaném certifikátu omezení pro použití tohoto certifikátu včetně omezení hodnoty transakce, pro kterou lze kvalifikovaný certifikát použít, musí být tato omezení rozpoznatelná třetími stranami. |
(7) | Poskytovatel certifikačních služeb, který vydává kvalifikované certifikáty, musí neprodleně ukončit platnost certifikátu, pokud o to podepisující osoba požádá, nebo v případě, že byl certifikát vydán na základě nepravdivých nebo chybných údajů. |
(8) | Poskytovatel certifikačních služeb musí rovněž ukončit platnost kvalifikovaného certifikátu, dozví-li se prokazatelně, že podepisující osoba zemřela nebo ji soud způsobilosti k právním úkonům zbavil nebo omezil, nebo pokud údaje, na základě kterých byl certifikát vydán, přestaly platit. |
(9) | O veškeré činnosti poskytovatele certifikačních služeb, který vydává kvalifikované certifikáty, musí být vedena provozní dokumentace, která musí obsahovat tyto údaje: a) | smlouvu s podepisující osobou o vydání kvalifikovaného certifikátu, | b) | vydaný kvalifikovaný certifikát, | c) | kopie předložených osobních dokladů podepisující osoby, | d) | potvrzení o převzetí kvalifikovaného certifikátu podepisující osobou, | e) | přesné časové určení doby platnosti vydaného kvalifikovaného certifikátu. |
|
(10) | Zaměstnanci poskytovatele certifikačních služeb, který vydává kvalifikované certifikáty, případně jiné fyzické osoby, které přicházejí do styku s osobními údaji a daty pro vytváření elektronických podpisů podepisujících osob, jsou povinni zachovávat mlčenlivost o osobních údajích, datech pro vytváření elektronických podpisů a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů a dat pro vytváření elektronických podpisů. Povinnost mlčenlivosti trvá i po skončení zaměstnání nebo příslušných prací. |