297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce

Schválený:
297/2016 Sb.
ZÁKON
ze dne 24. srpna 2016,
o službách vytvářejících důvěru pro elektronické transakce
Změna: 183/2017 Sb.
Změna: 261/2021 Sb. (část)
Změna: 261/2021 Sb. (část)
Změna: 261/2021 Sb.
Změna: 471/2022 Sb. (část)
Změna: 471/2022 Sb.
Parlament se usnesl na tomto zákoně České republiky:
 
§ 1
Předmět úpravy
Tento zákon upravuje v návaznosti na přímo použitelný předpis Evropské unie1)
a) některé postupy poskytovatelů služeb vytvářejících důvěru,
b) některé požadavky na služby vytvářející důvěru,
c) působnost Digitální a informační agentury (dále jen "Agentura") v oblasti služeb vytvářejících důvěru a
d) sankce za porušení povinností v oblasti služeb vytvářejících důvěru.
Postupy kvalifikovaných poskytovatelů služeb vytvářejících důvěru
 
§ 2
Kvalifikovaný poskytovatel služeb vytvářejících důvěru poskytuje kvalifikovanou službu vytvářející důvěru na základě písemné smlouvy.
 
§ 3
(1) Kvalifikovaný poskytovatel služeb vytvářejících důvěru uchovává po dobu 10 let dokumenty související s vydáváním
a) kvalifikovaných certifikátů pro elektronické podpisy nebo elektronické pečetě,
b) kvalifikovaných certifikátů pro autentizaci internetových stránek a
c) kvalifikovaných elektronických časových razítek.
(2) Po uplynutí doby uvedené v odstavci 1 kvalifikovaný poskytovatel služeb vytvářejících důvěru uchovává po dobu následujících 15 let údaje, na základě kterých byla ověřena totožnost žadatele o vydání kvalifikovaného certifikátu pro elektronické podpisy nebo elektronické pečetě nebo totožnost fyzické osoby oprávněné jednat za právnickou osobu žádající o vydání kvalifikovaného certifikátu pro elektronickou pečeť.
(3) Pokud nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (dále jen "Nařízení") nebo tento zákon nestanoví jinak, postupuje se při nakládání s uchovávanými dokumenty podle zákona upravujícího archivnictví a spisovou službu.
 
§ 4
(1) Kvalifikovaný poskytovatel služeb vytvářejících důvěru, který po ukončení své činnosti nemůže splnit povinnost vést a zpřístupnit evidenci podle čl. 24 odst. 2 písm. h) Nařízení, zajistí bezodkladně po ukončení své činnosti převzetí této evidence jiným kvalifikovaným poskytovatelem služeb vytvářejících důvěru.
(2) Nemůže-li kvalifikovaný poskytovatel služeb vytvářejících důvěru zajistit převzetí evidence podle odstavce 1, předá evidenci bezodkladně Agentuře.
 
§ 4a
(1) Kvalifikovaný poskytovatel služeb vytvářejících důvěru vydávající kvalifikované certifikáty pro elektronické podpisy, elektronické pečetě nebo autentizaci internetových stránek je oprávněn k plnění svých povinností stanovených právním předpisem využívat ze základního registru obyvatel údaje v rozsahu
a) příjmení,
b) jméno, popřípadě jména,
c) adresa místa pobytu,
d) datum, místo a okres narození, u subjektu údajů, který se narodil v cizině, datum, místo a stát, kde se narodil,
e) datum úmrtí; je-li vydáno rozhodnutí soudu o prohlášení za mrtvého, den, který je v rozhodnutí uveden jako den smrti nebo den, který subjekt údajů prohlášený za mrtvého nepřežil,
f) státní občanství, popřípadě více státních občanství, a
g) čísla a druhy identifikačních dokladů.
(2) Kvalifikovaný poskytovatel služeb vytvářejících důvěru vydávající kvalifikované certifikáty pro elektronické podpisy, elektronické pečetě nebo autentizaci internetových stránek je oprávněn k plnění svých povinností stanovených právním předpisem využívat ze základního registru právnických osob, podnikajících fyzických osob a orgánů veřejné moci údaje v rozsahu
a) jméno, popřípadě jména, a příjmení podnikající fyzické osoby nebo zahraniční osoby a
b) adresa místa pobytu v České republice, popřípadě bydliště v zahraničí podnikající fyzické osoby nebo zahraniční osoby.
(3) Kvalifikovaný poskytovatel služeb vytvářejících důvěru vydávající kvalifikované certifikáty pro elektronické podpisy, elektronické pečetě nebo autentizaci internetových stránek je oprávněn k plnění svých povinností stanovených právním předpisem využívat z informačního systému evidence obyvatel údaje v rozsahu
a) jméno, popřípadě jména, příjmení, rodné příjmení,
b) datum narození,
c) pohlaví,
d) místo a okres narození, a u subjektu údajů, který se narodil v cizině, místo a stát, kde se narodil,
e) rodné číslo,
f) státní občanství,
g) adresa místa trvalého pobytu,
h) datum nabytí právní moci rozhodnutí soudu o schválení smlouvy o nápomoci nebo zastoupení členem domácnosti včetně čísla jednacího a označení soudu, který smlouvu nebo zastoupení schválil, datum nabytí právní moci rozhodnutí soudu o omezení svéprávnosti včetně čísla jednacího a označení soudu, který o omezení svéprávnosti rozhodl, datum nabytí právní moci rozhodnutí soudu o zrušení omezení svéprávnosti, datum odvolání podpůrce soudem a datum zániku zastoupení členem domácnosti,
i) jméno, popřípadě jména, příjmení a rodné číslo opatrovníka,
j) datum úmrtí a
k) den, který byl v rozhodnutí soudu o prohlášení za mrtvého uveden jako den smrti nebo den, který subjekt údajů prohlášený za mrtvého nepřežil.
(4) Kvalifikovaný poskytovatel služeb vytvářejících důvěru vydávající kvalifikované certifikáty pro elektronické podpisy, elektronické pečetě nebo autentizaci internetových stránek je oprávněn k plnění svých povinností stanovených právním předpisem využívat z informačního systému cizinců údaje v rozsahu
a) jméno, popřípadě jména, příjmení, rodné příjmení,
b) datum narození,
c) pohlaví,
d) místo a stát, kde se subjekt údajů narodil,
e) rodné číslo,
f) státní občanství, popřípadě více státních občanství,
g) adresa místa pobytu na území České republiky,
h) datum nabytí právní moci rozhodnutí soudu o omezení svéprávnosti včetně čísla jednacího a označení soudu, který rozhodl o omezení svéprávnosti,
i) datum úmrtí a
j) den, který byl v rozhodnutí soudu o prohlášení za mrtvého uveden jako den smrti nebo den, který subjekt údajů prohlášený za mrtvého nepřežil.
(5) Kvalifikovaný poskytovatel služeb vytvářejících důvěru vydávající kvalifikované certifikáty pro elektronické podpisy, elektronické pečetě nebo autentizaci internetových stránek je oprávněn k plnění svých povinností stanovených právním předpisem využívat z informačního systému evidence občanských průkazů údaje v rozsahu
a) číslo občanského průkazu, popřípadě série občanského průkazu,
b) datum vydání občanského průkazu,
c) označení správního orgánu, který občanský průkaz vydal,
d) datum skončení platnosti občanského průkazu,
e) datum skutečného skončení platnosti neplatného občanského průkazu.
(6) Kvalifikovaný poskytovatel služeb vytvářejících důvěru vydávající kvalifikované certifikáty pro elektronické podpisy, elektronické pečetě nebo autentizaci internetových stránek je oprávněn k plnění svých povinností stanovených právním předpisem využívat z informačního systému evidence cestovních dokladů v rozsahu
a) číslo a druh vydaného cestovního dokladu,
b) datum vydání cestovního dokladu,
c) datum skončení platnosti cestovního dokladu a
d) označení orgánu, který cestovní doklad vydal.
(7) Informační systém, jehož prostřednictvím kvalifikovaný poskytovatel služeb vytvářejících důvěru využívá údaje podle odstavce 1, musí umožnit dálkové a nepřetržité vyhodnocování záznamů o poskytnutí a využití údajů pro potřeby evidenční ochrany údajů podle jiného právního předpisu3).
Podepisování dokumentu
 
§ 5
K podepisování elektronickým podpisem lze použít pouze kvalifikovaný elektronický podpis, podepisuje-li elektronický dokument, kterým
a) činí úkon nebo právně jedná stát, územní samosprávný celek, právnická osoba zřízená zákonem nebo právnická osoba zřízená nebo založená státem, územním samosprávným celkem nebo právnickou osobou zřízenou zákonem nebo jejich orgán anebo jiná jejich součást (dále jen "veřejnoprávní podepisující"), nebo
b) činí úkon osoba neuvedená v písmenu a) při výkonu své působnosti.
 
§ 6
(1) K podepisování elektronickým podpisem lze použít pouze uznávaný elektronický podpis, podepisuje-li se elektronický dokument, kterým se činí úkon vůči veřejnoprávnímu podepisujícímu nebo jiné osobě v souvislosti s výkonem jejich působnosti.
(2) Uznávaným elektronickým podpisem se rozumí zaručený elektronický podpis založený na kvalifikovaném certifikátu pro elektronický podpis nebo kvalifikovaný elektronický podpis.
 
§ 7
K podepisování elektronickým podpisem lze použít zaručený elektronický podpis, uznávaný elektronický podpis, případně jiný typ elektronického podpisu, podepisuje-li se elektronický dokument, kterým se právně jedná jiným způsobem než způsobem uvedeným v § 5.
Pečetění dokumentu
 
§ 8
Nestanoví-li jiný právní předpis jako náležitost úkonu nebo právního jednání obsaženého v dokumentu podpis nebo tato náležitost nevyplývá z povahy úkonu nebo právního jednání, veřejnoprávní podepisující a jiná právnická osoba, činí-li úkon při výkonu své působnosti, zapečetí dokument v elektronické podobě kvalifikovanou elektronickou pečetí.
 
§ 9
(1) K pečetění elektronickou pečetí lze použít pouze uznávanou elektronickou pečeť, pečetí-li se elektronický dokument, kterým se činí úkon vůči veřejnoprávnímu podepisujícímu nebo jiné osobě v souvislosti s výkonem jejich působnosti.
(2) Uznávanou elektronickou pečetí se rozumí zaručená elektronická pečeť založená na kvalifikovaném certifikátu pro elektronickou pečeť nebo kvalifikovaná elektronická pečeť.
 
§ 10
K pečetění elektronickou pečetí lze použít zaručenou elektronickou pečeť, uznávanou elektronickou pečeť, případně jiný typ elektronické pečeti, pečetí-li se elektronický dokument, kterým se právně jedná jiným způsobem než způsobem uvedeným v § 8.
 
§ 11
Použití kvalifikovaného elektronického časového razítka
(1) Veřejnoprávní podepisující, který podepsal elektronický dokument, kterým činí úkon nebo právně jedná, způsobem podle § 5, a osoba, která podepsala elektronický dokument, kterým činí úkon při výkonu své působnosti, způsobem podle § 5, opatří podepsaný elektronický dokument kvalifikovaným elektronickým časovým razítkem.
(2) Veřejnoprávní podepisující, který zapečetil elektronický dokument, kterým činí úkon nebo právně jedná, způsobem podle § 8, a osoba, která zapečetila elektronický dokument, kterým činí úkon při výkonu své působnosti, způsobem podle § 8, opatří zapečetěný elektronický dokument kvalifikovaným elektronickým časovým razítkem.
 
§ 12
Ověřování platnosti zaručeného elektronického podpisu a zaručené elektronické pečetě
Ustanovení čl. 32 odst. 1 písm. a) až e), g) a h) Nařízení se na ověřování platnosti zaručeného elektronického podpisu založeného na kvalifikovaném certifikátu pro elektronický podpis a na ověřování platnosti zaručené elektronické pečetě založené na kvalifikovaném certifikátu pro elektronické pečetě použijí obdobně.
 
§ 13
Působnost Agentury
(1) Agentura plní úkoly orgánu dohledu podle Nařízení a podle tohoto zákona.
(2) Agentura může dát kvalifikovanému poskytovateli služeb vytvářejících důvěru pokyn zneplatnit jím vydaný kvalifikovaný certifikát, pokud existuje důvodné podezření, že kvalifikovaný certifikát byl padělán, nebo pokud byl vydán na základě nepravdivých údajů. Agentura může dát pokyn zneplatnit kvalifikovaný certifikát také v případě zjištění, že podepisující nebo pečetící osoba používá prostředek pro vytváření elektronických podpisů nebo elektronických pečetí, který vykazuje bezpečnostní nedostatky umožňující padělání elektronických podpisů nebo elektronických pečetí nebo změnu podepisovaných nebo pečetěných dat.
(3) Agentura zveřejňuje způsobem umožňujícím dálkový přístup důvěryhodné seznamy obsahující informace týkající se kvalifikovaných poskytovatelů služeb vytvářejících důvěru spolu s informacemi o jimi poskytovaných kvalifikovaných službách vytvářejících důvěru.
(4) Agentura vede seznam certifikátů, na jejichž základě kvalifikovaní poskytovatelé služeb vytvářejících důvěru podepisují zaručeným elektronickým podpisem nebo pečetí zaručenou elektronickou pečetí vydané kvalifikované certifikáty nebo vydaná kvalifikovaná elektronická časová razítka. Seznam certifikátů zveřejňuje Agentura způsobem umožňujícím dálkový přístup.
(5) Agentura plní povinnost podle čl. 24 odst. 2 písm. h) Nařízení v případě převzetí evidence podle § 4 odst. 2.
(6) Agentura bezodkladně vyrozumí Úřad pro ochranu osobních údajů o zjištěních učiněných v souvislosti s plněním úkolů orgánu dohledu podle odstavce 1, pokud se týkají působnosti tohoto úřadu.
Poskytování služeb vytvářejících důvěru Správou státních služeb vytvářejících důvěru
 
§ 14
(1) Zřizuje se a vzniká Správa státních služeb vytvářejících důvěru (dále jen "Správa") jako státní příspěvková organizace. Sídlem Správy je Praha.
(2) Zřizovatelskou funkci vůči Správě vykonává Agentura.
(3) Statutárním orgánem Správy je ředitel. Ředitele Správy jmenuje a odvolává člen vlády pověřený řízením Rady vlády pro informační společnost po dohodě s ministrem vnitra.
(4) Předmětem činnosti Správy je poskytování služeb vytvářejících důvěru pro potřeby České republiky. Bližší podmínky činnosti Správy, včetně podmínek, za jakých Správa poskytuje služby vytvářející důvěru, upravuje statut, který schvaluje člen vlády pověřený řízením Rady vlády pro informační společnost po dohodě s ministrem vnitra.
 
§ 15
(1) Poskytuje-li Správa službu vytvářející důvěru, jejímž předmětem je certifikát, který není certifikátem pro elektronický podpis, certifikátem pro elektronickou pečeť nebo certifikátem pro autentizaci internetových stránek, vede evidenci certifikátů a osob nebo jejich součástí, kterým byl certifikát vydán.
(2) Evidence obsahuje
a) údaje o fyzické osobě, které byl certifikát vydán, v rozsahu
1. jméno, popřípadě jména a příjmení,
2. datum, místo a okres narození; u fyzické osoby, která se narodila v cizině, datum, místo a stát, kde se narodila,
3. datum úmrtí,
4. adresa místa pobytu, případně též adresa, na kterou mají být doručovány písemnosti,
b) údaje o právnické osobě nebo její součásti, které byl certifikát vydán, v rozsahu
1. obchodní firma nebo název,
2. adresa sídla,
3. identifikační číslo osoby,
c) údaje o certifikátu v rozsahu
1. identifikátor,
2. počátek a konec platnosti,
3. datum a čas aktivace,
4. datum a čas zneplatnění,
d) další údaje v rozsahu
1. identifikátor nosiče, na kterém je certifikát uložen,
2. agendový identifikátor fyzické osoby pro agendu vydávání certifikátů.
(3) Údaje podle odstavce 2 písm. c) jsou veřejně přístupné způsobem umožňujícím dálkový přístup.
(4) Údaje podle odstavce 2 se evidují po dobu platnosti certifikátu a následujících 15 let od konce platnosti certifikátu.
Přestupky fyzických, právnických a podnikajících fyzických osob
 
§ 16
(1) Fyzická osoba se dopustí přestupku tím, že použije značku důvěry EU2) v rozporu s čl. 23 odst. 1 Nařízení.
(2) Za přestupek podle odstavce 1 lze uložit pokutu do 2 000 000 Kč.
 
§ 17
(1) Právnická osoba nebo podnikající fyzická osoba se dopustí přestupku tím, že
a) použije značku důvěry EU2) v rozporu s čl. 23 odst. 1 Nařízení, nebo
b) v rozporu s čl. 24 odst. 2 písm. h) Nařízení neeviduje nebo nezpřístupňuje veškeré příslušné informace po ukončení činnosti kvalifikovaného poskytovatele služeb vytvářejících důvěru nebo nepředá Agentuře evidenci podle § 4 odst. 2.
(2) Poskytovatel služeb vytvářejících důvěru se dopustí přestupku tím, že
a) nepřijme vhodná technická a organizační opatření k řízení rizik ohrožujících bezpečnost jím poskytovaných služeb podle čl. 19 odst. 1 Nařízení,
b) v rozporu s čl. 19 odst. 2 Nařízení nevyrozumí o narušení bezpečnosti nebo ztrátě integrity bez zbytečného odkladu orgán dohledu podle tohoto zákona nebo osobu, na kterou může mít narušení bezpečnosti nebo ztráta integrity nepříznivý dopad, nebo
c) v rozporu s čl. 21 odst. 3 Nařízení poskytuje služby vytvářející důvěru označené jako kvalifikované předtím, než byl status kvalifikovaného poskytovatele služeb vytvářejících důvěru a kvalifikované služby vyznačen v důvěryhodných seznamech.
(3) Kvalifikovaný poskytovatel služeb vytvářejících důvěru se dopustí přestupku tím, že
a) v rozporu s čl. 20 odst. 1 Nařízení
1. se nepodrobí auditu ze strany subjektu posuzování shody alespoň jednou za 24 měsíců, nebo
2. nepředloží výslednou zprávu o posouzení shody,
b) se nepodrobí auditu ze strany orgánu dohledu podle tohoto zákona nebo subjektu posuzování shody podle čl. 20 odst. 2 Nařízení,
c) nezajistí, aby byl na jeho internetových stránkách k dispozici odkaz na příslušný důvěryhodný seznam podle čl. 23 odst. 2 Nařízení,
d) neoznámí případné změny v poskytování služeb vytvářejících důvěru nebo záměr ukončit některou ze svých činností podle čl. 24 odst. 2 písm. a) Nařízení,
e) zaměstnává zaměstnance nebo využívá subdodavatele v rozporu s čl. 24 odst. 2 písm. b) Nařízení,
f) v rozporu s čl. 24 odst. 2 písm. c) Nařízení,
1. neudržuje dostatečné finanční prostředky, nebo
2. neuzavře vhodné pojištění odpovědnosti,
g) nesplní informační povinnost podle čl. 24 odst. 2 písm. d) Nařízení,
h) nepoužívá důvěryhodné systémy a produkty podle čl. 24 odst. 2 písm. e) Nařízení,
i) nepoužívá důvěryhodné systémy k uchovávání dat podle čl. 24 odst. 2 písm. f) Nařízení,
j) nepřijme vhodná opatření proti padělání a odcizení dat podle čl. 24 odst. 2 písm. g) Nařízení,
k) v rozporu s čl. 24 odst. 2 písm. h) Nařízení neeviduje nebo nezpřístupňuje veškeré příslušné informace,
l) nemá k dispozici aktualizovaný plán ukončení činnosti k zajištění kontinuity služby podle čl. 24 odst. 2 písm. i) Nařízení,
m) neposkytuje kvalifikované služby vytvářející důvěru na základě písemné smlouvy podle § 2,
n) neuchovává dokumenty podle § 3 odst. 1, nebo
o) neuchovává údaje podle § 3 odst. 2.
(4) Kvalifikovaný poskytovatel služeb vytvářejících důvěru vydávající kvalifikované certifikáty se dopustí přestupku tím, že
a) neověří totožnost nebo zvláštní znaky fyzické anebo právnické osoby, jíž je kvalifikovaný certifikát vydán, podle čl. 24 odst. 1 Nařízení,
b) nezajistí, aby jím vydaný kvalifikovaný certifikát obsahoval přesné, pravdivé a úplné údaje,
c) v rozporu s čl. 24 odst. 2 písm. k) Nařízení nevede nebo neaktualizuje databázi jím vydaných kvalifikovaných certifikátů,
d) nezveřejní zneplatnění jím vydaného kvalifikovaného certifikátu podle čl. 24 odst. 3 Nařízení,
e) neposkytne kterékoliv spoléhající se straně informace o platnosti nebo zneplatnění jím vydaných kvalifikovaných certifikátů podle čl. 24 odst. 4 Nařízení,
f) v rozporu s čl. 28 odst. 4 Nařízení změní status zneplatněného jím vydaného kvalifikovaného certifikátu pro elektronické podpisy,
g) v rozporu s čl. 38 odst. 4 Nařízení změní status zneplatněného jím vydaného kvalifikovaného certifikátu pro elektronické pečetě, nebo
h) vydá kvalifikovaný certifikát pro elektronický podpis, kvalifikovaný certifikát pro elektronickou pečeť nebo kvalifikovaný certifikát pro autentizaci internetových stránek, který nesplňuje požadavky stanovené Nařízením.
(5) Kvalifikovaný poskytovatel služeb vytvářejících důvěru poskytující kvalifikovanou službu ověřování platnosti kvalifikovaných elektronických podpisů a kvalifikovaných elektronických pečetí se dopustí přestupku tím, že
a) nezajistí ověření platnosti kvalifikovaného elektronického podpisu nebo kvalifikované elektronické pečetě podle čl. 33 odst. 1 písm. a) Nařízení, nebo
b) poskytuje kvalifikované služby ověřování kvalifikovaných elektronických podpisů nebo kvalifikovaných elektronických pečetí v rozporu s čl. 33 odst. 1 písm. b) Nařízení.
(6) Kvalifikovaný poskytovatel služeb vytvářejících důvěru poskytující kvalifikovanou službu uchovávání kvalifikovaných elektronických podpisů a kvalifikovaných elektronických pečetí se dopustí přestupku tím, že nepoužívá postupy a technologie podle čl. 34 odst. 1 Nařízení.
(7) Kvalifikovaný poskytovatel služeb vytvářejících důvěru vydávající kvalifikovaná elektronická časová razítka se dopustí přestupku tím, že nezajistí, aby jím vydaná kvalifikovaná elektronická časová razítka splňovala požadavky podle čl. 42 odst. 1 Nařízení.
(8) Za přestupek lze uložit pokutu do
a) 500 000 Kč, jde-li o přestupek podle odstavce 3 písm. c) a g),
b) 1 000 000 Kč, jde-li o přestupek podle odstavce 2 písm. b), odstavce 3 písm. a), e) a m),
c) 2 000 000 Kč, jde-li o přestupek podle odstavce 1, odstavce 2 písm. a) a c), odstavce 3 písm. b), d), f), h) až l), n) a o) a odstavců 4 až 7.
 
§ 18
Přestupky podle tohoto zákona projednává Agentura.
 
§ 19
Přechodná ustanovení
(1) Po dobu 2 let ode dne nabytí účinnosti tohoto zákona lze k podepisování podle § 5 použít rovněž zaručený elektronický podpis založený na kvalifikovaném certifikátu pro elektronický podpis.
(2) Po dobu 2 let ode dne nabytí účinnosti tohoto zákona lze namísto zaručené elektronické pečetě založené na kvalifikovaném certifikátu pro elektronickou pečeť nebo namísto kvalifikované elektronické pečetě použít
a) elektronickou značku podle zákona č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), ve znění účinném přede dnem nabytí účinnosti tohoto zákona, založenou na systémovém certifikátu vydaném osobou, která byla přede dnem nabytí účinnosti tohoto zákona akreditovaným poskytovatelem certifikačních služeb a která je kvalifikovaným poskytovatelem služeb vytvářejících důvěru, nebo
b) zaručenou elektronickou pečeť založenou na certifikátu pro elektronickou pečeť vydaném kvalifikovaným poskytovatelem služeb vytvářejících důvěru.
(3) Pro účely odstavce 2 se § 11 odst. 2 použije obdobně.
(4) Kvalifikovaný poskytovatel služeb vytvářejících důvěru, který vydává systémové certifikáty pro použití podle odstavce 2 písm. a), poskytuje tuto službu vytvářející důvěru na základě písemné smlouvy. Ustanovení § 3 odst. 1 písm. a) a § 3 odst. 2 se na uchovávání dokumentů souvisejících s vydáváním systémových certifikátů použijí obdobně.
(5) Po dobu 2 let ode dne nabytí účinnosti tohoto zákona lze namísto kvalifikovaného elektronického časového razítka podle § 11 použít elektronické časové razítko vydané kvalifikovaným poskytovatelem služeb vytvářejících důvěru.
(6) Kvalifikovaný poskytovatel služeb vytvářejících důvěru, který vydává elektronická časová razítka pro použití podle odstavce 5, poskytuje tuto službu vytvářející důvěru na základě písemné smlouvy. Ustanovení § 3 odst. 1 písm. c) se na uchovávání dokumentů souvisejících s vydáváním elektronických časových razítek použije obdobně.
(7) Povinnosti podle § 6 odst. 5 až 8 zákona č. 227/2000 Sb., ve znění účinném přede dnem nabytí účinnosti tohoto zákona, zůstávají zachovány i po dni nabytí účinnosti tohoto zákona.
(8) Platnost elektronických značek a systémových certifikátů není zrušením zákona č. 227/2000 Sb. dotčena.
(9) Používá-li ode dne nabytí účinnosti tohoto zákona jiný právní předpis pojem uznávaná elektronická značka, rozumí se jím rovněž elektronická značka podle zákona č. 227/2000 Sb., ve znění účinném přede dnem nabytí účinnosti tohoto zákona, založená na systémovém certifikátu vydaném osobou, která byla přede dnem nabytí účinnosti tohoto zákona akreditovaným poskytovatelem certifikačních služeb a která je kvalifikovaným poskytovatelem služeb vytvářejících důvěru.
 
§ 20
Zrušovací ustanovení
Zrušují se:
1. Zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu).
2. Část pátá zákona č. 226/2002 Sb., kterým se mění zákon č. 141/1961 Sb., o trestním řízení soudním (trestní řád), ve znění pozdějších předpisů, zákon č. 99/1963 Sb., občanský soudní řád, ve znění pozdějších předpisů, zákon č. 337/1992 Sb., o správě daní a poplatků, ve znění pozdějších předpisů, zákon č. 71/1967 Sb., o správním řízení (správní řád), ve znění pozdějších předpisů, a zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu).
3. Část osmá zákona č. 517/2002 Sb., kterým se provádějí některá opatření v soustavě ústředních orgánů státní správy a mění některé zákony.
4. Zákon č. 440/2004 Sb., kterým se mění zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), ve znění pozdějších předpisů.
5. Část dvacátá osmá zákona č. 501/2004 Sb., kterým se mění některé zákony v souvislosti s přijetím správního řádu.
6. Část třetí zákona č. 635/2004 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o správních poplatcích.
7. Část třicátá druhá zákona č. 444/2005 Sb., kterým se mění zákon č. 531/1990 Sb., o územních finančních orgánech, ve znění pozdějších předpisů, a některé další zákony.
8. Část osmá zákona č. 110/2007 Sb., o některých opatřeních v soustavě ústředních orgánů státní správy, souvisejících se zrušením Ministerstva informatiky a o změně některých zákonů.
9. Část druhá zákona č. 190/2009 Sb., kterým se mění zákon č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů, a další související zákony.
10. Část šestnáctá zákona č. 223/2009 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o volném pohybu služeb.
11. Část stá zákona č. 227/2009 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o základních registrech.
12. Část sedmdesátá šestá zákona č. 281/2009 Sb., kterým se mění některé zákony v souvislosti s přijetím daňového řádu.
13. Část první zákona č. 101/2010 Sb., kterým se mění zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), ve znění pozdějších předpisů, a zákon č. 227/2009 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o základních registrech, ve znění pozdějších předpisů.
14. Část čtrnáctá zákona č. 424/2010 Sb., kterým se mění zákon č. 111/2009 Sb., o základních registrech, ve znění zákona č. 100/2010 Sb., a další související zákony.
15. Část druhá zákona č. 167/2012 Sb., kterým se mění zákon č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů, zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), ve znění pozdějších předpisů, a další související zákony.
16. Část třicátá sedmá zákona č. 64/2014 Sb., kterým se mění některé zákony v souvislosti s přijetím kontrolního řádu.
17. Vyhláška č. 378/2006 Sb., o postupech kvalifikovaných poskytovatelů certifikačních služeb, o požadavcích na nástroje elektronického podpisu a o požadavcích na ochranu dat pro vytváření elektronických značek (vyhláška o postupech kvalifikovaných poskytovatelů certifikačních služeb).
18. Vyhláška č. 212/2012 Sb., o struktuře údajů, na základě kterých je možné jednoznačně identifikovat podepisující osobu, a postupech pro ověřování platnosti zaručeného elektronického podpisu, elektronické značky, kvalifikovaného certifikátu, kvalifikovaného systémového certifikátu a kvalifikovaného časového razítka (vyhláška o ověřování platnosti zaručeného elektronického podpisu).
 
§ 21
Účinnost
Tento zákon nabývá účinnosti dnem jeho vyhlášení.
Hamáček v. r.
Zeman v. r.
Sobotka v. r.
Vybraná ustanovení novel
Čl.XVIII zákona č. 471/2022 Sb.
Přechodná ustanovení
1. Postupy podle zákona č. 297/2016 Sb., ve znění účinném přede dnem nabytí účinnosti tohoto zákona, zahájené Ministerstvem vnitra v oblasti působnosti, která podle tohoto zákona přechází na Digitální a informační agenturu, a přede dnem nabytí účinnosti tohoto zákona nedokončené, dokončí Digitální a informační agentura; dosavadní úkony Ministerstva vnitra se považují za úkony Digitální a informační agentury.
2. Správa základních registrů může poskytovat do dne 31. prosince 2023 služby vytvářející důvěru, a to i jako hospodářskou činnost. Ustanovení § 15 zákona č. 297/2016 Sb., ve znění účinném ode dne nabytí účinnosti tohoto zákona, se na Správu základních registrů použije obdobně.
3. Práva a povinnosti týkající se služeb vytvářejících důvěru poskytovaných Správou základních registrů podle § 14 zákona č. 297/2016 Sb., ve znění účinném přede dnem nabytí účinnosti tohoto zákona, do dne 31. prosince 2023 přecházejí dnem 1. ledna 2024 na státní příspěvkovou organizaci podle § 14 odst. 1 zákona č. 297/2016 Sb., ve znění účinném ode dne nabytí účinnosti tohoto zákona, nedohodnou-li se Správa základních registrů a státní příspěvková organizace na dřívějším datu přechodu.
1) Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES.
2) Prováděcí nařízení Komise (EU) 2015/806 ze dne 22. května 2015, kterým se stanoví specifikace týkající se podoby značky důvěry EU pro kvalifikované služby vytvářející důvěru.
3) Například zákon č. 64/1986 Sb., o České obchodní inspekci, ve znění pozdějších předpisů, zákon č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších předpisů, zákon č. 154/1994 Sb., o Bezpečnostní informační službě, ve znění pozdějších předpisů, zákon č. 289/2005 Sb., o Vojenském zpravodajství, ve znění pozdějších předpisů, zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů, zákon č. 273/2008 Sb., o Policii České republiky, ve znění pozdějších předpisů, zákon č. 341/2011 Sb., o Generální inspekci bezpečnostních sborů a o změně souvisejících zákonů, ve znění pozdějších předpisů, zákon č. 17/2012 Sb., o Celní správě České republiky, ve znění pozdějších předpisů.