1
N Á R O D N Á R A D A S L O V E N S K E J R E P U B L I K Y
VII. volebné obdobie
132
VLÁDNY NÁVRH
Zákon
z ... 2016
o dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zmene a doplnení niektorých zákonov (zákon o dôveryhodných službách)
Národná rada Slovenskej republiky sa uzniesla na tomto zákone:
Čl. I
§ 1
Predmet zákona
Tento zákon upravuje podmienky poskytovania dôveryhodných služieb,1) a ich národných rozšírení, povinnosti poskytovateľov dôveryhodných služieb,2) pôsobnosť Národného bezpečnostného úradu (ďalej len „úrad) v oblasti dôveryhodných služieb a sankcie za porušenie povinností podľa osobitného predpisu3) a tohto zákona.
§ 2
Používanie kvalifikovaného elektronického podpisu a kvalifikovanej elektronickej pečate v styku s orgánmi verejnej moci
(1)Ak sa v styku s orgánmi verejnej moci používa kvalifikovaný elektronický podpis,4) kvalifikovaný certifikát pre elektronický podpis5) vydaný kvalifikovaným poskytovateľom dôveryhodných služieb,6) ktorému úrad udelil kvalifikovaný štatút,7) môže ako osobitný atribút8) obsahovať rodné číslo podpisovateľa;9) ak mu rodné číslo nebolo pridelené, môže obsahovať číslo pasu alebo číslo identifikačnej karty.
(2)Ak sa v styku s orgánmi verejnej moci používa kvalifikovaná elektronická pečať,10) kvalifikovaný certifikát pre elektronickú pečať11) vydaný kvalifikovaným
1)Čl. 3 ods. 16 nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93/ES (Ú. v. EÚ L 257, 28.8.2014).
2)Čl. 3 ods. 19 nariadenia (EÚ) č. 910/2014.
3)Nariadenie (EÚ) č. 910/2014.
4)Čl. 3 ods. 12 nariadenia (EÚ) č. 910/2014.
5)Čl. 3 ods. 15 nariadenia (EÚ) č. 910/2014.
Príloha 1 nariadenia (EÚ) č. 910/2014.
6)Čl. 3 ods. 20 nariadenia (EÚ) č. 910/2014.
7)Čl. 21 ods. 2 druhý pododsek nariadenia (EÚ) č. 910/2014.
8)Čl. 28 ods. 3 nariadenia (EÚ) č. 910/2014.
9)Čl. 3 ods. 9 nariadenia (EÚ) č. 910/2014.
10)Čl. 3 ods. 27 nariadenia (EÚ) č. 910/2014.
11)Čl. 3 ods. 30 nariadenia (EÚ) č. 910/2014.
2
poskytovateľom dôveryhodných služieb, ktorému úrad udelil kvalifikovaný štatút, môže ako osobitný atribút12) obsahovať identifikačné číslo pôvodcu pečate.13)
Kvalifikovaný poskytovateľ dôveryhodných služieb
§ 3
(1)Poskytovateľ dôveryhodných služieb bez kvalifikovaného štatútu predkladá úradu oznámenie o zámere poskytovať kvalifikované dôveryhodné služby14) elektronickým formulárom alebo v listinnej podobe na tlačive, ktorého vzor zverejní úrad na ústrednom portáli verejnej správy a na svojom webovom sídle. K oznámeniu o zámere poskytovať kvalifikované dôveryhodné služby sa prikladajú certifikáty príslušnej kvalifikovanej dôveryhodnej služby,15) ktoré sa po udelení kvalifikovaného štatútu zaraďujú do dôveryhodného zoznamu.16)
(2)Kvalifikovaný poskytovateľ dôveryhodných služieb poskytuje ako kvalifikované len tie dôveryhodné služby, na ktoré mu je udelený kvalifikovaný štatút.
(3)Kvalifikovaný poskytovateľ dôveryhodných služieb, na ktorého dôveryhodnú službu úrad udelil kvalifikovaný štatút, uvádza vo vydanom kvalifikovanom certifikáte minimálne identifikátory certifikačných politík pre kvalifikované dôveryhodné služby vydávania kvalifikovaného certifikátu,17) ktoré úrad zverejní na svojom webovom sídle; certifikačné politiky obsahujú aj technické podmienky a postupy podpisovateľa a pôvodcu pečate.
§ 4
(1)Kvalifikovaný poskytovateľ dôveryhodných služieb môže autorizovať inú vlastnú kvalifikovanú dôveryhodnú službu alebo kvalifikovanú dôveryhodnú službu iného kvalifikovaného poskytovateľa dôveryhodných služieb na poskytovanie informácie o štatúte platnosti alebo zrušenia kvalifikovaných certifikátov,18) ktoré vydal. Informácia o autorizácii podľa prvej vety sa uvedie v dôveryhodnom zozname vedenom úradom. Autorizácia platí, pokým ju autorizujúci kvalifikovaný poskytovateľ dôveryhodnej služby nezruší alebo pokým dôveryhodná služba nestratí kvalifikovaný štatút.
(2)Kvalifikovaný poskytovateľ dôveryhodných služieb môže pre prípad ukončenia poskytovania svojej kvalifikovanej dôveryhodnej služby uzavrieť zmluvu s iným kvalifikovaným poskytovateľom dôveryhodných služieb o poskytovaní informácie o štatúte platnosti alebo zrušenia vydaných kvalifikovaných certifikátov
18
18) a prevzatí súvisiacej prevádzkovej dokumentácie. Ak kvalifikovaný poskytovateľ dôveryhodných služieb neuzavrel dohodu podľa prvej vety a nemá právneho nástupcu, poskytovanie informácie o štatúte platnosti alebo zrušenia vydaných kvalifikovaných certifikátov a prevzatie súvisiacej prevádzkovej dokumentácie zabezpečí úrad. V prípadoch podľa druhej vety dôjde k zrušeniu platných prevzatých kvalifikovaných certifikátov, kvalifikovaným poskytovateľom
12)Čl. 38 ods. 3 nariadenia (EÚ) č. 910/2014.
13)Čl. 3 ods. 24 nariadenia (EÚ) č. 910/2014.
14)Čl. 21 ods. 1 nariadenia (EÚ) č. 910/2014.
15)Čl. 3 ods. 17 nariadenia (EÚ) č. 910/2014.
16)Čl. 22 nariadenia (EÚ) č. 910/2014.
17)Odporúčanie ITU-T X.509 | ISO/IEC 9594-8: Informačné technológie prepojenia otvorených systémov adresár: Certifikačné rámce verejného kľúča a atribútu.
18)Čl. 24 ods. 4 nariadenia (EÚ) č. 910/2014.
3
dôveryhodnej služby, alebo ak to technicky nie je možné, tak úradom v prevzatej databáze certifikátov. Informácia o postupe podľa tohto odseku sa uvedie v dôveryhodnom zozname vedenom úradom.
§ 5
Kvalifikovaný poskytovateľ dôveryhodných služieb najmenej počas desiatich rokov uchováva informácie,19)
a)ktoré súvisia s vydaním a zrušením kvalifikovaných certifikátov od uplynutia platnosti kvalifikovaného certifikátu alebo zrušenia kvalifikovaného certifikátu spolu s vydaným kvalifikovaným certifikátom a informáciou o štatúte platnosti alebo zrušenia kvalifikovaného certifikátu aktualizovanou po uplynutí platnosti kvalifikovaného certifikátu alebo zrušení kvalifikovaného certifikátu,
18
18)
b)na základe ktorých poskytoval kvalifikovanú dôveryhodnú službu; kvalifikovaný poskytovateľ dôveryhodných služieb uchováva tieto informácie od ich vzniku.
§ 6
(1)Kvalifikovaný poskytovateľ dôveryhodných služieb poskytuje úradu informácie o zmenách v jeho kvalifikovaných dôveryhodných službách najneskôr do 30 dní pred plánovanou zmenou.
(2)Kvalifikovaný poskytovateľ dôveryhodných služieb, ktorému úrad udelil kvalifikovaný štatút, zasiela úradu
a)vydané kvalifikované certifikáty pre kvalifikovaný elektronický podpis a pre kvalifikovanú elektronickú pečať do 30 dní od vydania kvalifikovaného certifikátu,
b)po zrušení certifikátov podľa písmena a) potvrdenie o dátume a čase ich zrušenia do 30 dní od ich zrušenia,
c)informáciu o ukončení používania údajov na vyhotovenie elektronického podpisu alebo elektronickej pečate kvalifikovanej dôveryhodnej služby, ktoré zodpovedajú údajom na validáciu elektronického podpisu alebo elektronickej pečate z certifikátov uvedených pre túto službu v dôveryhodnom zozname do 30 dní od ukončenia používania týchto údajov; to neplatí, ak dátum a čas konca platnosti posledného certifikátu uvedeného pre túto službu v dôveryhodnom zozname je zhodný s dátumom a časom ukončenia používania údajov na vyhotovenie elektronického podpisu alebo elektronickej pečate.
(3)Informácie podľa odsekov 1 a 2 sa predkladajú úradu elektronickým formulárom alebo v listinnej podobe na tlačive, ktorého vzor zverejní úrad na ústrednom portáli verejnej správy a na svojom webovom sídle.
§ 7
(1)Kvalifikovaný poskytovateľ dôveryhodnej služby, ktorý vydáva kvalifikované certifikáty, pri poskytovaní informácie o štatúte platnosti alebo zrušení kvalifikovaných certifikátov
18
18) poskytuje aj informáciu obsahujúcu potvrdenie o dátume a čase, do ktorého boli certifikáty evidované ako platné alebo informáciu o dátume a čase zrušenia kvalifikovaného certifikátu.
19)Čl. 24 ods. 2 písm. h) nariadenia (EÚ) č. 910/2014.
4
(2)Kvalifikovaný poskytovateľ dôveryhodných služieb, ktorému kvalifikovaný štatút udelil úrad, nesmie dočasne pozastaviť kvalifikovaný certifikát pre elektronický podpis alebo kvalifikovaný certifikát pre elektronickú pečať.
§ 8
Mandátny certifikát
(1)Mandátny certifikát je kvalifikovaný certifikát pre elektronický podpis vydaný fyzickej osobe oprávnenej zo zákona alebo na základe zákona konať za inú osobu alebo orgán verejnej moci alebo v ich mene, alebo fyzickej osobe, ktorá vykonáva činnosť podľa osobitného predpisu,20) alebo vykonáva funkciu podľa osobitného predpisu21) (ďalej len mandatár). Mandátny certifikát obsahuje
a)identifikačné údaje mandatára podľa § 2 ods. 1; ak ide o mandatára, ktorý je v pracovnoprávnom vzťahu alebo obdobnom pracovnom vzťahu k orgánu verejnej moci alebo osobe, za ktorú alebo v mene ktorej mandatár koná (ďalej len mandant) identifikačným údajom je číslo pasu alebo číslo identifikačnej karty,
b)identifikačné údaje
1.mandanta podľa § 2,
2.orgánu verejnej moci alebo osoby, u ktorej mandatár vykonáva činnosť podľa osobitného predpisu
20
20) alebo vykonáva funkciu podľa osobitného predpisu,
21
21) podľa § 2 a
c)označenie oprávnenia podľa odseku 2.
(2)Mandátnym certifikátom preukazuje mandatár oprávnenie
a)konať za, v mene mandanta,
b)vykonávať činnosť podľa osobitného predpisu,
20
20) alebo
c)vykonávať funkciu podľa osobitného predpisu.
21
21)
(3)Kvalifikovaný poskytovateľ dôveryhodných služieb, ktorému kvalifikovaný štatút udelil úrad, vydá mandátny certifikát mandatárovi, ktorý preukáže oprávnenie podľa odseku 2 spôsobom uvedeným pre dané oprávnenie v zozname oprávnení vedenom úradom podľa § 9.
(4)O zrušenie mandátneho certifikátu bezodkladne požiada
a)orgán verejnej moci alebo osoba, u ktorej mandatár vykonával činnosť alebo funkciu podľa odseku 1 po tom, ako mandatárovi zanikne alebo skončí výkon činnosti alebo funkcie podľa odseku 1,
b)mandant po tom, ako oprávnenie mandatára konať za alebo v mene mandanta zaniklo,
c)mandatár po tom, ako sa dozvie, že mandant zomrel, bol vyhlásený za mŕtveho alebo zanikol,
d)mandatár po tom, ako zaniklo jeho oprávnenie konať za alebo v mene mandanta alebo po tom, ako mu zanikol alebo skončil výkon činnosti alebo funkcie podľa odseku 1.
(5)Mandátny certifikát nesmie obsahovať pseudonym.
20)Napríklad zákon Slovenskej národnej rady č. 323/1992 Zb. o notároch a notárskej činnosti (Notársky poriadok) v znení neskorších predpisov, zákon Národnej rady Slovenskej republiky č. 233/1995 Z. z. o súdnych exekútoroch a exekučnej činnosti (Exekučný poriadok) a o zmene a doplnení ďalších zákonov v znení neskorších predpisov, zákon č. 586/2003 Z. z. o advokácii a o zmene a doplnení zákona č. 455/1991 Zb. o živnostenskom podnikaní (živnostenský zákon) v znení neskorších predpisov v znení neskorších predpisov, zákon č. 382/2004 Z. z. o znalcoch, tlmočníkoch a prekladateľoch a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
21)Napríklad zákon č. 385/2000 Z. z. o sudcoch a prísediacich a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, zákon č. 153/2001 Z. z. o prokuratúre v znení neskorších predpisov.
5
§ 9
Zoznam oprávnení
(1)Zoznam oprávnení je informačný systém verejnej správy,22) správcom ktorého je úrad.
(2)Zoznam oprávnení pre každé oprávnenie obsahuje
a)označenie oprávnenia mandatára podľa § 8 ods. 2,
b)zoznam dokladov, ktorými sa toto oprávnenie preukazuje a zoznam dokladov, na základe ktorých toto oprávnenie zaniká.
(3)Označenie oprávnenia podľa odseku 2 písm. a) je totožné s názvom, aký pre dané oprávnenie ustanovujú osobitné predpisy
20
20), a ak to nie je možné, musí byť totožné s názvom, ktorý pre dané oprávnenie určuje platný interný predpis alebo písomné poverenie orgánu verejnej moci alebo inej osoby, za ktorú alebo v mene ktorej sa oprávnenie vykonáva.
(4) Doklady podľa odseku 2 písm. b) sú totožné s dokladmi, na základe ktorých vzniká a zaniká podľa osobitných predpisov
20
20) dané oprávnenie. Ak oprávnenie vyplýva zo zápisu v zákonom ustanovenej evidencii, dokladom je vždy výpis z tejto evidencie, vydaný orgánom verejnej moci, ktorý ju vedie.
(5)Úrad zapíše údaje podľa odseku 2 do zoznamu oprávnení a aktualizuje ich. Na účely plnenia povinností úradu podľa prvej vety sú štátne orgány a orgány územnej samosprávy povinné bezodkladne oznamovať úradu existujúce oprávnenia podľa § 8 ods. 2, ktoré upravujú všeobecne záväzné právne predpisy v oblasti, v ktorej vykonávajú štátnu správu alebo samosprávu, ako aj každú ich zmenu.
(6)Úrad zverejňuje zoznam oprávnení na svojom webovom sídle.
§ 10
Certifikácia
(1)Zhodu zariadenia na vyhotovenie kvalifikovaného elektronického podpisu,23) zariadenia na vyhotovenie kvalifikovanej elektronickej pečate24) s požiadavkami podľa osobitného predpisu,25) certifikuje úrad na základe žiadosti v procese certifikácie.
(2)Zhodu aplikácie pre vyhotovenie a overenie kvalifikovaného elektronického podpisu alebo kvalifikovanej elektronickej pečate s požiadavkami podľa osobitného predpisu,26) certifikuje úrad na základe žiadosti v procese certifikácie; nástrojom na posúdenie zhody podľa prvej vety je technická norma.27)
22)§ 2 ods. 1 písm. b) zákona č. 275/2006 Z. z. o informačných systémoch verejnej správy a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
23)Čl. 3 ods. 23 nariadenia (EÚ) č. 910/2014.
24)Čl. 3 ods. 32 nariadenia (EÚ) č. 910/2014.
25)Čl. 29, 30 a 39 nariadenia (EÚ) č. 910/2014.
26)Čl. 32 nariadenia (EÚ) č. 910/2014.
27)Príloha A ISO 14533 (Procesy, dátové prvky a dokumenty v obchode priemysle a administratíve dlhodobé profily podpisov) a štandardov úradu, najmä Overovanie QES/QESe, Formáty QES/QESe, Formáty kvalifikovaných certifikátov, Formáty CRL/OCSP, Rozšírenia dôveryhodného zoznamu a Formáty podpisových politík.
6
(3)Zhodu elektronickej podateľne s požiadavkami podľa tohto zákona overuje a posudzuje úrad na základe žiadosti v procese certifikácie.
(4)Žiadosť o certifikáciu podľa odsekov 1 až 3 sa predkladá úradu elektronickým formulárom alebo v listinnej podobe na tlačive, ktorého vzor zverejní úrad na ústrednom portáli verejnej správy a na svojom webovom sídle.
(5)Žiadateľ k žiadosti o certifikáciu podľa odsekov 1 až 3 prikladá
a)predmet certifikácie, ak to postupy vyžadujú,
b)technickú dokumentáciu k predmetu certifikácie nevyhnutnú pre certifikáciu a bezpečnostný audit, ak to postupy vyžadujú.
(6)Konanie podľa odsekov 1 až 3 sa začína dňom doručenia úplnej žiadosti. Ak žiadosť nie je úplná, úrad vyzve žiadateľa na jej doplnenie v stanovenej lehote, ktorá nesmie byť kratšia ako desať dní. Ak žiadateľ žiadosť v stanovenej lehote nedoplní, na žiadosť sa neprihliada.
(7)Úrad v konaní podľa odsekov 1 až 3 rozhodne do 90 dní od doručenia úplnej žiadosti. Ak úrad v konaní zistí zhodu zariadení na vyhotovenie kvalifikovaných elektronických podpisov, zariadení na vyhotovenie kvalifikovaných elektronických pečatí, aplikácií pre vyhotovenie a overenie kvalifikovaného elektronického podpisu alebo kvalifikovanej elektronickej pečate a zhodu elektronickej podateľne, vydá certifikát, ktorého platnosť je päť rokov.
(8)Ak sa počas platnosti certifikátu vydaného úradom na základe konania podľa odsekov 1 až 3 nezmenili bezpečnostné požiadavky, úrad na základe žiadosti rozhodne v skrátenom konaní do 60 dní od doručenia úplnej žiadosti o predĺžení platnosti certifikátu o päť rokov; odseky 5 až 7 sa použijú primerane.
§ 11
Úrad
(1)Úrad
a)je orgánom dohľadu podľa osobitného predpisu,28)
b)vydáva certifikáty dôveryhodnej službe, ktorej udelil kvalifikovaný štatút, ak o vydanie certifikátu poskytovateľ dôveryhodnej služby požiada,
c)vydáva a zverejňuje vlastný certifikát na overenie certifikátov vydaných podľa písmena b) v infraštruktúre zriadenej podľa písmena f),
d)zrušuje ním vydaný certifikát poskytovateľovi dôveryhodnej služby, ktorému odňal kvalifikovaný štatút,
e)certifikuje a posudzuje zhodu podľa osobitného predpisu29) a podľa tohto zákona,
f)zriaďuje, udržiava a aktualizuje dôveryhodnú infraštruktúru,30) v ktorej vedie zoznam všetkých kvalifikovaných certifikátov vydaných poskytovateľmi dôveryhodných služieb, ktorým udelil kvalifikovaný štatút spolu s informáciami o štatúte platnosti alebo zrušenia kvalifikovaných certifikátov, ktoré vydali, aktualizovanými minimálne po uplynutí platnosti alebo zrušení týchto kvalifikovaných certifikátov,
28)Čl. 17 nariadenia (EÚ) č. 910/2014.
29)Čl. 30 a 39 nariadenia (EÚ) č. 910/2014.
30)Čl. 17 ods. 5 nariadenia (EÚ) č. 910/2014.
7
g)poskytuje informácie z dôveryhodnej infraštruktúry, najmä informácie po uplynutí platnosti
18
18) kvalifikovaného certifikátu, a to vo forme pozitívneho potvrdenia31) o štatúte platnosti alebo zrušenia kvalifikovaných certifikátov,32)
h)zabezpečuje úlohy spojené s uchovávaním dokumentov podľa tohto zákona v dôveryhodnej infraštruktúre, v prípade zániku kvalifikovaného poskytovateľa dôveryhodnej služby,33) ktorý nemá právneho nástupcu,
i)vytvára, vedie a zverejňuje dôveryhodný zoznam podľa osobitného predpisu,34)
j)poskytuje Európskej komisii informácie, správy a oznámenia podľa osobitného predpisu,35)
k)vydáva metodiky a štandardy podľa tohto zákona a zverejňuje ich na svojom webovom sídle,
l)vydáva, spravuje a zverejňuje certifikačné politiky slúžiace na identifikáciu súladu certifikátov vydaných kvalifikovanými poskytovateľmi dôveryhodných služieb s požiadavkami podľa tohto zákona,
m)vydáva, spravuje a zverejňuje podpisové politiky, ktoré obsahujú najmä zoznam algoritmov a ich minimálne parametre pre elektronický podpis od úrovne bezpečnosti zdokonalený elektronický podpis a pre elektronickú pečať od úrovne bezpečnosti zdokonalená elektronická pečať, ktoré sa od ich zverejnenia úradom musia dodržiavať v styku s orgánmi verejnej moci.
(2)V rozsahu, v akom to úradu umožňujú technické podmienky a kapacity, poskytuje úrad kvalifikované dôveryhodné služby orgánom verejnej moci bezodplatne a za rovnakých podmienok. Úrad má pri poskytovaní kvalifikovaných dôveryhodných služieb postavenie kvalifikovaného poskytovateľa dôveryhodných služieb.
§ 12
Kontrola
(1)Pri výkone kontroly nad dodržiavaním ustanovení tohto zákona postupuje úrad podľa základných pravidiel kontrolnej činnosti ustanovených osobitným predpisom.36)
(2)Na účely výkonu kontroly má poskytovateľ dôveryhodných služieb práva a povinnosti kontrolovaného subjektu podľa osobitného predpisu.37)
(3)Ustanovenia odsekov 1 a 2 sa použijú pri výkone dohľadu podľa osobitného predpisu.38)
Priestupky a iné správne delikty
§ 13
31)CertHash (pozitívne prehlásenie), kapitola 3.1.2, Common PKI Specification V2.0.
32)RFC 6960 X.509 Internet PublicKeyInfrastructure, OnlineCertificate Status Protocol OCSP.
33)Čl. 24 ods. 2 písm. i) nariadenia (EÚ) č. 910/2014.
34) Čl. 22 nariadenia (EÚ) č. 910/2014.
Vykonávacie rozhodnutie komisie (EÚ) 2015/1505 z 8. septembra 2015, ktorým sa ustanovujú technické špecifikácie a formáty týkajúce sa dôveryhodných zoznamov podľa článku 22 ods. 5 nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu (Ú. v. EÚ L 235, 9.9.2015).
35)Čl. 17 ods. 2 a ods. 4 písm. d), čl. 19 ods. 3, čl. 22 ods. 3, čl. 30 ods. 2 a čl. 31 ods. 1 nariadenia (EÚ) č. 910/2014.
36)§ 8 až 13 zákon Národnej rady Slovenskej republiky č. 10/1996 Z. z. o kontrole v štátnej správe v znení neskorších predpisov.
37)§ 12 zákona č. 10/1996 Z. z.
38)Čl. 17, čl. 19 a čl. 20 nariadenia (EÚ) č. 910/2014.
8
(1)Priestupku sa dopustí ten, kto použije značku dôvery EÚ39) v rozpore s čl. 23 ods. 1 nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93/ES (Ú. v. EÚ L 257, 28.8.2014) (ďalej len nariadenie (EÚ) č. 910/2014).
(2)Priestupku sa dopustí ten, kto poruší podmienky a obmedzenia využívania kvalifikovanej dôveryhodnej služby podľa Čl. 24 ods. 2 písm. d) nariadenia (EÚ) č. 910/2014.
(3)Za priestupok možno uložiť pokutu do 2 000 eur.
(4)Na priestupky a ich prejednávanie sa vzťahuje všeobecný predpis o priestupkoch.40)
(5)Priestupky prejednáva úrad.
§ 14
(1)Úrad uloží pokutu do 3 000 eur právnickej osobe alebo fyzickej osobe podnikateľovi, ktorý sa dopustí správneho deliktu tým, že použije značku dôvery EÚ
39
39) v rozpore s čl. 23 ods. 1 nariadenia (EÚ) č. 910/2014.
(2)Úrad uloží pokutu do 3 000 eur právnickej osobe alebo fyzickej osobe podnikateľovi, ktorý sa dopustí správneho deliktu tým, že poruší podmienky a obmedzenia využívania kvalifikovanej dôveryhodnej služby podľa čl. 24 ods. 2 písm. d) nariadenia (EÚ) č. 910/2014.
(3)Úrad uloží pokutu do 3 000 eur orgánu verejnej moci, ktorý sa dopustí správneho deliktu tým, že odmietne prijať kvalifikovaný elektronický podpis alebo kvalifikovanú elektronickú pečať vo formáte, ktorý je v súlade s prílohou implementačného aktu vydaného podľa čl. 27 ods. 5 a čl. 37 ods. 5 nariadenia (EÚ) č. 910/2014.
(4)Úrad uloží pokutu do 3 000 eur orgánu verejnej moci, ktorý sa dopustí správneho deliktu tým, že vytvorí kvalifikovaný elektronický podpis alebo kvalifikovanú elektronickú pečať vo formáte, ktorý nie je v súlade s prílohou implementačného aktu vydaného podľa čl. 27 ods. 5 a čl. 37 ods. 5 nariadenia (EÚ) č. 910/2014.
(5)Úrad uloží pokutu do 33 000 eur poskytovateľovi dôveryhodných služieb, ktorý sa dopustí správneho deliktu tým, že
a)neprijme vhodné technické a organizačné opatrenia na riadenie rizík ohrozujúcich bezpečnosť ním poskytovaných dôveryhodných služieb podľa čl. 19 ods. 1 o nariadenia (EÚ) č. 910/2014,
b)v rozpore s čl. 19 ods. 1 nariadenia (EÚ) č. 910/2014 neoznámi narušenie bezpečnosti alebo integrity orgánu dohľadu alebo inému príslušnému orgánu,
c)v rozpore s čl. 21 ods. 3 nariadenia (EÚ) č. 910/2014 poskytuje dôveryhodnú službu ako kvalifikovanú skôr, ako sa kvalifikovaný štatút uvedie v dôveryhodných zoznamoch.
39)Vykonávacie nariadenie Komisie (EÚ) 2015/806 z 22. mája 2015, ktorým sa ustanovujú špecifikácie týkajúce sa formy značky dôvery EÚ pre kvalifikované dôveryhodné služby (Ú. v. L 128, 23.5.2015).
40)Zákon Slovenskej národnej rady č. 372/1990 Zb. o priestupkoch v znení neskorších predpisov.
9
(6)Úrad uloží pokutu do 66 000 eur kvalifikovanému poskytovateľovi dôveryhodných služieb, ktorý sa dopustí správneho deliktu tým, že
a)porušil povinnosti podľa § 5, § 6 ods. 1 alebo 2 alebo § 7,
b)v rozpore s čl. 20 ods. 1 nariadenia (EÚ) č. 910/2014
1.sa nepodrobí auditu zo strany orgánu posudzovania zhody aspoň raz za 24 mesiacov alebo
2.nepredloží výslednú správu o posúdení zhody orgánu dohľadu v lehote troch pracovných dní od jej doručenia,
c)sa nepodrobí auditu zo strany orgánu dohľadu alebo orgánu posudzovania zhody podľa čl. 20 ods. 2 nariadenia (EÚ) č. 910/2014,
d)nezaručí, aby sa na jeho webovom sídle uvádzal odkaz na príslušný dôveryhodný zoznam podľa čl. 23 ods. 2 nariadenia (EÚ) č. 910/2014,
e)neoverí totožnosť fyzickej osoby alebo identifikačné údaje právnickej osoby, ktorej vydáva kvalifikovaný certifikát podľa čl. 24 ods. 1 nariadenia (EÚ) č. 910/2014,
f)neinformuje orgán dohľadu o všetkých zmenách pri poskytovaní svojich kvalifikovaných dôveryhodných služieb a o zámere ukončiť tieto činnosti podľa čl. 24 ods. 2 písm. a) nariadenia (EÚ) č. 910/2014,
g)zamestnáva personál a má subdodávateľov v rozpore s čl. 24 ods. 2 písm. b) nariadenia (EÚ) č. 910/2014,
h)v rozpore s čl. 24 ods. 2 písm. c) nariadenia (EÚ) č. 910/2014
1.neudržiava postačujúce finančné prostriedky alebo
2.neuzatvorí vhodné poistenie zodpovednosti za škodu,
i)nesplní informačnú povinnosť podľa čl. 24 ods. 2 písm. d) nariadenia (EÚ) č. 910/2014,
j)nepoužíva dôveryhodné systémy a produkty podľa čl. 24 ods. 2 písm. e) nariadenia (EÚ) č. 910/2014,
k)nepoužíva dôveryhodné systémy na uchovávanie údajov podľa čl. 24 ods. 2 písm. f) nariadenia (EÚ) č. 910/2014,
l)neprijme vhodné opatrenia proti falšovaniu a krádeži údajov podľa čl. 24 ods. 2 písm. g) nariadenia (EÚ) č. 910/2014,
m)nezaznamená, neuchová alebo nesprístupní všetky relevantné informácie podľa čl. 24 ods. 2 písm. h) nariadenia (EÚ) č. 910/2014,
n)nemá aktualizovaný plán ukončenia činností na zabezpečenie kontinuity služby podľa čl. 24 ods. 2 písm. i) nariadenia (EÚ) č. 910/2014,
o)v rozpore s čl. 24 ods. 2 písm. k) nariadenia (EÚ) č. 910/2014 nezriadi alebo neaktualizuje databázu certifikátov,
p)nezverejní zrušenie ním vydaného kvalifikovaného certifikátu podľa čl. 24 ods. 3 nariadenia (EÚ) č. 910/2014,
q)neposkytne spoliehajúcej sa strane informácie o štatúte platnosti alebo zrušenia ním vydaných kvalifikovaných certifikátov podľa čl. 24 ods. 4 nariadenia (EÚ) č. 910/2014,
r)v rozpore s čl. 28 ods. 4 nariadenia (EÚ) č. 910/2014 zmení štatút zrušeného kvalifikovaného certifikátu pre elektronický podpis,
s)neposkytne validáciu kvalifikovaného elektronického podpisu alebo kvalifikovanej elektronickej pečate podľa čl. 33 ods. 1 písm. a) nariadenia (EÚ) č. 910/2014,
t)neumožní spoliehajúcim sa stranám získať výsledok procesu validácie podľa čl. 33 ods. 1 písm. b) nariadenia (EÚ) č. 910/2014,
u)nepoužíva postupy a technológie požadované podľa čl. 34 ods. 1 nariadenia (EÚ) č. 910/2014,
v)v rozpore s čl. 38 ods. 4 nariadenia (EÚ) č. 910/2014 zmení štatút zrušeného kvalifikovaného certifikátu pre elektronickú pečať,
10
w)nezabezpečí, aby ním vydaná kvalifikovaná elektronická časová pečiatka,41) spĺňala požiadavky podľa čl. 42 ods. 1 nariadenia (EÚ) č. 910/2014 alebo
x)nezabezpečí, aby ním vydaný kvalifikovaný certifikát obsahoval presné, pravdivé a úplné údaje.
(7)Pri ukladaní pokuty za správny delikt úrad prihliadne najmä na závažnosť, spôsob, trvanie a dôsledky porušenia povinnosti.
(8)Ak do jedného roka odo dňa nadobudnutia právoplatnosti rozhodnutia o uložení pokuty dôjde k opätovnému porušeniu povinností, za ktoré bola pokuta uložená podľa odsekov 1 až 6, úrad uloží pokutu až do dvojnásobku výšky súm uvedených v odsekoch 1 až 6.
(9)Pokutu za správny delikt možno uložiť do dvoch rokov odo dňa zistenia porušenia povinnosti, najneskôr však do štyroch rokov odo dňa keď k porušeniu povinnosti došlo.
(10)Pokuta za správny delikt je splatná do 30 dní odo dňa nadobudnutia právoplatnosti rozhodnutia o jej uložení.
(11)Pokuty za správny delikt sú príjmom štátneho rozpočtu.
§ 15
Elektronická podateľňa
Elektronická podateľňa slúži na zabezpečenie činností súvisiacich s prijímaním, odosielaním a potvrdzovaním prijatia elektronických dokumentov a elektronických dokumentov podpísaných kvalifikovaným elektronickým podpisom alebo zapečatených kvalifikovanou elektronickou pečaťou.
§ 16
Splnomocňovacie ustanovenie
Úrad sa splnomocňuje na vydanie všeobecne záväzného právneho predpisu,
a)ktorý ustanovuje podrobnosti o overovaní kvalifikovaného elektronického podpisu alebo kvalifikovanej elektronickej pečate, formátoch kvalifikovaného elektronického podpisu alebo kvalifikovanej elektronickej pečate, formátoch kvalifikovaných certifikátov, formátoch pre informácie o štatúte platnosti alebo zrušenia kvalifikovaného certifikátu,
18
18) rozšíreniach dôveryhodného zoznamu, postupoch uchovávania elektronických podpisov, pečatí alebo certifikátov a formátoch podpisových politík pre národné rozšírenia pre dôveryhodnú infraštruktúru a dôveryhodné služby,
b)ktorým sa ustanovia podrobnosti o zabezpečení činností elektronickej podateľne súvisiace s prijímaním, odosielaním a potvrdzovaním prijatia elektronických dokumentov a elektronických dokumentov podpísaných kvalifikovaným elektronickým podpisom alebo zapečatených kvalifikovanou elektronickou pečaťou.
41)Čl. 3 ods. 34 nariadenia (EÚ) č. 910/2014.
11
§ 17
Spoločné ustanovenia
(1)Na konanie úradu podľa tohto zákona sa vzťahuje správny poriadok.
(2)Ak sa vo všeobecne záväzných právnych predpisoch používa pojem
a)zaručený elektronický podpis, rozumie sa tým kvalifikovaný elektronický podpis,
b)zaručená elektronická pečať, rozumie sa tým kvalifikovaná elektronická pečať,
c)časová pečiatka, rozumie sa tým kvalifikovaná elektronická časová pečiatka.
§ 18
Prechodné ustanovenia
(1)Poskytovateľ akreditovaných certifikačných služieb podľa doterajších predpisov sa považuje za poskytovateľa dôveryhodných služieb s kvalifikovaným štatútom poskytujúcim kvalifikovanú dôveryhodnú službu od času, kedy začala platnosť certifikátu vydaného úradom akreditovanej službe, ale nie skôr ako od času udelenia akreditácie v rozsahu pôvodnej akreditácie, a to do predloženia správy o posúdení zhody42) úradu, v lehote určenej osobitným predpisom.43)
(2)Akreditovaná služba vydávania časových pečiatok akreditovaná úradom vedená v zozname dôveryhodných informácií o poskytovateľoch certifikačných služieb podľa osobitných predpisov44) sa od nadobudnutia účinnosti tohto zákona považuje za dôveryhodnú službu s kvalifikovaným štatútom vydávajúcu kvalifikovanú elektronickú časovú pečiatku.
41
41)
(3)Bezpečné zariadenie na vyhotovovanie elektronickej pečate podľa doterajších predpisov sa považuje za zariadenie na vyhotovovanie kvalifikovanej elektronickej pečate podľa osobitného predpisu,27) do uplynutia platnosti alebo zrušenia certifikátu zariadenia.
(4)Kvalifikovaný systémový certifikát vydaný podľa doterajších predpisov sa považuje za kvalifikovaný certifikát pre kvalifikovanú elektronickú pečať podľa osobitného predpisu,
11
11) do uplynutia jeho platnosti alebo jeho zrušenia.
(5)Informácie o štatúte platnosti alebo zrušenia kvalifikovaných certifikátov
18
18) v Online Certificate Status Protocol (OCSP) odpovedi
32
32) ktorá musí obsahovať pozitívne prehlásenie o existencii a správnosti údajov
31
31) sa povinne poskytujú od 1. januára 2018.
§ 19
Zrušovacie ustanovenie
Zrušujú sa:
1.zákon č. 215/2002 Z. z. o elektronickom podpise a o zmene a doplnení niektorých zákonov v znení zákona č. 679/2004 Z. z., zákona č. 25/2006 Z. z., zákona č. 275/2006 Z. z., zákona č. 214/2008 Z. z., zákona č. 289/2012 Z. z., zákona č. 305/2013 Z. z., zákona č. 273/2015 Z. z a zákona č. 91/2016 Z. z.,
42)Čl. 24 nariadenia (EÚ) č. 910/2014.
43)Čl. 51 ods. 4 nariadenia (EÚ) č. 910/2014.
44)Vykonávacie rozhodnutie Komisie 2013/662/EÚ zo 14. októbra 2013 , ktorým sa mení rozhodnutie 2009/767/ES, pokiaľ ide o zostavovanie, vedenie a uverejňovanie zoznamov dôveryhodných informácií o poskytovateľoch certifikačných služieb, ktorí podliehajú dohľadu členského štátu alebo sú v ňom akreditovaní.
12
2.vyhláška Národného bezpečnostného úradu č. 131/2009 Z. z. o formáte, obsahu a správe certifikátov a kvalifikovaných certifikátov a formáte, periodicite a spôsobe vydávania zoznamu zrušených kvalifikovaných certifikátov (o certifikátoch a kvalifikovaných certifikátoch) v znení vyhlášky č. 323/2012 Z. z. a vyhlášky č. 60/2014 Z. z.,
3.vyhláška Národného bezpečnostného úradu č. 132/2009 Z. z. o podmienkach na poskytovanie akreditovaných certifikačných služieb a o požiadavkách na audit, rozsah auditu a kvalifikáciu audítorov v znení vyhlášky č. 61/2014 Z. z.,
4.vyhláška Národného bezpečnostného úradu č. 133/2009 Z. z. o obsahu a rozsahu prevádzkovej dokumentácie vedenej certifikačnou autoritou a o bezpečnostných pravidlách a pravidlách na výkon certifikačných činností v znení vyhlášky č. 62/2014 Z. z.,
5.vyhláška Národného bezpečnostného úradu č. 134/2009 Z. z. ktorou sa ustanovujú podrobnosti o požiadavkách na bezpečné zariadenia na vyhotovovanie časovej pečiatky a požiadavky na produkty pre elektronický podpis (o produktoch elektronického podpisu) v znení vyhlášky č. 63/2014 Z. z.,
6.vyhláška Národného bezpečnostného úradu č. 135/2009 Z. z. o formáte a spôsobe vyhotovenia zaručeného elektronického podpisu, spôsobe zverejňovania verejného kľúča úradu, podmienkach platnosti pre zaručený elektronický podpis, postupe pri overovaní a podmienkach overovania zaručeného elektronického podpisu, formáte časovej pečiatky a spôsobe jej vyhotovenia, požiadavkách na zdroj časových údajov a požiadavkách na vedenie dokumentácie časových pečiatok (o vyhotovení a overovaní elektronického podpisu a časovej pečiatky) v znení vyhlášky č. 32/2010 Z. z. a vyhlášky č. 64/2014 Z. z.,
7.vyhláška Národného bezpečnostného úradu č. 136/2009 Z. z. o spôsobe a postupe používania elektronického podpisu v obchodnom styku a administratívnom styku v znení vyhlášky č. 248/2015 Z. z.
Čl. II
Zákon Národnej rady Slovenskej republiky č. 145/1995 Z. z. o správnych poplatkoch v znení zákona Národnej rady Slovenskej republiky č. 123/1996 Z. z., zákona Národnej rady Slovenskej republiky č. 224/1996 Z. z., zákona č. 70/1997 Z. z., zákona č. 1/1998 Z. z., zákona č. 232/1999 Z. z., zákona č. 3/2000 Z. z., zákona č. 142/2000 Z. z., zákona č. 211/2000 Z. z., zákona č. 468/2000 Z. z., zákona č. 553/2001 Z. z., zákona č. 96/2002 Z. z., zákona č. 118/2002 Z. z., zákona č. 215/2002 Z. z., zákona č. 237/2002 Z. z., zákona č. 418/2002 Z. z., zákona č. 457/2002 Z. z., zákona č. 465/2002 Z. z., zákona č. 477/2002 Z. z., zákona č. 480/2002 Z. z., zákona č. 190/2003 Z. z., zákona č. 217/2003 Z. z., zákona č. 245/2003 Z. z., zákona č. 450/2003 Z. z., zákona č. 469/2003 Z. z., zákona č. 583/2003 Z. z., zákona č. 5/2004 Z. z., zákona č. 199/2004 Z. z., zákona č. 204/2004 Z. z., zákona č. 347/2004 Z. z., zákona č. 382/2004 Z. z., zákona č. 434/2004 Z. z., zákona č. 533/2004 Z. z., zákona č. 541/2004 Z. z., zákona č. 572/2004 Z. z., zákona č. 578/2004 Z. z., zákona č. 581/2004 Z. z., zákona č. 633/2004 Z. z., zákona č. 653/2004 Z. z., zákona č. 656/2004 Z. z., zákona č. 725/2004 Z. z., zákona č. 5/2005 Z. z., zákona č. 8/2005 Z. z., zákona č. 15/2005 Z.z., zákona č. 93/2005 Z.z., zákona č. 171/2005 Z.z., zákona č. 308/2005 Z.z., zákona č.
13
331/2005 Z.z., zákona č. 341/2005 Z.z., zákona č. 342/2005 Z.z., zákona č. 468/2005 Z. z, zákona č. 473/2005 Z.z., zákona č. 491/2005 Z.z., zákona č. 538/2005 Z.z., zákona č. 558/2005 Z.z., zákona č. 572/2005 Z.z., zákona č. 573/2005 Z.z., zákona č. 610/2005 Z.z., zákona č. 14/2006 Z.z., zákona č. 15/2006 Z.z., zákona č. 24/2006 Z.z., zákona č. 117/2006 Z.z., zákona č. 124/2006 Z.z., zákona č. 126/2006 Z.z., zákona č. 224/2006 Z.z., zákona č. 342/2006 Z.z., zákona č. 672/2006 Z.z., zákona č. 693/2006 Z.z., zákona č. 21/2007 Z.z., zákona č. 43/2007 Z.z., zákona č. 95/2007 Z.z., zákona č. 193/2007 Z.z., zákona č. 220/2007 Z.z., zákona č. 279/2007 Z.z., zákona č. 295/2007 Z.z., zákona č. 309/2007 Z.z., zákona č. 342/2007 Z.z., zákona č. 343/2007 Z.z., zákona č. 344/2007 Z.z., zákona č. 355/2007 Z.z., zákona č. 358/2007 Z.z., zákona č. 359/2007 Z.z., zákona č. 460/2007 Z.z., zákona č. 517/2007 Z.z., zákona č. 537/2007 Z.z., zákona č. 548/2007 Z.z., zákona č. 571/2007 Z.z., zákona č. 577/2007 Z.z., zákona č. 647/2007 Z.z., zákona č. 661/2007 Z.z., zákona č. 92/2008 Z.z., zákona č. 112/2008 Z.z., zákona č. 167/2008 Z.z., zákona č. 214/2008 Z.z., zákona č. 264/2008 Z.z., zákona č. 405/2008 Z.z., zákona č. 408/2008