Zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti - ČÁST DRUHÁ - OCHRANA UTAJOVANÝCH INFORMACÍ

ČÁST DRUHÁ

OCHRANA UTAJOVANÝCH INFORMACÍ

Hlava I

Úvodní ustanovení

§ 3

Újma zájmu České republiky a nevýhodnost pro zájmy České republiky

(1) Újmou zájmu České republiky se pro účely tohoto zákona rozumí poškození nebo ohrožení zájmu České republiky. Podle závažnosti poškození nebo ohrožení zájmu České republiky se újma člení na mimořádně vážnou újmu, vážnou újmu a prostou újmu.

(2) Mimořádně vážná újma zájmu České republiky vznikne vyzrazením utajované informace neoprávněné osobě nebo zneužitím utajované informace, které může mít za následek

a) bezprostřední ohrožení svrchovanosti, územní celistvosti nebo demokratických základů České republiky,

b) rozsáhlé ztráty na lidských životech nebo rozsáhlé ohrožení zdraví obyvatel,

c) mimořádně vážné nebo dlouhodobé poškození ekonomiky České republiky,

d) značné narušení vnitřního pořádku a bezpečnosti České republiky,

e) mimořádně vážné ohrožení významných bezpečnostních operací nebo činnosti zpravodajských služeb,

f) mimořádně vážné ohrožení činnosti nebo existence Organizace Severoatlantické smlouvy, Evropské unie nebo členského státu,

g) mimořádně vážné ohrožení bojeschopnosti ozbrojených sil České republiky, Organizace Severoatlantické smlouvy nebo jejího členského státu nebo členského státu Evropské unie, nebo

h) mimořádně vážné poškození diplomatických nebo jiných vztahů České republiky k Organizaci Severoatlantické smlouvy, Evropské unii nebo členskému státu.

(3) Vážná újma zájmu České republiky vznikne vyzrazením utajované informace neoprávněné osobě nebo zneužitím utajované informace, které může mít za následek

a) ohrožení svrchovanosti, územní celistvosti a demokratických základů České republiky,

b) značnou škodu České republiky ve finanční, měnové nebo hospodářské oblasti,

c) ztráty na lidských životech nebo ohrožení zdraví obyvatel,

d) narušení vnitřního pořádku a bezpečnosti České republiky,

e) vážné ohrožení bojeschopnosti ozbrojených sil České republiky, Organizace Severoatlantické smlouvy nebo jejího členského státu nebo členského státu Evropské unie,

f) vážné ohrožení významných bezpečnostních operací nebo činnosti zpravodajských služeb,

g) vážné ohrožení činnosti Organizace Severoatlantické smlouvy, Evropské unie nebo členského státu,

h) vážné narušení diplomatických vztahů České republiky k Organizaci Severoatlantické smlouvy, Evropské unii nebo členskému státu nebo jinému státu, nebo

i) vážné zvýšení mezinárodního napětí.

(4) Prostá újma zájmu České republiky vznikne vyzrazením utajované informace neoprávněné osobě nebo zneužitím utajované informace, které může mít za následek

a) zhoršení vztahů České republiky s cizí mocí,

b) ohrožení bezpečnosti jednotlivce,

c) ohrožení bojeschopnosti ozbrojených sil České republiky, Organizace Severoatlantické smlouvy nebo jejího členského státu nebo členského státu Evropské unie,

d) ohrožení bezpečnostních operací nebo činnosti zpravodajských služeb,

e) ohrožení činnosti či existence Evropské unie nebo jejího členského státu,

f) zmaření, ztížení anebo ohrožení prověřování nebo vyšetřování zvlášť závažných trestných činů¹⁰) nebo usnadnění jejich páchání,

g) vznik nezanedbatelné škody České republice, nebo

h) závažné narušení ekonomických zájmů České republiky.

(5) Nevýhodné pro zájmy České republiky je vyzrazení utajované informace neoprávněné osobě nebo zneužití utajované informace, které může mít za následek

a) narušení činnosti ozbrojených sil České republiky, Organizace Severoatlantické smlouvy nebo jejího členského státu nebo členského státu Evropské unie,

b) zmaření, ztížení anebo ohrožení prověřování nebo vyšetřování ostatních trestných činů než uvedených v odstavci 4 písm. f) nebo usnadnění jejich páchání,

c) poškození významných ekonomických zájmů České republiky nebo Evropské unie nebo jejího členského státu,

d) narušení důležitých obchodních nebo politických jednání České republiky s cizí mocí, nebo

e) narušení bezpečnostních nebo zpravodajských operací.

§ 4

Stupně utajení

Utajovaná informace se klasifikuje stupněm utajení

a) Přísně tajné, jestliže její vyzrazení neoprávněné osobě nebo zneužití může způsobit mimořádně vážnou újmu zájmům České republiky,

b) Tajné, jestliže její vyzrazení neoprávněné osobě nebo zneužití může způsobit vážnou újmu zájmům České republiky,

c) Důvěrné, jestliže její vyzrazení neoprávněné osobě nebo zneužití může způsobit prostou újmu zájmům České republiky,

d) Vyhrazené, jestliže její vyzrazení neoprávněné osobě nebo zneužití může být nevýhodné pro zájmy České republiky.

§ 5

Druhy zajištění ochrany utajovaných informací

Ochrana utajovaných informací je zajišťována

a) personální bezpečností, kterou tvoří výběr fyzických osob, které mají mít přístup k utajovaným informacím, ověřování podmínek pro jejich přístup k utajovaným informacím, jejich výchova a ochrana,

b) průmyslovou bezpečností, kterou tvoří systém opatření k zjišťování a ověřování podmínek pro přístup podnikatele k utajovaným informacím a k zajištění nakládání s utajovanou informací u podnikatele v souladu s tímto zákonem,

c) administrativní bezpečností, kterou tvoří systém opatření při tvorbě, příjmu, evidenci, zpracování, odesílání, přepravě, přenášení, ukládání, skartačním řízení, archivaci, případně jiném nakládání s utajovanými informacemi,

d) fyzickou bezpečností, kterou tvoří systém opatření, která mají neoprávněné osobě zabránit nebo ztížit přístup k utajovaným informacím, popřípadě přístup nebo pokus o něj zaznamenat,

e) bezpečností informačních nebo komunikačních systémů, kterou tvoří systém opatření, jejichž cílem je zajistit důvěrnost, integritu a dostupnost utajovaných informací, s nimiž tyto systémy nakládají, a odpovědnost správy a uživatele za jejich činnost v informačním nebo komunikačním systému a

f) kryptografickou ochranou, kterou tvoří systém opatření na ochranu utajovaných informací použitím kryptografických metod a kryptografických materiálů při zpracování, přenosu nebo ukládání utajovaných informací.

Hlava II

Personální bezpečnost

Podmínky přístupu fyzické osoby k utajované informaci stupně utajení Vyhrazené

§ 6

(1) Fyzické osobě lze umožnit přístup k utajované informaci stupně utajení Vyhrazené, jestliže jej nezbytně potřebuje k výkonu své funkce, pracovní nebo jiné činnosti, je držitelem oznámení o splnění podmínek pro přístup k utajované informaci stupně utajení Vyhrazené (dále jen "oznámení"), osvědčení fyzické osoby (§ 54) nebo dokladu (§ 80) a je poučena, nestanoví-li tento zákon nebo zvláštní právní předpis jinak (§ 58 až 62).

(2) Oznámení se vydá fyzické osobě, která

a) je způsobilá k právním úkonům v plném rozsahu,

b) dosáhla alespoň 18 let věku,

c) je bezúhonná.

(3) Splnění podmínek podle odstavce 2 ověřuje a oznámení fyzické osobě vydává ten, kdo je vůči ní v rámci služebního poměru nebo pracovněprávního, členského či obdobného vztahu odpovědnou osobou, nebo jí určená osoba. Jde-li o fyzickou osobu, vůči níž není odpovědná osoba podle věty první, splnění podmínek podle odstavce 2 ověřuje a oznámení fyzické osobě vydá Národní bezpečnostní úřad (dále jen "Úřad") na základě písemné žádosti.

§ 7

(1) Podmínka způsobilosti k právním úkonům se prokazuje prohlášením fyzické osoby o způsobilosti k právním úkonům. Podmínka věku se prokazuje občanským průkazem nebo cestovním dokladem fyzické osoby. Podmínka bezúhonnosti se prokazuje výpisem z evidence Rejstříku trestů¹¹) a v případě cizince i obdobným dokladem státu, jehož je cizinec státním občanem, jakož i státu, v němž cizinec pobýval nepřetržitě po dobu delší než 6 měsíců. Doklady k ověření bezúhonnosti nesmějí být starší než 3 měsíce od jejich vydání.

(2) Doklady podle odstavce 1 předkládá fyzická osoba.

(3) Prováděcí právní předpis stanoví vzor prohlášení fyzické osoby o způsobilosti k právním úkonům.

§ 8

Bezúhonnost

Podmínku bezúhonnosti splňuje fyzická osoba, která nebyla pravomocně odsouzena za spáchání úmyslného trestného činu nebo trestného činu vztahujícího se k ochraně utajovaných informací, pokud se na ni nehledí, jako by odsouzena nebyla.

§ 9

(1) Před prvním přístupem k utajované informaci stupně utajení Vyhrazené ten, kdo je vůči fyzické osobě v rámci služebního poměru nebo pracovněprávního, členského či obdobného vztahu osobou odpovědnou, zajistí její poučení. Jde-li o fyzickou osobu, vůči níž není odpovědná osoba podle věty první, zajistí poučení odpovědná osoba toho, kdo přístup k utajované informaci umožní. Poučení podepisuje fyzická osoba a ten, kdo poučení provedl; jeden výtisk poučení jí předá a jeden výtisk uloží¹²).

(2) Ten, kdo vydal oznámení, je povinen každé 3 roky ode dne jeho vydání ověřovat splnění podmínek stanovených v § 6 odst. 2 písm. a) a c); ověřovat splnění těchto podmínek je oprávněn i před uplynutím této lhůty, existují-li důvodné pochybnosti o tom, že osoba přestala některou z nich splňovat.

(3) Platnost oznámení zaniká

a) doručením písemného vyrozumění toho, kdo oznámení vydal, že fyzická osoba přestala splňovat podmínku uvedenou v § 6 odst. 2 písm. a) nebo c),

b) skončením služebního poměru nebo pracovněprávního, členského či obdobného vztahu, ve kterém byl fyzické osobě umožněn přístup k utajovaným informacím,

c) vznikem služebního poměru nebo pracovněprávního, členského či obdobného vztahu, ve kterém má být fyzické osobě umožněn přístup k utajovaným informacím, pokud oznámení vydal Úřad podle § 6 odst. 3,

d) úmrtím nebo prohlášením osoby za mrtvou,

e) odcizením nebo ztrátou,

f) takovým poškozením, že zápisy v něm uvedené jsou nečitelné nebo je porušena jeho celistvost, nebo

g) doručením písemného vyrozumění toho, kdo oznámení vydal, že fyzická osoba nesplnila ve stanovené lhůtě povinnost podle § 10 odst. 2 písm. b).

(4) Při zániku platnosti oznámení podle odstavce 3 písm. a) a g) je ten, kdo oznámení vydal, povinen zajistit, aby fyzická osoba neměla přístup k utajované informaci, a o tomto zániku je povinen fyzickou osobu písemně vyrozumět. V písemném vyrozumění uvede důvod zániku platnosti oznámení. Při zániku platnosti oznámení podle odstavce 3 písm. b), c), d) nebo f) je ten, kdo oznámení vydal, povinen o tomto zániku učinit písemný záznam, který uloží¹²).

(5) Přístup fyzické osoby k utajované informaci není dotčen zánikem platnosti oznámení podle odstavce 3 písm. e) a f); ten, kdo oznámení vydal, v tomto případě na základě písemné žádosti vydá do 5 dnů od doručení žádosti nové oznámení, které nahrazuje oznámení původní.

(6) Při zániku platnosti oznámení podle odstavce 3 písm. a) je fyzická osoba povinna odevzdat oznámení do 5 dnů ode dne doručení písemného vyrozumění a v případě zániku platnosti oznámení podle odstavce 3 písm. b) nebo c) do 5 dnů ode dne tohoto zániku tomu, kdo oznámení vydal.

(7) V případě zániku platnosti oznámení se má za to, že fyzická osoba poučena není.

(8) Prováděcí právní předpis stanoví vzor oznámení a poučení.

§ 10

(1) Podmínky uvedené v § 6 odst. 2 písm. a) a c) musí fyzická osoba, která je držitelem oznámení, splňovat po celou dobu přístupu k utajované informaci stupně utajení Vyhrazené.

(2) Fyzická osoba podle odstavce 1 je povinna

a) písemně sdělovat tomu, kdo vydal oznámení, změnu týkající se podmínek uvedených v § 6 odst. 2 písm. a) a c) a dále změnu údajů, které se v oznámení uvádějí, a to ve lhůtě 5 dnů ode dne, kdy tato změna nastala,

b) v případech podle § 9 odst. 2 předložit ve stanovené lhůtě na žádost toho, kdo vydal oznámení, výpis z evidence Rejstříku trestů¹¹) a prohlášení fyzické osoby o způsobilosti k právním úkonům; tyto doklady nesmějí být starší než 3 měsíce.

Podmínky přístupu fyzické osoby k utajované informaci stupně utajení Přísně tajné, Tajné nebo Důvěrné

§ 11

(1) Fyzické osobě lze umožnit přístup k utajované informaci stupně utajení Přísně tajné, Tajné nebo Důvěrné, jestliže jej nezbytně potřebuje k výkonu své funkce, pracovní nebo jiné činnosti, je držitelem platného osvědčení fyzické osoby (§ 54) příslušného stupně utajení a je poučena, nestanoví-li tento zákon nebo zvláštní právní předpis jinak (§ 58 až 62).

(2) Před prvním přístupem k utajované informaci stupně utajení Přísně tajné, Tajné nebo Důvěrné ten, kdo je vůči fyzické osobě v rámci služebního poměru nebo pracovněprávního, členského či obdobného vztahu osobou odpovědnou, zajistí její poučení. Jde-li o fyzickou osobu ve vztahu, vůči níž není odpovědná osoba podle věty první, zajistí poučení odpovědná osoba toho, kdo fyzické osobě přístup k utajované informaci umožní. Poučení podepisuje fyzická osoba a ten, kdo poučení provedl; jeden výtisk poučení jí předá, jeden výtisk uloží¹²) a jeden zašle Úřadu. Povinnost zaslání jednoho výtisku poučení Úřadu se nevztahuje na zpravodajské služby České republiky¹³) (dále jen "zpravodajské služby") v případech podle § 140 odst. 1 písm. a) a na Ministerstvo vnitra v případech podle § 141 odst 1.

(3) Poučení ředitele Úřadu a ředitele Bezpečnostní informační služby provede předseda vlády; pro podpis, předání a uložení výtisku poučení platí odstavec 2 obdobně.

(4) V případě zániku platnosti osvědčení fyzické osoby (§ 56 odst. 1) se má za to, že fyzická osoba poučena není.

§ 12

Podmínky pro vydání osvědčení fyzické osoby

(1) Osvědčení fyzické osoby Úřad vydá fyzické osobě, která

a) je státním občanem České republiky nebo státním občanem členského státu Evropské unie nebo Organizace Severoatlantické smlouvy,

b) splňuje podmínky uvedené v § 6 odst. 2,

c) je osobnostně způsobilá,

d) je bezpečnostně spolehlivá.

(2) Podmínky uvedené v odstavci 1 musí fyzická osoba splňovat po celou dobu platnosti osvědčení fyzické osoby (§ 55).

§ 13

Osobnostní způsobilost

(1) Podmínku osobnostní způsobilosti splňuje fyzická osoba, která netrpí poruchou či obtížemi, které mohou mít vliv na její spolehlivost nebo schopnost utajovat informace.

(2) Osobnostní způsobilost podle odstavce 1 se ověřuje na základě prohlášení k osobnostní způsobilosti a v případech stanovených tímto zákonem (§ 106) i na základě znaleckého posudku o osobnostní způsobilosti.

(3) Zpravodajská služba u svých příslušníků, zaměstnanců a uchazečů o zaměstnání nebo o přijetí do služebního poměru v případech podle § 140 odst. 1 písm. a) a Ministerstvo vnitra v případech podle § 141 odst. 1 ověřuje osobnostní způsobilost na základě prohlášení k osobnostní způsobilosti nebo na základě psychologického vyšetření psychologickým pracovištěm zpravodajské služby nebo Ministerstva vnitra; pro účely žádosti podle § 94 na stupeň utajení Přísně tajné se osobnostní způsobilost ověřuje na základě psychologického vyšetření.

§ 14

Bezpečnostní spolehlivost

(1) Podmínku bezpečnostní spolehlivosti splňuje fyzická osoba, u níž není zjištěno bezpečnostní riziko.

(2) Bezpečnostním rizikem je

a) závažná nebo opakovaná činnost proti zájmům České republiky, nebo

b) činnost, spočívající v potlačování základních práv a svobod, anebo podpora takové činnosti.

(3) Za bezpečnostní riziko lze též považovat

a) zařazení do složky bývalé Státní bezpečnosti s rozvědným nebo kontrarozvědným zaměřením, zpravodajské správy Generálního štábu Československé lidové armády nebo odboru vnitřní ochrany Sboru nápravné výchovy anebo prokazatelnou spolupráci s bývalou Státní bezpečností nebo zpravodajskou správou Generálního štábu Československé lidové armády nebo odborem vnitřní ochrany Sboru nápravné výchovy,

b) užívání jiné identity,

c) úmyslné porušení právních předpisů, na jehož základě může nastat újma zájmu České republiky,

d) chování, které má vliv na důvěryhodnost nebo ovlivnitelnost osoby a může ovlivnit její schopnost utajovat informace,

e) styky s osobou, která vyvíjí nebo vyvíjela činnost proti zájmu České republiky,

f) pravomocné odsouzení pro trestný čin,

g) uvedení nepravdivé informace nebo zamlčení informace rozhodné pro objektivní zjištění skutečného stavu věci v řízení podle části čtvrté nebo nenahlášení změny údajů uvedených v příloze k této žádosti o vydání osvědčení fyzické osoby (§ 94) nebo v jiném materiálu poskytnutém Úřadu v příloze k této žádosti,

h) porušení povinnosti při ochraně utajovaných informací, nebo

i) zřejmě nepřiměřené finanční nebo majetkové poměry vzhledem k řádně přiznaným příjmům fyzické osoby.

(4) Bezpečnostní rizika uvedená v odstavci 2 a odstavci 3 písm. a) se v případě žádosti podle § 94 zjišťují za období od 15 let věku; bezpečnostní rizika uvedená v odstavci 3 písm. b) až i) se zjišťují 10 let zpětně od podání žádosti pro stupeň utajení Důvěrné, 15 let zpětně pro stupeň utajení Tajné a 20 let zpětně pro stupeň utajení Přísně tajné, nebo za období od 15 let věku podle toho, které z nich je kratší.

(5) K bezpečnostnímu riziku uvedenému v odstavci 3 písm. b) se nepřihlíží, pokud fyzická osoba užívala jinou identitu ze zákonného důvodu.

(6) Při posuzování, zda skutečnost uvedená v odstavci 3 je bezpečnostním rizikem, se přihlíží k tomu, do jaké míry může ovlivnit schopnost utajovat informace, k době jejího výskytu, k jejímu rozsahu, charakteru a k chování fyzické osoby v období uvedeném v odstavci 4.

(7) Zpravodajská služba u svých příslušníků, zaměstnanců a uchazečů o zaměstnání nebo o přijetí do služebního poměru může při posuzování bezpečnostního rizika podle odstavce 3 provést fyziodetekční vyšetření, pokud zjištěné skutečnosti vyvolávají pochybnosti o schopnosti fyzické osoby utajovat informace.

Hlava III

Průmyslová bezpečnost

Podmínky přístupu podnikatele k utajované informaci a formy přístupu podnikatele k utajované informaci

§ 15

Podnikateli lze umožnit přístup k utajované informaci, jestliže jej nezbytně potřebuje k výkonu své činnosti a je držitelem platného osvědčení podnikatele (§ 54) příslušného stupně utajení, pokud tento zákon nestanoví jinak (§ 58 až 62).

§ 16

Podmínky pro vydání osvědčení podnikatele

(1) Osvědčení podnikatele Úřad vydá podnikateli,

a) který je ekonomicky stabilní,

b) který je bezpečnostně spolehlivý,

c) který je schopen zabezpečit ochranu utajovaných informací a

d) pokud odpovědná osoba a prokuristé jsou držiteli platného osvědčení fyzické osoby nejméně pro takový stupeň utajení, pro který žádá podnikatel o vydání osvědčení podnikatele, nebo jsou držiteli platného oznámení v případě, že má být vydáno osvědčení podnikatele pro stupeň utajení Vyhrazené.

(2) Podmínky uvedené v odstavci 1 musí podnikatel splňovat po celou dobu platnosti osvědčení podnikatele (§ 55).

§ 17

Ekonomická stabilita

(1) Podmínku ekonomické stability nesplňuje podnikatel,

a) který byl zrušen¹⁴),

b) kterému byla povolena ochranná lhůta¹⁵),

c) na jehož majetek byl prohlášen konkurs¹⁶) nebo návrh na prohlášení konkursu byl zamítnut pro nedostatek majetku nebo konkurs byl zrušen pro nedostatek majetku,

d) u kterého bylo soudem povoleno nucené vyrovnání nebo na něhož byl soudem návrh na nucené vyrovnání zamítnut, nebo

e) u kterého byla zavedena nucená správa.

(2) Za ekonomicky nestabilního lze též považovat podnikatele,

a) který má splatný nedoplatek na pojistném na sociální zabezpečení, na příspěvku na státní politiku zaměstnanosti nebo na pojistném na veřejné zdravotní pojištění, včetně penále,

b) který má splatný nedoplatek na dani z příjmů, na dani z přidané hodnoty či na jiných daních včetně příslušného penále z dlužné částky, popřípadě na vyměřeném clu, včetně případných úroků,

c) který trvale či opakovaně neplní finanční povinnosti vůči státu, fyzickým nebo právnickým osobám, nebo

d) u něhož bylo rozhodnuto o exekuci na jeho majetek.

§ 18

Bezpečnostní spolehlivost

(1) Podmínku bezpečnostní spolehlivosti nesplňuje podnikatel, u něhož bylo zjištěno bezpečnostní riziko.

(2) Bezpečnostním rizikem je činnost statutárního orgánu nebo jeho člena, člena kontrolního orgánu nebo prokuristy proti zájmům České republiky.

(3) Za bezpečnostní riziko lze též považovat

a) uvedení nepravdivé informace nebo zamlčení informace rozhodné pro objektivní a úplné zjištění skutečného stavu věci při ověřování podmínek pro vydání osvědčení podnikatele nebo nenahlášení změny údajů uvedených v žádosti podle § 96 nebo v jiném materiálu poskytnutém Úřadu k této žádosti,

b) kapitálové, finanční nebo obchodní vztahy k jiným fyzickým nebo právnickým osobám anebo k cizí moci, které vyvíjejí nebo vyvíjely činnost proti zájmům České republiky,

c) personální nestabilitu ve statutárním nebo v kontrolním orgánu nebo v osobách prokuristů,

d) je-li podnikatel akciovou společností s jinou formou akcií, než jsou akcie znějící na jméno,

e) je-li společníkem, který má rozhodující vliv na volbu nebo jmenování statutárního nebo kontrolního orgánu podnikatele, akciová společnost s jinou formou akcií, než jsou akcie znějící na jméno,

f) porušení povinnosti při ochraně utajovaných informací,

g) pravomocné odsouzení fyzické osoby, která je společníkem podnikatele, pro úmyslný trestný čin,

h) úmyslné porušení právních předpisů osobami oprávněnými jménem podnikatele nebo za podnikatele jednat, na jehož základě může nastat újma zájmu České republiky, nebo

i) vztah cizího státního příslušníka zaměstnaného podnikatelem k fyzickým osobám nebo právnickým osobám nebo k cizí moci, které vyvíjely nebo vyvíjejí činnost proti zájmům České republiky.

§ 19

Způsobilost zabezpečit ochranu utajovaných informací

Podmínku způsobilosti zabezpečit ochranu utajovaných informací nesplňuje podnikatel, který není schopen zajistit a dodržovat jednotlivé druhy zajištění ochrany utajovaných informací podle tohoto zákona v závislosti na příslušném stupni utajení a formě výskytu utajované informace.

§ 20

Formy přístupu podnikatele k utajované informaci

(1) Podnikatel má přístup k utajované informaci,

a) která u něho vzniká, nebo je mu poskytnuta, nebo

b) která u něho nevzniká, ani mu není poskytována, ale ke které mají přístup zaměstnanci podnikatele nebo osoby jednající jménem podnikatele nebo za podnikatele, a to v souvislosti s výkonem pracovní nebo jiné činnosti pro podnikatele na základě smlouvy.

(2) V případě přístupu podle odstavce 1 písm. b) musí podnikatel splňovat podmínku podle § 16 odst. 1 písm. c) pouze zajištěním ochrany utajované informace personální bezpečností [§ 5 písm. a)].

Hlava IV

Administrativní bezpečnost

Vyznačování údajů a evidence utajované informace

§ 21

(1) Na informaci, která naplňuje znaky § 4 a je uvedena v seznamu utajovaných informací, je původce povinen vyznačit svůj název, stupeň jejího utajení, její evidenční označení a datum jejího vzniku, není-li dále stanoveno jinak.

(2) Na utajované informaci poskytnuté České republice cizí mocí vyznačí orgán státu, právnická osoba nebo podnikající fyzická osoba, pokud tuto utajovanou informaci evidují jako první (§ 77 až 79), stupeň utajení, který je uveden v § 4, a to v souladu s mezinárodní smlouvou, kterou je Česká republika vázána a na jejímž základě je utajovaná informace poskytována, včetně případné zkratky podle této smlouvy (například zkratka "EU", "EURA" nebo "NATO"), nebo v souladu s požadavkem cizí moci nebo se stupněm utajení cizí mocí na poskytnuté utajované informaci vyznačeným; název původce a datum vzniku utajované informace se nevyznačuje.

(3) Na utajované informaci, která vyžaduje zpřísněné podmínky při zajišťování jednotlivých druhů ochrany utajovaných informací (dále jen "zvláštní režim nakládání") v oblastech stanovených zejména mezinárodní smlouvou, kterou je Česká republika vázána, nebo předpisy mezinárodní organizace, jíž je Česká republika členem, se vyznačí též příslušné doplňující označení (například označení "KRYPTO", jde-li o utajovanou informaci z oblasti kryptografické ochrany, a označení "ATOMAL", jde-li o utajovanou informaci z oblasti zbraní hromadného ničení).

(4) Nelze-li na informaci údaje podle odstavců 1 až 3 vyznačit, uvedou se tak, aby je bylo možné kdykoliv zjistit.

(5) Utajovaná informace se eviduje v administrativních pomůckách určených prováděcím právním předpisem; v nich se zaznamenává též její předávání, přebírání nebo jiný pohyb.

(6) Opis, kopie nebo překlad utajované informace stupně utajení Přísně tajné nebo výpis z ní mohou být vyhotoveny pouze na základě písemného souhlasu původce; jde-li o utajovanou informaci stupně utajení Tajné nebo Důvěrné, mohou být vyhotoveny pouze s písemným souhlasem přímo nadřízené osoby.

(7) Utajovanou informaci lze přepravovat nebo přenášet pouze v přenosných schránkách nebo v uzavřeném obalu v závislosti na jejím stupni utajení a na jejím nosiči; přepravovat ji lze pouze prostřednictvím kurýrní služby nebo držitele poštovní licence¹⁷).

(8) Převzetí utajované informace příjemce potvrdí, nestanoví-li tento zákon jinak (§ 23 odst. 1). Formu potvrzení při převzetí utajované informace stupně utajení Vyhrazené v rámci orgánu státu, právnické osoby nebo podnikající fyzické osoby stanoví odpovědná osoba.

(9) Utajovanou informaci lze v průběhu její skartační lhůty, stanovené podle zvláštního právního předpisu¹⁸), zapůjčit pouze fyzickým osobám, které jsou k orgánu státu, právnické osobě nebo podnikající fyzické osobě ve služebním poměru nebo v pracovněprávním, členském či obdobném vztahu.

(10) Při vyřazování utajované informace ve skartačním řízení se postupuje podle zvláštního právního předpisu¹⁸).

§ 22

(1) Stupeň utajení se na utajované informaci vyznačí při jejím vzniku, nestanoví-li tento zákon jinak (§ 70).

(2) Vyznačení stupně utajení na utajované informaci musí být zachováno po celou dobu trvání důvodů utajení. Bez souhlasu původce nebo poskytující cizí moci nesmí být stupeň utajení změněn nebo zrušen.

(3) Vyžaduje-li to charakter utajované informace, musí původce vyznačit na utajované informaci dobu, po kterou bude informace utajována; stupeň utajení zaniká uplynutím vyznačené doby.

(4) Stupeň utajení původce neprodleně zruší nebo změní po zjištění, že pominul důvod pro utajení informace, důvody pro utajení neodpovídají stanovenému stupni utajení nebo byl-li stupeň utajení stanoven neoprávněně, a na utajované informaci toto zrušení nebo změnu jejího stupně utajení vyznačí.

(5) Původce je povinen prověřit, zda důvod pro utajení informace trvá, a to nejméně jednou za pět let ode dne jejího vzniku.

(6) Provedl-li původce zrušení nebo změnu stupně utajení podle odstavce 4, oznámí tuto skutečnost neprodleně písemně adresátům utajované informace. Adresáti utajované informace oznámí neprodleně písemně tuto skutečnost všem dalším adresátům, kterým utajovanou informaci zpřístupnili.

(7) Adresát po obdržení oznámení podle odstavce 6 na utajované informaci zrušení nebo změnu stupně utajení vyznačí.

(8) Zanikl-li původce, provede zrušení nebo změnu stupně utajení podle odstavce 4 a oznámení podle odstavce 6 jeho právní nástupce, a není-li jej, nebo nesplňuje-li právní nástupce podmínky přístupu k utajované informaci, Úřad.

§ 23

(1) Povinnost stanovená v § 21 odst. 8 se nevztahuje na předávání utajované informace do stupně utajení Tajné mezi zpravodajskými službami a obdobnými službami cizí moci uskutečňované v rámci spolupráce podle zvláštního právního předpisu¹⁹) v případech, kdy postup podle § 21 odst. 8 nelze dodržet, s výjimkou utajovaných informací vyžadujících zvláštní režim nakládání.

(2) Prováděcí právní předpis stanoví

a) způsob vyznačování náležitostí na utajované informaci podle § 21 odst. 1 až 4 a § 22 odst. 1, 3, 4 a 7, zejména ve vazbě na stupeň utajení utajované informace a nosič utajované informace,

b) druhy administrativních pomůcek uvedených v § 21 odst. 5, a to v podobě knih, sešitů nebo listů, jejich náležitosti a organizační a technické požadavky na jejich vedení,

c) náležitosti souhlasu k pořizování opisu, kopie, výpisu a překladu utajované informace (§ 21 odst. 6), způsob vyznačování náležitostí na nich a způsob pořizování výpisu,

d) podrobnosti k přepravě, přenášení, převzetí a zapůjčování utajované informace podle § 21 odst. 7 až 9 a k další s tím související manipulaci s ní, včetně organizačního zajištění těchto činností, požadavků na přenosné schránky a obaly a vyznačování příslušných náležitostí na nich, a to zejména ve vazbě na stupeň utajení utajované informace a nosič utajované informace.

(3) Ustanovení této hlavy se nevztahují na zpracování a přenos utajovaných informací v informačních systémech a kryptografických prostředcích.

Hlava V

Fyzická bezpečnost

§ 24

(1) Pro zabezpečení ochrany utajovaných informací v rámci fyzické bezpečnosti se určují objekty, zabezpečené oblasti a jednací oblasti.

(2) Objektem je budova nebo jiný ohraničený prostor, ve kterém se nachází zabezpečená oblast nebo jednací oblast.

(3) Zabezpečenou oblastí je ohraničený prostor v objektu.

(4) Jednací oblastí je ohraničený prostor v objektu. Utajovanou informaci stupně utajení Přísně tajné nebo Tajné lze pravidelně projednávat pouze v jednací oblasti.

(5) Utajovaná informace se zpracovává

a) v zabezpečených oblastech,

b) v objektu mimo zabezpečenou oblast, pokud je zajištěno, že k utajované informaci nemá přístup neoprávněná osoba, nebo

c) v odůvodněných případech s písemným souhlasem odpovědné osoby nebo bezpečnostního ředitele mimo objekt, pokud je zajištěno, že k utajované informaci nemá přístup neoprávněná osoba.

(6) Utajovaná informace se ukládá v zabezpečené oblasti a v ní popřípadě v trezoru, uzamykatelné skříni nebo jiné schránce za podmínek stanovených prováděcím právním předpisem.

§ 25

(1) Zabezpečené oblasti se podle nejvyššího stupně utajení utajované informace, která se v nich ukládá, zařazují do kategorií

a) Přísně tajné,

b) Tajné,

c) Důvěrné, nebo

d) Vyhrazené.

(2) Zabezpečené oblasti se podle možnosti přístupu k utajované informaci zařazují do tříd

a) třída I, kdy vstupem do této oblasti dochází k seznámení s utajovanou informací,

b) třída II, kdy vstupem do této oblasti nedochází k seznámení s utajovanou informací.

(3) Vstup do zabezpečené oblasti a výstup z ní musí být kontrolovány opatřeními podle § 27. Neoprávněná osoba může vstoupit pouze do zabezpečené oblasti třídy II, a to s osobou, která má do této oblasti vstup povolen.

§ 26

Projednávání utajovaných informací

(1) Odpovědná osoba je povinna zajistit, aby v jednací oblasti podle § 24 odst. 4 nedocházelo k ohrožení nebo úniku projednávaných utajovaných informací.

(2) Ke splnění povinnosti podle odstavce 1 je odpovědná osoba povinna požádat Úřad o provedení kontroly, zda v jednací oblasti nedochází k nedovolenému použití technických prostředků určených k získávání informací. Tuto kontrolu Úřad zajistí v součinnosti se zpravodajskými službami a Policií České republiky (dále jen "policie"). Pro své potřeby si zpravodajské služby a policie kontrolu provádějí samy.

(3) Vstup do jednací oblasti a výstup z ní musí být kontrolován opatřeními podle § 27. Neoprávněná osoba může vstoupit do jednací oblasti pouze s osobou, která má do této oblasti vstup povolen.

§ 27

Opatřeními fyzické bezpečnosti jsou

a) ostraha,

b) režimová opatření,

c) technické prostředky.

§ 28

(1) Ostraha se nepřetržitě zajišťuje u objektu, ve kterém se nachází zabezpečená oblast kategorie

a) Přísně tajné, nejméně 2 osobami u objektu,

b) Tajné, nejméně 1 osobou u objektu a 1 další osobou, které kombinace opatření podle § 30 odst. 1 písm. b), c) a f) umožní rychlý zásah, je-li provádění ochrany utajovaných informací narušeno,

c) Důvěrné, nejméně 1 osobou, které kombinace opatření podle § 30 odst. 1 písm. b) a c) umožní rychlý zásah, je-li provádění ochrany utajovaných informací narušeno.

(2) U objektu, ve kterém se nachází zabezpečená oblast nejvýše kategorie Vyhrazené, se ostraha zajišťuje v rozsahu stanoveném odpovědnou osobou.

(3) U objektu, ve kterém se nachází jednací oblast, v níž se pravidelně projednávají utajované informace stupně utajení Přísně tajné, se ostraha zajišťuje nejméně 2 osobami u objektu; u objektu, ve kterém se nachází jednací oblast, v níž se pravidelně projednávají utajované informace stupně utajení Tajné, nejméně 1 osobou u objektu a 1 další osobou, které kombinace opatření podle § 30 odst. 1 písm. b), c), d) a f) umožní rychlý zásah, je-li provádění ochrany utajovaných informací narušeno.

(4) Ostraha se zabezpečuje zaměstnanci orgánu státu, právnické osoby nebo podnikající fyzické osoby, o jejichž objekt jde, příslušníky ozbrojených sil nebo ozbrojených sborů anebo zaměstnanci bezpečnostní ochranné služby.

§ 29

Režimová opatření stanoví oprávnění osob a dopravních prostředků pro vstup a vjezd do objektu, oprávnění osob pro vstup do zabezpečené oblasti a jednací oblasti a způsob kontroly těchto oprávnění a dále způsob manipulace s klíči a identifikačními prostředky, které se používají pro systémy zabezpečení vstupů podle § 30 odst. 1 písm. b), a způsob manipulace s technickými prostředky a jejich používání. Režimová opatření stanoví též oprávnění při výstupu osob a výjezdu dopravních prostředků z objektu a pro jejich kontrolu, podmínky a způsob kontroly pohybu osob v objektu, zabezpečené oblasti a jednací oblasti a způsob kontroly a vynášení utajovaných informací z objektu, zabezpečené oblasti a jednací oblasti.

§ 30

(1) Technickými prostředky jsou zejména

a) mechanické zábranné prostředky,

b) elektrická zámková zařízení a systémy pro kontrolu vstupů,

c) zařízení elektrické zabezpečovací signalizace,

d) speciální televizní systémy,

e) tísňové systémy,

f) zařízení elektrické požární signalizace,

g) zařízení sloužící k vyhledávání nebezpečných látek nebo předmětů,

h) zařízení fyzického ničení nosičů informací,

i) zařízení proti pasivnímu a aktivnímu odposlechu utajované informace.

(2) Bodové ohodnocení (§ 31 odst. 1) se přiřazuje certifikovaným technickým prostředkům [§ 46 odst. 1 písm. a)] a odpovědnou osobou schváleným necertifikovaným technickým prostředkům.

(3) Technické prostředky uvedené v odstavci 1 lze v případě účasti České republiky v mezinárodním ozbrojeném konfliktu, mezinárodní záchranné nebo humanitární akci, v případě vyhlášení válečného stavu, v případě stavu nebezpečí, nouzového stavu nebo stavu ohrožení státu²⁰) a při činnostech ozbrojených sil České republiky v rámci vojenského cvičení nahradit zvýšenou ostrahou, než jaká je uvedena v § 28, prováděnou příslušníky ozbrojených sil nebo ozbrojených sborů na základě zvláštních právních předpisů²¹).

§ 31

(1) Míra zabezpečení jednací oblasti a zabezpečené oblasti opatřeními fyzické bezpečnosti se určuje pomocí bodových hodnot těchto opatření v závislosti na vyhodnocení rizik; bodové hodnoty a nejnižší míra zabezpečení jsou stanoveny prováděcím právním předpisem.

(2) Opatření fyzické bezpečnosti nebo kombinace více těchto opatření musí odpovídat alespoň nejnižší míře zabezpečení jednací oblasti nebo zabezpečené oblasti a stanoví se v závislosti na vyhodnocení rizik a na stupni utajení utajovaných informací, které jsou v jednací oblasti pravidelně projednávány, nebo na kategorii zabezpečené oblasti.

(3) Opatření podle odstavce 2 stanoví odpovědná osoba v projektu fyzické bezpečnosti.

(4) Hodnocení rizik musí být prováděno průběžně a v případě potřeby musí být míra opatření fyzické bezpečnosti upravena.

(5) Orgán státu, právnická osoba a podnikající fyzická osoba jsou povinni zajistit a pravidelně ověřovat, zda použitá opatření fyzické bezpečnosti odpovídají projektu fyzické bezpečnosti a právním předpisům v oblasti ochrany utajovaných informací.

§ 32

Projekt fyzické bezpečnosti

(1) Projekt fyzické bezpečnosti v případech, kdy se v objektu nacházejí zabezpečené oblasti kategorie Přísně tajné, Tajné nebo Důvěrné, obsahuje

a) určení objektu a zabezpečených oblastí, včetně jejich hranic a určení kategorií a tříd zabezpečených oblastí,

b) vyhodnocení rizik,

c) způsob použití opatření fyzické bezpečnosti,

d) provozní řád objektu a

e) plán zabezpečení objektu a zabezpečených oblastí v krizových situacích.

(2) Projekt fyzické bezpečnosti v případech, kdy se v objektu nachází zabezpečená oblast pouze kategorie Vyhrazené, obsahuje

a) určení objektu a zabezpečených oblastí, včetně jejich hranic a určení kategorií a tříd zabezpečených oblastí a

b) způsob použití opatření fyzické bezpečnosti.

(3) Projekt fyzické bezpečnosti v případech, kdy se v objektu nachází jednací oblast, obsahuje

a) určení objektu a jednací oblasti, včetně jejich hranic,

b) vyhodnocení rizik,

c) způsob použití opatření fyzické bezpečnosti,

d) provozní řád objektu a

e) plán zabezpečení objektu a jednací oblasti v krizových situacích.

(4) Projekt fyzické bezpečnosti se ukládá u odpovědné osoby nebo bezpečnostního ředitele.

§ 33

Zmocňovací ustanovení

Prováděcí právní předpis stanoví

a) způsob ukládání utajovaných informací v závislosti na stupni jejich utajení (§ 24 odst. 6),

b) organizační požadavky na provádění ostrahy (§ 28) a zabezpečení jednací oblasti nebo zabezpečené oblasti touto ostrahou, včetně určení kategorie osob uvedených v § 28 odst. 4, a to v závislosti na stupni utajení utajovaných informací, které jsou v jednací oblasti pravidelně projednávány, nebo na kategorii zabezpečené oblasti,

c) podrobnosti režimových opatření (§ 29),

d) požadavky na technické prostředky, uvedené v § 30 odst. 1, a zabezpečení jednací oblasti nebo zabezpečené oblasti těmito prostředky, v závislosti na stupni utajení utajovaných informací, které jsou v jednací oblasti pravidelně projednávány, nebo na kategorii zabezpečené oblasti,

e) bodové ohodnocení jednotlivých opatření fyzické bezpečnosti a bodovou hodnotu nejnižší míry zabezpečení jednací oblasti nebo zabezpečené oblasti, včetně základní metody hodnocení rizik (§ 31 odst. 1 a 2),

f) četnost a způsob zápisu o ověřování, zda použitá opatření fyzické bezpečnosti odpovídají projektu fyzické bezpečnosti a právním předpisům v oblasti ochrany utajovaných informací, v závislosti na stupni utajení utajovaných informací (§ 31 odst. 5),

g) obsah provozního řádu objektu a plánu zabezpečení objektů, zabezpečených oblastí a jednacích oblastí v krizových situacích [§ 32 odst. 1 písm. d) a e) a § 32 odst. 3 písm. d) a e)].

Hlava VI

Bezpečnost informačních a komunikačních systémů

§ 34

Informační systém

(1) Informačním systémem nakládajícím s utajovanými informacemi se pro účely tohoto zákona rozumí jeden nebo více počítačů, jejich programové vybavení, k tomu patřící periferní zařízení, správa tohoto informačního systému a k tomuto systému se vztahující procesy nebo prostředky schopné provádět sběr, tvorbu, zpracování, ukládání, zobrazení nebo přenos utajovaných informací (dále jen "informační systém").

(2) Informační systém musí být certifikován Úřadem [§ 46 odst. 1 písm. b)] a písemně schválen do provozu odpovědnou osobou.

(3) Nakládat s utajovanou informací lze pouze v informačním systému splňujícím podmínky podle odstavce 2.

(4) Schválení informačního systému do provozu podle odstavce 2 musí odpovědná osoba písemně oznámit Úřadu do 30 dnů od tohoto schválení.

(5) Prováděcí právní předpis stanoví

a) požadavky na informační systém a podmínky jeho bezpečného provozování v závislosti na stupni utajení utajovaných informací, s nimiž nakládá, a na bezpečnostním provozním módu a

b) obsah bezpečnostní dokumentace informačního systému.

§ 35

Komunikační systém

(1) Komunikačním systémem nakládajícím s utajovanými informacemi (dále jen "komunikační systém") se pro účely tohoto zákona rozumí systém zajišťující přenos těchto informací mezi koncovými uživateli a zahrnující koncové komunikační zařízení, přenosové prostředí, kryptografické prostředky, obsluhu a provozní podmínky a postupy.

(2) Komunikační systém nelze provozovat bez projektu bezpečnosti komunikačního systému schváleného Úřadem. O schválení projektu bezpečnosti komunikačního systému písemně žádá u Úřadu orgán státu, právnická osoba nebo podnikající fyzická osoba, která jej bude provozovat.

(3) Nakládat s utajovanou informací lze pouze v komunikačním systému splňujícím podmínky podle odstavce 2.

(4) Projekt bezpečnosti komunikačního systému obsahuje

a) bezpečnostní politiku komunikačního systému,

b) organizační a provozní postupy provozování komunikačního systému,

c) provozní směrnice pro bezpečnostní správu komunikačního systému a

d) provozní směrnice uživatele komunikačního systému.

(5) Prováděcí právní předpis stanoví

a) obsah žádosti o schválení projektu bezpečnosti komunikačního systému a

b) náležitosti projektu bezpečnosti komunikačního systému a způsob a podmínky jeho schvalování.

Hlava VII

OCHRANA UTAJOVANÝCH INFORMACÍ V KOPÍROVACÍM ZAŘÍZENÍ, ZOBRAZOVACÍM ZAŘÍZENÍ NEBO PSACÍM STROJI S PAMĚTÍ

§ 36

(1) Při zpracování utajované informace v elektronické podobě v kopírovacím zařízení, zobrazovacím zařízení nebo psacím stroji s pamětí, které nejsou součástí informačního nebo komunikačního systému, musí být zajištěna ochrana této utajované informace.

(2) Orgán státu, právnická osoba a podnikající fyzická osoba jsou povinni v případech podle odstavce 1 zpracovat bezpečnostní provozní směrnici kopírovacího zařízení, zobrazovacího zařízení nebo psacího stroje s pamětí.

(3) Zpracovávat utajovanou informaci v zařízeních podle odstavce 1 lze pouze v souladu s jejich bezpečnostní provozní směrnicí.

(4) V bezpečnostní provozní směrnici podle odstavce 2 jsou uvedeny

a) způsob provozování kopírovacího zařízení, zobrazovacího zařízení nebo psacího stroje s pamětí a

b) provozní směrnice uživatele kopírovacího zařízení, zobrazovacího zařízení nebo psacího stroje s pamětí.

(5) Prováděcí právní předpis stanoví podmínky bezpečného provozování kopírovacího zařízení, zobrazovacího zařízení nebo psacího stroje s pamětí v závislosti na stupni utajení utajovaných informací.

Hlava VIII

Kryptografická ochrana

§ 37

(1) Kryptografickým materiálem je kryptografický prostředek, klíčový materiál nebo kryptografická písemnost.

(2) Kryptografickým prostředkem je utajovaný technický prostředek nebo softwarový produkt používaný ke kryptografické ochraně nebo prostředek nebo zařízení používané k výrobě nebo testování klíčového materiálu. Kryptografický prostředek musí být certifikován Úřadem [§ 46 odst. 1 písm. c)].

(3) Klíčovým materiálem je kryptografický klíč na odpovídajícím nosiči. Kryptografickým klíčem je utajovaný proměnný parametr nezbytný k jednoznačnému zašifrování, dešifrování nebo autentizaci dat.

(4) Kryptografickou písemností je listina nebo nosné médium obsahující utajované informace kryptografické ochrany.

(5) Kryptografickým pracovištěm je pracoviště určené k výrobě nebo testování klíčových materiálů, ukládání kryptografického materiálu nebo k distribuci a evidenci kryptografického materiálu. Kryptografické pracoviště musí splňovat bezpečnostní standardy a musí být do provozu schváleno odpovědnou osobou.

(6) Kryptografické pracoviště určené k výrobě nebo testování klíčového materiálu nebo které je centrálním distribučním a evidenčním místem kryptografického materiálu orgánu státu, právnické osoby nebo podnikající fyzické osoby, musí být před schválením do provozu odpovědnou osobou certifikováno Úřadem [§ 46 odst. 1 písm. d)].

(7) Orgán státu, právnická osoba a podnikající fyzická osoba, které vykonávají kryptografickou ochranu, musí vést evidence kryptografického materiálu, pracovníků kryptografické ochrany, provozní obsluhy kryptografických prostředků a kurýrů kryptografického materiálu.

(8) Evidence podle odstavce 7 musí být vedeny v administrativních pomůckách kryptografické ochrany.

(9) Administrativními pomůckami kryptografické ochrany se rozumí pomůcky pro evidování, předávání, přebírání a jiné zaznamenávání pohybu kryptografického materiálu a pomůcky pro evidování pracovníků kryptografické ochrany, provozní obsluhy kryptografického prostředku a kurýrů kryptografického materiálu.

§ 38

Výkon kryptografické ochrany

(1) Výkonem kryptografické ochrany se rozumí

a) její bezpečnostní správa,

b) speciální obsluha kryptografického prostředku, nebo

c) výroba klíčového materiálu.

(2) Výkon kryptografické ochrany provádí pracovník kryptografické ochrany, který je

a) k výkonu kryptografické ochrany pověřen odpovědnou osobou,

b) držitelem platného osvědčení fyzické osoby a

c) držitelem osvědčení o zvláštní odborné způsobilosti pracovníka kryptografické ochrany (dále jen "osvědčení o zvláštní odborné způsobilosti").

§ 39

Zvláštní odborná způsobilost pracovníka kryptografické ochrany a zkouška zvláštní odborné způsobilosti

(1) Zvláštní odborná způsobilost pracovníka kryptografické ochrany (dále jen "zvláštní odborná způsobilost") se ověřuje zkouškou zvláštní odborné způsobilosti (dále jen "odborná zkouška") a prokazuje se osvědčením o zvláštní odborné způsobilosti.

(2) Zvláštní odborná způsobilost zahrnuje souhrn znalostí právních a provozních předpisů a bezpečnostních standardů z oblasti kryptografické ochrany utajovaných informací a schopnost jejich aplikace.

(3) Odbornou zkouškou se ověřuje úroveň teoretických a praktických znalostí podle odstavce 2.

(4) Odborná zkouška se skládá u Úřadu nebo u jím pověřeného orgánu státu [§ 137 písm. q)], a to před zkušební komisí. Zkušební komisi jmenuje ředitel Úřadu nebo odpovědná osoba pověřeného orgánu státu a má 3 členy, včetně jejího předsedy.

(5) Přihlášku k odborné zkoušce podává písemně odpovědná osoba orgánu státu nebo podnikatele u Úřadu nebo u jím pověřeného orgánu státu, který podané přihlášky eviduje podle data doručení. Odborná zkouška se musí konat do 6 měsíců od podání přihlášky. Úřad nebo jím pověřený orgán státu písemně oznámí tomu, kdo o odbornou zkoušku požádal, termín a místo konání odborné zkoušky; oznámení musí být odesláno nejpozději 20 dnů přede dnem konání odborné zkoušky. Ten, kdo při odborné zkoušce nevyhověl, ji může vykonat opakovaně. Opakovaná zkouška může být vykonána nejdříve po uplynutí 5 pracovních dnů ode dne neúspěšně vykonané zkoušky.

(6) Osvědčení o zvláštní odborné způsobilosti vydává Úřad nebo jím pověřený orgán státu na dobu 5 let. Úřad nebo jím pověřený orgán státu vede evidenci těchto osvědčení.

(7) K provádění odborné zkoušky a vydávání osvědčení o zvláštní odborné způsobilosti může Úřad uzavřít s orgánem státu smlouvu podle § 52 o zajištění těchto činností.

§ 40

Provozní obsluha kryptografického prostředku

(1) Provozní obsluhou kryptografického prostředku se rozumí výkon uživatelských funkcí kryptografického prostředku.

(2) Osoba, která provádí provozní obsluhu kryptografického prostředku podle odstavce 1, musí

a) být k této obsluze pověřena odpovědnou osobou nebo jí pověřenou osobou,

b) splňovat podmínky přístupu k utajované informaci podle § 6 odst. 1 nebo § 11 odst. 1 a

c) být k této obsluze zaškolena.

§ 41

Manipulace s kryptografickým materiálem

(1) Manipulací s kryptografickým materiálem se rozumí způsob přenášení, přepravy, zapůjčování, ukládání nebo jiného nakládání s ním, včetně jeho vyřazování.

(2) Kryptografický materiál lze evidovat a manipulovat s ním jen způsobem a prostředky, které zajistí ochranu kryptografického materiálu a splňují požadavky, které stanoví prováděcí právní předpis.

§ 42

Přeprava kryptografického materiálu a vývoz kryptografického prostředku

(1) Přepravu kryptografického materiálu provádí kurýr kryptografického materiálu. Kurýrem kryptografického materiálu je osoba, která

a) byla k přepravě pověřena odpovědnou osobou,

b) je držitelem platného osvědčení fyzické osoby, nejméně pro stupeň utajení přepravovaného kryptografického materiálu,

c) byla k přepravě zaškolena.

(2) Přepravu kryptografického materiálu stupně utajení Přísně tajné, Tajné a Důvěrné provádí kurýr kryptografického materiálu v doprovodu nejméně 1 osoby, která musí být k této činnosti pověřena odpovědnou osobou nebo jí k pověřování zmocněnou osobou a která musí být kurýrem poučena o způsobu a prostředcích přepravy.

(3) Z území České republiky lze vyvážet certifikovaný kryptografický prostředek [§ 46 odst. 1 písm. c)] pouze na základě povolení Úřadu. Za vývoz se nepovažuje používání certifikovaného kryptografického prostředku mimo území České republiky orgánem státu.

(4) Povolení podle odstavce 3 lze udělit na základě písemné žádosti. Povolení se vydává na vývoz konkrétního kryptografického prostředku a obsahuje též účel vývozu. Úřad povolení nevydá, jestliže by vývozem byla ohrožena utajovaná informace České republiky nebo utajovaná informace, k jejíž ochraně se Česká republika zavázala; tuto skutečnost písemně oznámí žadateli o povolení. Na udělení povolení není právní nárok.

(5) Úřad vede evidenci povolení udělených podle odstavce 3.

§ 43

Kompromitace kryptografického materiálu

(1) Kompromitací kryptografického materiálu se rozumí nakládání s kryptografickým materiálem, které způsobilo nebo by mohlo způsobit porušení ochrany utajované informace.

(2) Kompromitaci kryptografického materiálu je orgán státu, právnická osoba nebo podnikající fyzická osoba povinna neprodleně oznámit Úřadu.

§ 44

Zmocňovací ustanovení

Prováděcí právní předpis stanoví

a) náležitosti přihlášky k odborné zkoušce,

b) podrobnosti složení a jednání zkušební komise,

c) způsob provádění, organizování a hodnocení odborné zkoušky,

d) vzor osvědčení o zvláštní odborné způsobilosti,

e) minimální požadavky na zajištění bezpečnostní správy kryptografické ochrany,

f) podrobnosti zajišťování provozu kryptografického prostředku,

g) způsob zaškolování provozní obsluhy kryptografického prostředku a kurýra kryptografického materiálu a vzor potvrzení o zaškolení provozní obsluhy kryptografického prostředku a kurýra kryptografického materiálu,

h) podrobnosti způsobu vyznačování náležitostí na utajované informaci z oblasti kryptografické ochrany, zejména podle druhu kryptografického materiálu,

i) druhy a náležitosti administrativních pomůcek kryptografické ochrany a požadavky na vedení těchto pomůcek,

j) bližší požadavky na způsob a prostředky manipulace s kryptografickým materiálem,

k) obsah žádosti pro udělení povolení pro vývoz certifikovaného kryptografického prostředku z území České republiky a náležitosti povolení.

Kompromitující elektromagnetické vyzařování

§ 45

(1) Kompromitující elektromagnetické vyzařování je elektromagnetické vyzařování elektrických a elektronických zařízení, které by mohlo způsobit únik utajované informace stupně utajení Přísně tajné, Tajné nebo Důvěrné.

(2) Ochranou utajovaných informací před jejich únikem kompromitujícím elektromagnetickým vyzařováním je zabezpečení elektrických a elektronických zařízení, zabezpečené oblasti nebo objektu.

(3) Je-li ochrana utajované informace před únikem kompromitujícím elektromagnetickým vyzařováním zabezpečena stínicí komorou, musí být tato komora certifikována Úřadem [§ 46 odst. 1 písm. e)].

(4) Stínicí komorou je uzavřený elektromagneticky stíněný prostor zabraňující šíření elektromagnetického vyzařování mimo tento prostor.

(5) Ověřování způsobilosti elektrických a elektronických zařízení, zabezpečené oblasti nebo objektu k ochraně před únikem utajované informace kompromitujícím elektromagnetickým vyzařováním zajišťuje Úřad při certifikaci informačního systému nebo kryptografického prostředku nebo na základě písemné žádosti orgánu státu nebo podnikatele.

(6) K provádění měření možného úniku utajovaných informací podle odstavce 5 může Úřad uzavřít s orgánem státu nebo podnikatelem smlouvu podle § 52 o zajištění této činnosti.

(7) K provádění měření zařízení, zabezpečené oblasti nebo objektu podle odstavce 5, které jsou provozovány nebo užívány zpravodajskými službami, jsou oprávněny zpravodajské služby. V těchto případech není vyžadováno uzavření smlouvy podle § 52. Pro potřeby certifikace informačního systému nebo kryptografického prostředku předají zpravodajské služby Úřadu protokoly o provedeném měření včetně jeho výsledku.

(8) Při provádění měření podle odstavce 7 jsou zpravodajské služby povinny dodržovat ustanovení tohoto zákona, prováděcích právních předpisů a bezpečnostních standardů Úřadu.

Hlava IX

Certifikace

§ 46

Společná ustanovení

(1) Certifikace je postup, jímž Úřad

a) ověřuje způsobilost technického prostředku k ochraně utajovaných informací,

b) ověřuje způsobilost informačního systému k nakládání s utajovanými informacemi,

c) ověřuje způsobilost kryptografického prostředku k ochraně utajovaných informací,

d) ověřuje způsobilost kryptografického pracoviště pro vykonávání činností podle § 37 odst. 6, nebo

e) ověřuje způsobilost stínicí komory k ochraně utajovaných informací.

(2) Zjistí-li Úřad způsobilost podle odstavce 1, certifikát technického prostředku, certifikát informačního systému, certifikát kryptografického prostředku, certifikát kryptografického pracoviště nebo certifikát stínicí komory vydá.

(3) Certifikáty podle odstavce 2 jsou veřejnými listinami.

(4) Certifikát technického prostředku obsahuje

a) evidenční číslo certifikátu,

b) název a typové označení technického prostředku,

c) identifikaci výrobce technického prostředku obchodní firmou (dále jen "firma") nebo názvem, identifikačním číslem a sídlem, jde-li o právnickou osobu, nebo jménem, příjmením, rodným číslem a místem trvalého pobytu, jde-li o osobu fyzickou,

d) identifikaci držitele certifikátu technického prostředku podle písmene c),

e) hodnocení technického prostředku,

f) datum vydání a dobu platnosti certifikátu a

g) otisk úředního razítka a podpis oprávněného zástupce Úřadu nebo v případě vydání tohoto certifikátu v elektronické podobě elektronický podpis oprávněného zástupce Úřadu podle zvláštního právního předpisu²²).

(5) Certifikát informačního systému, certifikát kryptografického prostředku, certifikát kryptografického pracoviště a certifikát stínicí komory obsahuje

a) evidenční číslo certifikátu,

b) identifikaci držitele certifikátu podle odstavce 4 písm. c),

c) datum vydání a dobu platnosti certifikátu a

d) otisk úředního razítka Úřadu a podpis oprávněného zástupce Úřadu nebo v případě vydání těchto certifikátů v elektronické podobě elektronický podpis oprávněného zástupce Úřadu podle zvláštního právního předpisu²²).

(6) Certifikát informačního systému vedle náležitostí podle odstavce 5 obsahuje stupeň utajení utajovaných informací, pro který byla způsobilost informačního systému ověřena.

(7) Certifikát kryptografického prostředku vedle náležitostí podle odstavce 5 obsahuje

a) identifikaci kryptografického prostředku,

b) identifikaci výrobce kryptografického prostředku podle odstavce 4 písm. c) a

c) stupeň utajení utajovaných informací, pro který byla způsobilost kryptografického prostředku schválena.

(8) Certifikát kryptografického pracoviště vedle náležitostí podle odstavce 5 obsahuje

a) identifikaci a specifikaci umístění kryptografického pracoviště a

b) rozsah způsobilosti kryptografického pracoviště.

(9) Certifikát stínicí komory vedle náležitostí podle odstavce 5 obsahuje

a) identifikaci stínicí komory, pro kterou je vydáván,

b) identifikaci výrobce stínicí komory podle odstavce 4 písm. c) a

c) stupeň utajení utajovaných informací, pro který byla způsobilost stínicí komory schválena.

(10) Není-li Úřadem zjištěna způsobilost podle odstavce 1, rozhodne o nevydání certifikátu. Proti rozhodnutí o nevydání certifikátu podle odstavce 1 písm. b) a c) není odvolání přípustné.

(11) Úřad rozhoduje o zániku platnosti certifikátu v případech uvedených v § 47 odst. 4 písm. b), § 48 odst. 4 písm. d), § 49 odst. 5 písm. b), § 50 odst. 4 písm. d) a § 51 odst. 4 písm. d). Odvolání podané proti rozhodnutí Úřadu o zániku platnosti certifikátu nemá odkladný účinek. Proti rozhodnutí Úřadu o zániku platnosti certifikátu informačního systému a certifikátu kryptografického prostředku není odvolání přípustné.

(12) Jestliže platnost certifikátu zanikla podle § 47 odst. 4 písm. b), § 48 odst. 4 písm. b) a d), § 49 odst. 5 písm. b), § 50 odst. 4 písm. b) a d) nebo § 51 odst. 4 písm. b) a d), je držitel certifikátu povinen do 5 dnů ode dne doručení oznámení Úřadu odevzdat certifikát Úřadu.

(13) Přílohou certifikátu informačního systému, kryptografického prostředku, kryptografického pracoviště nebo stínicí komory je certifikační zpráva, která obsahuje zásady a podmínky jejich provozování. V příloze certifikátu technického prostředku mohou být stanoveny podmínky jeho používání.

(14) Úřad ověřuje způsobilost technického prostředku podle odstavce 1 písm. a) na základě posudku vlastností technického prostředku (dále jen "posudek").

(15) K vydávání posudku podle odstavce 14 a k provádění dílčích úloh při ověřování způsobilosti podle odstavce 1 písm. b) až e) může Úřad uzavřít s orgánem státu nebo podnikatelem smlouvu podle § 52 o zajištění těchto činností; to neplatí, jde-li o ověřování způsobilosti informačního systému, kryptografického prostředku nebo pracoviště anebo stínicí komory, které mají být provozovány zpravodajskými službami.

(16) Seznam orgánů státu a podnikatelů, s nimiž Úřad uzavřel smlouvu podle § 52, zveřejňuje Úřad ve Věstníku Úřadu.

(17) K provádění dílčích úloh při ověřování způsobilosti podle odstavce 1 písm. b) až e), které z důvodu utajení nelze provést Úřadem, jde-li o informační systém, kryptografický prostředek, kryptografické pracoviště nebo stínicí komoru, které mají být provozovány zpravodajskými službami, jsou oprávněny tyto zpravodajské služby. V těchto případech zpravodajské služby předají Úřadu protokoly o provedení dílčích úloh, včetně jejich výsledků.

(18) Při provádění dílčích úloh podle odstavce 17 jsou zpravodajské služby povinny dodržovat ustanovení tohoto zákona, prováděcích právních předpisů a bezpečnostních standardů Úřadu.

(19) Účastníkem řízení o certifikaci nebo o zrušení platnosti certifikátu je žadatel podle § 47 odst. 1, § 48 odst. 1, § 49 odst. 1, § 50 odst. 1 a § 51 odst. 1.

§ 47

Žádost o certifikaci technického prostředku a platnost certifikátu technického prostředku

(1) O certifikaci technického prostředku písemně žádá u Úřadu výrobce, dovozce, distributor nebo uživatel technického prostředku. K žádosti se přiloží posudek podle § 46 odst. 14 a dokumentace nezbytná pro provedení certifikace technického prostředku.

(2) Dobu platnosti certifikátu technického prostředku stanoví Úřad nejdéle na dobu 5 let.

(3) Seznam certifikovaných technických prostředků, kromě technických prostředků certifikovaných na žádost uživatele technického prostředku, je zveřejňován ve Věstníku Úřadu.

(4) Platnost certifikátu technického prostředku zaniká

a) uplynutím doby jeho platnosti, nebo

b) rozhodnutím Úřadu o zániku platnosti certifikátu v případě, že vyráběný technický prostředek nesplňuje požadavky tohoto zákona a prováděcích právních předpisů nebo není ve shodě s posuzovaným technickým prostředkem.

(5) Zanikla-li platnost certifikátu technického prostředku podle odstavce 4, Úřad tento technický prostředek vyřadí ze seznamu zveřejňovaného podle odstavce 3.

(6) Technický prostředek používaný k ochraně utajovaných informací lze nadále používat i po uplynutí doby platnosti jeho certifikátu.

(7) Úřad může při certifikaci technického prostředku přihlédnout k certifikátu nebo obdobnému dokumentu technického prostředku vydanému oprávněným pracovištěm cizí moci.

§ 48

Žádost o certifikaci informačního systému a platnost certifikátu informačního systému

(1) O certifikaci informačního systému písemně žádá u Úřadu orgán státu nebo podnikatel, který bude informační systém provozovat.

(2) Ten, kdo o certifikaci informačního systému podle odstavce 1 požádal, předkládá v průběhu certifikace na žádost Úřadu dokumentaci nezbytnou pro provedení certifikace.

(3) Dobu platnosti certifikátu informačního systému stanoví Úřad. Platnost certifikátu informačního systému je pro stupeň utajení

a) Přísně tajné a Tajné nejdéle 2 roky,

b) Důvěrné nejdéle 3 roky a

c) Vyhrazené nejdéle 5 let.

(4) Platnost certifikátu informačního systému zaniká

a) uplynutím doby jeho platnosti,

b) zánikem platnosti osvědčení podnikatele,

c) zrušením orgánu státu, nebo

d) rozhodnutím Úřadu o zániku platnosti certifikátu, přestal-li být informační systém způsobilý k nakládání s utajovanými informacemi.

(5) Má-li být informační systém používán i bezprostředně po uplynutí doby platnosti jeho certifikátu, je žadatel podle odstavce 1 povinen požádat Úřad o certifikaci informačního systému. Opakovaná žádost musí být Úřadu doručena nejméně 6 měsíců před uplynutím doby platnosti původního certifikátu informačního systému.

(6) Úřad je povinen rozhodnout o certifikaci informačního systému do 1 roku od zahájení řízení o certifikaci, ve zvlášť složitých případech do 2 let; nelze-li vzhledem k povaze věci rozhodnout v této lhůtě, může ji přiměřeně prodloužit ředitel Úřadu, nejvýše však o 6 měsíců.

§ 49

Žádost o certifikaci kryptografického prostředku a platnost certifikátu kryptografického prostředku

(1) O certifikaci kryptografického prostředku písemně žádá u Úřadu výrobce, dovozce, distributor nebo uživatel kryptografického prostředku. Žádá-li o certifikaci kryptografického prostředku podnikatel, musí být držitelem platného osvědčení podnikatele pro přístup k utajované informaci podle § 20 odst. 1 písm. a).

(2) Úřad žádost podle odstavce 1 rozhodnutím odmítne, není-li v souladu se záměry České republiky v oblasti zajišťování ochrany utajovaných informací kryptografickou ochranou. Proti rozhodnutí podle věty první není odvolání přípustné a nelze jej ani přezkoumat soudem.

(3) Ten, kdo o certifikaci kryptografického prostředku podle odstavce 1 požádal, předkládá v průběhu certifikace na žádost Úřadu kryptografický prostředek v potřebném počtu a dokumentaci nezbytnou pro provedení certifikace.

(4) Dobu platnosti certifikátu kryptografického prostředku stanoví Úřad na dobu nejdéle 5 let.

(5) Platnost certifikátu kryptografického prostředku zaniká

a) uplynutím doby jeho platnosti, nebo

b) rozhodnutím Úřadu o zániku platnosti certifikátu, přestal-li být kryptografický prostředek způsobilý k ochraně utajovaných informací.

(6) Má-li být kryptografický prostředek používán i bezprostředně po uplynutí doby platnosti jeho certifikátu, je žadatel podle odstavce 1 povinen požádat Úřad o certifikaci kryptografického prostředku. Opakovaná žádost musí být Úřadu doručena nejméně 6 měsíců před uplynutím doby platnosti původního certifikátu kryptografického prostředku.

(7) Úřad může při certifikaci kryptografického prostředku přihlédnout k certifikátu nebo obdobnému dokumentu kryptografického prostředku vydanému oprávněným pracovištěm cizí moci.

(8) Řízení o certifikaci kryptografického prostředku lze též přerušit současně s odesláním žádosti adresované zahraničnímu subjektu o informaci nezbytnou pro spolehlivé zjištění stavu věci.

(9) Pro lhůty pro vydání rozhodnutí platí § 48 odst. 6.

§ 50

Žádost o certifikaci kryptografického pracoviště a platnost certifikátu kryptografického pracoviště

(1) O certifikaci kryptografického pracoviště písemně žádá u Úřadu orgán státu nebo podnikatel, u kterého má být kryptografické pracoviště provozováno. Žádá-li o certifikaci kryptografického pracoviště podnikatel, musí být držitelem platného osvědčení podnikatele.

(2) Ten, kdo o certifikaci kryptografického pracoviště podle odstavce 1 požádal, předkládá v průběhu certifikace na žádost Úřadu dokumentaci nezbytnou pro provedení certifikace.

(3) Dobu platnosti certifikátu kryptografického pracoviště stanoví Úřad na dobu nejdéle 3 let.

(4) Platnost certifikátu kryptografického pracoviště zaniká

a) uplynutím doby jeho platnosti,

b) zánikem platnosti osvědčení podnikatele,

c) zrušením orgánu státu, nebo

d) rozhodnutím Úřadu o zániku platnosti certifikátu, přestalo-li být kryptografické pracoviště způsobilé pro vykonávání určených činností.

(5) Má-li být kryptografické pracoviště využíváno i bezprostředně po uplynutí doby platnosti jeho certifikátu, je žadatel podle odstavce 1 povinen požádat Úřad o certifikaci kryptografického pracoviště. Opakovaná žádost musí být Úřadu doručena nejméně 6 měsíců před uplynutím doby platnosti původního certifikátu kryptografického pracoviště.

(6) Úřad je povinen rozhodnout o certifikaci kryptografického pracoviště do 6 měsíců od zahájení řízení o certifikaci, ve zvlášť složitých případech do 1 roku; nelze-li vzhledem k povaze věci rozhodnout v této lhůtě, může ji přiměřeně prodloužit ředitel Úřadu, nejvýše však o 3 měsíce.

§ 51

Žádost o certifikaci stínicí komory a platnost certifikátu stínicí komory

(1) O certifikaci stínicí komory písemně žádá u Úřadu orgán státu nebo podnikatel, u kterého je stínicí komora používána.

(2) Ten, kdo o certifikaci stínicí komory podle odstavce 1 požádal, předkládá v průběhu certifikace na žádost Úřadu dokumentaci nezbytnou pro provedení certifikace.

(3) Dobu platnosti certifikátu stínicí komory stanoví Úřad na dobu nejdéle 5 let.

(4) Platnost certifikátu stínicí komory zaniká

a) uplynutím doby jeho platnosti,

b) zánikem platnosti osvědčení podnikatele,

c) zrušením orgánu státu, nebo

d) rozhodnutím Úřadu o zániku platnosti certifikátu, přestala-li být stínicí komora způsobilá k ochraně utajovaných informací.

(5) Má-li být stínicí komora používána i bezprostředně po uplynutí doby platnosti jejího certifikátu, je žadatel podle odstavce 1 povinen požádat Úřad o certifikaci stínicí komory. Opakovaná žádost musí být Úřadu doručena nejméně 12 měsíců před uplynutím doby platnosti původního certifikátu stínicí komory.

(6) Pro lhůty pro vydání rozhodnutí platí § 50 odst. 6.

§ 52

Smlouva o zajištění činnosti

(1) Smlouva o zajištění činnosti (dále jen "smlouva") uvedená v § 39 odst. 7, § 45 odst. 6 a § 46 odst. 15 se uzavírá na dobu určitou nebo neurčitou. Smlouva musí mít písemnou formu. Projev vůle účastníků smlouvy musí být na téže listině.

(2) Smlouvu lze uzavřít s orgánem státu nebo podnikatelem na základě jejich písemné žádosti, a to pouze tehdy, budou-li činnosti, jež jsou předmětem smlouvy,

a) prováděny odborně způsobilými zaměstnanci státu nebo podnikatele,

b) zajištěny u orgánu státu nebo podnikatele organizačně, technicky a materiálně.

(3) Smlouvu s podnikatelem lze dále uzavřít pouze tehdy, je-li

a) jeho sídlo nebo místo podnikání na území České republiky,

b) držitelem platného osvědčení podnikatele příslušného stupně utajení; tato podmínka neplatí, má-li být uzavřena smlouva k vydávání posudku uvedená v § 46 odst. 15.

(4) Smlouva musí obsahovat

a) označení účastníků smlouvy,

b) vymezení předmětu smlouvy a jeho rozsahu,

c) práva a povinnosti účastníků smlouvy,

d) způsob kontroly prováděné Úřadem podle odstavce 6,

e) způsob a podmínky odstoupení účastníků od smlouvy,

f) souhlas se zveřejněním technického prostředku ve Věstníku Úřadu, jde-li o smlouvu k vydávání posudku uvedenou v § 46 odst. 15.

(5) V podmínkách podle odstavce 4 písm. e) musí být též stanoveno, že Úřad odstoupí od smlouvy v případě, že druhý účastník smlouvy poruší povinnost stanovenou tímto zákonem, prováděcími právními předpisy nebo uzavřenou smlouvou.

(6) Úřad kontroluje, zda druhý účastník smlouvy dodržuje ustanovení tohoto zákona, prováděcích právních předpisů a uzavřené smlouvy.

(7) Změnit obsah smlouvy lze pouze písemnou dohodou účastníků smlouvy.

(8) Smlouvu lze vypovědět pouze písemnou formou.

(9) Nestanoví-li tento zákon jinak, použijí se v ostatním přiměřeně ustanovení obchodního zákoníku.

§ 53

Zmocňovací ustanovení

Prováděcí právní předpis stanoví

a) náležitosti žádosti o certifikaci technického prostředku, certifikaci informačního systému, certifikaci kryptografického prostředku, certifikaci kryptografického pracoviště a certifikaci stínicí komory,

b) náležitosti opakované žádosti o certifikaci informačního systému, certifikaci kryptografického prostředku, certifikaci kryptografického pracoviště a certifikaci stínicí komory,

c) dokumentaci nezbytnou k provedení certifikace technického prostředku, certifikace informačního systému, certifikace kryptografického prostředku, certifikace kryptografického pracoviště a certifikace stínicí komory,

d) vzory certifikátu technického prostředku, certifikátu informačního systému, certifikátu kryptografického prostředku, certifikátu kryptografického pracoviště a certifikátu stínicí komory,

e) pravidla pro stanovení doby platnosti certifikátu technického prostředku,

f) pravidla a způsob používání technického prostředku po uplynutí doby platnosti jeho certifikátu,

g) způsob a podmínky provádění certifikace informačního systému, certifikace kryptografického prostředku, certifikace kryptografického pracoviště a certifikace stínicí komory a jejich opakování,

h) obsah certifikační zprávy podle § 46 odst. 13,

i) náležitosti žádosti o ověření způsobilosti elektrických a elektronických zařízení, zabezpečené oblasti nebo objektu k ochraně před únikem utajované informace kompromitujícím elektromagnetickým vyzařováním a způsob hodnocení jejich způsobilosti a

j) náležitosti žádosti orgánu státu nebo podnikatele o uzavření smlouvy podle § 52.

Hlava X

Osvědčení fyzické osoby, osvědčení podnikatele, zvláštní přístup a zprošťování mlčenlivosti

Osvědčení fyzické osoby a osvědčení podnikatele

§ 54

(1) Osvědčení fyzické osoby a osvědčení podnikatele jsou veřejnými listinami.

(2) Osvědčení fyzické osoby obsahuje

a) jméno, příjmení, rodné příjmení,

b) den, měsíc, rok a místo narození,

c) rodné číslo,

d) státní občanství,

e) uvedení nejvyššího stupně utajení utajované informace, pro přístup k níž osvědčení fyzické osoby opravňuje,

f) datum vydání a dobu platnosti a

g) otisk úředního razítka a podpis oprávněného zástupce Úřadu nebo v případě vydání tohoto osvědčení v elektronické podobě elektronický podpis oprávněného zástupce Úřadu podle zvláštního právního předpisu²²).

(3) Osvědčení podnikatele obsahuje

a) identifikaci podnikatele firmou nebo názvem, identifikačním číslem a sídlem, jde-li o právnickou osobu, a jde-li o osobu fyzickou, údaje podle odstavce 2 písm. a) až d),

b) označení nejvyššího stupně utajení utajované informace, pro přístup k níž osvědčení podnikatele opravňuje,

c) formu přístupu podle § 20,

d) datum vydání a dobu platnosti a

e) otisk úředního razítka a podpis oprávněného zástupce Úřadu nebo v případě vydání tohoto osvědčení v elektronické podobě elektronický podpis oprávněného zástupce Úřadu podle zvláštního právního předpisu²²).

§ 55

(1) Platnost osvědčení fyzické osoby a osvědčení podnikatele je pro stupeň utajení

a) Přísně tajné 5 let,

b) Tajné 7 let a

c) Důvěrné 9 let.

(2) Platnost osvědčení podnikatele pro stupeň utajení Vyhrazené je 12 let.

§ 56

(1) Platnost osvědčení fyzické osoby nebo osvědčení podnikatele zaniká

a) uplynutím doby jeho platnosti,

b) dnem vykonatelnosti rozhodnutí Úřadu (§ 123 odst. 3, § 126 odst. 4) o zrušení jeho platnosti (§ 101),

c) úmrtím fyzické osoby, nebo byla-li prohlášena za mrtvou,

d) zrušením, zánikem nebo přeměnou²³) podnikatele,

e) ohlášením jeho odcizení nebo ztráty,

f) takovým poškozením, že zápisy v něm uvedené jsou nečitelné nebo je porušena jeho celistvost,

g) změnou údajů v něm obsažených, nebo

h) skončením služebního poměru příslušníka zpravodajské služby nebo pracovního poměru zaměstnance zpravodajské služby, nebo přestane-li být fyzická osoba osobou uvedenou v § 141 odst. 1.

(2) Při zániku platnosti osvědčení podnikatele podle odstavce 1 písm. a), b) a d) je podnikatel povinen utajovanou informaci, která mu byla poskytnuta, odevzdat tomu, kdo mu ji poskytl nebo do jehož působnosti náleží; nelze-li tak učinit, je povinen odevzdat ji Úřadu. Utajované informace, které u podnikatele vznikly, je povinen předat orgánu státu, do jehož působnosti utajované informace náleží, není-li jej, Úřadu. Odevzdání a předání utajované informace podle tohoto odstavce je podnikatel povinen provést neprodleně po zániku platnosti osvědčení podnikatele.

(3) Při zániku platnosti osvědčení fyzické osoby podle odstavce 1 písm. a) a b) je odpovědná osoba nebo ten, kdo provedl poučení, povinen zajistit, aby tato fyzická osoba neměla přístup k utajované informaci.

(4) Přístup fyzické osoby nebo podnikatele k utajované informaci není dotčen zánikem platnosti osvědčení fyzické osoby nebo podnikatele podle odstavce 1 písm. e) až g); Úřad v tomto případě na základě písemné žádosti vydá do 5 dnů od doručení žádosti nové osvědčení, které nahrazuje osvědčení původní.

§ 57

Osvědčení fyzické osoby pro cizí moc a osvědčení podnikatele pro cizí moc

(1) Na základě písemné žádosti fyzické osoby nebo odpovědné osoby podnikající právnické osoby vydá Úřad

a) osvědčení fyzické osoby pro cizí moc, nebo

b) osvědčení podnikatele pro cizí moc.

(2) Osvědčení podle odstavce 1 je veřejnou listinou.

(3) Osvědčení podle odstavce 1 obsahuje náležitosti uvedené v § 54 s tím, že označení nejvyššího stupně utajení utajované informace, pro přístup k níž toto osvědčení opravňuje, se uvádí včetně zkratky ve smyslu § 21 odst. 2.

(4) Osvědčení podle odstavce 1 potvrzuje, že u jeho držitele bylo provedeno bezpečnostní řízení podle části čtvrté a je držitelem platného osvědčení fyzické osoby nebo osvědčení podnikatele daného stupně utajení; v případě osvědčení podnikatele potvrzuje též formy přístupu podnikatele k utajované informaci podle § 20.

(5) Osvědčení podle odstavce 1 se vydává na dobu nezbytně nutnou, nejdéle však na dobu, na kterou je vydáno osvědčení fyzické osoby nebo osvědčení podnikatele.

(6) Zanikne-li platnost osvědčení fyzické osoby nebo platnost osvědčení podnikatele, nejde-li o zánik podle § 56 odst. 1 písm. e) a f), zaniká též platnost osvědčení uvedeného v odstavci 1.

(7) Platnost osvědčení podle odstavce 1 zaniká též takovým poškozením, že zápisy v něm uvedené jsou nečitelné, nebo je-li porušena jeho celistvost, anebo ohlášením jeho odcizení nebo ztráty.

(8) Držitel osvědčení podle odstavce 1, jehož platnost zanikla podle odstavce 6, je povinen odevzdat jej do 5 dnů Úřadu.

Zvláštní přístup k utajované informaci

§ 58

(1) Osobami, které mají přístup k utajované informaci všech stupňů utajení bez platného osvědčení fyzické osoby a poučení, jsou

a) prezident republiky,

b) poslanci a senátoři Parlamentu,

c) členové vlády,

d) Veřejný ochránce práv a zástupce Veřejného ochránce práv,

e) soudci a

f) prezident, viceprezident a členové Nejvyššího kontrolního úřadu.

(2) Osoby uvedené v odstavci 1 mají přístup k utajované informaci ode dne zvolení nebo jmenování do funkce po dobu jejího výkonu a v rozsahu nezbytném pro její výkon.

(3) Přístup k utajovaným informacím bez platného osvědčení fyzické osoby lze umožnit fyzické osobě jednající ve prospěch zpravodajské služby²⁴), informátorovi²⁵) nebo fyzické osobě, které je poskytována zvláštní ochrana podle zvláštního právního předpisu²⁶), nebo příslušníku zpravodajské služby, který je zařazen v záloze zvláštní²⁷). Poučení této osoby provede ten, kdo jí přístup k utajované informaci umožní.

(4) Zvláštní právní předpis²⁸) stanoví, které fyzické osoby a za jakých podmínek mají přístup k utajované informaci bez platného osvědčení fyzické osoby v trestním řízení, v občanském soudním řízení a v soudním řízení správním, a to v rozsahu nezbytném pro uplatnění jejich práv a plnění povinností v těchto řízeních. Přístup k utajovaným informacím lze v těchto případech umožnit pouze na základě poučení podle odstavce 5.

(5) Poučení podle § 2 písm. i) u osob uvedených v odstavci 4 provede ten, o němž to stanoví zvláštní právní předpis²⁸). Poučení se provede přiměřeně způsobem uvedeným v § 9 odst. 1; poučení musí dále obsahovat spisové označení věci, která je předmětem řízení, a poučení o tom, že údaje o osobách, které mají přístup k utajované informaci podle odstavce 4, jsou Úřadem evidovány a mohou být využity způsobem stanoveným tímto zákonem.

§ 59

Jednorázový přístup k utajované informaci

(1) Na základě písemné žádosti odpovědné osoby může Úřad ve výjimečných a odůvodněných případech vydat souhlas s jednorázovým přístupem k utajované informaci se stupněm utajení o jeden vyšším, než na který je vydáno platné osvědčení fyzické osoby nebo osvědčení podnikatele, a to na dobu nezbytně nutnou, nejdéle však na dobu 6 měsíců.

(2) Souhlas podle odstavce 1 lze podnikateli vydat pouze pro přístup k utajované informaci podle § 20 odst. 1 písm. b).

(3) Souhlas s jednorázovým přístupem podle odstavce 1 může u příslušníků zpravodajských služeb vydat ředitel příslušné zpravodajské služby a v případech příslušníků policie podle § 141 odst. 1 ministr vnitra, a to na základě písemné žádosti příslušného služebního funkcionáře.

(4) Žádost podle odstavce 1 obsahuje

a) zdůvodnění jednorázového přístupu,

b) označení oblasti utajovaných informací, ke kterým má být jednorázový přístup umožněn,

c) kopii osvědčení fyzické osoby nebo osvědčení podnikatele,

d) požadovanou dobu jednorázového přístupu a

e) v případě podnikatele písemný souhlas poskytovatele utajované informace s vydáním souhlasu podle odstavce 1.

(5) Úřad vydá souhlas podle odstavce 1 neprodleně, nejpozději do 5 dnů ode dne doručení žádosti. Odpovědná osoba, která po vydání souhlasu Úřadu umožní přístup fyzické osoby k utajované informaci podle odstavce 1 nebo 3, provede její poučení.

(6) Na udělení souhlasu k jednorázovému přístupu k utajované informaci není právní nárok a lze jej téže osobě udělit jen jednou.

(7) Jednorázový přístup nelze umožnit k utajované informaci Evropské unie nebo Evropského společenství pro atomovou energii.

§ 60

(1) V případě účasti České republiky v mezinárodním ozbrojeném konfliktu nebo v mezinárodní záchranné nebo humanitární akci, v případě vyhlášení válečného stavu a v případě stavu nebezpečí, nouzového stavu nebo stavu ohrožení státu²⁰) lze umožnit přístup k utajované informaci fyzické osobě, která není držitelem osvědčení fyzické osoby nebo nemá přístup k utajovaným informacím stupně utajení Vyhrazené, nebo podnikateli, který není držitelem osvědčení podnikatele.

(2) Přístup fyzické osoby podle odstavce 1 lze umožnit pouze v případě, že neexistují pochybnosti o důvěryhodnosti fyzické osoby a o její schopnosti utajovat informace.

(3) V případě přístupu podle odstavce 1 je odpovědná osoba povinna zajistit poučení fyzické osoby. Hrozí-li nebezpečí z prodlení nebo z důvodu jiné naléhavosti a významu konkrétního úkolu, lze poučení nahradit ústním seznámením fyzické osoby s jejími povinnostmi v oblasti ochrany utajovaných informací a s následky jejich porušení.

(4) O přístupu podle odstavce 1 je odpovědná osoba povinna zpracovat písemný záznam. Tento písemný záznam spolu s poučením zašle odpovědná osoba neprodleně Úřadu; bylo-li poučení nahrazeno ústním seznámením podle odstavce 3 věty druhé, uvede se tato skutečnost v písemném záznamu. Je-li přístup podle odstavce 1 umožněn zpravodajskou službou, písemný záznam podle věty první a části věty druhé za středníkem ani poučení se Úřadu nezasílají, ale ukládají se u příslušné zpravodajské služby.

(5) Je-li podnikateli umožněn přístup k utajované informaci podle odstavce 1, je jeho odpovědná osoba povinna o přístupu zpracovat písemný záznam, který neprodleně zašle Úřadu.

(6) Přístup podle odstavce 1 nelze umožnit k utajované informaci Evropské unie a Evropského společenství pro atomovou energii.

§ 61

Jednorázový přístup k utajované informaci podle § 59 a přístup podle § 60 nelze umožnit k utajované informaci stupně utajení Přísně tajné nebo k utajované informaci, na kterou se vztahuje zvláštní režim nakládání.

§ 62

Přístup k utajované informaci na základě uznání bezpečnostního oprávnění vydaného úřadem cizí moci

(1) Přístup k utajované informaci lze umožnit fyzické osobě, která je poučena, nebo podnikateli i v případech, kdy Úřad uzná bezpečnostní oprávnění vydané úřadem cizí moci, který má v působnosti ochranu utajovaných informací (dále jen "bezpečnostní oprávnění"). Úřad bezpečnostní oprávnění uzná, stanoví-li tak mezinárodní smlouva, kterou je Česká republika vázána.

(2) Uznání podle odstavce 1 Úřad provede na základě žádosti nepodnikající fyzické osoby nebo podnikatele, kteří jsou držiteli bezpečnostního oprávnění. Žádost obsahuje

a) jméno, příjmení a akademický titul držitele bezpečnostního oprávnění,

b) datum a místo narození a adresu trvalého pobytu držitele bezpečnostního oprávnění,

c) státní občanství držitele bezpečnostního oprávnění,

d) u podnikatele jeho identifikaci firmou nebo názvem, identifikačním číslem a sídlem, jde-li o právnickou osobu, nebo jménem, příjmením a místem trvalého pobytu, jde-li o osobu fyzickou,

e) důvod, proč má být provedeno uznání podle odstavce 1,

f) dobu, na kterou má být uznání provedeno, a

g) podpis držitele bezpečnostního oprávnění a adresu, na kterou má být uznání podle odstavce 1 doručeno.

(3) K žádosti podle odstavce 2 je nutné připojit úřední překlad bezpečnostního oprávnění nebo jeho ověřenou kopii.

(4) Uznání podle odstavce 1 Úřad zašle držiteli bezpečnostního oprávnění.

(5) Uznání podle odstavce 1 musí obsahovat

a) údaje podle odstavce 2 písm. a) až d),

b) identifikaci bezpečnostního oprávnění vydaného úřadem cizí moci,

c) označení nejvyššího stupně utajení utajované informace, pro přístup k níž uznání podle odstavce 1 opravňuje,

d) u podnikatele formu přístupu podle § 20,

e) datum vydání a dobu platnosti,

f) otisk úředního razítka a podpis oprávněného zástupce Úřadu nebo v případě vydání tohoto uznání v elektronické podobě elektronický podpis oprávněného zástupce Úřadu podle zvláštního právního předpisu²²).

Zproštění povinnosti zachovávat mlčenlivost

§ 63

(1) V řízení před orgánem státu může, na žádost tohoto orgánu, odpovědná osoba orgánu státu, do jehož oblasti věcné působnosti utajovaná informace náleží, fyzickou osobu zprostit povinnosti zachovávat mlčenlivost (dále jen "zproštění mlčenlivosti"), nestanoví-li tento zákon jinak (odstavec 8 a § 133 odst. 2).

(2) V případě, že orgán státu zanikne bez právního nástupce, může zproštění mlčenlivosti provést ředitel Úřadu.

(3) Pro potřeby řízení podle odstavce 1 zproštění mlčenlivosti dále provádí

a) prezident republiky u předsedy vlády, prezidenta, viceprezidenta a členů Nejvyššího kontrolního úřadu, předsedy a místopředsedy Ústavního soudu, předsedy a místopředsedy Nejvyššího soudu, předsedy a místopředsedy Nejvyššího správního soudu, vedoucího Kanceláře prezidenta republiky, Veřejného ochránce práv, zástupce Veřejného ochránce práv, guvernéra a viceguvernérů České národní banky,

b) Poslanecká sněmovna u poslanců,

c) Senát u senátorů,

d) předseda Poslanecké sněmovny u vedoucího Kanceláře Poslanecké sněmovny,

e) předseda Senátu u vedoucího Kanceláře Senátu,

f) předseda vlády u ministrů a vedoucích ostatních ústředních správních úřadů,

g) předseda Ústavního soudu u soudců Ústavního soudu,

h) ministr spravedlnosti u soudců neuvedených v písmenu g), státních zástupců a přísedících a vláda u ředitele Bezpečnostní informační služby.

(4) Týká-li se povinnost zachovávat mlčenlivost věci, kterou projednává orgán Parlamentu, může zproštění mlčenlivosti fyzické osoby provést Poslanecká sněmovna nebo Senát po vyjádření odpovědné osoby orgánu státu, do jehož oblasti věcné působnosti utajovaná informace náleží.

(5) Před zproštěním mlčenlivosti podle odstavce 3 je třeba požádat o vyjádření odpovědnou osobu orgánu státu, do jehož oblasti věcné působnosti utajovaná informace náleží.

(6) Zproštění mlčenlivosti se nevyžaduje u prezidenta republiky.

(7) Zproštění mlčenlivosti se vztahuje pouze na příslušnou utajovanou informaci, a to v nezbytně nutném rozsahu a na dobu nezbytně nutnou. Zproštění mlčenlivosti se provádí písemně. Stupeň utajení utajované informace není zproštěním mlčenlivosti dotčen.

(8) Zproštění mlčenlivosti lze odepřít v případech, kdy by tím mohlo dojít k mimořádně vážné nebo vážné újmě zájmům České republiky anebo k ohrožení života či zdraví osob.

Zmocňovací ustanovení

§ 64

Prováděcí právní předpis stanoví vzor

a) osvědčení fyzické osoby a osvědčení podnikatele,

b) žádostí o vydání osvědčení fyzické osoby pro cizí moc a osvědčení podnikatele pro cizí moc a

c) žádosti o uznání bezpečnostního oprávnění fyzické osoby a žádosti o uznání bezpečnostního oprávnění podnikatele.

Hlava XI

Povinnosti při ochraně utajovaných informací

§ 65

Obecné povinnosti

(1) Každý je povinen neprodleně odevzdat nalezenou utajovanou informaci nebo utajovanou informaci získanou v rozporu s tímto zákonem anebo osvědčení fyzické osoby, osvědčení podnikatele, osvědčení fyzické osoby pro cizí moc nebo osvědčení podnikatele pro cizí moc (dále jen "nalezená písemnost") Úřadu, policii nebo zastupitelskému úřadu České republiky.

(2) Každý, kdo měl nebo má přístup k utajované informaci, je povinen zachovávat o ní mlčenlivost a nesmí k ní umožnit přístup neoprávněné osobě.

(3) Každý, kdo podal žádost podle § 94, je povinen neprodleně oznámit Úřadu změny údajů, které jsou v ní uvedeny.

(4) Každý je povinen při výkonu státní kontroly Úřadem plnit pokyny kontrolního pracovníka při provádění neodkladných opatření podle § 144 odst. 1.

§ 66

Povinnosti fyzické osoby, která má přístup k utajovaným informacím, a fyzické osoby, která je držitelem osvědčení fyzické osoby

(1) Fyzická osoba, která má přístup k utajovaným informacím, je povinna

a) dodržovat povinnosti při ochraně utajovaných informací,

b) odevzdat tomu, kdo osvědčení fyzické osoby vydal, do 5 dnů své osvědčení fyzické osoby, jehož platnost zanikla podle § 56 odst. 1 písm. b), f) a g),

c) neprodleně písemně oznámit tomu, kdo osvědčení fyzické osoby nebo osvědčení fyzické osoby pro cizí moc vydal, ztrátu nebo odcizení svého osvědčení fyzické osoby nebo osvědčení fyzické osoby pro cizí moc,

d) neprodleně oznámit Úřadu změny údajů, které byly uvedeny v její žádosti fyzické osoby podle § 94 odst. 2 písm. a), c) a d),

e) neprodleně oznamovat tomu, kdo provedl její poučení podle § 9 odst. 1 nebo § 11 odst. 2, porušení povinností stanovených tímto zákonem,

f) účastnit se proškolení podle § 67 odst. 1 písm. b).

(2) Na fyzickou osobu, která je držitelem osvědčení fyzické osoby, ale nemá přístup k utajované informaci, se vztahují pouze povinnosti uvedené v odstavci 1 písm. b) až d).

§ 67

Povinnosti odpovědné osoby

(1) Odpovědná osoba je povinna

a) zajistit poučení fyzické osoby,

b) zajistit jednou ročně provedení proškolení fyzických osob, které mají přístup k utajované informaci, z právních předpisů v oblasti ochrany utajovaných informací,

c) zajistit ověřování splnění podmínek pro přístup fyzické osoby k utajované informaci stupně utajení Vyhrazené,

d) schválit informační systém do provozu a písemně tuto skutečnost oznámit Úřadu,

e) pověřit fyzickou osobu k činnosti nebo k výkonu kryptografické ochrany,

f) kontrolovat dodržování dalších povinností stanovených tímto zákonem.

§ 68

Povinnosti podnikatele, který je držitelem osvědčení podnikatele

Podnikatel, který je držitelem osvědčení podnikatele, je povinen

a) do 5 dnů ode dne doručení pravomocného rozhodnutí Úřadu podle § 101 odst. 2 doručit Úřadu osvědčení podnikatele, jehož platnost byla Úřadem zrušena,

b) neprodleně oznámit Úřadu ztrátu nebo odcizení osvědčení podnikatele nebo osvědčení podnikatele pro cizí moc,

c) neprodleně písemně oznamovat Úřadu změny údajů uvedených podle § 97 písm. a) a b) v bezpečnostním dotazníku podnikatele,

d) oznamovat Úřadu vždy k 1. listopadu kalendářního roku všechny změny údajů uvedených v žádosti podnikatele podle § 96 odst. 2 písm. a) a b) a tyto změny doložit způsobem uvedeným v § 96 odst. 2 písm. c),

e) zabezpečit ochranu utajovaných informací při zániku platnosti osvědčení podnikatele.

§ 69

Povinnosti právnické osoby a podnikající fyzické osoby, které mají přístup k utajované informaci, a orgánu státu

(1) Právnická osoba a podnikající fyzická osoba, které mají přístup k utajované informaci, a orgán státu jsou povinni

a) zajistit ochranu utajovaných informací podle tohoto zákona a mezinárodních smluv,

b) zpracovávat a vést přehled míst nebo funkcí, na kterých je nezbytné mít přístup k utajovaným informacím včetně utajovaných informací Evropské unie, Organizace Severoatlantické smlouvy a utajovaných informací vyžadujících zvláštní režim nakládání, s uvedením stupně utajení, nebo které nelze vykonávat bez osvědčení o zvláštní odborné způsobilosti podle tohoto zákona (§ 39); tím nejsou dotčena ustanovení zvláštních právních předpisů na úseku odborné způsobilosti²⁹),

c) neprodleně písemně oznámit Úřadu skutečnost, která může mít vliv na vydání nebo na platnost osvědčení fyzické osoby nebo osvědčení podnikatele,

d) zajistit vytvoření podmínek pro označování, evidenci, zapůjčování, ukládání, přepravu, další manipulaci a vyřazování utajované informace a utajované informace se zvláštním režimem nakládání v souladu s prováděcím právním předpisem,

e) provozovat jen informační systém, který je certifikován Úřadem a písemně schválen do provozu,

f) zastavit provoz informačního systému, který nesplňuje podmínky stanovené v certifikační zprávě, a zajistit ochranu utajované informace v něm a o těchto skutečnostech informovat Úřad,

g) provozovat jen komunikační systém, jehož projekt bezpečnosti byl schválen Úřadem,

h) zastavit provoz komunikačního systému, který nesplňuje podmínky stanovené v projektu bezpečnosti komunikačního systému, a o této skutečnosti informovat Úřad,

i) používat pro kryptografickou ochranu jen prostředek, který je certifikován Úřadem, a používat kryptografické pracoviště jen k účelu, ke kterému bylo certifikováno a schváleno do provozu,

j) vést evidenci fyzických osob, které mají přístup k utajované informaci, evidenci kryptografického materiálu, evidenci pracovníků kryptografické ochrany, evidenci provozní obsluhy kryptografického prostředku, evidenci kurýrů kryptografického materiálu a evidenci případů neoprávněného nakládání s utajovanou informací,

k) hlásit porušení povinnosti při ochraně utajované informace nebo povinnosti uložené mezinárodní smlouvou v oblasti ochrany utajovaných informací a přijetí opatření k odstranění příčin a nepříznivých následků porušení Úřadu; tato povinnost se nevztahuje na zpravodajské služby v případech podle § 140 odst. 1 písm. a) a na Ministerstvo vnitra v případech podle § 141 odst. 1, s výjimkou případů porušení ochrany utajovaných informací Organizace Severoatlantické smlouvy nebo Evropské unie,

l) zřídit registr poskytovaných utajovaných informací (§ 79) a hlásit změny v něm Úřadu v rozsahu stanoveném prováděcím právním předpisem,

m) provést jednou ročně kontrolu utajovaných informací vedených v registru poskytovaných utajovaných informací za uplynulý kalendářní rok a oznámit její výsledek Úřadu, spolu s uvedením počtu utajovaných informací a jejich stupňů utajení; toto oznámení nezasílají zpravodajské služby,

n) předat utajovanou informaci poskytnutou cizí mocí nebo zahraničním partnerem právnické osoby nebo podnikající fyzické osoby k zaevidování Úřadu nebo Ministerstvu zahraničních věcí podle § 79 odst. 4,

o) zasílat v případech stanovených tímto zákonem utajované informace cizí moci prostřednictvím ústředního registru (§ 79 odst. 2),

p) zajistit písemné pověření fyzické osoby k přístupu k utajované informaci se zvláštním režimem nakládání označené "ATOMAL",

q) kontrolovat dodržování dalších povinností stanovených tímto zákonem.

(2) Povinnost uvedená v odstavci 1 písm. c) se nevztahuje na zpravodajské služby v případech podle § 140 odst. 1 písm. a) a na Ministerstvo vnitra v případech podle § 141 odst. 1.

§ 70

Povinnosti při ochraně průmyslového vlastnictví

(1) Každý, kdo Úřadu průmyslového vlastnictví podává přihlášku vynálezu, užitného vzoru nebo topografie polovodičového výrobku (dále jen "přihlašovatel"), je povinen na přihlášce vyznačit návrh stupně utajení, domnívá-li se, že předmět přihlášky obsahuje utajovanou informaci. Je-li přihlašovatelem právnická osoba, uvede v přihlášce jméno, příjmení a funkci nebo postavení odpovědné osoby.

(2) Úřad průmyslového vlastnictví přihlášku podle odstavce 1 předloží Úřadu, který po vyjádření ústředního správního úřadu, do jehož oblasti věcné působnosti předmět přihlášky náleží, návrh stupně utajení potvrdí, změní nebo, neobsahuje-li předmět přihlášky utajovanou informaci, návrh zamítne; nenáleží-li předmět přihlášky do oblasti věcné působnosti žádného ústředního správního úřadu, vyjádření se nevyžaduje.

(3) Úřad potvrzení nebo změnu návrhu stupně utajení provedené podle odstavce 2 oznámí Úřadu průmyslového vlastnictví ve lhůtě 60 dnů ode dne doručení přihlášky Úřadu, popřípadě mu v téže lhůtě sdělí, že návrh stupně utajení zamítl, a přihlášku mu vrátí; v oznámení Úřad zároveň uvede, zda přihlašovatel splňuje podmínky přístupu k utajované informaci.

(4) Úřad průmyslového vlastnictví stupeň utajení oznámený podle odstavce 3 vyznačí na přihlášce a neprodleně jej oznámí přihlašovateli, který tento stupeň utajení stanoveným způsobem (§ 21 a 22) vyznačí na předmětu přihlášky; je-li přihlašovatelem nepodnikající fyzická osoba, Úřad průmyslového vlastnictví má postavení původce. Sdělení podle odstavce 3 Úřad průmyslového vlastnictví přihlašovateli neprodleně oznámí též.

(5) Obsahuje-li předmět přihlášky podle odstavce 1 utajovanou informaci a nesplňuje-li přihlašovatel podmínky přístupu k utajované informaci tohoto stupně utajení, Úřad průmyslového vlastnictví provede, je-li přihlašovatelem fyzická osoba, její poučení, a je-li přihlašovatelem právnická osoba, poučení odpovědné osoby přihlašovatele; odpovědná osoba přihlašovatele poučí všechny fyzické osoby, které v rámci právnické osoby přihlašovatele přístup k předmětu přihlášky měly nebo jej nezbytně potřebují; poučením se tyto osoby považují za osoby splňující podmínky přístupu k utajované informaci, obsažené v předmětu této přihlášky. Ustanovení § 9 odst. 1 věty poslední a § 11 odst. 2 věty třetí platí obdobně.

§ 71

Bezpečnostní ředitel

(1) Orgán státu, u kterého utajovaná informace vzniká nebo kterému je poskytnuta, a dále právnická osoba a podnikající fyzická osoba, které mají přístup k utajované informaci, jsou povinni zřídit a obsadit funkci bezpečnostního ředitele. Funkci bezpečnostního ředitele může vykonávat i odpovědná osoba sama; jinak je bezpečnostní ředitel přímo podřízen odpovědné osobě.

(2) Orgán státu, právnická osoba a podnikající fyzická osoba podle odstavce 1 jsou povinni do 15 dnů ode dne obsazení funkce bezpečnostního ředitele oznámit písemně Úřadu jméno, příjmení a rodné číslo osoby vykonávající tuto funkci.

(3) Bezpečnostní ředitel zajišťuje a plní povinnosti stanovené mu písemně odpovědnou osobou v rozsahu tohoto zákona; odpovědnost odpovědné osoby za ochranu utajovaných informací není jmenováním bezpečnostního ředitele dotčena.

(4) Funkci bezpečnostního ředitele může vykonávat pouze fyzická osoba, která splňuje podmínky přístupu k utajovaným informacím takového stupně utajení, ke kterým bude mít při výkonu této funkce přístup.

(5) Funkci bezpečnostního ředitele nelze vykonávat u více orgánů státu nebo podnikatelů souběžně.

§ 72

Personální projekt

(1) Ministerstva a další ústřední správní úřady každoročně zpracovávají personální projekt.

(2) Personální projekt obsahuje

a) zhodnocení stavu v personální bezpečnosti za uplynulý rok a

b) předpokládaný počet fyzických osob, u kterých bude nutné v následujícím roce provést řízení podle § 92 písm. a), a to s rozlišením podle stupňů utajení.

(3) Personální projekt zasílají ministerstva a další ústřední správní úřady Úřadu vždy do 31. října příslušného kalendářního roku.

(4) Personální projekty předloží Úřad spolu se svým vyjádřením vládě vždy do 30. listopadu příslušného kalendářního roku ke schválení.

Hlava XII

Poskytování utajovaných informací v mezinárodním styku

§ 73

Podmínky poskytování utajovaných informací

Utajovanou informaci lze v mezinárodním styku poskytovat, není-li v § 74 stanoveno jinak,

a) jde-li o utajovanou informaci stupně utajení Přísně tajné, Tajné nebo Důvěrné, na základě písemné žádosti orgánu státu, právnické osoby nebo podnikající fyzické osoby a písemného povolení Úřadu,

b) jde-li o utajovanou informaci stupně utajení Vyhrazené, na základě písemné žádosti právnické osoby nebo podnikající fyzické osoby a písemného souhlasu ústředního správního úřadu, do jehož oblasti věcné působnosti utajovaná informace náleží; nenáleží-li utajovaná informace do oblasti věcné působnosti žádného ústředního správního úřadu, na základě písemného souhlasu Úřadu.

§ 74

Podmínky poskytování utajovaných informací mezi orgánem státu a cizí mocí

(1) Splnění podmínek podle § 73 písm. a) při poskytování utajované informace mezi orgánem státu a cizí mocí se nevyžaduje

a) je-li uzavřena mezinárodní smlouva v oblasti ochrany utajovaných informací, kterou je Česká republika vázána,

b) vyplývá-li poskytování utajovaných informací ze závazku členství České republiky v Evropské unii, nebo

c) je-li utajovaná informace poskytována podle zvláštního právního předpisu³⁰).

(2) Utajovanou informaci stupně utajení Vyhrazené lze mezi orgánem státu a cizí mocí poskytovat bez souhlasu uvedeného v § 73 písm. b).

§ 75

Žádost o povolení nebo o souhlas

(1) Žádost podle § 73 obsahuje, je-li žadatelem orgán státu, označení cizí moci, které má být utajovaná informace poskytnuta, a je-li žadatelem právnická osoba nebo podnikající fyzická osoba, označení zahraničního partnera a důvody, pro které se o povolení nebo o souhlas žádá.

(2) Přílohou žádosti právnické osoby nebo podnikající fyzické osoby o povolení nebo souhlas podle § 73 musí být její smlouva se zahraničním partnerem, obsahující podmínky ochrany poskytovaných utajovaných informací a seznam poskytovaných utajovaných informací.

§ 76

Povolení a souhlas při poskytování utajovaných informací

(1) Před vydáním povolení podle § 73 písm. a) si Úřad vždy vyžádá písemné stanovisko Ministerstva zahraničních věcí a příslušné zpravodajské služby a dále ústředního správního úřadu, do jehož oblasti věcné působnosti utajovaná informace náleží, nežádá-li o povolení tento orgán státu; nenáleží-li utajovaná informace do oblasti věcné působnosti žádného ústředního správního úřadu, stanovisko se nevyžaduje. Žádá-li o povolení právnická osoba nebo podnikající fyzická osoba, Úřad si od ní vyžádá bezpečnostní oprávnění jejího zahraničního partnera vydané úřadem cizí moci, do jehož působnosti náleží ochrana utajovaných informací v zemi zahraničního partnera.

(2) Ministerstvo zahraničních věcí, příslušná zpravodajská služba a ústřední správní úřad poskytnou Úřadu stanovisko podle odstavce 1 ve lhůtě 30 dnů ode dne doručení jeho žádosti.

(3) Úřad vydá povolení § 73 písm. a) ve lhůtě 60 dnů ode dne doručení žádosti orgánu státu, právnické osoby nebo podnikající fyzické osoby; v případě, kdy by utajovaná informace byla jejím poskytnutím ohrožena, Úřad žádosti nevyhoví a tuto skutečnost žadateli v uvedené lhůtě písemně oznámí.

(4) Ústřední správní úřad nebo Úřad vydá souhlas podle § 73 písm. b) ve lhůtě 30 dnů ode dne doručení žádosti právnické osoby nebo podnikající fyzické osoby; v případě, kdy by utajovaná informace byla jejím poskytnutím ohrožena, ústřední správní úřad nebo Úřad žádosti nevyhoví a tuto skutečnost žadateli v uvedené lhůtě písemně oznámí.

(5) Na vydání povolení a na udělení souhlasu podle § 73 není právní nárok.

(6) Úřad vede přehled povolení vydaných podle § 73 písm. a).

§ 77

Způsob poskytování utajovaných informací

(1) Poskytování utajované informace stupně utajení Přísně tajné, Tajné nebo Důvěrné v mezinárodním styku se uskutečňuje prostřednictvím registru uvedeného v § 79 odst. 2, pokud není v odstavcích 2 až 5, v § 78 nebo v mezinárodní smlouvě stanoveno jinak.

(2) Na poskytování utajované informace mezi zpravodajskou službou a obdobnou službou cizí moci v rámci spolupráce uskutečňované podle zvláštního právního předpisu¹⁹) se odstavec 1 nevztahuje. O poskytování utajované informace v těchto případech rozhoduje odpovědná osoba zpravodajské služby.

(3) Na poskytování utajovaných informací mezi Ministerstvem obrany, Ministerstvem spravedlnosti, soudy, státními zastupitelstvími, policií nebo celními orgány a obdobnými orgány cizí moci se odstavec 1, stanoví-li mezinárodní smlouva, kterou je Česká republika vázána, nebo zvláštní právní předpis³¹) jinak, nevztahuje.

(4) Orgány státu a policie vedou evidenci utajovaných informací poskytovaných podle odstavců 2 a 3.

(5) Ustanovení odstavce 1, § 73 a § 78 odst. 3 se nepoužijí, jde-li o poskytování utajované informace v mezinárodním styku v případech podle § 60 odst. 1.

§ 78

Způsob poskytování utajovaných informací Evropské unie v jejím rámci a mimo něj

(1) Poskytování utajované informace stupně utajení Tajné nebo Důvěrné mezi Českou republikou a členskými státy Evropské unie nebo mezi Českou republikou a orgány Evropské unie, která se týká vzájemné spolupráce členských států Evropské unie podle smlouvy o založení Evropské unie nebo smlouvy o založení Evropských společenství, se uskutečňuje prostřednictvím registru vedeného Ministerstvem zahraničních věcí podle § 79 odst. 3.

(2) Ustanovení odstavce 1 se nevztahuje na poskytování utajované informace, která vyžaduje zvláštní režim nakládání podle § 21 odst. 3.

(3) Má-li být Českou republikou poskytnuta v mezinárodním styku utajovaná informace Evropské unie státu, který není členem Evropské unie, vyžádá si Úřad souhlas příslušného orgánu Evropské unie.

§ 79

Registry poskytovaných utajovaných informací

(1) V registrech utajovaných informací se eviduje a ukládá nebo odesílá utajovaná informace stupně utajení Přísně tajné, Tajné nebo Důvěrné poskytovaná v mezinárodním styku.

(2) Úřad zřizuje a vede ústřední registr utajovaných informací uvedených v odstavci 1 jím nebo jemu přímo poskytnutých a utajovaných informací, které se poskytují jeho prostřednictvím podle § 77 odst. 1 (dále jen "ústřední registr").

(3) Orgán státu, právnická osoba a podnikající fyzická osoba zřizují a vedou registr utajovaných informací uvedených v odstavci 1 jimi nebo jim poskytnutých (dále jen "registr"); v registru Ministerstva zahraničních věcí se vedou též utajované informace, které se poskytují jeho prostřednictvím podle § 78 odst. 1. Zřízení registru schvaluje Úřad na základě písemné žádosti orgánu státu, právnické osoby nebo podnikající fyzické osoby; to neplatí pro zpravodajské služby. Úřad je oprávněn před vydáním souhlasu provést kontrolu skutečností uvedených v žádosti o zřízení registru, případně dalších skutečností a podmínek, souvisejících se zřízením registru.

(4) Neposkytne-li cizí moc nebo zahraniční partner právnické osoby nebo podnikající fyzické osoby utajovanou informaci uvedenou v odstavci 1 způsobem uvedeným v § 77 odst. 1 nebo § 78 odst. 1, orgán státu, právnická osoba nebo podnikající fyzická osoba předají poskytnutou utajovanou informaci k zaevidování v ústředním registru, nebo v případě utajované informace podle § 78 odst. 1 v registru Ministerstva zahraničních věcí, neprodleně po jejím poskytnutí.

(5) Orgán státu, právnická osoba nebo podnikající fyzická osoba oznamují Úřadu změny v registru v rozsahu stanoveném prováděcím právním předpisem.

(6) Úřad vede přehled zřízených registrů a provádí kontrolu jejich činnosti.

(7) Prováděcí právní předpis stanoví

a) organizaci a činnost ústředního registru,

b) obsah písemné žádosti o zřízení registru,

c) podmínky zřízení, obsah a způsob vedení registru a

d) rozsah změn v registru, oznamovaných Úřadu.