Zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti

Předmět úpravy Tento zákon upravuje zásady pro stanovení informací jako informací utajovaných, podmínky pro přístup k nim a další požadavky na jejich ochranu, zásady pro stanovení citlivých činností a podmínky pro jejich výkon a s tím spojený výkon státní správy.

Vymezení pojmů Pro účely tohoto zákona se rozumí a) utajovanou informací informace v jakékoliv podobě označená stupněm utajení podle tohoto zákona, jejíž vyzrazení nebo zneužití může způsobit újmu zájmu České republiky nebo může být pro tento zájem nevýhodné, a kterou lze podřadit pod položku uvedenou v katalogu oblastí utajovaných informací (§ 139), b) zájmem České republiky zachování její ústavnosti, svrchovanosti a územní celistvosti, zajištění vnitřního pořádku a bezpečnosti, mezinárodních závazků a obrany, ochrana ekonomiky a ochrana života nebo zdraví fyzických osob, c) porušením povinnosti při ochraně utajované informace porušení povinnosti uložené tímto zákonem nebo na základě tohoto zákona, d) orgánem státu organizační složka státu podle zvláštního právního předpisu1), kraj2), hlavní město Praha3), městská část hlavního města Prahy a obec4) při výkonu státní správy ve věcech, které stanoví zvláštní právní předpis; orgánem státu se rozumí i zpravodajské služby56) a Česká národní banka7), e) odpovědnou osobou 1. u ministerstva ministr, 2. u jiného ústředního správního úřadu ten, kdo stojí v jeho čele; jde-li o kolektivní orgán, je odpovědnou osobou pouze ta fyzická osoba, která řídí činnost tohoto orgánu, 3. u organizační složky státu, zřízené jinou organizační složkou státu, ten, kdo je odpovědnou osobou u organizační složky státu vykonávající funkci jejího zřizovatele, 4. u dalších organizačních složek státu ten, kdo stojí v jejich čele, 5. u zpravodajské služby ředitel, 6. u České národní banky guvernér, 7. u kraje ředitel krajského úřadu, 8. u hlavního města Prahy ředitel Magistrátu hlavního města Prahy, 9. u městské části hlavního města Prahy tajemník úřadu městské části, a není-li jej, starosta městské části, 10. u statutárního města tajemník magistrátu, 11. u dalších měst a obcí tajemník jejich úřadu, a není-li jej, starosta, 12. u organizační složky územního samosprávného celku ten, kdo je odpovědnou osobou u územního samosprávného celku vykonávajícího funkci jejího zřizovatele, 13. u podnikatele podle § 15, který je právnickou osobou, a u jiné právnické osoby neuvedené v bodech 6 až 11 fyzická osoba, která je jejím individuálním statutárním orgánem, nebo v případě, že má právnická osoba více individuálních statutárních orgánů nebo je statutární orgán této právnické osoby kolektivní, člen statutárního orgánu, který je fyzickou osobou a je určen pro jednání ve věcech upravených tímto zákonem, 14. u podnikatele podle § 15, který je fyzickou osobou, a u jiné podnikající fyzické osoby tato fyzická osoba, 15. u Poslanecké sněmovny vedoucí Kanceláře Poslanecké sněmovny, a 16. u Senátu vedoucí Kanceláře Senátu, f) původcem utajované informace orgán státu, právnická osoba podle § 60b nebo podnikatel, u nichž utajovaná informace vznikla, nebo Úřad průmyslového vlastnictví podle § 70 odst. 4, g) cizí mocí cizí stát nebo jeho orgán anebo nadnárodní nebo mezinárodní organizace nebo její orgán, h) neoprávněnou osobou osoba, která nesplňuje podmínky přístupu k utajované informaci stanovené tímto zákonem, i) poučením písemný záznam o seznámení fyzické osoby s jejími právy a povinnostmi v oblasti ochrany utajovaných informací a s následky jejich porušení, j) bezpečnostním standardem utajovaný soubor pravidel, ve kterém se stanoví postupy, technická řešení, bezpečnostní parametry a organizační opatření pro zajištění nejmenší možné míry ochrany utajovaných informací, k) bezpečnostním provozním módem prostředí, ve kterém informační systém pracuje, charakterizované stupněm utajení zpracovávané utajované informace a úrovněmi oprávnění uživatelů.

Újma zájmu České republiky a nevýhodnost pro zájmy České republiky

Stupně utajení

Druhy zajištění ochrany utajovaných informací Ochrana utajovaných informací je zajišťována a) personální bezpečností, kterou tvoří výběr fyzických osob, které mají mít přístup k utajovaným informacím, ověřování podmínek pro jejich přístup k utajovaným informacím, jejich výchova a ochrana, b) průmyslovou bezpečností, kterou tvoří systém opatření k zjišťování a ověřování podmínek pro přístup podnikatele k utajovaným informacím a k zajištění nakládání s utajovanou informací u podnikatele v souladu s tímto zákonem, c) administrativní bezpečností, kterou tvoří systém opatření při tvorbě, příjmu, evidenci, zpracování, odesílání, přepravě, přenášení, ukládání, skartačním řízení, archivaci, případně jiném nakládání s utajovanými informacemi, d) fyzickou bezpečností, kterou tvoří systém opatření, která mají neoprávněné osobě zabránit nebo ztížit přístup k utajovaným informacím, popřípadě přístup nebo pokus o něj zaznamenat, e) bezpečností informačních nebo komunikačních systémů, kterou tvoří systém opatření, jejichž cílem je zajistit důvěrnost, integritu a dostupnost utajovaných informací, s nimiž tyto systémy nakládají, a odpovědnost správy a uživatele za jejich činnost v informačním nebo komunikačním systému a f) kryptografickou ochranou, kterou tvoří systém opatření na ochranu utajovaných informací použitím kryptografických metod a kryptografických materiálů při zpracování, přenosu nebo ukládání utajovaných informací.

Bezúhonnost pro účely vydání oznámení Podmínku bezúhonnosti pro účely vydání oznámení splňuje fyzická osoba, která nebyla pravomocně odsouzena za spáchání úmyslného trestného činu nebo trestného činu vztahujícího se k ochraně utajovaných informací, anebo se na ni hledí, jako by odsouzena nebyla.

Podmínky přístupu fyzické osoby k utajované informaci stupně utajení Přísně tajné, Tajné nebo Důvěrné

V případě skončení služebního poměru nebo pracovněprávního, členského či obdobného vztahu nebo při změně služebního úřadu, ve kterém byl fyzické osobě umožněn přístup k utajovaným informacím, je tato osoba povinna písemně potvrdit, že si je vědoma povinnosti zachovávat mlčenlivost o utajovaných informacích, ke kterým měla přístup, a neumožnit k nim přístup neoprávněné osobě. Odpovědná osoba je povinna zajistit provedení tohoto úkonu.

Podmínky pro vydání osvědčení fyzické osoby

Bezúhonnost pro účely vydání osvědčení fyzické osoby

Bezpečnostní spolehlivost

Přístup k utajované informaci lze umožnit podnikateli, který je fyzickou osobou s trvalým pobytem na území České republiky zapsanou do živnostenského rejstříku, obchodního rejstříku nebo jiné evidence vedené podle jiného zákona registrující osoby a provozuje podnikatelskou činnost nebo právnickou osobou se sídlem v České republice zapsanou v obchodním rejstříku, jejíž hlavní činností je podnikatelská činnost, jestliže jej nezbytně potřebuje k výkonu své činnosti, a pokud při přístupu k utajované informaci a) stupně utajení Vyhrazené 1. doloží písemným prohlášením svou schopnost zabezpečit ochranu utajovaných informací (dále jen „prohlášení podnikatele“), nebo 2. je držitelem platného osvědčení podnikatele, nebo b) stupně utajení Důvěrné a vyšší je držitelem platného osvědčení podnikatele příslušného stupně utajení, není-li stanoveno v § 58 až 62 jinak.

Prohlášení podnikatele

Podmínky pro vydání osvědčení podnikatele

Ekonomická stabilita

Bezpečnostní spolehlivost

Způsobilost zabezpečit ochranu utajovaných informací Podmínku způsobilosti zabezpečit ochranu utajovaných informací nesplňuje podnikatel, který není schopen zajistit a dodržovat jednotlivé druhy zajištění ochrany utajovaných informací podle tohoto zákona v závislosti na příslušném stupni utajení a formě přístupu k utajované informaci.

Bezúhonnost pro účely vydání osvědčení podnikatele Podmínku bezúhonnosti pro účely vydání osvědčení podnikatele splňuje podnikatel, který nebyl pravomocně odsouzen za spáchání úmyslného trestného činu nebo trestného činu vztahujícího se k ochraně utajovaných informací nebo se na něj hledí, jako by odsouzen nebyl. Jestliže trestní stíhání pro takový trestný čin bylo podmíněně zastaveno nebo bylo podmíněně odloženo podání návrhu na potrestání, je podmínka bezúhonnosti splněna až poté, co se podnikatel osvědčil podle jiného právního předpisu57). V případě rozhodnutí o schválení narovnání v trestním řízení o úmyslném trestném činu je podmínka bezúhonnosti splněna, pokud od nabytí právní moci takového rozhodnutí uplynula doba alespoň 5 let.

Formy přístupu podnikatele k utajované informaci

Projednávání utajovaných informací

Opatřeními fyzické bezpečnosti jsou a) ostraha, b) režimová opatření, c) technické prostředky.

Režimová opatření stanoví oprávnění osob a dopravních prostředků pro vstup a vjezd do objektu, oprávnění osob pro vstup do zabezpečené oblasti a jednací oblasti a způsob kontroly těchto oprávnění a dále způsob manipulace s klíči a identifikačními prostředky, které se používají pro systémy zabezpečení vstupů podle § 30 odst. 1 písm. b), a způsob manipulace s technickými prostředky a jejich používání. Režimová opatření stanoví též oprávnění při výstupu osob a výjezdu dopravních prostředků z objektu a pro jejich kontrolu, podmínky a způsob kontroly pohybu osob v objektu, zabezpečené oblasti a jednací oblasti a způsob kontroly a vynášení utajovaných informací z objektu, zabezpečené oblasti a jednací oblasti.

Projekt fyzické bezpečnosti

Zmocňovací ustanovení Prováděcí právní předpis stanoví a) požadavky na jednací oblasti z hlediska fyzické bezpečnosti a rizika úniku utajovaných informací formou kompromitujícího vyzařování, b) způsob ukládání utajovaných informací v závislosti na stupni jejich utajení (§ 24 odst. 6), c) organizační požadavky na provádění ostrahy (§ 28) a zabezpečení jednací oblasti nebo zabezpečené oblasti touto ostrahou, včetně určení kategorie osob uvedených v § 28 odst. 4, a to v závislosti na stupni utajení utajovaných informací, které jsou v jednací oblasti pravidelně projednávány, na kategorii objektu, nebo na kategorii zabezpečené oblasti, d) podrobnosti režimových opatření (§ 29), e) požadavky na technické prostředky, uvedené v § 30 odst. 1, a zabezpečení objektů, jednací oblasti nebo zabezpečené oblasti těmito prostředky, v závislosti na stupni utajení utajovaných informací, které jsou v jednací oblasti pravidelně projednávány, nebo na kategorii zabezpečené oblasti, anebo na kategorii objektu, f) bodové ohodnocení jednotlivých opatření fyzické bezpečnosti a bodovou hodnotu nejnižší míry zabezpečení jednací oblasti nebo zabezpečené oblasti, včetně základní metody hodnocení rizik (§ 31 odst. 1 a 2), g) četnost a způsob zápisu o ověřování, zda použitá opatření fyzické bezpečnosti odpovídají projektu fyzické bezpečnosti a právním předpisům v oblasti ochrany utajovaných informací, v závislosti na stupni utajení utajovaných informací (§ 31 odst. 5), h) obsah provozního řádu objektu a plánu zabezpečení objektů, zabezpečených oblastí a jednacích oblastí v krizových situacích [§ 32 odst. 1 písm. d) a e) a § 32 odst. 3 písm. d) a e)].

Státní správu v oblasti ochrany utajovaných informací podle této hlavy vykonává Národní úřad pro kybernetickou a informační bezpečnost, pokud tento zákon nestanoví jinak.

Informační systém

Komunikační systém

Manipulace s taktickou informací

Státní správu v oblasti ochrany utajovaných informací podle této hlavy vykonává Národní úřad pro kybernetickou a informační bezpečnost, pokud tento zákon nestanoví jinak.

Státní správu v oblasti ochrany utajovaných informací podle této hlavy vykonává Národní úřad pro kybernetickou a informační bezpečnost, pokud tento zákon nestanoví jinak.

Kontrolovaná kryptografická položka

Kontrolovaná položka

Výkon kryptografické ochrany

Zvláštní odborná způsobilost pracovníka kryptografické ochrany a zkouška zvláštní odborné způsobilosti

Provozní obsluha kryptografického prostředku

Manipulace s kryptografickým materiálem a kontrolovanou kryptografickou položkou

Přeprava kryptografického materiálu a vývoz kryptografického prostředku

Pokud fyzická osoba nakládá s kryptografickým materiálem jiným způsobem, než je uvedeno v § 38 odst. 1, § 40, § 41 odst. 3 nebo § 42, musí být k nakládání pověřena odpovědnou osobou nebo jí pověřenou osobou a splňovat podmínky uvedené v § 38 odst. 2 písm. b) a c).

Kompromitace kryptografického materiálu

Kompromitující vyzařování Zmocňovací ustanovení Prováděcí právní předpis stanoví a) náležitosti přihlášky k odborné zkoušce, b) organizaci, obsah a způsob provádění odborné zkoušky, c) náležitosti osvědčení o zvláštní odborné způsobilosti, d) minimální požadavky na zajištění bezpečnostní správy kryptografické ochrany, e) podrobnosti zajišťování provozu kryptografického prostředku, f) způsob zaškolování provozní obsluhy kryptografického prostředku a kurýra kryptografického materiálu a vzor potvrzení o zaškolení provozní obsluhy kryptografického prostředku a kurýra kryptografického materiálu, g) podrobnosti způsobu vyznačování náležitostí na utajované informaci z oblasti kryptografické ochrany, zejména podle druhu kryptografického materiálu, h) druhy a náležitosti administrativních pomůcek kryptografické ochrany a požadavky na vedení těchto pomůcek, i) bližší požadavky na způsob a prostředky manipulace s kryptografickým materiálem, j) obsah žádosti pro udělení povolení pro vývoz certifikovaného kryptografického prostředku z území České republiky a náležitosti povolení, k) způsob vedení evidencí uvedených v § 37 odst. 5, l) kategorie kryptografických pracovišť, typy činností na kryptografickém pracovišti a minimální požadavky na jejich zabezpečení, m) podmínky ochrany kryptografického prostředku a materiálu k zajištění jeho funkce podle § 41 odst. 4.

Státní správu v oblasti ochrany utajovaných informací podle této hlavy vykonává Národní úřad pro kybernetickou a informační bezpečnost, pokud tento zákon nestanoví jinak.

Společná ustanovení

Žádost o certifikaci technického prostředku a platnost certifikátu technického prostředku

Žádost o certifikaci informačního systému a platnost certifikátu informačního systému

Žádost o certifikaci kryptografického prostředku a platnost certifikátu kryptografického prostředku

Žádost o certifikaci kryptografického pracoviště a platnost certifikátu kryptografického pracoviště

Žádost o certifikaci stínicí komory a platnost certifikátu stínicí komory

Smlouva o zajištění činnosti

Zmocňovací ustanovení Prováděcí právní předpis stanoví a) náležitosti žádosti o certifikaci technického prostředku, dokumentaci nezbytnou k provedení certifikace technického prostředku, pravidla pro stanovení doby platnosti certifikátu technického prostředku, pravidla a způsob používání technického prostředku po uplynutí doby platnosti jeho certifikátu a vzor certifikátu technického prostředku, b) náležitosti žádosti a opakované žádosti o certifikaci informačního systému, certifikaci kryptografického prostředku, certifikaci kryptografického pracoviště a certifikaci stínící komory, a dokumentaci nezbytnou k provedení certifikace informačního systému, certifikace kryptografického prostředku, certifikace kryptografického pracoviště a certifikace stínící komory, c) způsob a podmínky provádění certifikace nebo akreditace informačního systému, certifikace kryptografického prostředku, certifikace kryptografického pracoviště a certifikace stínící komory a jejich opakování a obsah certifikační zprávy podle § 46 odst. 13, d) vzory certifikátu informačního systému, certifikátu kryptografického prostředku, certifikátu kryptografického pracoviště a certifikátu stínící komory, e) náležitosti žádosti o ověření způsobilosti elektrických a elektronických zařízení, zabezpečené oblasti nebo objektu k ochraně před únikem utajované informace kompromitujícím vyzařováním a způsob hodnocení jejich způsobilosti a f) náležitosti žádosti orgánu státu, právnické osoby podle § 60b nebo podnikatele o uzavření smlouvy podle § 52.

Platnost osvědčení fyzické osoby a osvědčení podnikatele je pro stupeň utajení a) Přísně tajné 5 let a b) Tajné a Důvěrné 10 let.

Zvláštní přístup k utajované informaci Osvědčení fyzické osoby pro cizí moc a osvědčení podnikatele pro cizí moc

Jednorázový přístup k utajované informaci

Držitel osvědčení fyzické osoby nebo podnikatele je oprávněn v případě, že mu zanikla platnost osvědčení z důvodu uvedeného v § 56 odst. 1 písm. a), mít do doby vydání rozhodnutí o žádosti podle § 94 odst. 3 nebo § 96 odst. 3, nejdéle však po dobu 12 měsíců od uplynutí doby platnosti osvědčení, přístup k utajované informaci do stupně utajení a v případě podnikatele i ve formě přístupu odpovídajícím dosavadnímu osvědčení, pokud byla žádost podána v době, kdy byl vyhlášen krizový stav, nebo byl-li krizový stav vyhlášen v průběhu řízení o této žádosti.

Zproštění povinnosti zachovávat mlčenlivost Uznání bezpečnostního oprávnění vydaného úřadem cizí moci

Zmocňovací ustanovení

Prováděcí právní předpis stanoví vzor a) osvědčení fyzické osoby a osvědčení podnikatele, b) žádostí o vydání osvědčení fyzické osoby pro cizí moc a osvědčení podnikatele pro cizí moc a c) žádosti o uznání bezpečnostního oprávnění podle § 62.

Obecné povinnosti

Povinnosti fyzické osoby, která má přístup k utajovaným informacím, a fyzické osoby, která je držitelem osvědčení fyzické osoby

Povinnosti odpovědné osoby

Povinnosti podnikatele, který je držitelem osvědčení podnikatele Podnikatel, který je držitelem osvědčení podnikatele, je povinen a) odevzdat Úřadu do 15 dnů osvědčení podnikatele, jehož platnost zanikla podle § 56 odst. 1 písm. b), f) nebo l), b) neprodleně písemně oznámit Úřadu ztrátu nebo odcizení osvědčení podnikatele nebo osvědčení podnikatele pro cizí moc a takové poškození osvědčení podnikatele nebo osvědčení podnikatele pro cizí moc, že zápisy v něm uvedené jsou nečitelné nebo je porušena jeho celistvost, c) neprodleně písemně oznamovat Úřadu změny údajů uvedených podle § 97 písm. a), b), c) nebo q) anebo § 98 písm. c) v dotazníku podnikatele a v jeho bezpečnostní dokumentaci a dále zřízení nebo zrušení zabezpečené oblasti kategorie Vyhrazené; omezení rozsahu hlášení změn, jakož i způsob a formu jejich doložení, stanoví prováděcí právní předpis, d) písemně oznamovat Úřadu každoročně ke dni, který se svým označením shoduje se dnem vydání osvědčení podnikatele, změny údajů uvedených v žádosti podnikatele podle § 96; omezení rozsahu hlášení změn a formu jejich doložení stanoví prováděcí právní předpis, e) zabezpečit ochranu utajovaných informací při zániku platnosti osvědčení podnikatele, f) zaslat Úřadu rozhodnutí o schválení projektu přeměny podle zákona o přeměnách obchodních společností a družstev28a) do 15 dnů ode dne jeho přijetí.

Povinnosti podnikatele, který učinil prohlášení podnikatele Podnikatel, který učinil prohlášení podnikatele, je povinen a) vést bezpečnostní dokumentaci podnikatele v rozsahu § 98 písm. c) a na vyžádání poskytovatele vyhrazené informace mu ji poskytnout, b) zabezpečit ochranu utajovaných informací při zániku přístupu k utajované informaci, c) zaslat prohlášení podnikatele Úřadu podle § 15a odst. 3, d) oznámit podle § 15a odst. 4 písemně Úřadu nebo poskytovateli vyhrazené informace ukončení přístupu k ní nebo podle § 15a odst. 6 zánik platnosti prohlášení podnikatele, e) postupovat obdobně podle § 56 odst. 2 při zániku platnosti prohlášení podnikatele z důvodů uvedených v § 15a odst. 5, f) učinit a neprodleně předat poskytovateli vyhrazené informace, nebo v případě § 15a odst. 3 Úřadu, nové prohlášení podnikatele, pokud i po zániku platnosti původního prohlášení podnikatele podle § 15a odst. 5 písm. a) nebo f) i nadále nezbytně potřebuje přístup k utajované informaci stupně utajení Vyhrazené.

Povinnosti podnikatele, který má přístup k utajované informaci, právnické osoby podle § 60b a orgánu státu

Povinnosti při ochraně průmyslového vlastnictví

Bezpečnostní ředitel

Personální projekt

Podmínky poskytování utajovaných informací Utajovanou informaci lze v mezinárodním styku poskytovat, není-li v § 74 stanoveno jinak, a) jde-li o utajovanou informaci stupně utajení Přísně tajné, Tajné nebo Důvěrné, na základě písemné žádosti orgánu státu, právnické osoby podle § 60b nebo podnikatele a písemného povolení Úřadu, b) jde-li o utajovanou informaci stupně utajení Vyhrazené, na základě písemné žádosti orgánu státu, právnické osoby podle § 60b nebo podnikatele a písemného souhlasu ústředního správního úřadu, do jehož oblasti věcné působnosti utajovaná informace náleží; nenáleží-li utajovaná informace do oblasti věcné působnosti žádného ústředního správního úřadu, na základě písemného souhlasu Úřadu.

Podmínky poskytování utajovaných informací mezi orgánem státu a cizí mocí

Povolení a souhlas při poskytování utajovaných informací

Způsob poskytování utajovaných informací

Způsob poskytování utajovaných informací Evropské unie v jejím rámci a mimo něj

Registry, pomocné registry a kontrolní body

Citlivá činnost

Držitel dokladu je oprávněn v případě, že mu zanikla platnost dokladu z důvodu uvedeného v § 85 odst. 3 písm. a), do doby vydání rozhodnutí o žádosti podle § 99 odst. 3, nejdéle však po dobu 12 měsíců od uplynutí doby platnosti dokladu, vykonávat citlivou činnost nebo mít přístup k utajované informaci stupně utajení Vyhrazené, pokud byla žádost podána v době, kdy byl vyhlášen krizový stav, nebo byl-li krizový stav vyhlášen v průběhu řízení o této žádosti.

Podmínky pro vydání dokladu

Spolehlivost

Doklad

Povinnosti právnické osoby, podnikající fyzické osoby a orgánu státu Právnická osoba, podnikající fyzická osoba a orgán státu jsou povinni a) zajistit výkon citlivé činnosti fyzickou osobou, která je držitelem platného dokladu nebo osvědčení fyzické osoby nebo jí bylo uznáno bezpečnostní oprávnění vydané úřadem cizí moci, b) vést evidenci fyzických osob, které vykonávají citlivou činnost a jsou vůči nim ve služebním poměru nebo v pracovněprávním, členském či obdobném vztahu, c) zajistit neprodlené písemné oznámení Úřadu o tom, že před vydáním dokladu nebo rozhodnutí podle § 121 odst. 2 pominuly skutečnosti, kterými byla žádost o doklad odůvodněna, d) oznámit písemně Úřadu jinou skutečnost, než uvedenou v písmenu c), která může mít vliv na vydání dokladu anebo na rozhodnutí o zrušení jeho platnosti nebo platnosti osvědčení fyzické osoby a e) zajistit neprodlené písemné oznámení Úřadu o tom, že byl zahájen výkon citlivé činnosti, anebo že byl ukončen z důvodu skončení služebního poměru nebo pracovněprávního, členského či obdobného vztahu držitele dokladu nebo osvědčení; takové oznámení obsahuje rovněž datum zahájení nebo ukončení výkonu citlivé činnosti.

Povinnosti fyzické osoby

Výkon citlivé činnosti pro potřeby zpravodajských služeb

Tato část upravuje postup Úřadu v bezpečnostním řízení (dále jen „řízení“) při rozhodování o žádostech podle § 94, 96 a 99 a při rozhodování o zrušení platnosti osvědčení fyzické osoby, osvědčení podnikatele nebo dokladu.

Obecné zásady bezpečnostního řízení

Vedení řízení

Jednací jazyk

Nahlížení do bezpečnostního svazku Účastník řízení a jeho zástupce mají právo nahlížet do bezpečnostního svazku a činit si z něj výpisy, s výjimkou té části bezpečnostního svazku, která obsahuje utajovanou informaci. Nevidomým osobám bude obsah bezpečnostního svazku přečten. Na požádání Úřad nevidomé osobě umožní pořízení zvukového záznamu. Úřad na žádost nevidomé osoby rovněž umožní, aby do bezpečnostního svazku, za podmínek uvedených ve větě první, nahlížel i její průvodce.

Vyloučení z řízení

Účastník řízení Účastníkem řízení je a) v řízení o žádostech podle § 94 nebo 99 fyzická osoba, která žádá o vydání osvědčení fyzické osoby nebo dokladu, nebo osoba, pro kterou je podle § 93 odst. 1 písm. c) žádáno o vydání osvědčení fyzické osoby, b) v řízení o žádosti podle § 96 podnikatel, který žádá o vydání osvědčení podnikatele, c) v řízení o zrušení platnosti osvědčení fyzické osoby, osvědčení podnikatele nebo dokladu držitel těchto veřejných listin.

Jménem podnikatele činí úkony v řízení jeho odpovědná osoba.

Procesní způsobilost Účastník řízení může činit v řízení úkony samostatně (dále jen „procesní způsobilost“) v tom rozsahu, v jakém je svéprávný.

Zastoupení účastníka řízení Zástupcem účastníka řízení je zákonný zástupce, opatrovník nebo zmocněnec.

Zastoupení na základě zákona a opatrovnictví

Zastoupení na základě plné moci

Žádost fyzické osoby Zahájení řízení

Žádost podnikatele Dotazník fyzické osoby

Dotazník podnikatele Dotazník podnikatele obsahuje tyto položky: a) platné údaje, které se zapisují do obchodního, živnostenského nebo obdobného rejstříku či evidence, vždy však uvedení rodného čísla, bylo-li přiděleno, a data, místa, okresu a státu narození, a to i když se do takového rejstříku nebo evidence nezapisují, b) jméno a příjmení, rodné číslo, bylo-li přiděleno, a datum, místo, okres a stát narození, firma a identifikační číslo společníků nebo členů obchodní korporace s nejméně 10% podílem na základním kapitálu nebo na hlasovacích právech na podnikateli nebo osobách ve vlastnické struktuře podnikatele až po fyzickou osobu disponující nejméně 10% přímým nebo nepřímým podílem na základním kapitálu nebo na hlasovacích právech obchodní korporace a osob majících rozhodující vliv na podnikatele, které nemají podíl na základním kapitálu podnikatele nebo na hlasovacích právech podnikatele, c) jméno a příjmení, rodné číslo, bylo-li přiděleno, a datum, místo, okres a stát narození nebo firma a identifikační číslo tichého společníka podnikatele, d) názvy nebankovních poskytovatelů platebních služeb, včetně zahraničních, a čísla nebo jiné jedinečné identifikátory účtů vedených u těchto osob v České republice i v zahraničí a dále názvy bank, zahraničních bank a spořitelních a úvěrních družstev a čísla nebo jiné jedinečné identifikátory účtů vedených u těchto osob v zahraničí, e) vlastní i pronajaté nemovitosti a nebytové prostory podnikatele, ve kterých se vyskytuje zabezpečená oblast podle § 25, včetně uvedení jejich adresy, f) údaje k provedeným řádným účetním závěrkám37), vede-li podnikatel účetnictví, nebo údaje k daňovým přiznáním, vede-li podnikatel daňovou evidenci, nebo uplatňuje-li výdaje procentem z příjmu podle jiného právního předpisu38), a údaje k řádným účetním závěrkám ověřeným auditorem, stanoví-li tak jiný právní předpis53), a to za posledních 5 let, g) závazky ze smluv o zápůjčce nebo z úvěrových smluv, u kterých je podnikatel v prodlení se splátkami, uzavřených se subjekty s licencí, povolením nebo registrací vydanými Českou národní bankou, se subjekty podnikajícími na základě jednotné evropské licence, nebo se zahraničními bankami, a přijaté zápůjčky a úvěry od ostatních právnických nebo fyzických osob a zápůjčky a úvěry poskytnuté fyzickým nebo právnickým osobám, a to v posledních 5 letech, h) smlouvy nebo jejich návrhy, jejichž předmět plnění vyžaduje přístup k utajované informaci, včetně výčtu těchto utajovaných informací s uvedením jejich původce nebo poskytovatele, stupně utajení a specifikace zakázky, včetně utajovaných informací cizí moci, ke kterým má podnikatel přístup, a uvedení počtu utajovaných informací uložených u podnikatele; v případě uzavření smlouvy se zpravodajskou službou podnikatel údaje o takové smlouvě dokládá pouze písemným potvrzením odpovědné osoby příslušné zpravodajské služby, i) zahraniční obchodní partneři, s výjimkou obchodních partnerů z členských států Evropské unie, s celkovým finančním objemem uskutečněných obchodů nad 2 000 000 Kč v posledních 5 letech, j) čeští obchodní partneři a obchodní partneři z členských států Evropské unie v rozsahu stanoveném prováděcím právním předpisem, k) údaje o podání insolvenčního návrhu, l) údaje o rozhodnutí o insolvenčním návrhu, m) údaje o způsobu řešení úpadku, n) údaje o zrušení podnikatele, o) plnění závazků vůči státu podle § 17 odst. 2 písm. a) a b), p) údaje odpovědné osoby podnikatele, jimiž jsou jméno, příjmení, rodné číslo, bylo-li přiděleno, datum narození a zastávaná funkce u podnikatele, q) trestní řízení, a r) seznam funkcí a osob, u kterých se předpokládá přístup k utajovaným informacím, s uvedením jejich rodného čísla, bylo-li přiděleno, a stupně utajení, a u oznámení podle § 6 vydaných podnikatelem datum jejich vydání.

Žádost o doklad Bezpečnostní dokumentace podnikatele Bezpečnostní dokumentace podnikatele stanoví systém ochrany utajovaných informací u podnikatele, musí být u podnikatele uložena, průběžně aktualizována a obsahuje a) specifikaci utajovaných informací, k nimž má podnikatel přístup, včetně výčtu těchto utajovaných informací s uvedením jejich původce nebo poskytovatele, stupně utajení a specifikace zakázky, včetně utajovaných informací cizí moci, ke kterým má podnikatel přístup, popřípadě potvrzení podle § 97 písm. h), b) analýzu možného ohrožení utajovaných informací, vhodná a účinná ochranná opatření ke snížení rizik, c) způsoby realizace jednotlivých druhů zajištění ochrany utajovaných informací.

Zrušení platnosti osvědčení fyzické osoby, osvědčení podnikatele nebo dokladu Dotazník Dotazník podle § 99 odst. 2 písm. a) obsahuje údaje stanovené v § 95 odst. 1 písm. a) až p), r) a s).

Společná ustanovení

Nemá-li žádost podle § 94, 96 nebo 99 předepsané náležitosti, pomůže Úřad účastníku řízení formální nedostatky žádosti odstranit. Pokud nedostatky nelze odstranit na místě, Úřad neprodleně písemně vyzve účastníka řízení, aby nedostatky žádosti odstranil ve lhůtě 30 dnů ode dne doručení výzvy; součástí výzvy je poučení o důsledcích včasného neodstranění nedostatků pro další průběh řízení [§ 113 odst. 1 písm. c)].

Svědek

Pohovor

Úkony v řízení Znalec

Úkony v řízení o vydání osvědčení fyzické osoby

Úkony v řízení o vydání osvědčení podnikatele

Úkony v řízení o žádosti o doklad

Úřad je oprávněn při provádění úkonů podle § 107 a 108, § 109 odst. 1 a § 110 poskytnout orgánu státu, právnické osobě nebo podnikající fyzické osobě v nezbytně nutném rozsahu potřebné osobní údaje vztahující se k vyžádané informaci.

Přerušení řízení

Zajištění účelu a průběhu řízení Zastavení řízení

Předvolání

Předvedení

Lhůty, počítání času a doručování Pořádková pokuta

Rozhodnutí Doručování

Náležitosti rozhodnutí

Právní moc a vykonatelnost rozhodnutí

Usnesení Úřad rozhoduje usnesením v případech stanovených tímto zákonem. Usnesení, které se pouze poznamenává do bezpečnostního svazku, nabývá právní moci tímto poznamenáním a Úřad jej může v průběhu řízení změnit novým usnesením; nové usnesení se pouze poznamená do bezpečnostního svazku. O usnesení, které se poznamenává do bezpečnostního svazku, se účastník řízení vhodným způsobem vyrozumí; v ostatních případech se usnesení oznamuje doručením. Proti usnesení, které se účastníku řízení oznamuje, lze podat rozklad, nestanoví-li tento zákon jinak. Podání rozkladu nemá odkladný účinek.

Bezpečnostní svazek

Proti rozhodnutí Úřadu vydanému v řízení má účastník řízení právo podat rozklad, pokud se tohoto práva po doručení rozhodnutí písemně nevzdal nebo pokud tento zákon nestanoví jinak.

Postup Úřadu před rozhodnutím ředitele Úřadu

Rozhodnutí ředitele Úřadu v řízení o rozkladu

Dnem právní moci rozhodnutí o rozkladu podle § 129 odst. 1 anebo § 131 odst. 5 nebo 6 se platnost zrušeného osvědčení fyzické osoby, osvědčení podnikatele nebo dokladu obnoví. Současně s rozhodnutím o rozkladu se účastníkovi řízení zašle zpět jeho osvědčení fyzické osoby, osvědčení podnikatele nebo doklad, odevzdané podle § 66 odst. 1 písm. b), § 68 písm. a) nebo § 87 odst. 1 písm. a); doba platnosti osvědčení nebo dokladu zůstává zachována.

Není-li v § 125 až 132 stanoveno jinak, použijí se pro řízení o rozkladu obdobně ustanovení § 89 až 124.

Prováděcí právní předpis stanoví a) vzor poučení podle § 58 odst. 5, b) vzory a způsob podání žádostí podle § 93 odst. 1 písm. a) a b), c) rozsah a formu písemností podle § 94 odst. 2 písm. b), d) rozsah údajů dotazníku podnikatele v případě žádosti podle § 96 odst. 4, e) vzor dotazníku fyzické osoby podle § 95 a rozsah údajů vyžadovaných k položkám dotazníku, f) rozsah a formu písemností podle § 96 odst. 2 písm. c) a jejich náležitosti, rozsah údajů podle § 97 písm. j) a vzor dotazníku podnikatele podle § 97, g) rozsah a formu písemností podle § 99 odst. 2 písm. b) a vzor dotazníku podle § 100 a rozsah údajů vyžadovaných k položkám dotazníku, h) rozsah písemného zdůvodnění podle § 94 odst. 1, § 94 odst. 2 písm. f), § 96 odst. 1, § 99 odst. 1 a § 99 odst. 2 písm. f), i) omezení rozsahu hlášení změn údajů, jakož i způsob a formu jejich doložení, podle § 66 odst. 1 písm. d), § 68 písm. c) a d), § 87 odst. 1 písm. c) a § 103 odst. 3, j) vzor zproštění mlčenlivosti podle § 94 odst. 2 písm. e), § 96 odst. 2 písm. d) a § 99 odst. 2 písm. c).

Úřad Úřad a) rozhoduje o žádosti fyzické osoby, žádosti podnikatele a žádosti o doklad a o zrušení platnosti osvědčení fyzické osoby, osvědčení podnikatele a dokladu a vydává osvědčení pro cizí moc, s výjimkou případů stanovených tímto zákonem [§ 140 odst. 1 písm. a) a § 141 odst. 1], a vydává osvědčení fyzické osoby podle § 56a, b) vykonává kontrolu v oblasti ochrany utajovaných informací a bezpečnostní způsobilosti (§ 143) a metodickou činnost, s výjimkou případů stanovených tímto zákonem (§ 143 odst. 4), c) plní úkoly v oblasti ochrany utajovaných informací v souladu se závazky vyplývajícími z členství České republiky v Evropské unii, Organizaci Severoatlantické smlouvy a z mezinárodních smluv, jimiž je Česká republika vázána, a provádí na žádost bezpečnostního úřadu členského státu Organizace Severoatlantické smlouvy, Evropské unie nebo jiného státu, se kterým má Česká republika uzavřenou mezinárodní smlouvu, který má v působnosti ochranu utajovaných informací, úkony řízení k osobě, která je v daném státě prověřována pro přístup k utajovaným informacím, d) vede ústřední registr a schvaluje zřízení registrů v orgánech státu, u právnických osob podle § 60b a u podnikatelů, e) ve stanovených případech povoluje poskytování utajovaných informací v mezinárodním styku, f) vydává na základě písemné žádosti odpovědné osoby nebo bezpečnostního ředitele kurýrní listy a v odůvodněných případech zajišťuje přepravu utajovaných informací, s výjimkou utajovaných informací poskytovaných podle § 78 odst. 1, g) provádí certifikace technického prostředku, h) vydává bezpečnostní standardy, i) ukládá správní tresty za nedodržení povinností stanovených tímto zákonem, j) rozhoduje v dalších věcech a plní další úkoly na úseku ochrany utajovaných informací a bezpečnostní způsobilosti stanovené tímto zákonem, k) vydává Věstník Úřadu, který zveřejňuje na svých internetových stránkách, l) vede a na svých internetových stránkách zveřejňuje seznam osvědčení fyzické osoby, osvědčení podnikatele a dokladů, jejichž držitelé jsou oprávněni mít přístup k utajované informaci podle § 60a nebo vykonávat citlivou činnost nebo mít přístup k utajované informaci stupně utajení Vyhrazené podle § 80a, a m) zajišťuje výzkum a vývoj v oblasti ochrany utajovaných informací.

Národní úřad pro kybernetickou a informační bezpečnost Národní úřad pro kybernetickou a informační bezpečnost v oblasti působnosti svěřené mu tímto zákonem a) zajišťuje zkoušky zvláštní odborné způsobilosti a vydává osvědčení o zvláštní odborné způsobilosti, b) plní úkoly v souladu se závazky vyplývajícími z členství České republiky v Evropské unii, Organizaci Severoatlantické smlouvy a z mezinárodních smluv, jimiž je Česká republika vázána, ve vybraných oblastech ochrany utajovaných informací, c) vykonává metodickou činnost, d) zajišťuje činnost Národního střediska komunikační bezpečnosti, Národního střediska pro distribuci kryptografického materiálu, Národního střediska pro měření kompromitujícího vyzařování a Národního střediska pro bezpečnost informačních systémů, které jsou jeho součástí, e) provádí certifikace a akreditace informačního systému, certifikace kryptografického prostředku, kryptografického pracoviště a stínící komory a schvaluje projekt bezpečnosti komunikačního systému, f) zajišťuje výzkum, vývoj a výrobu národních kryptografických prostředků, g) vyvíjí a schvaluje národní šifrové algoritmy a vytváří národní politiku kryptografické ochrany, h) zjišťuje kompromitující vyzařování tam, kde se vyskytují nebo budou vyskytovat utajované informace, i) zjišťuje v součinnosti se zpravodajskými službami a policií, zda v jednací oblasti nedochází nedovoleným použitím technických prostředků určených k získávání informací k ohrožení nebo únikům utajovaných informací, j) vydává bezpečnostní standardy, k) ukládá správní tresty za nedodržení povinností stanovených tímto zákonem, l) rozhoduje v dalších věcech a plní další úkoly na úseku ochrany utajovaných informací stanovené tímto zákonem, m) vede a na svých internetových stránkách zveřejňuje seznam certifikátů informačního systému, kryptografického prostředku, kryptografického pracoviště a stínicí komory, jejichž platnost zanikla podle § 48 odst. 4 písm. b) a d), § 49 odst. 5 písm. b), § 50 odst. 4 písm. b) a d) nebo § 51 odst. 4 písm. b) a d), n) provádí analýzu a monitoring hrozeb, které mohou ohrozit způsobilost informačního nebo komunikačního systému nakládat s utajovanými informacemi, a zvýšení rizika využití těchto hrozeb a o) zajišťuje výzkum a vývoj v oblasti ochrany utajovaných informací.

Spolupráce Úřadu a Národního úřadu pro kybernetickou a informační bezpečnost Národní úřad pro kybernetickou a informační bezpečnost předá bez zbytečného odkladu Úřadu oznámení, které obdržel podle § 34 odst. 6, § 43 odst. 2 nebo § 69 odst. 1 písm. f) a h).

Ministerstvo vnitra, policie, Generální inspekce bezpečnostních sborů, Generální ředitelství cel a Vojenská policie oznámí neprodleně Úřadu okolnosti nasvědčující tomu, že držitel osvědčení fyzické osoby, držitel osvědčení podnikatele nebo držitel dokladu přestal splňovat podmínky pro jeho vydání.

Vláda stanoví nařízením katalog oblastí utajovaných informací. Katalog oblastí utajovaných informací stanoví jeden nebo více stupňů utajení, kterými lze klasifikovat utajovanou informaci.

Zpravodajské služby

Ministerstvo vnitra a policie

Opatření k nápravě

Povinnost zachovávat mlčenlivost uložená členům kontrolního orgánu podle zákona se nevztahuje na případy, kdy kontrolní orgán podává oznámení podle § 146 odst. 2.

Společné ustanovení k přestupkům Přestupky podle tohoto zákona projednává a pokuty vybírá Úřad, s výjimkou přestupků podle § 148 odst. 1 písm. f) až h), j) a k), § 149 odst. 1 písm. g) až k), § 153 odst. 1 písm. b) a s) až z), § 153 odst. 2 písm. f) a j) a § 154 odst. 1 písm. e), které projednává a za něž pokuty vybírá Národní úřad pro kybernetickou a informační bezpečnost.

Přechodná ustanovení

Zmocňovací ustanovení Úřad vydá vyhlášku k provedení § 7 odst. 3, § 9 odst. 8, § 15a odst. 7, § 23 odst. 2, § 33, § 53 písm. a) a f), § 64, § 75a odst. 4, § 77 odst. 8, § 79 odst. 8, § 85 odst. 7, § 135 a § 138 odst. 5. Národní úřad pro kybernetickou a informační bezpečnost vydá vyhlášku k provedení § 34 odst. 7, § 35 odst. 6, § 36 odst. 4, § 44 a § 53 písm. b) až f).

Správní řád se vztahuje pouze na řízení podle § 35 odst. 2, podle části druhé hlavy IX, a na řízení podle části osmé.

Zrušovací ustanovení Zrušuje se: 1. Zákon č. 164/1999 Sb., kterým se mění zákon č. 148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů. 2. Zákon č. 363/2000 Sb., kterým se mění zákon č. 148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů, ve znění pozdějších předpisů. 3. Zákon č. 386/2004 Sb., kterým se mění zákon č. 148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů, ve znění pozdějších předpisů. 4. Nařízení vlády č. 340/2002 Sb., kterým se stanoví seznam některých citlivých činností. 5. Nařízení vlády č. 385/2003 Sb., kterým se stanoví citlivá činnost pro Hradní stráž. 6. Nařízení vlády č. 31/2005 Sb., kterým se stanoví seznam citlivých činností pro civilní letectví, ve znění nařízení vlády č. 212/2005 Sb. 7. Nařízení vlády č. 246/1998 Sb., kterým se stanoví seznamy utajovaných skutečností. 8. Nařízení vlády č. 89/1999 Sb., kterým se mění nařízení vlády č. 246/1998 Sb., kterým se stanoví seznamy utajovaných skutečností. 9. Nařízení vlády č. 152/1999 Sb., kterým se mění nařízení vlády č. 246/1998 Sb., kterým se stanoví seznamy utajovaných skutečností, ve znění nařízení vlády č. 89/1999 Sb. 10. Nařízení vlády č. 17/2001 Sb., kterým se mění nařízení vlády č. 246/1998 Sb., kterým se stanoví seznamy utajovaných skutečností, ve znění pozdějších předpisů. 11. Nařízení vlády č. 275/2001 Sb., kterým se mění nařízení vlády č. 246/1998 Sb., kterým se stanoví seznamy utajovaných skutečností, ve znění pozdějších předpisů. 12. Nařízení vlády č. 403/2001 Sb., kterým se mění nařízení vlády č. 246/1998 Sb., kterým se stanoví seznamy utajovaných skutečností, ve znění pozdějších předpisů. 13. Nařízení vlády č. 549/2002 Sb., kterým se mění nařízení vlády č. 246/1998 Sb., kterým se stanoví seznamy utajovaných skutečností, ve znění pozdějších předpisů. 14. Nařízení vlády č. 631/2004 Sb., kterým se mění nařízení vlády č. 246/1998 Sb., kterým se stanoví seznamy utajovaných skutečností, ve znění pozdějších předpisů. 15. Vyhláška č. 137/2003 Sb., o podrobnostech stanovení a označení stupně utajení a o zajištění administrativní bezpečnosti. 16. Vyhláška č. 245/1998 Sb., o osobnostní způsobilosti a vzorech tiskopisů používaných v oblasti personální bezpečnosti. 17. Vyhláška č. 397/2000 Sb., kterou se mění vyhláška č. 245/1998 Sb., o osobnostní způsobilosti a vzorech tiskopisů používaných v oblasti personální bezpečnosti. 18. Vyhláška č. 263/1998 Sb., kterou se stanoví způsob a postup ověřování bezpečnostní spolehlivosti organizace. 19. Vyhláška č. 12/1999 Sb., o zajištění technické bezpečnosti utajovaných skutečností a certifikaci technických prostředků. 20. Vyhláška č. 337/1999 Sb., kterou se mění vyhláška č. 12/1999 Sb., o zajištění technické bezpečnosti utajovaných skutečností a certifikaci technických prostředků. 21. Vyhláška č. 56/1999 Sb., o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu. 22. Vyhláška č. 339/1999 Sb., o objektové bezpečnosti. 23. Vyhláška č. 136/2001 Sb., o zajištění kryptografické ochrany utajovaných skutečností, provádění certifikace kryptografických prostředků a náležitostech certifikátu. 24. Vyhláška č. 348/2002 Sb., o bezpečnostní způsobilosti fyzických osob.

Účinnost Tento zákon nabývá účinnosti dnem 1. ledna 2006.