Štvrtok, 28. marec 2024 | meniny má Soňa , zajtra Miroslav
Deň učiteľov
Predplatné
Štvrtok, 28. marec 2024 | meniny má Soňa , zajtra Miroslav
Deň učiteľov
TlačPoštaZväčšiZmenši

272/2016 Z. z.

najpravo.sk • 25.9. 2017, 17:46

DÔVODOVÁ SPRÁVA

 

A: VŠEOBECNÁ ČASŤ

 

Účelom návrhu zákona o dôveryhodných službách a o zmene a doplnení niektorých zákonov (ďalej len „návrh zákona“) je dosiahnuť súlad vnútroštátneho právneho poriadku s nariadením Európskeho parlamentu a rady (EÚ) č. 910/2014 zo dňa 23. júla 2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93/ES (ďalej len „nariadenie eIDAS“).

 

Cieľom nariadenia eIDAS je posilniť dôveru pri elektronických transakciách na vnútornom trhu vytvorením spoločného základu pre bezpečné elektronické interakcie medzi občanmi, podnikmi a orgánmi verejnej správy, čím sa zvýši účinnosť verejných a súkromných on-line služieb, elektronického podnikania a elektronického obchodu v  Európskej únii (ďalej len „EÚ“).. Pre dosiahnutie predmetného cieľa nariadenie eIDAS vytvára podmienky pre vzájomné uznávanie kľúčových cezhraničných prostriedkov komunikácie ako sú elektronická identifikácia, elektronické dokumenty, elektronické podpisy a elektronické doručovacie služby.

 

Nariadenie eIDAS ruší smernicu Európskeho parlamentu a Rady 1999/93/ES, ktorá upravuje oblasť elektronického podpisu, pričom zároveň zachováva jej prínos a rozširuje a vytvára rámec pre bezpečné a dôveryhodné elektronické transakcie na vnútornom trhu EÚ. Nariadenie eIDAS teda stanovuje pravidlá poskytovania dôveryhodných služieb pre elektronické transakcie na vnútornom trhu, kam zaraďuje služby poskytované pre oblasť elektronického podpisu, a definuje niektoré nové dôveryhodné služby. Toto nariadenie tiež definuje podmienky, za ktorých členské štáty uznávajú prostriedky pre elektronickú identifikáciu fyzických osôb a právnických osôb vydané inými členskými štátmi.

 

Nariadením eIDAS je upravená oblasť pravidiel pre dôveryhodné služby, a to služieb pre vyhotovovanie, overovanie a validáciu elektronických podpisov, elektronických pečatí, elektronických časových pečiatok, elektronické dokumenty, elektronické doručovacie služby pre registrované zásielky a služby pre vyhotovovanie, overovanie a validáciu certifikátov pre  autentifikáciu webových sídiel a podmienky, za ktorých členské štáty certifikujú a uznávajú zariadenia na vyhotovovanie kvalifikovaného elektronického podpisu a uznávajú prostriedky elektronickej identifikácie fyzických osôb a právnických osôb, ktoré sú súčasťou oznámeného systému elektronickej identifikácie iného členského štátu.

 

Nosnú právnu úpravu identifikácie a autentifikácie osôb v Slovenskej republike predstavuje zákon č. 305/2013 o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov (zákon o e-Governmente) v znení neskorších predpisov. Navrhovaná právna úprava umožňuje elektronickú identifikáciu fyzickej osoby alebo právnickej osoby potrebnú pre poskytnutie on-line služby na základe prostriedkov elektronickej identifikácie. Nariadenie eIDAS ponecháva na členských štátoch definovanie, ktorá schéma elektronickej identifikácie používaná na národnej úrovni bude notifikovaná komisii a teda využívaná od roku 2018 cezhranične.

 

Navrhovaný právny predpis predstavuje tzv. implementačný/vykonávací zákon a jeho účelom je „doplnenie“ nariadenia eIDAS. Preto predkladaný návrh upravuje ustanovenia „menšieho rozsahu“, ako doposiaľ platný zákon č. 215/2002 Z. z. o elektronickom podpise a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len „zákon č. 215/2002 Z. z.“). Zákon č. 215/2002 Z. z. zaviedol do právneho poriadku Slovenskej republiky nové pojmy a inštitúty (elektronický podpis, elektronická pečať, zaručený elektronický podpis, zaručená elektronická pečať, časová pečiatka, certifikačná autorita, produkty pre elektronický podpis a pod.), definoval podmienky ich používania, povinnosti certifikačných autorít ako poskytovateľov služieb, technické a bezpečnostné požiadavky na používané systémy a zariadenia, ktoré konkretizoval vo vykonávacích predpisoch vydaných Národným bezpečnostným úradom (ďalej len „úrad“).

 

Predkladaný zákon ruší v súčasnosti platný zákon č. 215/2002 Z. z. a prináša zmeny, podstatnú časť ktorých predstavuje zosúladenie postupov v poskytovaní dôveryhodných služieb a zabezpečení dohľadu, upravuje pôsobnosť úradu ako aj zodpovednosť za porušenie povinností. Predkladaný zákon dopĺňa nariadenie eIDAS v častiach, ktoré sú zverené do výlučnej kompetencie členskému štátu tak, aby navrhovaný zákon spolu s nariadením eIDAS tvorili ucelenú, prehľadnú a aplikovateľnú právnu úpravu.

 

Z nariadenia eIDAS plynú tieto vecné okruhy implementácie:

1.            Vnútroštátne orgány členského štátu sú povinné zabezpečiť primerané opatrenia na plnenie úloh v oblasti dohľadu.

2.            Vnútroštátne orgány členského štátu sú povinné zriadiť dôveryhodné zoznamy vo forme vhodnej pre automatické spracovanie, udržiavať a zverejňovať ich zabezpečeným spôsobom.

3.            V rámci vnútroštátneho práva je potrebné zabezpečiť, aby sa na poskytovateľov dôveryhodných služieb vzťahovali vhodné sankcie za porušenie nariadenia a implementujúceho/vykonávacieho zákona.

4.            Členské štáty môžu v súlade s právom Európskej únie zachovať alebo zaviesť vnútroštátne predpisy týkajúce sa dôveryhodných služieb, ak dané služby nie sú týmto nariadením plne harmonizované.

 

Navrhovaný zákon zaujíma vo vzťahu k nariadeniu eIDAS minimalistický prístup, v zákone je tak upravené iba to, čo nariadenie eIDAS výslovne ponecháva na vnútroštátnu úpravu. Ide teda o implementačný/vykonávací právny predpis k nariadeniu eIDAS, ktorý však nerieši všetky oblasti tohto nariadenia, ale iba tie jeho časti, ktoré budú aplikovateľné od 1. júla 2016, tzn. problematiku dôveryhodných služieb.

 

Nezosúladenie národného právneho poriadku s nariadením eIDAS by mohlo byť Európskou komisiou považované za nesplnenie povinností vyplývajúcich Slovenskej republike z primárneho práva Európskej únie (Zmluva o Európskej únii a Zmluva o fungovaní Európskej únie), pričom by Európska komisia na základe článku 258 Zmluvy o fungovaní Európskej únie mohla predložiť túto záležitosť Súdnemu dvoru Európskej únie.

 

Podrobnosti k dôveryhodným službám vyplývajúcim z nariadenia eIDAS sú upravené v jeho vykonávacích aktoch, prípadne vo vykonávacích aktoch k iným sekundárnym prameňom komunitárneho práva. Týmito vykonávacími aktmi sú napríklad:

 

-              rozhodnutie Komisie 2009/767/ES z 16. októbra 2009, ktorým sa ustanovujú opatrenia na uľahčenie postupov elektronickými spôsobmi prostredníctvom „miest jednotného kontaktu“ podľa smernice Európskeho parlamentu a Rady 2006/123/ES o službách na vnútornom trhu, a to pri nedostatku osobitnej právnej úpravy v tomto smere,

-              rozhodnutie Komisie 2011/130/EÚ z 25. februára 2011, ktorým sa ustanovujú minimálne požiadavky na cezhraničné spracovanie dokumentov elektronicky podpísaných príslušnými orgánmi podľa smernice 2006/123/ES Európskeho parlamentu a Rady o službách na vnútornom trhu,

-              vykonávacie nariadenie Komisie (EÚ) 2015/1502 z 8. septembra 2015, ktorým sa stanovujú minimálne technické špecifikácie a postupy pre úrovne zabezpečenia prostriedkov elektronickej identifikácie podľa článku 8 ods. 3 nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu,

-              vykonávacie rozhodnutie Komisie (EÚ) 2015/1506 z 8. septembra 2015, ktorým sa ustanovujú špecifikácie týkajúce sa formátov zdokonalených elektronických podpisov a zdokonalených elektronických pečatí, ktoré môžu subjekty verejného sektora uznávať, podľa článkov 27 ods. 5 a 37 ods. 5 nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu,

-              vykonávacie nariadenie Komisie (EÚ) 2015/1501 z 8. septembra 2015 o rámci interoperability podľa článku 12 ods. 8 nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu,

-              vykonávacie nariadenie Komisie (EÚ) 2015/806 z 22. mája 2015, ktorým sa ustanovujú špecifikácie týkajúce sa formy značky dôvery EÚ pre kvalifikované dôveryhodné služby,

-              vykonávacie rozhodnutie Komisie (EÚ) 2015/296 z 24. februára 2015, ktorým sa stanovujú procedurálne opatrenia týkajúce sa spolupráce medzi členskými štátmi v oblasti elektronickej identifikácie podľa článku 12 ods. 7 nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu,

-              vykonávacie rozhodnutie Komisie (EÚ) 2015/1505 z 8. septembra 2015, ktorým sa ustanovujú technické špecifikácie a formáty týkajúce sa dôveryhodných zoznamov podľa článku 22 ods. 5 nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu.

-              vykonávacie rozhodnutie komisie (EÚ) 2016/650 z 25. apríla 2016, ktorým sa stanovujú  normy posudzovania bezpečnosti zariadení na vyhotovenie kvalifikovaného podpisu a pečate podľa článku 30 ods. 3 a článku 39 ods. 2 nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu.

 

Nariadenie eIDAS definuje niekoľko typov elektronických podpisov podľa úrovne bezpečnosti: elektronický podpis, zdokonalený elektronický podpis, zdokonalený elektronický podpis založený na kvalifikovanom certifikáte a kvalifikovaný elektronický podpis.

 

Z pohľadu nariadenia eIDAS kvalifikovaný elektronický podpis ponúka najvyššiu úroveň bezpečnosti - elektronický podpis vyhotovený osobou s údajmi na vyhotovenie elektronického podpisu (súkromný kľúč), ktoré sa nachádzajú v zariadení na vyhotovenie kvalifikovaného elektronického podpisu (QSCD), pre ktorú bol vydaný kvalifikovaný certifikát obsahujúci súvisiace údaje na validáciu elektronického podpisu (verejný kľúč), identitu tejto osoby (podpisovateľ) a osoby zodpovednej za vydanie tohto certifikátu (poskytovateľ kvalifikovanej dôveryhodnej služby vyhotovovania a overovania certifikátov).

 

Iba kvalifikovanému elektronickému podpisu priznáva nariadenie eIDAS, bez potreby ďalšieho skúmania, rovnocenný právny účinok s vlastnoručným podpisom a tento elektronický podpis musí byť uznávaný vo všetkých členských štátoch.

 

Obdobne ako pri elektronickom podpise definuje nariadenie eIDAS niekoľko typov elektronických pečatí podľa úrovne bezpečnosti: elektronickú pečať, zdokonalenú elektronickú pečať, zdokonalenú elektronickú pečať založenú na kvalifikovanom certifikáte a kvalifikovanú elektronickú pečať.

 

Z pohľadu nariadenia eIDAS kvalifikovaná elektronická pečať ponúka najvyššiu úroveň bezpečnosti. Kvalifikovaná elektronická pečať bola vytvorená právnickou osobou s údajmi na vyhotovenie elektronickej pečate (súkromný kľúč), ktoré sa nachádzajú v zariadení na vyhotovenie kvalifikovanej elektronickej pečate (QSCD), pre ktorú bol vydaný kvalifikovaný certifikát obsahujúci súvisiace údaje na validáciu elektronickej pečate (verejný kľúč), identitu tejto osoby (pôvodcu pečate) a osoby zodpovednej za vydanie tohto certifikátu (poskytovateľ kvalifikovanej dôveryhodnej služby vyhotovovania a  overovania certifikátov).

 

Ako je uvedené v nariadení eIDAS, pri kvalifikovanej elektronickej pečati platí domnienka integrity dát a správnosti pôvodu týchto dát, s ktorými je kvalifikovaná elektronická pečať spojená. Certifikát pre elektronickú pečať možno vydať iba právnickej osobe.

 

Elektronické pečate by mali slúžiť ako dôkaz toho, že elektronický dokument vydala určitá právnická osoba, a ďalej poskytovať istotu o pôvode a integrite dokumentu. Elektronické pečate môžu byť zo svojej podstaty použité pre automatické zapečatenie dokumentov elektronickou pečaťou. Ich najväčšie použitie v súvislosti s automatickým zapečatením  sa predpokladá tam, kde je nutné preukázať pôvod a integritu dokumentu napr. v prípade výpisu z informačných systémov, doručenky pre odosielanie a doručovanie údajov kvalifikovanej elektronickej doručovacej služby pre registrované zásielky atď. Pre tieto prípady by sa mala použiť najmä kvalifikovaná elektronická pečať.

 

Úpravou terminológie sa mení v slovenskej legislatíve zavedený pojem „zaručený elektronický podpis“ na pojem „kvalifikovaný elektronický podpis“, pričom postup technickej realizácie ostáva zachovaný a dopĺňa sa o ďalšiu možnosť, kedy kvalifikovaní poskytovatelia dôveryhodných služieb spravujúci údaje na vyhotovenie kvalifikovaného elektronického podpisu v mene podpisovateľa môžu údaje na vyhotovenie kvalifikovaného elektronického podpisu rozmnožiť len pre účely zálohovania. Právne účinky takéhoto podpisu upravené v § 40 ods. 4 a 5 Občianskeho zákonníka ostávajú zachované. Obdobne úpravou terminológie sa mení aj pojem „zaručená elektronická pečať“ na pojem „kvalifikovaná elektronická pečať“ a pojem „časová pečiatka“  na „kvalifikovaná elektronická časová pečiatka“.

 

Návrh zákona v súlade s pravidlami pre implementáciu všeobecne záväzných aktov EÚ neobsahuje ustanovenie, ktoré by definovalo pojmy používané nariadením eIDAS. Základné pojmy, ktoré používa aj navrhovaný zákon, sú definované najmä v článku 3 nariadenia eIDAS.

 

Na účely nariadenia eIDAS a navrhovaného zákona sa rozumie:

 

-              „podpisovateľ“  fyzická osoba, ktorá vyhotovuje elektronický podpis,

-              „elektronický podpis“  údaje v elektronickej forme, ktoré sú pripojené alebo logicky pridružené k iným údajom v elektronickej forme a ktoré podpisovateľ používa na podpisovanie,

-              „zdokonalený elektronický podpis“ elektronický podpis, ktorý spĺňa požiadavky stanovené v článku 26,

-              „kvalifikovaný elektronický podpis“ zdokonalený elektronický podpis vyhotovený s použitím kvalifikovaného zariadenia na vyhotovenie elektronického podpisu a založený na kvalifikovanom certifikáte pre elektronické podpisy,

-              „údaje na vyhotovenie elektronického podpisu“ jedinečné údaje, ktoré podpisovateľ používa na vyhotovenie elektronického podpisu,

-              „certifikát pre elektronický podpis“ elektronické osvedčenie, ktoré spája údaje na validáciu elektronického podpisu s fyzickou osobou a potvrdzuje aspoň jej meno alebo pseudonym,

-              „kvalifikovaný certifikát pre elektronický podpis“ certifikát pre elektronický podpis, ktorý vydáva kvalifikovaný poskytovateľ dôveryhodných služieb a ktorý spĺňa požiadavky stanovené v prílohe I,

-              „dôveryhodná služba“ elektronická služba, ktorá sa spravidla poskytuje za odplatu a spočíva:

a)            vo vyhotovovaní, overovaní a validácii elektronických podpisov, elektronických pečatí alebo elektronických časových pečiatok, elektronických doručovacích služieb pre registrované zásielky a certifikátov, ktoré s týmito službami súvisia, alebo

b) vo vyhotovovaní, overovaní a validácii certifikátov pre autentifikáciu webových sídiel,  alebo

c) v uchovávaní elektronických podpisov, pečatí alebo certifikátov, ktoré s týmito službami súvisia,

-              „kvalifikovaná dôveryhodná služba“ dôveryhodná služba, ktorá spĺňa uplatniteľné požiadavky stanovené v tomto nariadení,

-              „orgán posudzovania zhody“ orgán vymedzený v článku 2 bod 13 nariadenia (ES) č. 765/2008, ktorý je v súlade s uvedeným nariadením akreditovaný ako orgán príslušný na posudzovanie zhody kvalifikovaných poskytovateľov dôveryhodných služieb a kvalifikovaných dôveryhodných služieb, ktoré poskytujú,

-              „poskytovateľ dôveryhodných služieb“ fyzická osoba alebo právnická osoba poskytujúcu jednu alebo viacero dôveryhodných služieb buď ako kvalifikovaný alebo nekvalifikovaný poskytovateľ dôveryhodných služieb,

-              „kvalifikovaný poskytovateľ dôveryhodných služieb“ poskytovateľ dôveryhodných služieb, ktorý poskytuje jednu alebo viacero kvalifikovaných dôveryhodných služieb a ktorému orgán dohľadu udelil kvalifikovaný štatút,

-              „produkt“ hardvér alebo softvér alebo príslušné zložky hardvéru alebo softvéru určené na používanie pri poskytovaní dôveryhodných služieb,

-              „zariadenie na vyhotovenie elektronického podpisu“ nakonfigurovaný softvér alebo hardvér používaný na vyhotovenie elektronického podpisu,

-              „zariadenie na vyhotovenie kvalifikovaného elektronického podpisu“ zariadenie na vyhotovenie elektronického podpisu, ktoré spĺňa požiadavky stanovené v prílohe II;

-              „pôvodca pečate“ je právnická osoba, ktorá vyhotovuje elektronickú pečať,

-              „elektronická pečať“ údaje v elektronickej forme, ktoré sú pripojené alebo logicky pridružené k iným údajom v elektronickej forme s cieľom zabezpečiť pôvod a integritu týchto pridružených údajov,

-              „zdokonalená elektronická pečať“ elektronická pečať, ktorá spĺňa požiadavky stanovené v článku 36,

-              „kvalifikovaná elektronická pečať“ zdokonalená elektronická pečať vyhotovená pomocou zariadenia na vyhotovenie kvalifikovanej elektronickej pečate a založená na kvalifikovanom certifikáte pre elektronickú pečať,

-              „údaje pre vyhotovenie elektronickej pečate“ jedinečné údaje, ktoré používa pôvodca elektronickej pečate na vyhotovenie elektronickej pečate,

-              „certifikát pre elektronickú pečať“ elektronické osvedčenie, ktoré spája údaje na validáciu elektronickej pečate s právnickou osobou a potvrdzuje jej názov,

-              „kvalifikovaný certifikát pre elektronickú pečať“ certifikát pre elektronickú pečať, ktorý vydáva kvalifikovaný poskytovateľ dôveryhodných služieb a ktorý spĺňa požiadavky stanovené v prílohe III,

-              „zariadenie na vyhotovenie elektronickej pečate“ nakonfigurovaný softvér alebo hardvér používaný na vyhotovenie elektronickej pečate,

-              „zariadenie na vyhotovenie kvalifikovanej elektronickej pečate“ zariadenie na vyhotovenie elektronickej pečate, ktoré primerane spĺňa požiadavky stanovené v prílohe II,

-              „elektronická časová pečiatka“ údaje v elektronickej forme, ktoré viažu iné údaje v elektronickej forme s konkrétnym časom, čím tvoria dôkaz o existencii týchto iných údajov v danom čase,

-              „kvalifikovaná elektronická časová pečiatka“ elektronická časová pečiatka, ktorá spĺňa požiadavky stanovené v článku 42,

-              „elektronický dokument“ akýkoľvek obsah uložený v elektronickej forme, najmä text alebo zvukový, obrazový či audiovizuálny záznam,

-              „elektronická doručovacia služba pre registrované zásielky“ služba, ktorá umožňuje posielanie údajov elektronickými prostriedkami medzi tretími stranami a poskytuje dôkaz týkajúci sa zaobchádzania s odoslanými údajmi vrátane potvrdenia o odoslaní a doručení údajov a ktorá chráni odosielané údaje pred rizikom straty, krádeže, poškodenia alebo akýchkoľvek neoprávnených úprav,

-              „kvalifikovaná elektronická doručovacia služba pre registrované zásielky“ elektronickú doručovaciu službu pre registrované zásielky, ktorá spĺňa požiadavky stanovené v článku 44,

-              „certifikát pre autentifikáciu webového sídla“ osvedčenie, ktoré umožňuje autentifikáciu webového sídla a spája toto webové sídlo s fyzickou osobou alebo právnickou osobou, ktorej bol certifikát vydaný,

-              „kvalifikovaný certifikát pre autentifikáciu webového sídla“ certifikát pre autentifikáciu webového sídla, ktorý vydáva kvalifikovaný poskytovateľ dôveryhodných služieb a ktorý spĺňa požiadavky stanovené v prílohe IV,

-              „validačné údaje“ údaje, ktoré sa používajú na validáciu elektronického podpisu, alebo elektronickej pečate,

-              „validácia“ proces overenia a potvrdenia, že elektronický podpis alebo elektronická pečať sú platné.

 

Návrh zákona stanovuje prechodné obdobie s cieľom zabezpečiť právnu istotu pre subjekty, ktoré už používajú kvalifikované certifikáty vydané v súlade so zákonom č. 215/2002 Z. z., ako aj pre poskytovateľov certifikačných služieb, ktorí získali akreditáciu pred 1. júlom 2016.

 

Predkladaný zákon splnomocňuje úrad na vydanie technických postupov činností, ktoré si vyžadujú detailnejšiu úpravu.

 

Návrh zákona má pozitívny a negatívny vplyv na rozpočet verejnej správy, nemá vplyvy na podnikateľské prostredie, sociálne vplyvy ani vplyvy na životné prostredie a má pozitívny vplyv na informatizáciu.

 

Návrh zákona nie je predmetom vnútrokomunitárneho pripomienkového konania.

 

Návrh zákona je v súlade s Ústavou Slovenskej republiky, ústavnými zákonmi, medzinárodnými zmluvami a inými dokumentmi, ktorými je Slovenská republika viazaná, zákonmi Slovenskej republiky a zároveň je v súlade s právom Európskej únie.

 

2.2. Popis a charakteristika návrhu

 

2.2.1. Popis návrhu:

 

Navrhovaný právny predpis predstavuje tzv. adaptačný zákon a jeho účelom je „doplnenie“ nariadenia eIDAS. Z tohto dôvodu predkladaný návrh upravuje ustanovenia „menšieho rozsahu“ ako doteraz platný zákon č. 215/2002 Z. z. o elektronickom podpise a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, ktorý sa týmto návrhom zákona ruší. Nariadenie eIDAS ruší smernicu Európskeho parlamentu a Rady 1999/93/ES, ktorá upravovala oblasť elektronického podpisu, pričom zároveň zachováva jej prínos a rozširuje a vytvára rámec pre bezpečné a dôveryhodné elektronické transakcie na vnútornom trhu EÚ. Nariadenie eIDAS teda stanovuje pravidlá poskytovania dôveryhodných služieb pre elektronické transakcie na vnútornom trhu, kam zaraďuje služby poskytované pre oblasť elektronického podpisu, a definuje niektoré nové dôveryhodné služby. Toto nariadenie tiež definuje podmienky, za ktorých členské štáty uznávajú prostriedky pre elektronickú identifikáciu fyzických a právnických osôb vydané iným členským štátom. Návrh zákona však rieši iba tie časti nariadenia eIDAS, ktoré budú aplikovateľné od 1. júla 2016, tzn. problematiku služieb vytvárajúcich dôveru.

Predkladaný návrh zákona dopĺňa nariadenie eIDAS len v častiach, ktoré sú zverené do výlučnej kompetencie členskému štátu.

Neboli identifikované žiadne alternatívne riešenia.

 

Predkladaný návrh zákona bude implementovaný poskytovateľmi služieb v oblasti dôveryhodných služieb pre dôveryhodné transakcie na vnútornom trhu. Služby budú poskytované na regionálnej, celoštátnej úrovni aj medzištátnej úrovni.

 

 

2.2.2. Výpočty vplyvov na verejné financie

 

Pokiaľ ide o Národný bezpečnostný úrad, rozpočtové prostriedky budú kryté z Operačného programu Integrovaná infraštruktúra 2014-2020 a z rozpočtovej kapitoly Národného bezpečnostného úradu. Z Operačného programu Integrovaná infraštruktúra 2014-2020 v rámci projektu Informačný systém Elektronické služby Národného bezpečnostného úradu budú kryté rozpočtové prostriedky vo výške 14 800 800,- Eur, a to konkrétne v roku 2017 vo výške 7 400 400,- Eur vrátane spolufinancovania vo výške 15% a v roku 2018 tiež vo výške 7 400 400,- Eur vrátane spolufinancovania vo výške 15%. Z rozpočtovej kapitoly Národného bezpečnostného úradu budú kryté rozpočtové prostriedky vo výške 1 635 600,- Eur, a to konkrétne 240 000,- Eur v roku 2016, 240 000,- Eur v roku 2017, 240 000,- Eur v roku 2018 a 915 600,- Eur v roku 2019.

 

Štatistický úrad SR vyčísluje priamo vyvolaný vplyv na rozpočet verejnej správy o sumu 520 000,- Eur, a to konkrétne 260 000.- Eur v roku 2017 a 260 000 Eur v roku 2018 pre rozpočtovú kapitolu ŠÚ SR. Tento negatívny vplyv spôsobuje predĺženie prechodného obdobia na povinnú aktiváciu elektronických schránok právnických osôb a zapísaných organizačných zložiek úpravou § 60 ods. 10 zákona č. 305/2013 Z. z. o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov.

 

Pokiaľ ide o náklady prevádzkovateľa centrálnej infraštruktúry súvisiace s technologickými zmenami, tak Úrad vlády SR predpokladá negatívny vplyv vo výške 484 154,- Eur v roku 2016. Tento vplyv súvisí s novými pravidlami nariadenia eIDAS a pripravovaného zákona na aktivitu update CEP (centrálna elektronická podateľňa v rámci slovensko.sk).

 

 

B: OSOBITNÁ ČASŤ

 

Čl. I

 

§ 1

 

Navrhovaný zákon v nadväznosti na priamo záväzné a aplikovateľné nariadenie eIDAS upravuje oblasti, ktoré nariadenie eIDAS ponechalo na vnútroštátnu úpravu. Ide najmä o niektoré postupy poskytovateľov dôveryhodných služieb, dôveryhodné služby a ich národné rozšírenia , postavenie úradu a zodpovednosť za porušenie tohto zákona a nariadenia eIDAS.

 

§ 2

 

Znenie reflektuje skutočnosť, že kvalifikované certifikáty pre elektronický podpis (teda patriace fyzickej osobe) podľa nariadenia eIDAS obsahujú ako povinné položky len meno a priezvisko alebo pseudonym, čím v rámci elektronického výkonu služieb štátnej správy opätovne vzniká problém s identitou podpisovateľa. Využívajúc znenie nariadenia eIDAS, ktoré povoľuje v kvalifikovanom certifikáte uvádzať pre vnútroštátne potreby osobitné položky (z pohľadu cezhraničného styku nepovinné) sa upravuje obsah certifikátu tak, aby bola identita podpisovateľa jednoznačná. Pre vnútroštátne potreby, ako identifikačný údaj občana, ktorý by umožnil jednoznačne identifikovať totožnosť podpisovateľa v styku s orgánmi verejnej moci, sa navrhuje určiť tento identifikátor ako rodné číslo, číslo pasu alebo číslo identifikačnej karty (pre cudzincov). Takáto obsahová náležitosť zachová kontinuitu v poskytovaní služieb elektronického podpisu.

V podstate zhodná je úprava v prípade kvalifikovaného certifikátu pre elektronickú pečať, ktorý sa vydáva právnickým osobám.

 

§ 3

 

Od 1. júla 2016 budú akreditovaní poskytovatelia certifikačných služieb podľa zákona č. 215/2002 Z. z. s ohľadom na článok 51 ods. 3 nariadenia eIDAS považovaní za kvalifikovaných poskytovateľov dôveryhodnej služby vydávajúcej kvalifikované certifikáty, a to najdlhšie do 30. júna 2017. Poskytovatelia inej dôveryhodnej služby musia pre získanie kvalifikovaného štatútu postupovať podľa článku 21 nariadenia eIDAS.

Od 1. júla 2016 bude poskytovanie kvalifikovanej dôveryhodnej služby možné až po overení úradom, či služba spĺňa požiadavky kladené na ňu nariadením eIDAS a po následnom udelení kvalifikovaného štatútu pre danú službu. Na posúdenie má úrad lehotu 3 mesiace. Kvalifikovaný poskytovateľ dôveryhodných služieb môže začať poskytovať kvalifikovanú dôveryhodnú službu až po tom, čo bol tento kvalifikovaný štatút pre danú službu uvedený v dôveryhodnom zozname podľa článku 22 ods. 1 nariadenia eIDAS.

Podľa článku 21 nariadenia eIDAS poskytovateľ dôveryhodných služieb musí pred začatím poskytovania kvalifikovaných dôveryhodných služieb predložiť orgánu dohľadu oznámenie o svojom úmysle začať poskytovať kvalifikované dôveryhodné služby. Spolu s týmto oznámením musí tiež predložiť správu o posúdení zhody, ktorá je vydaná orgánom posudzovania zhody. Orgánom posudzovania zhody je podľa článku 3 ods. 18 nariadenia eIDAS subjekt vymedzený v článku 2 ods. 13 nariadenia (ES) č. 765/2008, ktorý je v súlade s uvedeným nariadením akreditovaný ako spôsobilý vykonávať posudzovanie zhody kvalifikovaného poskytovateľa dôveryhodných služieb a ním poskytovaných kvalifikovaných dôveryhodných služieb. Akreditačná schéma pre akreditáciu týchto subjektov sa pripravuje na európskej úrovni, avšak zatiaľ nie je jasné, kedy bude dokončená. Orgány posudzovania zhody by mali byť akreditované národnými akreditačnými autoritami. Ďalej je nutné počítať s časom potrebným pre samotné uskutočnenie akreditácie orgánov posudzovania zhody. Pri tomto procese sa musí overiť, či je orgán posudzovania zhody spôsobilý vykonávať posudzovanie zhody u kvalifikovaných poskytovateľov dôveryhodných služieb. V neposlednom rade treba brať tiež do úvahy čas potrebný na vykonanie samotného auditu a čas potrebný pre orgán dohľadu na overenie, či poskytovateľ dôveryhodných služieb a ním poskytovaná služba spĺňajú požiadavky nariadenia eIDAS na kvalifikovaného poskytovateľa a na kvalifikovanú dôveryhodnú službu.

 

Znenie ustanovenia upravuje požiadavky na poskytovateľov dôveryhodných služieb, ktoré nie sú obsiahnuté v nariadení eIDAS, ale vyplývajú z vnútroštátnej legislatívy. Oznámenie o zámere poskytovať kvalifikované dôveryhodné služby sa podáva elektronickým formulárom, ktorého vzor zverejní úrad na svojom webovom sídle. Žiadateľ spolu s oznámením o zámere poskytovať kvalifikované dôveryhodné služby zasiela úradu aj správu o posúdení zhody, ktorej súčasťou je kontrolný zoznam vychádzajúci zo šablóny podľa prílohy B z ETSI EN 319 411-2 V2.1.0 (ETSI EN 319 411-2 V2.1.0 Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 2: Requirements for trust service providers issuing EU qualified certificates). Zároveň, ak je poskytovaná služba založená na certifikáte, poskytovateľ zašle úradu aj certifikát, ktorý bude táto služba používať, ak nepožiada úrad o jeho vydanie. Môže byť zaslaných aj viacero certifikátov, napríklad aj „self signed“ certifikát.

 

Na základe článku 17 ods. 5 nariadenie eIDAS umožňuje členským štátom zriadiť, udržiavať a aktualizovať dôveryhodnú infraštruktúru s využitím existujúcich národných riešení. Úradom akreditované služby vyhotovovania kvalifikovaných certifikátov vkladajú do vydaných kvalifikovaných certifikátov identifikátory certifikačných politík, ktoré úrad zverejnení na svojom webovom sídle, a ktoré zabezpečia jednoznačnú identifikáciu certifikátu vydaného v súlade s vnútroštátnou legislatívou. Napríklad úrad vydá certifikačnú politiku identifikovanú objektovým identifikátorom (OID) 1.3.158.36061701.0.0.0.1.2.2, ktorá uvádza požiadavky podľa tohto zákona a súčasne zahŕňa certifikačné politiky definované v ETSI EN 319 411-2:

OID 0.4.0.194112.1.0 (QCP-n): the certificate policy for EU qualified certificates issued to natural persons,

OID 0.4.0.194112.1.1 (QCP-l): the certificate policy for EU qualified certificates issued to legal persons,

OID 0.4.0.194112.1.2 (QCP-n-qscd): the certificate policy for EU qualified certificates issued to natural persons with private key related to the certified public key in a QSCD,

OID 0.4.0.194112.1.3 (QCP-l-qscd): the certificate policy for EU qualified certificates issued to legal persons with private key related to the certified public key in a QSCD,

OID 0.4.0.194112.1.4 (QCP-w): the certificate policy for EU qualified web site authentication certificates.

 

Vďaka tomuto prístupu sa uvedie v kvalifikovanom certifikáte minimálne dvojica OID certifikačných politík, a to CP-SK-Leg  OID 1.3.158.36061701.0.0.0.1.2.2 a jeden z (QCP-n, QCP-l, QCP-n-qscd, QCP-l-qscd alebo QCP-w), čo zabezpečí aj jednotný postup pri posudzovaní služieb orgánom posudzovania zhody.

Certifikačné politiky obsahujú okrem vyššie uvedeného aj technické zadefinovanie práv a povinnosti podpisovateľa a pôvodcu pečate.

 

 

§ 4

 

Upravuje sa možnosť kvalifikovanej dôveryhodnej služby autorizovať inú kvalifikovanú dôveryhodnú službu na poskytovanie informácií o stave a platnosti vydaného kvalifikovaného certifikátu, keďže táto možnosť sa nenachádza vo vykonávacom rozhodnutí Komisie (EÚ) 2015/1505, ktorým sa ustanovujú technické špecifikácie a formáty týkajúce sa dôveryhodných zoznamov podľa článku 22 ods. 5 nariadenia eIDAS a v štandarde ETSI TS 119 612, pričom zodpovednosť za poskytovanie údajov o stave vydaných kvalifikovaných certifikátov je stále na kvalifikovanej dôveryhodnej službe, ktorá kvalifikovaný certifikát vydala. Nariadenie požaduje poskytovanie údajov o stave aj po uplynutí platnosti kvalifikovaného certifikátu a to aj keď uplynie platnosť certifikátu vydavateľa. V takomto prípade je možnosť uvedenia autorizácie len prostredníctvom národného rozšírenia dôveryhodného zoznamu, ktoré definuje úrad v príslušnom štandarde.

V druhom odseku sa upravuje možnosť kvalifikovaného poskytovateľa dôveryhodných služieb postúpiť zodpovednosť za poskytovanie služby na iného poskytovateľa, ak plánuje ukončenie jej poskytovania. Informácie o postupoch podľa tohto ustanovenia podliehajú oznamovacej povinnosti úradu a úrad ich zapisuje do dôveryhodného zozunamu.

 

§ 5

 

Nariadenie eIDAS v článku 24 ods. 2 písm. h) ustanovuje povinnosť kvalifikovaného poskytovateľa dôveryhodných služieb zaznamenávať a primeranú dobu, a to aj po ukončení činnosti kvalifikovaného poskytovateľa dôveryhodných služieb, uchovávať prístupné všetky relevantné informácie týkajúce sa údajov, ktoré kvalifikovaný poskytovateľ dôveryhodných služieb vydal a prijal, najmä na účely predloženia dôkazov v súdnom konaní a na účely zabezpečenia kontinuity služby. Upravuje povinnosť archivácie dokumentov, na základe ktorých boli poskytované služby (pri službe vydania certifikátu spolu s vydaným certifikátom a potvrdením o stave jeho platnosti alebo zrušenia aktualizovaného najneskôr na konci obdobia platnosti certifikátu) poskytovateľom dôveryhodných služieb, ktorý má kvalifikovaný štatút a poskytuje kvalifikované dôveryhodné služby.

 

§ 6

 

Ustanovenie upravuje povinnosti kvalifikovaných poskytovateľov dôveryhodných služieb oznamovať informácie o všetkých zmenách v poskytovaných kvalifikovaných dôveryhodných službách v stanovenej lehote. Povinnosť zabezpečí prinajmenšom aktuálnosť všeobecných údajov uvedených v dôveryhodnom zozname, pričom údaje ktorých hodnota má vplyv na správnosť overenia, sa na základe eIDAS musia poskytovať bezodkladne.

Ďalej sa ustanovuje povinnosť pre poskytovateľov dôveryhodných služieb, ktorým kvalifikovaný štatút vydal úrad a ktorí vydávajú kvalifikované certifikáty pre elektronický podpis a elektronickú pečať. Cieľom týchto ustanovení je budovanie databázy kvalifikovaných certifikátov úradom s cieľom zabezpečiť možnosť dlhodobého overovania platnosti kvalifikovaných certifikátov v danom čase, a tiež vedenie a zverejňovanie národného dôveryhodného zoznamu. Technické podrobnosti postupu zverejní úrad na svojom webovom sídle.

Keďže kvalifikovaná dôveryhodná služba môže obsahovať v dôveryhodnom zozname viacero svojich certifikátov s rozdielnou dobou platnosti, navrhovaný zákon zavádza fikciu, že súkromný kľúč kvalifikovanej dôveryhodnej služby existuje do doby platnosti posledného platného certifikátu uvedeného v dôveryhodnom zozname. Ak by nastalo ukončenie používania súkromného kľúča kvalifikovanej dôveryhodnej služby k inému momentu, tento časový údaj sa zašle úradu a uvedie sa v dôveryhodnom zozname. Treba pripomenúť, že doba počas ktorej má služba s kvalifikovaným štatútom, je zvyčajne dlhšia ako doba počas ktorej  poskytuje danú službu vydávania certifikátov a teda poskytuje  stav a to aj po uplynutí doby platnosti certifikátu, automatizovaným spôsobom, ktorý je spoľahlivý, bezplatný  a efektívny.

Pre autentifikáciu webového sídla sa overovanie stavu z minulosti nevykonáva a tak sa zasielanie ani povinne nevyžaduje.

 

§ 7

 

Pre zabezpečenie právnej istoty požiadaviek článku 24 ods. 4 nariadenia eIDAS sa definuje, aké údaje sa presne požadujú: „poskytnú informácie o štatúte platnosti alebo zrušenia kvalifikovaných certifikátov“, a teda očakávajú sa ich správne hodnoty poskytnuté vydavateľom certifikátu a aj ich správne vyhodnotenie spoliehajúcimi sa stranami. Pre overovanie je nevyhnutná presná informácia nielen o čase možného zrušenia certifikátu (v CRL položka revocationDate a v OCSP odpovedi položka revocationTime) ale aj potvrdenie o čase, do ktorého bol certifikát evidovaný ako platný. Táto informácia o čase, do ktorého bol certifikát evidovaný ako platný sa uvádza v CRL alebo v OCSP odpovedi v položke thisUpdate.

Ustanovenie ďalšieho odseku upravuje zákaz dočasného pozastavenia platnosti kvalifikovaného certifikátu kvalifikovaným poskytovateľom dôveryhodných služieb, ktorému kvalifikovaný štatút udelil úrad. Pozastavenie platnosti kvalifikovaného certifikátu, ktoré je  v praxi zavedené v niektorých členských krajinách, znamená dočasnú stratu platnosti certifikátu. Pozastavenie platnosti certifikátu nariadenie eIDAS  pripúšťa v článku 28 ods. 5 a v článku 38 ods. 5, pričom umožňuje, aby si členské krajiny upravili vo vnútroštátnom predpise jeho pravidlá. V záujme právnej istoty a s ohľadom na zložitosť posudzovania platnosti certifikátov je týmto ustanovením jednoznačne vylúčená možnosť pozastaviť platnosť kvalifikovaného certifikátu.

 

§ 8

 

Úprava pre mandátne certifikáty vyplýva z požiadaviek elektronických agend orgánov verejnej moci a z potreby uchovať kontinuitu ich činností. Keďže nariadenie eIDAS umožňuje definovať v obsahu kvalifikovaných certifikátov na vnútroštátnej úrovni osobitné položky, ponechávajú sa mandátne certifikáty ako osobitný druh kvalifikovaných certifikátov pre elektronický podpis  vo vnútroštátnom používaní. Ide o certifikáty, ktorých držiteľom je  fyzická osoba konajúca v mene inej osoby alebo organizácie. Tento druh kvalifikovaného certifikátu pre elektronický podpis umožňuje definovať pozíciu podpisovateľa, ak ide o osobu oprávnenú konať v zastúpení (napr. konateľ organizácie, štatutár, splnomocnenec a pod.), ale tiež napr. notára, sudcu, znalca. Ide o prípady, kedy je potrebné, aby tretia strana (príjemca podpísaného dokumentu) bola informovaná o právnom statuse, pracovnom alebo funkčnom zaradení podpisovateľa. Ustanovenie upravuje vydávanie a rušenie mandátneho certifikátu.

 

§ 9

 

Znenie upravuje vedenie, zverejňovanie a využívanie zoznamu oprávnení potrebného pre vydávanie mandátnych certifikátov. Tým, že úrad vedie predmetný zoznam, sa stanovujú rovnaké podmienky pre vydanie mandátneho certifikátu u všetkých poskytovateľov dôveryhodných služieb, ktorí tieto certifikáty vydávajú a zároveň sa zabezpečuje zhodné označenie mandátu, ktoré umožní jeho jednoznačnú identifikáciu v manuálnom aj v automatizovanom spracovaní.

 

§ 10

 

Uvedené ustanovenie upravuje procesný postup pri certifikácii zariadení pre vyhotovenie kvalifikovaných elektronických podpisov, kvalifikovaných elektronických pečatí, aplikácií pre vyhotovenie a overovanie kvalifikovaných elektronických podpisov a kvalifikovaných elektronických pečatí a posudzovanie zhody elektronických podateľní.

Uvedené posúdenie sa realizuje procesom certifikácie. Certifikácia aplikácií predstavuje možnosť a nie povinnosť používať certifikovanú aplikáciu.

Dôležitým nástrojom overovania bezpečnosti zariadení je posúdenie súladu týchto zariadení s požiadavkami uvedenými v medzinárodných štandardoch a podľa požiadaviek implementačných aktov nariadenia eIDAS.

 

§ 11

 

Znenie pomenúva úlohy úradu vychádzajúc z obsahu nariadenia eIDAS a zároveň z existujúcej praxe upravenej zákonom č. 215/2002 Z. z. tak, aby nedošlo k narušeniu kontinuity činností. Nariadenie eIDAS vyžaduje od členských štátov ustanovenie orgánu dohľadu nad poskytovateľmi dôveryhodných služieb. V súčasnosti úlohu dohľadu nad poskytovateľmi certifikačných služieb (čo je jedna z dôveryhodných služieb definovaných v nariadení eIDAS) plní v súlade so zákonom č. 215/2002 Z. z. úrad, preto sa v súlade s požiadavkou článku 17 nariadenia eIDAS úrad stáva orgánom dohľadu nad poskytovateľmi dôveryhodných služieb. Nariadenie eIDAS na základe článku 17 ods. 5  umožňuje členským štátom zriadiť, udržiavať a aktualizovať dôveryhodnú infraštruktúru s využitím existujúcich národných riešení, pričom ponecháva na ich rozhodnutí, či zahrnú do uvedenej štruktúry všetkých poskytovateľov dôveryhodných služieb alebo iba tých poskytovateľov, ktorí získali kvalifikovaný štatút. Zákon č. 215/2002 Z. z. pokrýval kontrolnou činnosťou všetky certifikačné autority (poskytovateľov certifikačných služieb), akreditované  aj neakreditované. S úmyslom zachovať vybudovanú dôveryhodnú infraštruktúru ponecháva úrad vo svojich úlohách naďalej kontrolu dodržiavania zákona ako jednu z foriem dohľadu. Táto úloha nie je duplicitnou k úlohe dohľadu formou auditu, pretože vychádza z rozdielnych pozícií. Dohľad formou auditu je založený na posúdení obsahu auditných správ, kontrola však umožňuje priame preverenie činnosti poskytovateľa  v mieste poskytovania služby.

 

K ďalším úlohám úradu, ktorými sa podieľa na vytvorení  a udržaní dôveryhodnej infraštruktúry, patria:

-              udeľovanie a odnímanie kvalifikovaného štatútu poskytovateľom dôveryhodných služieb a zverejnenie ich zoznamu na webovom sídle úradu,

-              vybudovanie a správa dôveryhodnej infraštruktúry, v ktorej vedie zoznam všetkých kvalifikovaných certifikátov vydaných poskytovateľmi dôveryhodných služieb, ktorým udelil kvalifikovaný štatút spolu s informáciami o ich platnosti a poskytovanie informácií z tejto dôveryhodnej infraštruktúry,

-              zabezpečenie úloh spojených s uchovávaním dokumentov v dôveryhodnej infraštruktúre v prípade zániku kvalifikovaných poskytovateľov dôveryhodných služieb bez právneho nástupcu,

-              na základe žiadosti vydávanie certifikátov na overenie poskytovanej kvalifikovanej služby poskytovateľom dôveryhodných služieb, ktorým udelil kvalifikovaný štatút,

-              certifikácia zariadení pre vyhotovenie kvalifikovaného elektronického podpisu a kvalifikovanej elektronickej pečate, certifikácia aplikácií pre vyhotovenie a overovanie kvalifikovaného elektronického podpisu a kvalifikovanej elektronickej pečate,

-              vydávanie a zverejňovanie certifikačných politík slúžiacich na identifikáciu súladu s požiadavkami národnej legislatívy pri poskytovaní kvalifikovaných dôveryhodných služieb a nimi vydaných kvalifikovaných certifikátov. Týmto dôveryhodným službám udelil úrad kvalifikovaný štatút a teda sú pod jeho dohľadom,

-              vydávanie a zverejňovanie zoznamu algoritmov a ich minimálnych parametrov pre dôveryhodné služby s kvalifikovaným štatútom, ktoré vo forme podpisovej politiky definujú globálne pravidlá pre časový interval daný podpisovou politikou a ktoré sa pri vyhotovovaní, validácii a overovaní kvalifikovaných elektronických podpisov a pečatí musia dodržať, ale nemusia sa v nich priamo uviesť. Podpisové politiky zverejňuje úrad na svojom webovom sídle,

-              vydávanie  štandardov a odporúčaní v oblasti poskytovania dôveryhodných služieb.

 

Ďalšie úlohy úradu vychádzajú z požiadaviek nariadenia eIDAS a k nemu vydaných vykonávacích predpisov. Ich účelom je zároveň zachovanie kontinuity doposiaľ zabezpečovaných činností:

-              je orgánom zodpovedným za vytvorenie, vedenie a uverejňovanie národného dôveryhodného zoznamu,

-              poskytuje Európskej komisii informácie o certifikovaných produktoch pre elektronický podpis a elektronickú pečať.

 

Nemenej dôležité sú úlohy úradu, ktoré plní na základe požiadaviek iných zložiek, účelom ktorých je podpora funkcionality elektronických agend orgánov verejnej moci: 

-              na základe písomnej dohody poskytuje bezodplatne kvalifikované dôveryhodné služby orgánom verejnej moci,

-              spravuje a publikuje zoznam oprávnení pre mandátne certifikáty.

 

§ 12

 

Podľa článku 17 ods. 1 nariadenia eIDAS sú členské štáty povinné určiť orgán dohľadu so sídlom na ich území alebo po vzájomnej dohode s iným členským štátom orgán dohľadu so sídlom v tomto inom členskom štáte. Tento orgán je zodpovedný za plnenie úloh v oblasti dohľadu v členskom štáte, ktorý ho určil. Orgán dohľadu má povinnosť vykonávať predbežný a následný dohľad nad kvalifikovanými poskytovateľmi dôveryhodných služieb a následný dohľad vo vzťahu k   nekvalifikovaným poskytovateľom dôveryhodných služieb. Orgán dohľadu musí podľa článku 18 nariadenia eIDAS spolupracovať a poskytovať pomoc ostatným orgánom dohľadu, aby bol zabezpečený jednotný výkon činností orgánov dohľadu.

 

Ustanovenie teda upravuje výkon dohľadu, podľa ktorého úrad dohliada na kvalifikovaných poskytovateľov dôveryhodných služieb s cieľom zaručiť prostredníctvom dohľadu ex ante a ex post, aby títo kvalifikovaní poskytovatelia dôveryhodných služieb a kvalifikované dôveryhodné služby, ktoré poskytujú, spĺňali požiadavky stanovené nariadením eIDAS. Úrad však podľa potreby koná prostredníctvom dohľadu ex post aj vo vzťahu k nekvalifikovaným poskytovateľom dôveryhodných služieb, ak má podozrenie, že títo nekvalifikovaní poskytovatelia dôveryhodných služieb alebo dôveryhodné služby, ktoré poskytujú, nesplnili požiadavky stanovené v nariadení eIDAS. Úrad teda môže vykonávať dohľad aj nad poskytovateľom, ktorý neposkytuje kvalifikované dôveryhodné služby. Úrad vykonáva dohľad spôsobom podľa nariadenia eIDAS a dohľad formou kontroly nad dodržiavaním ustanovení tohto zákona. Na vykonávanie dohľadu, resp. kontroly sa primerane vzťahujú ustanovenia zákona Národnej rady Slovenskej republiky č. 10/1996 Z. z. o kontrole v štátnej správe v znení neskorších predpisov.

 

§ 13 a14

 

Tieto ustanovenia sú reflexiou článku 16 nariadenia eIDAS, ktorý ukladá členským štátom povinnosť stanoviť pravidlá ukladania sankcií za porušenie tohto nariadenia. Tieto sankcie majú byť účinné, primerané a odradzujúce. Konštrukcia sankcií rozlišuje medzi kvalifikovaným a nekvalifikovaným poskytovateľom dôveryhodných služieb. Nekvalifikovaný poskytovateľ dôveryhodných služieb musí spĺňať požiadavky, ktoré vyplývajú z článku 19 nariadenia eIDAS, preto väčšina zakotvených správnych deliktov zo strany nekvalifikovaného poskytovateľa služieb vyplýva z tohto článku. Kvalifikovaný poskytovateľ dôveryhodných služieb musí splniť požiadavky kladené všeobecne na poskytovateľov dôveryhodných služieb podľa článku 19 nariadenia eIDAS, ako aj požiadavky na kvalifikovaného poskytovateľa dôveryhodných služieb.

 

Navrhované výšky pokút je možné považovať za primerane prísne a odradzujúce. Oproti súčasnej právnej úprave sa maximálna výška sadzby pokút mierne znížila. Pri konkrétnom stanovení výšky pokuty správny orgán prihliadne na majetkové a osobné pomery osoby, ktorá porušila právne predpisy.

 

Možno predpokladať, že nekvalifikované dôveryhodné služby budú využívané menej ako kvalifikované dôveryhodné služby. Použitie týchto služieb sa predpokladá tam, kde nie je kladený maximálny dôraz na bezpečnosť. Počíta sa s tým, že takýto poskytovateľ dôveryhodných služieb bude za podobné správanie pokutovaný miernejšie. Navrhovaná výška pokút napĺňa požiadavky na preventívne represívnu funkciu a dostatočným spôsobom odráža aj typovú závažnosť porušovaných právnych povinností. Spoločensky chráneným záujmom je v tejto oblasti správneho trestania najmä ochrana spotrebiteľa a spoliehajúcich sa strán.

 

V súvislosti s požiadavkami vyplývajúcimi z nariadenia eIDAS a z vnútroštátnej legislatívy sa zavádzajú sankcie za porušenie povinností (priestupky a správne delikty) súvisiacich s poskytovaním dôveryhodných služieb.

 

Poskytovateľ  dôveryhodných služieb sa dopustí protiprávneho konania najmä ak:

-              neprijme vhodné technické a organizačné opatrenia na riadenie rizík ohrozujúcich bezpečnosť ním poskytovaných dôveryhodných služieb,

-              neoznámi úradu akékoľvek narušenie bezpečnosti alebo integrity s významným vplyvom na poskytovanú dôveryhodnú službu,  

-              bezodkladne neoznámi fyzickej osobe alebo právnickej osobe, ktorej dôveryhodnú službu poskytuje, narušenie bezpečnosti alebo integrity, ktoré môže negatívne ovplyvniť túto fyzickú osobu alebo právnickú osobu,

-              vydáva poskytovanú dôveryhodnú službu za kvalifikovanú bez toho, aby mu bol udelený kvalifikovaný štatút.

 

Kvalifikovaný poskytovateľ dôveryhodných služieb sa dopustí protiprávneho konania ak:

-              sa nepodrobí auditu zo strany orgánu posudzovania zhody aspoň každých 24 mesiacov,

-              sa nepodrobí auditu zo strany úradu alebo orgánu posudzovania zhody, ak je tento vyžiadaný úradom,

-              nepredloží úradu výslednú správu o posúdení zhody v lehote troch pracovných dní od jej doručenia,

-              neoprávnene použije značku dôvery EU,

-              nezabezpečí na svojom webovom sídle odkaz na príslušný dôveryhodný zoznam,,

-              neinformuje úrad o všetkých zmenách pri poskytovaní svojich kvalifikovaných dôveryhodných služieb a o zámere ukončiť tieto činnosti,

-              nezamestnáva personál a prípadne subdodávateľov s potrebnou odbornosťou, spoľahlivosťou, skúsenosťami, kvalifikáciou a vhodnou odbornou prípravou týkajúcou sa predpisov v oblasti bezpečnosti a ochrany osobných údajov,

-              neuplatňuje administratívne a riadiace postupy, ktoré zodpovedajú európskym normám alebo medzinárodným normám,

-              nemá postačujúcu finančnú rezervu alebo neuzatvorí príslušné poistenie zodpovednosti za škodu pri výkone svojej činnosti,

-              neinformuje pred uzavretím zmluvného vzťahu jednoznačne a vyčerpávajúco každú osobu, ktorá chce využívať kvalifikovanú dôveryhodnú službu, o presných podmienkach využívania tejto služby vrátane obmedzení jej využívania,

-              nepoužíva dôveryhodné systémy a produkty chránené proti pozmeneniu a nezabezpečí technickú bezpečnosť a spoľahlivosť procesov, ktoré podporujú,

-              nepoužíva dôveryhodné systémy na uchovávanie jemu poskytnutých údajov v overiteľnej forme tak, aby údaje boli verejne prístupné na vyhľadanie iba po získaní súhlasu osoby, ktorej sa týkajú, aby údaje mohli zadávať a uchovávané údaje meniť iba oprávnené osoby alebo aby údaje bolo možné skontrolovať z hľadiska ich pravosti,

-              neprijal vhodné opatrenia proti falšovaniu a krádeži údajov,

-              nemá aktualizovaný plán ukončenia činností na zabezpečenie kontinuity služby v súlade s ustanoveniami overenými úradom,

-              neoverí totožnosť alebo akékoľvek osobitné atribúty fyzickej osoby alebo právnickej osoby, ktorej vydáva kvalifikovaný certifikát,

-              nezaistí, aby ním vydaný kvalifikovaný certifikát obsahoval presné, pravdivé a úplné informácie,

-              nezriadi alebo neaktualizuje databázu kvalifikovaných certifikátov,

-              nezruší vydaný kvalifikovaný certifikát alebo nezaznamená takéto zrušenie a zrušenie certifikátu neuverejní do 24 hodín od doručenia žiadosti o zrušenie kvalifikovaného certifikátu,

-              neposkytne informácie o platnosti alebo zrušení kvalifikovaných certifikátov, ktoré vydal, každej spoliehajúcej sa strane, a to ani po uplynutí doby platnosti certifikátu,

-              zmení štatút zrušeného kvalifikovaného certifikátu pre elektronický podpis alebo elektronickú pečať,

-              vydá kvalifikovaný certifikát pre elektronický podpis, ktorý nespĺňa požiadavky stanovené týmto zákonom alebo nariadením eIDAS,

-              vydá kvalifikovaný certifikát pre elektronickú pečať, ktorý nespĺňa požiadavky stanovené týmto zákonom alebo nariadením eIDAS,

-              vydá kvalifikovaný certifikát pre autentifikáciu webových sídiel, ktorý nespĺňa požiadavky stanovené týmto zákonom alebo nariadením eIDAS,

-              poskytne validáciu platnosti kvalifikovaného elektronického podpisu alebo kvalifikovanej elektronickej pečate,

-              nesplní niektorú z požiadaviek na poskytovanie kvalifikovanej služby validácie kvalifikovaných elektronických podpisov alebo kvalifikovaných elektronických pečatí,

-              používa postupy a technológie, ktoré neumožňujú predĺžiť dôveryhodnosť kvalifikovaného elektronického podpisu alebo kvalifikovanej elektronickej pečate aj na obdobie po uplynutí technologickej platnosti.

 

§ 15

 

Inštitút elektronickej podateľne je prevzatý zo zákona č. 215/2002 Z. z., čím sa zachováva kontinuita poskytovaných služieb. Predpokladá sa, že elektronická podateľňa v súčasnej podobe bude existovať najdlhšie sedem rokov od nadobudnutia účinnosti tohto zákona a predpokladá sa jej transformácia na službu elektronickej dôveryhodnej služby pre registrované zásielky podľa nariadenia eIDAS.

 

§ 16

 

Splnomocňovacie ustanovenie oprávňuje úrad na vydanie technických predpisov  upravujúcich oblasti, ktoré nie sú riešené v nariadení eIDAS, resp. v implementačných aktoch, ktoré komisia doposiaľ nevypracovala, ako aj rozšírenia pre národnú dôveryhodnú infraštruktúru a dôveryhodné služby. Úrad sa týmto ustanovením splnomocňuje aj na vydanie všeobecne záväzného predpisu upravujúceho elektronickú podateľňu.

 

§ 17

 

Spoločné ustanovenie upravuje konanie úradu odkazom na správny poriadok a zároveň ošetruje zosúladenie pojmov vnútroštátnej legislatívy s pojmami nariadenia eIDAS. Upravuje sa ekvivalencia pojmov zavedená zákonom č. 215/2002 Z. z. v iných právnych predpisoch. Pojem „zaručený elektronický podpis“ sa nahrádza pojmom „kvalifikovaný elektronický podpis“. Rovnaká úprava platí pre pečať. Pojem „časová pečiatka“ nahradí pojem „kvalifikovaná elektronická časová pečiatka“.

 

Nariadenie eIDAS ustanovuje povinnosť zabezpečiť ochranu osobných údajov držiteľov certifikátov v súlade s vnútroštátnou legislatívou. Predmetné znenie obsahuje odkaz na zákon o ochrane osobných údajov, ktorý upravuje povinnosti spojené s ochranou osobných údajov a sankcie za ich nedodržanie.

 

§ 18

 

Prechodné ustanovenia sa viažu k zmenám vo vnútroštátnej legislatíve v spojitosti s udržaním kontinuity činností v oblasti elektronického poskytovania služieb orgánmi verejnej moci. Certifikačné autority akreditované podľa zákona č. 215/2002 Z. z. poskytovali v rámci akreditovaných certifikačných služieb tri druhy služieb, ktoré je potrebné z uvedeného dôvodu zachovať, a ktoré neupravuje nariadenie eIDAS, pretože neboli definované v smernici 1999/93/ES. Ide o službu správy kvalifikovaných certifikátov a tiež o službu poskytovania časových pečiatok.

Poskytovanie týchto služieb akreditovanými poskytovateľmi podľa zákona č. 215/2002 Z. z. sa považuje za poskytovanie kvalifikovanej dôveryhodnej služby definovanej legislatívou na národnej úrovni podľa nariadenia eIDAS a nového znenia zákona. Po splnení požiadaviek nariadenia eIDAS, od 1.7.2016, sa im udelí kvalifikovaný štatút.

Definujú sa ustanovenia pre vydávanie časových pečiatok, bezpečné zariadenia na vyhotovenie elektronickej pečate a kvalifikovaný systémový certifikát.

Ustanovenie ďalej upravuje povinnosť  najneskôr od 1. januára 2018 poskytovať informácie o štatúte platnosti alebo zrušenia kvalifikovaných certifikátov v Online Certificate Status Protocol (OCSP) odpovedi, ktorá musí obsahovať pozitívne prehlásenie o existencii a správnosti údajov podľa technickej normy.

 

§ 19

 

Znenie ruší doteraz platnú legislatívu upravujúcu oblasť elektronického podpisu.

 

Čl. II

Navrhuje sa úprava Sadzobníka správnych poplatkov.

 

 

Čl. III

 

Navrhuje sa úprava znenia v kompetenčnom zákone tak, aby odrážala nové postavenie úradu v oblasti dôveryhodných služieb.

 

Čl. IV

 

Na účely rýchlejšieho rozšírenia používania elektronických občianskych preukazov v službách e-Governmentu sa navrhuje povinná aktivácia funkcie online eID. Prechodným ustanovením sa upravujú už začaté konania, ktoré sa dokončia podľa doterajších predpisov.

 

Čl. V

K bodom 1 až 3 a 8

 

Nosnú právnu úpravu identifikácie a autentifikácie fyzických osôb i právnických osôb v Slovenskej republike v elektronickej komunikácii s orgánmi verejnej moci predstavuje zákon o e-Governmente. Navrhovaná právna úprava umožňuje elektronickú identifikáciu fyzickej osoby alebo právnickej osoby potrebnú pre poskytnutie on-line služby na základe prostriedkov elektronickej identifikácie využitím autentifikačných certifikátov, pričom sa práve z uvedeného dôvodu presúva kompetencia tejto oblasti z úradu na Ministerstvo financií Slovenskej republiky.

 

K bodom  4 a 5

 

Navrhuje sa predĺžiť prechodné obdobie na povinnú aktiváciu elektronických schránok právnických osôb a zapísaných organizačných zložiek, ako aj na používanie elektronických formulárov.

Dôvodom zachovania dobrovoľného princípu aktivácie schránky po dlhšiu dobu je snaha zavedenie povinného používania elektronickej schránky až v momente dostatočného rozšírenia autentifikačných prostriedkov. Vzhľadom na zásadnú zmenu v komunikácii so štátom, ktorú aktivácia schránky prináša je vhodné predĺžiť dobu dobrovoľnej aktivácie o navrhovaný čas.

Pokiaľ ide o elektronické formuláre, vzhľadom na navrhovanú úpravu § 60b ods. 2 sa navrhuje zosúladiť prechodné obdobia

 

K bodu 6

 

V súčasnosti ustanovenie § 60 ods. 2 umožňuje orgánom verejnej moci postupovať pri výkone verejnej moci podľa osobitných predpisov. Tento princíp sa navrhuje zachovať do 1. februára 2018 s tým, že povinnosť vykonávať verejnú moc elektronicky bude platiť od 1. novembra 2016. Ide teda o predĺženie obdobia, v ktorom orgány síce budú musieť byť schopné komunikovať elektronicky, ale môžu pritom postupovať podľa osobitných predpisov. S touto úpravou súvisí aj odklad povinnosti zabezpečiť prístup k službám formou integrácie na ÚPVS a umožnenie jeho zabezpečenia iným spôsobom, napríklad presmerovaním na špecializovaný portál.

 

V súčasnosti je register systémových certifikátov upravený v zákone č. 215/2002 Z. z. Z dôvodu zabezpečenia riadnej implementácia nariadenia eIDAS nie je možné ponechať tento inštitút v navrhovanom zákone o dôveryhodných službách, avšak je potrebné zabezpečiť kontinuitu poskytovanej služby.  Po dobu, do ktorej nebude vybudovaný systém poskytovania informácie o štatúte platnosti alebo zrušenia kvalifikovaných certifikátov v Online Certificate Status Protocol (OCSP) odpovedi, ktorá musí obsahovať pozitívne prehlásenie o existencii a správnosti údajov, bude overovanie kvalifikovaného certifikátu  kvalifikovanej elektronickej pečate orgánu verejnej moci vykonané  podľa zoznamu platných kvalifikovaných certifikátov pre elektronickú pečať, ktoré sú zapísané v registri certifikátov. Zoznam vydáva a zverejňuje Národný bezpečnostný úrad. Ustanovenia stráca účinnosť 31. decembra2017.

 

K bodu 7

 

Vzhľadom na obsah predmetného zoznamu sa navrhuje upraviť jeho názov, aby presnejšie vystihoval obsah v ňom uvedených údajov.

 

 

Čl. VI

 

Navrhuje sa dátum účinnosti novej právnej úpravy dňom vyhlásenia v Zbierke zákonov. Ustanovenie uvedené v čl. II šiesty bod § 60c stráca účinnosť 31. decembra 2017.

 

V Bratislave 25. mája 2016

 

 

 

Robert Fico

predseda vlády Slovenskej republiky

 

 

 

 

 

Jozef Magala

riaditeľ Národného bezpečnostného úradu

 

 

Ohodnoťte článok
Hlasovalo: 972
PoUtStŠtPiSoNe
: