Právní úkon, elektronický podpis
© 2005 – 2006 Michal Černý, Ph.D. www.michalcerny.net
Upozornění Tento text je určen pouze pro studijní účely studentů magisterského studijního programu oboru právo na Právnické fakultě Univerzity Palackého v Olomouci, zejména předmětu Právo informačních technologií. Bez souhlasu autora nesmí být tento text veřejně šířen ani využit k jinému účelu, než je výše uvedeno.
Právní úkon • Každodenně činí každý z nás různé množství nejrůznějších úkonů. Jen některé jsou ovšem právními úkony ve smyslu Občanského zákoníku, neboť z množiny všech úkonů se za právní úkony považují pouze ty, které splňují podmínky požadované OZ (§ 34): 9 Projev vůle směřující ke vzniku, změně nebo zániku práv a povinností, 9 Spojení změny, vzniku nebo zániku práv a povinností s úkonem právním předpisem (právní dispozice). • Rozeznáváme právní úkony komisivní a omisivní, a dále pak také právní úkony výslovné a konkludentní (tzn. uskutečněné faktickým jednáním). • Právní úkony se vykládají nikoliv jen podle jazykového vyjádření, ale v celém kontextu také podle vůle účastníka, který úkon učinil. • Konkludentní úkony vykládáme objektivně v souvislosti s jejich obecným významem a kromě toho také právo chrání dobrou víru adresáta úkonu.
1
Typické úkony na Internetu • Takových úkonů sice může být relativně velké množství, ale na straně uživatele sítě Internet nebo obsahu sítě Internet půjde spíše o menšinu jednání. • Větší množství různých úkonů učiní pravidelný uživatel spíše interaktivní formou, tzn. formami různých jednání již „na samotné síti Internet“. • Typicky běžný uživatel odešle a přijme svou elektronickou poštu (běžně i přes více emailových účtů), prohlédne vybrané stránky podle svého zaměření (v jejich rámci použije zejména službu www), a to včetně reklamy, zjistí obsah oblíbených diskusních skupin, objedná zboží či služby nebo změní jejich nastavení.
Možné právní úkony na Internetu • Návrh smlouvy formou emailové komunikace – formou zprávy elektronické pošty, • Protinávrh smlouvy totožnou formou, • Akceptace návrhu emailem, • Zrušení návrhu, odvolání návrhu emailem, • Veřejný návrh formou publikace na Internetu pomocí služby www – forma webové stránky, • Vyhlášení obchodní veřejné soutěže (ObZ) formou www stránky, • Vyhlášení veřejné soutěže (OZ) formou www stránky, • Učinění veřejného příslibu formou www stránky, • Učinění slibu odškodnění formou emailové zprávy nebo www stránky.
Možné protiprávní úkony • Internet je medium, prostředí • Protiprávní úkony mohou být učiněny buď adresnou formou (např. odeslání podvodného emailu, popř. přílohy s podvodným obsahem), nebo • Formou neadresnou – zpřístupněním: web, peer-to-peer sítě etc.
2
Podmínky platnosti úkonu • Pokud budeme hodnotit nezbytné podmínky pro platnost právního úkonu dle § 37 OZ – tedy: svobodnost úkonu, vážnost, určitost a srozumitelnost, tak se u „svobodnosti a vážnosti úkonu“ nemusíme výrazně odchýlit od hodnocení právních úkonů běžnou formou. Rozdílné může být pouze prokazování nesvobody či nevážnosti.
Podmínky platnosti úkonu • Odchylná situace může nastat u určitosti a srozumitelnosti Problém může v zásadě způsobit např. Různé kódování diakritických znaků, srozumitelnost či zjistitelnost obsahu příloh, a to zvláště při použití služby emailu popř. použití různých nestandardních technologií u stránek www.
Řešení? • Veřejná sféra: V informačních systémech veřejné správy je tento problém ošetřen zákonem 365/2000 Sb., o informačních systémech veřejné správy, a to sice tím, že všechny takové informační systémy musí splňovat jednotné standarty, které vydává Ministerstvo informatiky • Soukromá sféra: Problém není přímo řešen.
3
Důkaz srozumitelnosti? • V praxi se objevují ještě další testy „srozumitelnosti“ úkonu, zejména s ohledem na význam možného úkonu. • Často se používá technika, kdy je osoba činící úkon – např. akceptující návrh smlouvy vyzvána ke zodpovězení jednoduché otázky nebo ke splnění jednoduché podmínky – např. k opsání textu, který je zobrazen na jiném místě stránky apod. Tato technika se používá zejména u akceptací návrhů „formulářových smluv“ na stránkách www. Příkladem je např. uzavírání smlouvy o užívání služeb www.centrum.cz.
Srozumitelnost pro adresáta? • Z hlediska hodnocení obsahu úkonu se ale dá říci, že srozumitelnost pro adresáta a jeho rozumová vyspělost se zásadně předpokládá.
Dva základní problémy • Určení totožnosti jednající osoby • Určení obsahu úkonu a neexistence změny zprávy během doručení
4
Totožnost jednající osoby • Problém není nutné vždy řešit … • Např. právní úkony s bagatellní hodnotou nebo úkony, které mají hodnotu pouze pro jednající osobu – mezi ně patří např. faktická jednání, uskutečňovaná na síti Internet ve prospěch a na účet jednající osoby, např. prohlížení internetových stránek • Může jít de iure o právní úkony (např. licenční smlouva), ale de facto taková smlouva může být uzavřena bez znalosti totožnosti druhé smluvní strany
Totožnost jednající osoby • Důvěra v deklarovanou totožnost odesílatele jako taková je chráněna podle § 35 odst.3 in fine OZ, avšak tato ochrana nemusí být dostatečná. • Pokud odesílatel úmyslně změní svou totožnost, pak sice adresátova dobrá víra je chráněna a případně by se mohl dovolávat i neplatnosti právního úkonu z důvodu rozporu s dobrými mravy, ale adresát se v případě vymáhání svého práva soudní cestou může dostat zcela jednoduše do důkazní nouze, neboť bude často obtížné prokázat už jen totožnost odesílatele.
Přičitatelnost jednání jiné osobě I při internetové komunikaci platí běžná pravidla: • Zákon 40/1964 Sb., Občanský zákoník - § 20 • Zákon 513/1991 Sb., Obchodní zákoník - § 13 a násl. • Zákon 262/2006., Zákoník práce – zvláštní pravidla pro právní úkony
5
Přičitatelnost jednání jiné osobě • Úkon můžeme přičíst jiné osobě jen tehdy, pokud tak stanoví zákon. • V zásadě je možné zákonné zmocnění nebo smluvní zmocnění • Přičitatelnost je základem pro jednání právnických osob. • Právnická osoba je fikce, jde o myšlenkovou bublinu (viz prof. Telec)
Ochrana důvěry třetích osob V obchodních vztazích se realizuje buď podle • Ochrany důvěry třetích osob v obsah obchodního rejstříku / zveřejněné údaje v Obchodním věstníku • Ochrany podle § 16 ObZ – osoba jednající v provozovně podnikatele – musí se vztahovat i na neoprávněné podnikání
Ochrana důvěry třetích osob • Za provozovnu můžeme považovat každý prostor, ve kterém je uskutečňována podnikatelská činnost podnikatele. • Extenzivně následně dojdeme k výkladu, že samotný úkon nemusí být učiněn v provozovně fyzicky, ale že tato ochrana postihuje i jednání, ke kterým došlo v provozovně elektronickou formou.
6
Ochrana důvěry třetích osob • např. osoba, která učiní úkon z generické adresy
[email protected] zavazuje podnikatele. Je otázkou, nakolik adresát úkonu (adresát emailové zprávy), mohl či nemohl vědět, že jednající osoba je nebo není k obdobnému úkonu oprávněna. • Smyslem uvedené ochrany je to, že adresát nemusí blíže zkoumat oprávnění dané osoby, pokud z jiných okolností případu není zřejmé, že by tak učinit měl. Za takové okolnosti by mohly být např. považovány změny emailové adresy (zvláště v části adresy za znakem @), náhlá změna nabízených podmínek apod.
Důkaz • Pokud bychom připustili restriktivní výklad jednání v provozovně, pak ovšem uvedená ochrana nebude existovat. • Jako logičtější se ovšem jeví první za nabízených možností, protože ta lépe vystihuje smysl celé ochrany. • Tento závěr vystihuje i argument ad absurdum – pokud by žádný úkon nebyl realizován formou „face to face“ a všechny byly realizovány výlučně elektronicky, pak by se ustanoví § 16 stalo obsolentním. -> Správnější je ext. výklad.
Forma právního úkonu • • • • • • • •
Právní úkony ústní, Právní úkony písemné, Právní úkony učiněné formou notářského zápisu. Do kategorie právních úkonů písemných zahrnuje OZ jako samostatné podkategorie: Právní úkony učiněné elektronicky (elektronickou formou), a dále telegraficky či dálnopisem – pokud elektronická forma dovoluje zachycení obsahu úkonu a určení osoby, která takový úkon učinila. Právní úkony, u kterých jsou podpisy všech účastníků na jedné listině, Právní úkony, u kterých je úředně ověřena totožnost jejich účastníků (ověření podpisu osoby, nebo ověření totožnosti při prohlášení podpisu za vlastní podpis jednající osoby), Právní úkony písemné vlastnoruční.
7
Aplikace – prohlížení webu • Pokud je uživatel připojen k síti Internet, pak při procházení jednotlivými stránkami otevírá neustále nové soubory nebo se v rámci jednoho souboru přemisťuje z místa na místo pomocí značek (tzv. tags). • I když toto jednání je aktivní (uživatel "kliká" myší nebo používá jiného polohovacího zařízení – např. touchpad, touchpoint, dotykový display), je zároveň ze strany uživatele činěné mlčky. • Za výslovné může být považováno pouze v těchto případech, kdy uživatel volí některou z nabízených možností nebo zaškrtne určité možnosti, popř. stiskne virtuální tlačítko znamenající učinění objednávky (např. při nastavování služeb, při objednávkách v tzv. virtuálních obchodech apod.).
Výslovné úkony Za výslovně učiněné úkony budeme považovat: • Vyplnění formuláře na stránkách www, • Učinění výběru z nabízených možností na www stránkách, • Zprávy zaslané elektronickou poštou.
Notářský zápis • Notářské zápisy o právních úkonech upravuje zákon 358/1992 Sb., o notářích a jejich činnosti (Notářský řád - dále jen "NŘ"), a to v části šesté, oddílu prvním (§§ 62-71 NŘ). Budeme-li interpretovat uvedená ustanovení z hlediska teorie práva, pak dospějeme k názoru, že úkon, o kterém sepsal notář notářský zápis o právním úkonu, je zvláštní podskupinou písemných právních úkonů.
8
Notářský zápis • NŘ sice přímo nestanoví, že notářský zápis musí být učiněn na papír, avšak k tomuto závěru můžeme lehce dospět absurdním důkazem opaku. • NŘ stanoví jako jeden z předpokladů pro výkon činnosti notáře pořízení úředního razítka notáře (§ 9 odst.1 písm. c) NŘ). NŘ také obsahuje náležitosti úředního razítka notáře. • Notáři pak sepisují notářské zápisy o právních úkonech. Obsah těchto zápisů určuje NŘ v § 63. Kromě ostatních náležitostí uvedených v zákoně musí notářský zápis obsahovat podpisy účastníků, zástupců, svědků, tlumočníků apod., a dále také otisk úředního razítka notáře, který osvědčuje úkon účastníků, a konečně také jeho podpis.
Notářský zápis • Elektronickým notářským zápisům brání zákonný požadavek na razítko notáře. • Razítko notáře je definováno v Kancelářském řádu (vydala Notářská komora) • Vyžaduje se doručení otisku razítka Komoře • Všechny ostatní podmínky lze splnit, otisk úředního razítka notáře ne. • DLF : je možné nahradit tento požadavek požadavkem na časové razítko nebo jiným požadavkem…
Notářský zápis • De lege lata proto není vyhotovení notářských zápisů v digitalizované formě možné. • A tedy úkony, u kterých zákon výslovně vyžaduje formu notářského zápisu, mohou být v digitální formě učiněny pouze v rámci tzv. předkontraktačního jednání, jak je zná např. ObZ.
9
Úkon s úředně ověřenými podpisy účastníků Úředním ověřením se rozumí: • Ověření totožnosti podepisující osoby a faktu, že podpis byl vlastnoručně učiněn před ověřovatelem, nebo • Ověření totožnosti osoby a faktu, že tato osoba prohlásila před ověřovatelem již existující podpis na dokumentu za vlastní podpis. Ověřování provádí: • Notáři podle NŘ, • Obecní úřady,
Úkon s úředně ověřenými podpisy účastníků Ačkoliv je teoreticky i prakticky možné, aby notář nebo obecní úřad byl certifikační autoritou podle ZEP, nebude ani takto učiněný elektronický podpis uznán za úředně ověřený, neboť de lege lata nevyhoví předpisům upravujícím činnost notářů a obecních úřadů.
ELEKTRONICKÝ PODPIS • Elektronický podpis řeší jak otázku určení totožnosti jednající osoby, • tak i otázku nezměněnosti obsahu úkonu během přenosu.
10
Právní úprava el.podpisu • Od 1.10.2000 je účinný zákon 227/2000 Sb., o elektronickém podpisu (dále jen „ZEP“), jehož účelem je právní úprava užívání elektronického podpisu, regulace poskytování služeb jež s elektronickým podpisem souvisí, stanovení povinností, jejich kontrola a ukládání sankcí za nedodržování povinností.
Právní úprava el.podpisu • Tento zákon není omezen pouze na používání na síti Internet, ale vztahuje se na veškerá užívání elektronických podpisů, tzn. v praxi je možné použít jeho ustanovení i v případech komunikace s bankou v rámci smlouvy o běžném účtu pomocí technických prostředků (např. služba SMS na telefonech GSM, počítače přímo připojované k serverům banky apod.), nebo dále pro přímé propojení počítačů uživatelů bez napojení na Internet apod. Dá se říci, že zákon je v tomto směru univerzální. Není závislý na současných technických prostředcích.
Kategorie a podkategorie el.podpisu Dvě kategorie elektronických podpisů, a to: • Zaručený elektronický podpis, • Elektronický podpis – který sice nemá další pojmenování, ale běžně je nazývaný prostým elektronickým podpisem nebo běžným elektronickým podpisem. V rámci zaručených elektronických podpisů lze ještě rozlišit zaručené elektronické podpisy s kvalifikovaným certifikátem a zaručené elektronické podpisy bez kvalifikovaného certifikátu.
11
Elektronický podpis Elektronický podpis = „údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které umožňují ověření totožnosti podepsané osoby ve vztahu k datové zprávě“.
Bezpečnost • Elektronický podpis nezajistí, že digitální komunikace nebude v průběhu realizace narušena zvenčí a určitá část úkonu nebude „padělána“. • Tento požadavek sice nezajistí ani použití zaručeného elektronického podpisu, ale při jeho použití tuto skutečnost bezpečně poznáme.
Elektronický podpis Dříve: • a) elektronickým podpisem údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které umožňují ověření totožnosti podepsané osoby ve vztahu k datové zprávě, Nyní: • a) elektronickým podpisem údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které slouží jako metoda k jednoznačnému ověření identity podepsané osoby ve vztahu k datové zprávě,
12
Ideové zdroje pro vznik zákona • Vzorový zákon UNCITRAL o digitálním podpisu. • Směrnice EU č.1999/93/EC Evropského parlamentu a Rady o rámcové úpravě elektronického podpisu.[1] [1] Vůbec první právní úpravou digitálního podpisu byl ovšem zákon státu Utah o digitálním podpisu z roku 1995, jak uvádí literatura - Svoboda, P. - Kroft, M. - Beran, K. - Emr, D. - Frýzek, L. - Váňa, R. - Vít, M.: Právní a daňové aspekty e-obchodu, Linde Praha, 2001
Zaručený elektronický podpis zaručeným elektronickým podpisem elektronický podpis, který splňuje následující požadavky • 1. je jednoznačně spojen s podepisující osobou, • 2. umožňuje identifikaci podepisující osoby ve vztahu k datové zprávě, • 3. byl vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou výhradní kontrolou, • 4. je k datové zprávě, ke které se vztahuje, připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat,
Elektronická značka • Přinesla novela zákona v roce 2004 (Z 440/2004 Sb.) elektronickou značkou údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které splňují následující požadavky • 1. jsou jednoznačně spojené s označující osobou a umožňují její identifikaci prostřednictvím kvalifikovaného systémového certifikátu, • 2. byly vytvořeny a připojeny k datové zprávě pomocí prostředků pro vytváření elektronických značek, které označující osoba může udržet pod svou výhradní kontrolou, • 3. jsou k datové zprávě, ke které se vztahují, připojeny takovým způsobem, že je možné zjistit jakoukoli následnou změnu dat,
13
Důvod pro zavedení el.značek Důvodová zpráva: • Dosažení souladu se Směrnicí 1999/93/ES • - umožnění používání elektronických značek, kterými mohou být datové zprávy označovány označující osobou bez předchozí kontroly vlastního obsahu, pokud tato osoba iniciovala funkci prostředku pro jejich vytváření a vymezila pravidla pro výběr zpráv, které mají být označeny,
Srovnání el.podpisu a el.značky • Požadavky na zaručený elektronický podpis a na elektronické značky jsou proto obdobné. • Přínos zavedení možnosti jejich používání tkví v tom, že na rozdíl od zaručeného elektronického podpisu, který vytváří fyzická osoba vždy pro jednu určitou datovou zprávu, mohou být elektronickými značkami datové zprávy označovány tak, že je iniciována funkce prostředku, který je vytváří, a označování datových zpráv může probíhat bez další přímé součinnosti označující osoby.
Možné použití el.značek • Předpokládá se, že elektronické značky budou využívány v agendách týkajících se například celních řízení, při vydávání elektronických výpisů z úředních databází, při potvrzování přijetí elektronických zpráv apod.
14
Kvalifikované časové razítko • r) kvalifikovaným časovým razítkem datová zpráva, kterou vydal kvalifikovaný poskytovatel certifikačních služeb a která důvěryhodným způsobem spojuje data v elektronické podobě s časovým okamžikem, a zaručuje, že uvedená data v elektronické podobě existovala před daným časovým okamžikem,
Dův. zpráva (Z 440/2004 Sb.) • Přinesla novela (Z 440/2004 Sb.) • Pro odlišení časových razítek, která budou vydávána podle novely zákona, od jiných časových razítek byl zvolen pojem "kvalifikovaná časová razítka".
Důvod pro k.č.razítka (dův.zpr. Z 440/2004 Sb.) Proč časová razítka? • Zavedení institutu časových razítek do našeho právního řádu si vyžádala praxe. • Při elektronické komunikaci je poměrně často nezbytné určit, zda datová zpráva existovala v určitém čase. V souvislosti s elektronickým podpisem může být důležité zjištění, zda podepsaná datová zpráva existovala v době platnosti certifikátu, na kterém je elektronický podpis založen, resp. zda byla podepsána dříve, než byl certifikát zneplatněn.
15
Kdy je zpráva podepsána? § 3 Soulad s požadavky na podpis (1) Datová zpráva je podepsána, pokud je opatřena elektronickým podpisem. Pokud se neprokáže opak, má se za to, že se podepisující osoba před podepsáním datové zprávy s jejím obsahem seznámila. (2) Použití zaručeného elektronického podpisu založeného na kvalifikovaném certifikátu a vytvořeného pomocí prostředku pro bezpečné vytváření podpisu umožňuje ověřit, že datovou zprávu podepsala osoba uvedená na tomto kvalifikovaném certifikátu.
Funkce el.podpisu a el.značky § 4 Soulad s originálem Použití zaručeného elektronického podpisu nebo elektronické značky zaručuje, že dojdeli k porušení obsahu datové zprávy od okamžiku, kdy byla podepsána nebo označena, toto porušení bude možno zjistit.
Povinnosti kvalifikovaného poskytovatele certifikačních služeb - § 6 (1) Kvalifikovaný poskytovatel certifikačních služeb je povinen a) zajistit, aby se každý mohl ujistit o jeho identitě a jeho kvalifikovaném systémovém certifikátu, na jehož základě označuje vydané kvalifikované certifikáty nebo kvalifikované systémové certifikáty a seznamy certifikátů, které byly zneplatněny, nebo kvalifikovaná časová razítka, b) zajistit, aby poskytování kvalifikovaných certifikačních služeb vykonávaly osoby s odbornými znalostmi a kvalifikací nezbytnou pro poskytování kvalifikované certifikační služby a obeznámené s příslušnými bezpečnostními postupy, c) používat bezpečné systémy a bezpečné nástroje elektronického podpisu, zajistit dostatečnou bezpečnost postupů, které tyto systémy a nástroje podporují, a zajistit dostatečnou kryptografickou bezpečnost těchto nástrojů; systémy a nástroje jsou považovány za bezpečné, pokud odpovídají požadavkům stanoveným tímto zákonem a prováděcí vyhláškou, nebo pokud splňují požadavky technických norem uvedených v rozhodnutí Komise vydaném na základě článku 3 (5) směrnice 99/93/ES,
16
d) používat bezpečné systémy pro uchovávání kvalifikovaných certifikátů a kvalifikovaných systémových certifikátů nebo kvalifikovaných časových razítek v ověřitelné podobě takovým způsobem, aby záznamy nebo jejich změny mohly provádět pouze pověřené osoby, aby bylo možno kontrolovat správnost záznamů a aby jakékoliv technické nebo programové změny porušující tyto bezpečnostní požadavky byly zjevné, e) mít po celou dobu své činnosti k dispozici dostatečné finanční zdroje nebo jiné finanční zajištění na provoz v souladu s požadavky uvedenými v tomto zákoně a s ohledem na riziko vzniku odpovědnosti za škodu, f) před uzavřením smlouvy o poskytování kvalifikovaných certifikačních služeb s osobou, která žádá o poskytování služeb podle tohoto zákona, informovat tuto osobu písemně o přesných podmínkách pro využívání kvalifikovaných certifikačních služeb, včetně případných omezení pro jejich použití, o podmínkách reklamací a řešení vzniklých sporů a o tom, zda je, či není akreditován Ministerstvem informatiky (dále jen "ministerstvo") podle § 10; tyto informace lze předat elektronicky.
• (2) Není-li poskytovatel certifikačních služeb akreditován ministerstvem, je povinen ohlásit ministerstvu nejméně 30 dnů před zahájením poskytování kvalifikované certifikační služby, že ji bude poskytovat, a okamžik, kdy její poskytování zahájí. Zároveň předá ministerstvu k ověření svůj kvalifikovaný systémový certifikát uvedený v odstavci 1 písm. a). • (3) Pokud byla kvalifikovanému poskytovateli certifikačních služeb, který získal akreditaci podle § 10 tohoto zákona, akreditace ministerstvem odňata, je povinen bez prodlení informovat o této skutečnosti subjekty, kterým poskytuje své kvalifikované certifikační služby, a další dotčené osoby. • (4) Kvalifikovaný poskytovatel certifikačních služeb poskytuje služby podle tohoto zákona na základě smlouvy. Smlouva musí být písemná.
5) Kvalifikovaný poskytovatel certifikačních služeb uchovává informace a dokumentaci související s poskytovanými kvalifikovanými certifikačními službami podle tohoto zákona, zejména a) smlouvu o poskytování kvalifikované certifikační služby, včetně žádosti o poskytování služby, b) vydaný kvalifikovaný certifikát, vydaný kvalifikovaný systémový certifikát nebo vydané kvalifikované časové razítko, c) kopie předložených osobních dokladů podepisující osoby nebo dokladů, na jejichž základě byla ověřena identita označující osoby, d) potvrzení o převzetí kvalifikovaného certifikátu nebo kvalifikovaného systémového certifikátu držitelem, případně jeho souhlas se zveřejněním kvalifikovaného certifikátu v seznamu vydaných kvalifikovaných certifikátů, e) prohlášení držitele certifikátu o tom, že mu byly poskytnuty informace podle odstavce 1 písm. f), f) dokumenty a záznamy související s životním cyklem vydaného kvalifikovaného certifikátu nebo kvalifikovaného systémového certifikátu, jejichž náležitosti upřesní prováděcí vyhláška.
17
(6) Veškeré informace a dokumentaci o poskytovaných službách podle tohoto zákona uchovává kvalifikovaný poskytovatel certifikačních služeb po dobu nejméně 10 let. Kvalifikovaný poskytovatel je povinen zajistit uchovávané informace a dokumentaci před ztrátou, zneužitím, zničením nebo poškozením za podmínek, které upřesní prováděcí vyhláška. Informace a dokumentaci podle věty první může kvalifikovaný poskytovatel certifikačních služeb pořizovat a uchovávat v elektronické podobě. Pokud tento zákon nestanoví jinak, postupuje se při nakládání s informacemi a dokumentací podle zvláštního právního předpisu. 2) (7) Zaměstnanci kvalifikovaného poskytovatele certifikačních služeb, případně jiné fyzické osoby, které přicházejí do styku s osobními údaji a daty pro vytváření elektronických podpisů podepisujících osob a elektronických značek označujících osob, jsou povinni zachovávat mlčenlivost o těchto údajích a datech a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení těchto údajů a dat. Povinnost mlčenlivosti trvá i po skončení pracovního nebo jiného obdobného poměru nebo po provedení příslušných prací; uvedené osoby může zbavit mlčenlivosti ten, v jehož zájmu tuto povinnost mají, nebo soud.
§ 9 Akreditace a dozor – Ministerstvo vnitra (1) Udělování akreditací k působení jako akreditovaný poskytovatel certifikačních služeb, jakož i dozor nad dodržováním tohoto zákona náleží ministerstvu. (2) Ministerstvo a) uděluje a odnímá akreditace k působení jako akreditovaný poskytovatel certifikačních služeb subjektům působícím na území České republiky, b) vykonává dozor nad činností akreditovaných poskytovatelů certifikačních služeb a kvalifikovaných poskytovatelů certifikačních služeb, ukládá jim opatření k nápravě a pokuty za porušení povinností podle tohoto zákona, c) vede evidenci udělených akreditací a jejich změn a evidenci kvalifikovaných poskytovatelů certifikačních služeb, d) vede evidenci vydaných kvalifikovaných systémových certifikátů, které používá kvalifikovaný poskytovatel certifikačních služeb podle § 6 odst. 1 písm. a) a které byly podle § 6 odst. 2 ověřeny ministerstvem, e) průběžně uveřejňuje přehled udělených akreditací, přehled kvalifikovaných poskytovatelů certifikačních služeb a jejich kvalifikovaných služeb a kvalifikované systémové certifikáty podle písmena d), a to i způsobem umožňujícím dálkový přístup, f) vyhodnocuje shodu nástrojů elektronického podpisu s požadavky stanovenými tímto zákonem a prováděcí vyhláškou, g) plní další povinnosti stanovené tímto zákonem. (ZEP)
Obsah ZEP • • • • • • • • • •
§ 1-20 ČÁST PRVNÍ § 1 Účel zákona § 2 Vymezení některých pojmů § 3 Soulad s požadavky na podpis § 4 Soulad s originálem § 5 Povinnosti podepisující osoby § 5a Povinnosti označující osoby § 5b Povinnosti držitele certifikátu § 6 Kvalifikovaný poskytovatel certifikačních služeb § 6a Povinnosti kvalifikovaného poskytovatele certifikačních služeb při vydávání kvalifikovaných certifikátů a kvalifikovaných systémových • § 6b Povinnosti kvalifikovaného poskytovatele certifikačních služeb při vydávání kvalifikovaných časových razítek • § 7 Odpovědnost za škodu
18
• • • • • • • • • • •
• • • • • • • • • • • • •
§ 8 Ochrana osobních údajů § 9 Akreditace a dozor § 10 Podmínky udělení akreditace pro poskytování certifikačních služeb § 10a Podmínky pro rozšíření služeb akreditovaného poskytovatele certifikačních služeb § 12 Náležitosti kvalifikovaného certifikátu § 12a Náležitosti kvalifikovaného systémového certifikátu § 12b Náležitosti kvalifikovaného časového razítka § 13 Povinnosti kvalifikovaného poskytovatele certifikačních služeb při ukončení činnosti § 14 Opatření k nápravě § 15 Zrušení kvalifikovaného certifikátu nebo kvalifikovaného systémového certifikátu § 16 Uznávání zahraničních kvalifikovaných certifikátů
§ 17 Prostředky pro bezpečné vytváření a ověřování elektronických podpisů § 17a Prostředky pro vytváření elektronických značek § 18 Správní delikty právnických osob § 18a Přestupky § 20 Zmocňovací ustanovení § 21 ČÁST DRUHÁ § 22 ČÁST TŘETÍ § 23 ČÁST ČTVRTÁ § 24 ČÁST PÁTÁ § 25 ČÁST ŠESTÁ § 26 ČÁST SEDMÁ § 27 ČÁST OSMÁ § 28 ČÁST DEVÁTÁ
§ 12 Kvalifikovaný certifikát § 12 Náležitosti kvalifikovaného certifikátu (1) Kvalifikovaný certifikát musí obsahovat a) označení, že je vydán jako kvalifikovaný certifikát podle tohoto zákona, b) v případě právnické osoby obchodní firmu nebo název a stát, ve kterém je kvalifikovaný poskytovatel usazen; v případě fyzické osoby jméno, popřípadě jména, příjmení, případně dodatek, a stát, ve kterém je kvalifikovaný poskytovatel usazen, c) jméno, popřípadě jména, a příjmení podepisující osoby nebo její pseudonym s příslušným označením, že se jedná o pseudonym, d) zvláštní znaky podepisující osoby, vyžaduje-li to účel kvalifikovaného certifikátu,
19
•
e) data pro ověřování podpisu, která odpovídají datům pro vytváření podpisu, jež jsou pod kontrolou podepisující osoby,
•
f) elektronickou značku poskytovatele certifikačních služeb založenou na kvalifikovaném systémovém certifikátu poskytovatele, který kvalifikovaný certifikát vydává,
•
g) číslo kvalifikovaného certifikátu unikátní u daného poskytovatele certifikačních služeb,
•
h) počátek a konec platnosti kvalifikovaného certifikátu,
•
i) případně údaje o tom, zda se používání kvalifikovaného certifikátu omezuje podle povahy a rozsahu jen pro určité použití,
•
j) případně omezení hodnot transakcí, pro něž lze kvalifikovaný certifikát použít.
(2) Omezení pro použití kvalifikovaného certifikátu podle odstavce 1 písm. i) a j) musí být zjevná třetím stranám. (3) Další osobní údaje smí kvalifikovaný certifikát obsahovat jen se svolením podepisující osoby.
Jak se podepisuje zar.el.podpisem? Velmi snadno: • Uzavřít smlouvu (požadavky jen na zar. el. podpisy) s poskytovatelem služeb • Instalovat kořenový certifikát • Instalovat vlastní certifikát • Pak už jen zapnout možnost event. kliknout na „podepsat“
In: Outlook Express • Jak digitální ID fungují? • Digitální ID se skládá z veřejného klíče, soukromého klíče a digitálního podpisu. Když digitálně podepisujete zprávy, připojujete k nim svůj digitální podpis a veřejný klíč. Kombinace digitálního podpisu a veřejného klíče se nazývá certifikát. V aplikaci Outlook Express můžete určit certifikát, který mají ostatní uživatelé používat, když vám odesílají šifrované zprávy. Může se přitom jednat o jiný certifikát, než je váš podpisový certifikát. • Příjemci mohou váš digitální podpis použít k ověření vaší totožnosti a pomocí vašeho veřejného klíče vám mohou odesílat šifrované e-maily, které můžete dešifrovat pouze vy pomocí svého soukromého klíče. Chcete-li odesílat šifrované zprávy, musíte mít v adresáři digitální ID příjemců. Díky nim budete moci šifrovat zprávy pomocí veřejných klíčů daných příjemců. Jakmile příjemce obdrží šifrovanou zprávu, dešifruje ji pomocí svého soukromého klíče. • Chcete-li odesílat digitálně podepsané zprávy, musíte získat digitální ID. Pokud odesíláte šifrované zprávy, musí váš adresář obsahovat digitální ID všech příjemců.
20
In: Outlook Express … • Kde lze získat digitální ID? • Digitální ID jsou vystavována nezávislými certifikačními úřady. Jestliže požádáte o digitální ID na webu certifikačního úřadu, bude před vystavením ID ověřena vaše totožnost. Existují různé třídy digitálních ID sloužící k certifikaci různých úrovní důvěryhodnosti. Další informace naleznete na webu certifikačního úřadu. • Jak lze ověřit digitální podpis? • Platnost digitálně podepsané zprávy můžete ověřit pomocí kontroly odvolaných certifikátů. Pokud se k takové kontrole rozhodnete, vyžádá si aplikace Outlook Express informace o digitálním ID od příslušného certifikačního úřadu. Certifikační úřad odešle zpět informace o stavu digitálního ID, včetně informací o tom, zda ID nebylo odvoláno. Certifikační úřady uchovávají záznamy o certifikátech, které byly odvolány z důvodu jejich ztráty nebo ukončení platnosti.
Omezení hodnoty úkonu Překročení hodnoty uvedené v certifikátu ovšem nemusí způsobit neplatnost právního úkonu jako takového, ani nezpůsobí neplatnost kvalifikovaného certifikátu. Může mít vůči třetím osobám vliv pouze v tom, že může signalizovat možné překročení kompetencí u jednající osoby. Obdobně to platí u osob jednajících jménem jiných fyzických osob (zastoupení na základě smlouvy nebo podle zákona – např. ObZ), stejně jako u jednání jménem právnických osob, které nepodnikají. U fyzických osob nejednajících v zastoupení takové následky nemohou nastat vůbec.
21
