ČÁST DRUHÁ
Hlava I
§ 3
(1) Újmou zájmu České republiky se pro účely tohoto zákona rozumí poškození nebo ohrožení zájmu České republiky. Podle závažnosti poškození nebo ohrožení zájmu České republiky se újma člení na mimořádně vážnou újmu, vážnou újmu a prostou újmu.
(2) Mimořádně vážná újma zájmu České republiky vznikne vyzrazením utajované informace neoprávněné osobě nebo zneužitím utajované informace, které může mít za následek
a) bezprostřední ohrožení svrchovanosti, územní celistvosti nebo demokratických základů České republiky,
b) rozsáhlé ztráty na lidských životech nebo rozsáhlé ohrožení zdraví obyvatel,
c) mimořádně vážné nebo dlouhodobé poškození ekonomiky České republiky,
d) značné narušení vnitřního pořádku a bezpečnosti České republiky,
e) mimořádně vážné ohrožení významných bezpečnostních operací nebo činnosti zpravodajských služeb,
f) mimořádně vážné ohrožení činnosti Organizace Severoatlantické smlouvy, Evropské unie nebo členského státu,
g) mimořádně vážné ohrožení bojeschopnosti ozbrojených sil České republiky, Organizace Severoatlantické smlouvy nebo jejího členského státu nebo členského státu Evropské unie, nebo
h) mimořádně vážné poškození diplomatických nebo jiných vztahů České republiky k Organizaci Severoatlantické smlouvy, Evropské unii nebo členskému státu.
(3) Vážná újma zájmu České republiky vznikne vyzrazením utajované informace neoprávněné osobě nebo zneužitím utajované informace, které může mít za následek
a) ohrožení svrchovanosti, územní celistvosti a demokratických základů České republiky,
b) značnou škodu České republiky ve finanční, měnové nebo hospodářské oblasti,
c) ztráty na lidských životech nebo ohrožení zdraví obyvatel,
d) narušení vnitřního pořádku a bezpečnosti České republiky,
e) vážné ohrožení bojeschopnosti ozbrojených sil České republiky, Organizace Severoatlantické smlouvy nebo jejího členského státu nebo členského státu Evropské unie,
f) vážné ohrožení významných bezpečnostních operací nebo činnosti zpravodajských služeb,
g) vážné ohrožení činnosti Organizace Severoatlantické smlouvy, Evropské unie nebo členského státu,
h) vážné narušení diplomatických vztahů České republiky k Organizaci Severoatlantické smlouvy, Evropské unii nebo členskému státu nebo jinému státu, nebo
i) vážné zvýšení mezinárodního napětí.
(4) Prostá újma zájmu České republiky vznikne vyzrazením utajované informace neoprávněné osobě nebo zneužitím utajované informace, které může mít za následek
a) zhoršení vztahů České republiky s cizí mocí,
b) ohrožení bezpečnosti jednotlivce,
c) ohrožení bojeschopnosti ozbrojených sil České republiky, Organizace Severoatlantické smlouvy nebo jejího členského státu nebo členského státu Evropské unie,
d) ohrožení bezpečnostních operací nebo činnosti zpravodajských služeb,
e) ohrožení činnosti Organizace Severoatlantické smlouvy, Evropské unie nebo jejich členského státu,
f) zmaření, ztížení anebo ohrožení prověřování nebo vyšetřování zvlášť závažných zločinů10) nebo usnadnění jejich páchání,
g) vznik nezanedbatelné škody České republice, nebo
h) závažné narušení ekonomických zájmů České republiky.
(5) Nevýhodné pro zájmy České republiky je vyzrazení utajované informace neoprávněné osobě nebo zneužití utajované informace, které může mít za následek
a) narušení činnosti ozbrojených sil České republiky, Organizace Severoatlantické smlouvy nebo jejího členského státu nebo členského státu Evropské unie,
b) zmaření, ztížení anebo ohrožení prověřování nebo vyšetřování ostatních trestných činů než uvedených v odstavci 4 písm. f) nebo usnadnění jejich páchání,
c) poškození významných ekonomických zájmů České republiky nebo Evropské unie nebo jejího členského státu,
d) narušení důležitých obchodních nebo politických jednání České republiky s cizí mocí, nebo
e) narušení bezpečnostních operací nebo činnosti zpravodajských služeb.
§ 4
Utajovaná informace se klasifikuje stupněm utajení
a) Přísně tajné, jestliže její vyzrazení neoprávněné osobě nebo zneužití může způsobit mimořádně vážnou újmu zájmům České republiky,
b) Tajné, jestliže její vyzrazení neoprávněné osobě nebo zneužití může způsobit vážnou újmu zájmům České republiky,
c) Důvěrné, jestliže její vyzrazení neoprávněné osobě nebo zneužití může způsobit prostou újmu zájmům České republiky,
d) Vyhrazené, jestliže její vyzrazení neoprávněné osobě nebo zneužití může být nevýhodné pro zájmy České republiky.
§ 5
Ochrana utajovaných informací je zajišťována
a) personální bezpečností, kterou tvoří výběr fyzických osob, které mají mít přístup k utajovaným informacím, ověřování podmínek pro jejich přístup k utajovaným informacím, jejich výchova a ochrana,
b) průmyslovou bezpečností, kterou tvoří systém opatření k zjišťování a ověřování podmínek pro přístup podnikatele k utajovaným informacím a k zajištění nakládání s utajovanou informací u podnikatele v souladu s tímto zákonem,
c) administrativní bezpečností, kterou tvoří systém opatření při tvorbě, příjmu, evidenci, zpracování, odesílání, přepravě, přenášení, ukládání, skartačním řízení, archivaci, případně jiném nakládání s utajovanými informacemi,
d) fyzickou bezpečností, kterou tvoří systém opatření, která mají neoprávněné osobě zabránit nebo ztížit přístup k utajovaným informacím, popřípadě přístup nebo pokus o něj zaznamenat,
e) bezpečností informačních nebo komunikačních systémů, kterou tvoří systém opatření, jejichž cílem je zajistit důvěrnost, integritu a dostupnost utajovaných informací, s nimiž tyto systémy nakládají, a odpovědnost správy a uživatele za jejich činnost v informačním nebo komunikačním systému a
f) kryptografickou ochranou, kterou tvoří systém opatření na ochranu utajovaných informací použitím kryptografických metod a kryptografických materiálů při zpracování, přenosu nebo ukládání utajovaných informací.
Hlava II
Podmínky přístupu fyzické osoby k utajované informaci stupně utajení Vyhrazené
§ 6
(1) Fyzické osobě lze umožnit přístup k utajované informaci stupně utajení Vyhrazené, jestliže jej nezbytně potřebuje k výkonu své funkce, pracovní nebo jiné činnosti, je držitelem oznámení o splnění podmínek pro přístup k utajované informaci stupně utajení Vyhrazené (dále jen "oznámení"), osvědčení fyzické osoby (§ 54) nebo dokladu (§ 80) a je poučena, nestanoví-li tento zákon nebo zvláštní právní předpis jinak (§ 58 až 62).
(2) Oznámení se vydá fyzické osobě, která
a) je plně svéprávná,
b) dosáhla alespoň 18 let věku,
c) je bezúhonná.
(3) Splnění podmínek podle odstavce 2 ověřuje a oznámení fyzické osobě vydává ten, kdo je vůči ní v rámci služebního poměru nebo pracovněprávního, členského či obdobného vztahu odpovědnou osobou, nebo jí určená osoba. Jde-li o fyzickou osobu, vůči níž není odpovědná osoba podle věty první, splnění podmínek podle odstavce 2 ověřuje a oznámení fyzické osobě vydává odpovědná osoba nebo jí určená osoba toho, kdo umožní fyzické osobě přístup k utajované informaci stupně utajení Vyhrazené. V ostatních případech splnění podmínek podle odstavce 2 ověřuje a oznámení fyzické osobě vydává Národní bezpečnostní úřad (dále jen „Úřad“) na základě odůvodněné písemné žádosti.
§ 7
(1) Podmínka svéprávnosti se prokazuje prohlášením fyzické osoby o svéprávnosti. Podmínka věku se prokazuje občanským průkazem nebo cestovním dokladem fyzické osoby. Podmínka bezúhonnosti se prokazuje výpisem z evidence Rejstříku trestů11) a v případě cizince i obdobným dokladem státu, jehož je cizinec státním příslušníkem, jakož i státu, v němž cizinec pobýval nepřetržitě po dobu delší než 6 měsíců. Doklady k ověření bezúhonnosti nesmějí být starší než 3 měsíce od jejich vydání.
(2) Doklady podle odstavce 1 předkládá fyzická osoba.
(3) Prováděcí právní předpis stanoví vzor prohlášení fyzické osoby o svéprávnosti.
§ 8
Podmínku bezúhonnosti splňuje fyzická osoba, která nebyla pravomocně odsouzena za spáchání úmyslného trestného činu nebo trestného činu vztahujícího se k ochraně utajovaných informací, anebo se na ni hledí, jako by odsouzena nebyla.
§ 9
(1) Před prvním přístupem k utajované informaci stupně utajení Vyhrazené ten, kdo je vůči fyzické osobě v rámci služebního poměru nebo pracovněprávního, členského či obdobného vztahu osobou odpovědnou, zajistí její poučení. Jde-li o fyzickou osobu, vůči níž není odpovědná osoba podle věty první, zajistí poučení odpovědná osoba toho, kdo přístup k utajované informaci umožní. Poučení podepisuje fyzická osoba a ten, kdo poučení provedl; jeden výtisk poučení jí předá a jeden výtisk uloží12).
(2) Ten, kdo vydal oznámení, je povinen každých 5 let ode dne jeho vydání ověřovat splnění podmínek stanovených v § 6 odst. 2 písm. a) a c); ověřovat splnění těchto podmínek je oprávněn i před uplynutím této lhůty, existují-li důvodné pochybnosti o tom, že osoba přestala některou z nich splňovat.
(3) Platnost oznámení zaniká
a) doručením písemného vyrozumění toho, kdo oznámení vydal, že fyzická osoba přestala splňovat podmínku uvedenou v § 6 odst. 2 písm. a) nebo c),
b) skončením služebního poměru nebo pracovněprávního, členského či obdobného vztahu, ve kterém byl fyzické osobě umožněn přístup k utajovaným informacím,
c) vznikem služebního poměru nebo pracovněprávního, členského či obdobného vztahu, ve kterém má být fyzické osobě umožněn přístup k utajovaným informacím, pokud bylo oznámení vydáno odpovědnou osobou nebo jí určenou osobou toho, kdo umožnil fyzické osobě přístup k utajované informaci stupně utajení Vyhrazené, nebo Úřadem podle § 6 odst. 3,
d) úmrtím nebo prohlášením osoby za mrtvou,
e) ohlášením jeho odcizení nebo ztráty,
f) takovým poškozením, že zápisy v něm uvedené jsou nečitelné nebo je porušena jeho celistvost,
g) doručením písemného vyrozumění toho, kdo oznámení vydal, že fyzická osoba nesplnila ve stanovené lhůtě povinnost podle § 10 odst. 2 písm. b),
h) vrácením oznámení tomu, kdo jej vydal, a není-li jej, tak Úřadu,
i) patnáctým dnem od doručení osvědčení fyzické osoby nebo dokladu, nebo
j) změnou některého z údajů v něm obsažených.
(4) Při zániku platnosti oznámení podle odstavce 3 písm. a) a g) je ten, kdo oznámení vydal, povinen zajistit, aby fyzická osoba neměla přístup k utajované informaci, a o tomto zániku je povinen fyzickou osobu písemně vyrozumět. V písemném vyrozumění uvede důvod zániku platnosti oznámení. Při zániku platnosti oznámení podle odstavce 3 písm. b) až d), f), h) nebo i) je ten, kdo oznámení vydal, povinen o tomto zániku učinit písemný záznam, který uloží12).
(5) Pokud držitel oznámení do 15 dnů ode dne zániku jeho platnosti podle odstavce 3 písm. e), f) nebo j) požádá písemně toho, kdo oznámení vydal, o vydání oznámení nového, přístup fyzické osoby k utajované informaci není zánikem platnosti původního oznámení dotčen; ten, kdo oznámení vydal, vydá do 5 dnů od doručení žádosti oznámení nové, které nahrazuje původní.
(6) Při zániku platnosti oznámení podle odstavce 3 písm. a) nebo g) je fyzická osoba povinna odevzdat oznámení do 15 dnů ode dne doručení písemného vyrozumění a v případě zániku platnosti oznámení podle odstavce 3 písm. b), c) nebo i) do 15 dnů ode dne tohoto zániku tomu, kdo oznámení vydal.
(7) V případě zániku platnosti oznámení se má za to, že fyzická osoba poučena není.
(8) Prováděcí právní předpis stanoví vzor oznámení a poučení.
§ 10
(1) Podmínky uvedené v § 6 odst. 2 písm. a) a c) musí fyzická osoba, která je držitelem oznámení, splňovat po celou dobu přístupu k utajované informaci stupně utajení Vyhrazené.
(2) Fyzická osoba podle odstavce 1 je povinna
a) písemně sdělovat tomu, kdo vydal oznámení,
1. změnu týkající se podmínek uvedených v § 6 odst. 2 písm. a) a c),
2. odcizení, ztrátu nebo poškození oznámení,
3. den doručení osvědčení fyzické osoby nebo dokladu,
4. skutečnosti uvedené v § 9 odst. 3 písm. c), f) a j),
a to ve lhůtě 15 dnů ode dne, kdy tato změna nebo skutečnost nastala, nebo se o ní fyzická osoba dozvěděla,
b) v případech podle § 9 odst. 2 předložit ve stanovené lhůtě na žádost toho, kdo vydal oznámení, výpis z evidence Rejstříku trestů11), v případě cizince i obdobný doklad státu, jehož je cizinec státním příslušníkem, jakož i státu, v němž cizinec pobýval nepřetržitě po dobu delší než 6 měsíců v posledních 5 letech, a prohlášení fyzické osoby o svéprávnosti; tyto doklady nesmějí být starší než 3 měsíce.
Podmínky přístupu fyzické osoby k utajované informaci stupně utajení Přísně tajné, Tajné nebo Důvěrné
§ 11
(1) Fyzické osobě lze umožnit přístup k utajované informaci stupně utajení Přísně tajné, Tajné nebo Důvěrné, jestliže jej nezbytně potřebuje k výkonu své funkce, pracovní nebo jiné činnosti, je držitelem platného osvědčení fyzické osoby (§ 54) příslušného stupně utajení a je poučena, nestanoví-li tento zákon nebo zvláštní právní předpis jinak (§ 58 až 62).
(2) Před prvním přístupem k utajované informaci stupně utajení Přísně tajné, Tajné nebo Důvěrné ten, kdo je vůči fyzické osobě v rámci služebního poměru nebo pracovněprávního, členského či obdobného vztahu osobou odpovědnou, zajistí její poučení. Jde-li o fyzickou osobu ve vztahu, vůči níž není odpovědná osoba podle věty první, zajistí poučení odpovědná osoba toho, kdo fyzické osobě přístup k utajované informaci umožní. Poučení podepisuje fyzická osoba a ten, kdo poučení provedl; jeden výtisk poučení jí předá, jeden výtisk uloží12) a jeden zašle Úřadu. Povinnost zaslání jednoho výtisku poučení Úřadu se nevztahuje na zpravodajské služby České republiky13) (dále jen "zpravodajské služby") v případech podle § 140 odst. 1 písm. a) a na Ministerstvo vnitra v případech podle § 141 odst 1.
(3) Poučení ředitele Úřadu a ředitele Bezpečnostní informační služby provede předseda vlády, poučení ředitele Úřadu pro zahraniční styky a informace provede ministr vnitra a poučení ředitele Vojenského zpravodajství provede ministr obrany; pro podpis, předání a uložení výtisku poučení platí odstavec 2 obdobně.
(4) V případě zániku platnosti osvědčení fyzické osoby (§ 56 odst. 1) nebo skončení služebního poměru nebo pracovněprávního, členského či obdobného vztahu, ve kterém byl fyzické osobě umožněn přístup k utajované informaci, se má za to, že fyzická osoba poučena není.
§ 12
(1) Osvědčení fyzické osoby Úřad vydá fyzické osobě, která
a) je státním občanem České republiky nebo státním příslušníkem členského státu Evropské unie nebo Organizace Severoatlantické smlouvy,
b) splňuje podmínky uvedené v § 6 odst. 2,
c) je osobnostně způsobilá,
d) je bezpečnostně spolehlivá.
(2) Podmínky uvedené v odstavci 1 musí fyzická osoba splňovat po celou dobu platnosti osvědčení fyzické osoby (§ 55).
§ 13
(1) Podmínku osobnostní způsobilosti splňuje fyzická osoba, která netrpí poruchou či obtížemi, které mohou mít vliv na její spolehlivost nebo schopnost utajovat informace.
(2) Osobnostní způsobilost podle odstavce 1 se ověřuje na základě prohlášení k osobnostní způsobilosti a v případech stanovených tímto zákonem (§ 106) i na základě znaleckého posudku o osobnostní způsobilosti.
(3) Zpravodajská služba u svých příslušníků, zaměstnanců a uchazečů o zaměstnání nebo o přijetí do služebního poměru v případech podle § 140 odst. 1 písm. a) a Ministerstvo vnitra v případech podle § 141 odst. 1 ověřuje osobnostní způsobilost na základě prohlášení k osobnostní způsobilosti nebo na základě psychologického vyšetření psychologickým pracovištěm zpravodajské služby nebo Ministerstva vnitra.
§ 14
(1) Podmínku bezpečnostní spolehlivosti splňuje fyzická osoba, u níž není zjištěno bezpečnostní riziko.
(2) Bezpečnostním rizikem je
a) závažná nebo opakovaná činnost proti zájmům České republiky,
b) činnost, spočívající v potlačování základních práv a svobod, anebo podpora takové činnosti, nebo
c) skutečnost, že jsou majetkové poměry zjevně nepřiměřené řádně přiznaným příjmům fyzické osoby.
(3) Za bezpečnostní riziko lze též považovat
a) zařazení do složky bývalé Státní bezpečnosti s rozvědným nebo kontrarozvědným zaměřením, zpravodajské správy Generálního štábu Československé lidové armády nebo odboru vnitřní ochrany Sboru nápravné výchovy anebo prokazatelnou spolupráci s bývalou Státní bezpečností nebo zpravodajskou správou Generálního štábu Československé lidové armády nebo odborem vnitřní ochrany Sboru nápravné výchovy,
b) užívání jiné identity,
c) úmyslné porušení právních předpisů, na jehož základě může nastat újma zájmu České republiky,
d) chování, které má vliv na důvěryhodnost nebo ovlivnitelnost osoby a může ovlivnit její schopnost utajovat informace,
e) styky s osobou, která vyvíjí nebo vyvíjela činnost proti zájmu České republiky,
f) pravomocné odsouzení pro trestný čin,
g) uvedení nepravdivé informace nebo zamlčení informace rozhodné pro objektivní zjištění skutečného stavu věci v řízení podle části čtvrté nebo nenahlášení změny údajů uvedených v příloze k této žádosti o vydání osvědčení fyzické osoby (§ 94) nebo v jiném materiálu poskytnutém Úřadu v příloze k této žádosti,
h) porušení povinnosti při ochraně utajovaných informací,
i) opakované neposkytnutí nezbytné součinnosti při bezpečnostním řízení zahájeném podle § 101 odst. 1, nebo
j) podmíněné zastavení trestního stíhání pro úmyslný trestný čin nebo podmíněné odložení podání návrhu na potrestání pro úmyslný trestný čin, u nichž stanovená zkušební doba dosud neuplynula, anebo schválení narovnání pro úmyslný trestný čin.
(4) Bezpečnostní rizika uvedená v odstavci 2 a odstavci 3 písm. a) se v případě žádosti podle § 94 zjišťují za období od 15 let věku; bezpečnostní rizika uvedená v odstavci 3 písm. b) až i) se zjišťují 10 let zpětně od podání žádosti pro stupeň utajení Důvěrné, 15 let zpětně pro stupeň utajení Tajné a 20 let zpětně pro stupeň utajení Přísně tajné, nebo za období od 15 let věku podle toho, které z nich je kratší.
(5) K bezpečnostnímu riziku uvedenému v odstavci 3 písm. b) se nepřihlíží, pokud fyzická osoba užívala jinou identitu ze zákonného důvodu.
(6) Při posuzování, zda skutečnost uvedená v odstavci 3 je bezpečnostním rizikem, se přihlíží k tomu, do jaké míry může ovlivnit schopnost utajovat informace, k době jejího výskytu, k jejímu rozsahu, charakteru a k chování fyzické osoby v období uvedeném v odstavci 4.
(7) Zpravodajská služba u svých příslušníků, zaměstnanců a uchazečů o zaměstnání nebo o přijetí do služebního poměru může při posuzování bezpečnostního rizika provést fyziodetekční vyšetření.
Hlava III
Podmínky přístupu podnikatele k utajované informaci a formy přístupu podnikatele k utajované informaci
§ 15
Podnikateli, který nezbytně k výkonu své činnosti potřebuje přístup k utajované informaci
a) stupně utajení Vyhrazené, lze umožnit přístup, pokud
1. doloží písemným prohlášením svou schopnost zabezpečit ochranu utajovaných informací (dále jen „prohlášení podnikatele“), nebo
2. je držitelem platného osvědčení podnikatele (§ 54),
b) stupně utajení Důvěrné a vyšší, lze umožnit přístup, pokud je držitelem platného osvědčení podnikatele (§ 54) příslušného stupně utajení,
nestanoví-li tento zákon jinak (§ 58 až 62).
§ 15a
(1) Podnikatel je oprávněn učinit prohlášení podnikatele, pokud
a) má pro ochranu utajované informace stupně utajení Vyhrazené vytvořeny podmínky odpovídající formě přístupu k této informaci (§ 20) a příslušnému druhu zajištění její ochrany (§ 5),
b) odpovědná osoba je držitelem oznámení, osvědčení fyzické osoby nebo dokladu.
(2) Splnění podmínek pro přístup k utajované informaci podle § 15 písm. a) bodu 1 prokazuje podnikatel poskytovateli utajované informace stupně utajení Vyhrazené (dále jen „poskytovatel vyhrazené informace“) předáním prohlášení podnikatele před prvním přístupem k této informaci; ten je oprávněn od podnikatele požadovat předložení bezpečnostní dokumentace podnikatele. Poskytovatel vyhrazené informace zašle kopii prohlášení podnikatele neprodleně Úřadu.
(3) Podnikatel, u něhož utajovaná informace stupně utajení Vyhrazené bude pouze vznikat, zašle prohlášení podnikatele neprodleně poté, co ho učiní, Úřadu.
(4) Podnikatel, který ukončuje přístup k utajované informaci stupně utajení Vyhrazené, neprodleně písemně oznámí tuto skutečnost tomu, komu podle odstavce 2 nebo 3 předal nebo zaslal prohlášení podnikatele; to neplatí, došlo-li k zániku prohlášení podnikatele podle odstavce 5 písm. a).
(5) Platnost prohlášení podnikatele zaniká
a) uplynutím 5 let ode dne, kdy bylo učiněno,
b) dnem doručení písemného oznámení podnikatele podle odstavce 4 poskytovateli vyhrazené informace nebo Úřadu,
c) dnem doručení osvědčení podnikatele,
d) zrušením nebo zánikem podnikatele,
e) přestal-li podnikatel splňovat některou z podmínek uvedených v odstavci 1, nebo
f) změnou některého z údajů uvedených v prohlášení podnikatele.
(6) Podnikatel neprodleně písemně oznámí zánik platnosti prohlášení podnikatele podle odstavce 5 písm. c) až f) tomu, komu podle odstavce 2 nebo 3 předal nebo zaslal prohlášení podnikatele.
(7) Náležitosti prohlášení podnikatele stanoví prováděcí právní předpis.
§ 16
(1) Osvědčení podnikatele Úřad vydá podnikateli,
a) který je ekonomicky stabilní,
b) který je bezpečnostně spolehlivý,
c) který je schopen zabezpečit ochranu utajovaných informací,
d) pokud odpovědná osoba je držitelem platného osvědčení fyzické osoby nejméně pro takový stupeň utajení, pro který žádá podnikatel o vydání osvědčení podnikatele,
e) který při podání žádosti o vydání osvědčení podnikatele uhradil správní poplatek podle jiného právního předpisu48).
(2) Podmínky uvedené v odstavci 1 písm. a) až d) musí podnikatel splňovat po celou dobu platnosti osvědčení podnikatele (§ 55).
§ 17
(1) Podmínku ekonomické stability nesplňuje podnikatel,
a) u kterého soud vyhlásil moratorium15),
b) vůči jehož majetku je vydáno rozhodnutí o úpadku15),
c) u kterého byla zavedena nucená správa nebo v posledních 3 letech dočasná správa anebo na něj v posledních 3 letech bylo uplatněno opatření k řešení krize podle zákona upravujícího ozdravné postupy a řešení krize na finančním trhu.
(2) Za ekonomicky nestabilního lze též považovat podnikatele,
a) který má splatný nedoplatek na pojistném na sociální zabezpečení, na příspěvku na státní politiku zaměstnanosti nebo na pojistném na veřejné zdravotní pojištění, včetně penále,
b) který má splatný nedoplatek na dani z příjmů, na dani z přidané hodnoty či na jiných daních včetně příslušného penále z dlužné částky, popřípadě na vyměřeném clu, včetně případných úroků,
c) který trvale či opakovaně neplní finanční povinnosti vůči státu, fyzickým nebo právnickým osobám, nebo
d) u něhož bylo rozhodnuto o exekuci na jeho majetek.
§ 18
(1) Podmínku bezpečnostní spolehlivosti nesplňuje podnikatel, u něhož bylo zjištěno bezpečnostní riziko.
(2) Bezpečnostním rizikem je
a) činnost statutárního orgánu nebo jeho člena, člena kontrolního orgánu nebo prokuristy proti zájmům České republiky,
b) činnost statutárního orgánu nebo jeho člena, člena kontrolního orgánu nebo prokuristy, spočívající v potlačování základních práv a svobod, anebo podpora takové činnosti,
c) skutečnost, že je podnikatel akciovou společností s formou akcií na majitele s jinou podobou, než jsou akcie zaknihované,
d) skutečnost, že je společníkem, který má rozhodující vliv na volbu nebo jmenování statutárního nebo kontrolního orgánu podnikatele, akciová společnost s formou akcií na majitele s jinou podobou, než jsou akcie zaknihované.
(3) Za bezpečnostní riziko lze též považovat
a) uvedení nepravdivé informace nebo zamlčení informace rozhodné pro objektivní a úplné zjištění skutečného stavu věci při ověřování podmínek pro vydání osvědčení podnikatele nebo nenahlášení změny údajů uvedených v žádosti podle § 96 nebo v jiném materiálu poskytnutém Úřadu k této žádosti,
b) kapitálové, finanční nebo obchodní vztahy k jiným fyzickým nebo právnickým osobám anebo k cizí moci, které vyvíjejí nebo vyvíjely činnost proti zájmům České republiky,
c) personální nestabilitu ve statutárním nebo v kontrolním orgánu nebo v osobách prokuristů,
d) porušení povinnosti při ochraně utajovaných informací,
e) pravomocné odsouzení fyzické osoby, která je společníkem podnikatele, pro úmyslný trestný čin,
f) úmyslné porušení právních předpisů společníkem podnikatele, členem družstva nebo jinou osobou, která má rozhodující vliv na volbu nebo jmenování statutárního nebo kontrolního orgánu podnikatele nebo družstva, nebo jeho činnost proti zájmům České republiky,
g) úmyslné porušení právních předpisů osobami oprávněnými jménem podnikatele nebo za podnikatele jednat, na jehož základě může nastat újma zájmu České republiky,
h) vztah osoby, která má na základě pracovněprávního, členského nebo jiného smluvního vztahu vliv na jednání podnikatele, k fyzickým osobám nebo právnickým osobám nebo k cizí moci, které vyvíjely nebo vyvíjejí činnost proti zájmům České republiky,
i) skutečnost, že statutárním nebo kontrolním orgánem podnikatele anebo členem statutárního nebo kontrolního orgánu podnikatele je právnická osoba,
j) opakované neposkytnutí potřebné součinnosti při řízení zahájeném podle § 101 odst. 1, nebo
k) pravomocné odsouzení podnikatele pro trestný čin.
(4) Rozhodujícím vlivem podle odstavce 2 písm. d) a odstavce 3 písm. f) je možnost prosadit fakticky nebo na základě práva jmenování, odvolání nebo volbu osoby, která je statutárním orgánem, nebo většiny osob, které jsou jeho členy anebo členy kontrolního orgánu podnikatele nebo družstva. Vlivem podle odstavce 3 písm. h) je možnost ovlivnit jednání podnikatele prostřednictvím pravidel, jimiž se tento podnikatel řídí.
§ 19
Podmínku způsobilosti zabezpečit ochranu utajovaných informací nesplňuje podnikatel, který není schopen zajistit a dodržovat jednotlivé druhy zajištění ochrany utajovaných informací podle tohoto zákona v závislosti na příslušném stupni utajení a formě přístupu k utajované informaci.
§ 20
(1) Podnikatel má přístup k utajované informaci,
a) která u něho vzniká, nebo je mu poskytnuta, nebo
b) která u něho nevzniká, ani mu není poskytována, ale ke které mají přístup zaměstnanci podnikatele nebo osoby jednající jménem podnikatele nebo za podnikatele, a to v souvislosti s výkonem pracovní nebo jiné činnosti pro podnikatele na základě smlouvy.
(2) V případě přístupu podle odstavce 1 písm. b) musí podnikatel splňovat podmínku podle § 16 odst. 1 písm. c) pouze zajištěním ochrany utajované informace personální bezpečností [§ 5 písm. a)].
Hlava IV
Vyznačování údajů a evidence utajované informace
§ 21
(1) Na informaci, která naplňuje znaky § 4 a je uvedena v seznamu utajovaných informací, je původce povinen vyznačit svůj název, stupeň jejího utajení, její evidenční označení a datum jejího vzniku, není-li dále stanoveno jinak.
(2) Na utajované informaci poskytnuté České republice cizí mocí vyznačí orgán státu, právnická osoba nebo podnikající fyzická osoba, pokud tuto utajovanou informaci evidují jako první (§ 77 až 79), stupeň utajení, který je uveden v § 4, a to v souladu s mezinárodní smlouvou, kterou je Česká republika vázána a na jejímž základě je utajovaná informace poskytována, včetně případné zkratky podle této smlouvy (například zkratka "EU", "EURA" nebo "NATO"), nebo v souladu s požadavkem cizí moci nebo se stupněm utajení cizí mocí na poskytnuté utajované informaci vyznačeným; název původce a datum vzniku utajované informace se nevyznačuje.
(3) Na utajované informaci, která vyžaduje zpřísněné podmínky při zajišťování jednotlivých druhů ochrany utajovaných informací (dále jen "zvláštní režim nakládání") v oblastech stanovených zejména mezinárodní smlouvou, kterou je Česká republika vázána, nebo předpisy mezinárodní organizace, jíž je Česká republika členem, se vyznačí též příslušné doplňující označení (například označení "KRYPTO", jde-li o utajovanou informaci z oblasti kryptografické ochrany, a označení "ATOMAL", jde-li o utajovanou informaci z oblasti zbraní hromadného ničení).
(4) Nelze-li na informaci údaje podle odstavců 1 až 3 vyznačit, uvedou se tak, aby je bylo možné kdykoliv zjistit.
(5) Utajovaná informace se eviduje v administrativních pomůckách určených prováděcím právním předpisem a způsobem tam stanoveným; to neplatí, pokud u podkladových materiálů stupně utajení Vyhrazené k utajované informaci stupně utajení Vyhrazené odpovědná osoba stanoví, že se neevidují. V administrativních pomůckách se zaznamenává též předávání, přebírání nebo jiný pohyb utajované informace.
(6) Opis, kopie nebo překlad utajované informace stupně utajení Přísně tajné nebo výpis z ní mohou být vyhotoveny pouze na základě písemného souhlasu původce; jde-li o utajovanou informaci stupně utajení Tajné nebo Důvěrné, mohou být vyhotoveny pouze s písemným souhlasem přímo nadřízené osoby.
(7) Utajovanou informaci lze přepravovat nebo přenášet pouze v přenosných schránkách nebo v uzavřeném obalu v závislosti na jejím stupni utajení a na jejím nosiči; přepravovat ji lze pouze prostřednictvím kurýrní služby nebo držitele poštovní licence17).
(8) Převzetí utajované informace příjemce potvrdí, nestanoví-li tento zákon jinak (§ 23 odst. 1).
(9) Utajovanou informaci lze v průběhu její skartační lhůty, stanovené podle zvláštního právního předpisu18), zapůjčit pouze fyzickým osobám, které jsou k orgánu státu, právnické osobě nebo podnikající fyzické osobě ve služebním poměru nebo v pracovněprávním, členském či obdobném vztahu.
(10) Při vyřazování utajované informace ve skartačním řízení se postupuje podle zvláštního právního předpisu18).
§ 22
(1) Stupeň utajení na utajované informaci vyznačí původce při jejím vzniku, nestanoví-li tento zákon jinak (§ 70).
(2) Vyznačení stupně utajení na utajované informaci musí být zachováno po celou dobu trvání důvodů utajení. Bez souhlasu původce nebo poskytující cizí moci nesmí být stupeň utajení změněn nebo zrušen.
(3) Vyžaduje-li to charakter utajované informace, musí původce vyznačit na utajované informaci dobu, po kterou bude informace utajována; stupeň utajení zaniká uplynutím vyznačené doby.
(4) Stupeň utajení původce neprodleně zruší nebo změní po zjištění, že pominul důvod pro utajení informace, důvody pro utajení neodpovídají stanovenému stupni utajení nebo byl-li stupeň utajení stanoven neoprávněně, a na utajované informaci toto zrušení nebo změnu jejího stupně utajení vyznačí.
(5) Původce je povinen prověřit, zda důvod pro utajení informace trvá, a to nejméně jednou za pět let ode dne jejího vzniku.
(6) Provedl-li původce zrušení nebo změnu stupně utajení podle odstavce 4, oznámí tuto skutečnost neprodleně písemně adresátům utajované informace. Adresáti utajované informace oznámí neprodleně písemně tuto skutečnost všem dalším adresátům, kterým utajovanou informaci zpřístupnili.
(7) Adresát po obdržení oznámení podle odstavce 6 na utajované informaci zrušení nebo změnu stupně utajení vyznačí.
(8) Zanikl-li původce, provede zrušení nebo změnu stupně utajení podle odstavce 4 a oznámení podle odstavce 6 jeho právní nástupce, a není-li jej, nebo nesplňuje-li právní nástupce podmínky přístupu k utajované informaci, Úřad.
§ 23
(1) Nejde-li o utajovanou informaci vyžadující zvláštní režim nakládání, nevztahuje se povinnost stanovená v § 21 odst. 8 na předávání utajované informace
a) do stupně utajení Tajné mezi zpravodajskými službami a obdobnými službami cizí moci, uskutečňované v rámci spolupráce podle zvláštního právního předpisu19) v případech, kdy postup podle § 21 odst. 8 nelze dodržet,
b) stupně utajení Vyhrazené, stanoví-li tak odpovědná osoba a nepožaduje-li výslovně cizí moc nebo původce utajované informace potvrzení jejího převzetí.
(2) Prováděcí právní předpis stanoví
a) způsob vyznačování náležitostí na utajované informaci podle § 21 odst. 1 až 4 a § 22 odst. 1, 3, 4 a 7, zejména ve vazbě na stupeň utajení utajované informace a nosič utajované informace,
b) druhy administrativních pomůcek uvedených v § 21 odst. 5, a to v podobě knih, sešitů nebo listů, jejich náležitosti a organizační a technické požadavky na jejich vedení, a rozsah podkladových materiálů stupně utajení Vyhrazené k utajované informaci stupně utajení Vyhrazené,
c) náležitosti souhlasu k pořizování opisu, kopie, výpisu a překladu utajované informace (§ 21 odst. 6), způsob vyznačování náležitostí na nich a způsob pořizování výpisu,
d) podrobnosti k přepravě, přenášení, převzetí a zapůjčování utajované informace podle § 21 odst. 7 až 9 a k další s tím související manipulaci s ní, včetně organizačního zajištění těchto činností, požadavků na přenosné schránky a obaly a vyznačování příslušných náležitostí na nich, a to zejména ve vazbě na stupeň utajení utajované informace a nosič utajované informace.
(3) Na zpracování a přenos utajované informace zpracovávané v elektronickém systému spisové služby, který je součástí informačního systému nakládajícího s utajovanými informacemi a splňuje požadavky stanovené národním standardem pro elektronické systémy spisové služby, s výjimkou těch požadavků, jejichž užití vylučuje splnění podmínek certifikace informačního systému pro nakládání s utajovanými informacemi nebo jejichž užití vylučuje zvláštní povaha působnosti původce55), se použijí odstavec 1, § 21 odst. 1 až 4, § 21 odst. 5, s výjimkou části věty první za středníkem, § 21 odst. 6, pokud jde o překlad, § 21 odst. 8 až 10 a § 22 obdobně. V ostatních případech se ustanovení této hlavy na zpracování a přenos utajovaných informací v informačních systémech a kryptografických prostředcích nepoužijí.
(4) Úřad vyhlašuje sdělením ve Sbírce zákonů převodní tabulky stupňů utajení podle mezinárodních smluv, kterými je Česká republika vázána.
Hlava V
§ 24
(1) Pro zabezpečení ochrany utajovaných informací v rámci fyzické bezpečnosti se určují objekty, zabezpečené oblasti a jednací oblasti.
(2) Objektem je budova nebo jiný ohraničený prostor, ve kterém se zpravidla nachází zabezpečená oblast nebo jednací oblast.
(3) Zabezpečenou oblastí je ohraničený prostor v objektu.
(4) Jednací oblastí je ohraničený prostor v objektu. Utajovanou informaci stupně utajení Přísně tajné nebo Tajné lze pravidelně projednávat pouze v jednací oblasti.
(5) Utajovaná informace se zpracovává
a) v zabezpečené oblasti příslušné kategorie nebo vyšší,
b) v objektu příslušné kategorie nebo vyšší, pokud je zajištěno, že k utajované informaci nemá přístup neoprávněná osoba,
c) v odůvodněných případech s písemným souhlasem odpovědné osoby nebo bezpečnostního ředitele v objektu jiné kategorie, než je stupeň utajení zpracovávané utajované informace, pokud je zajištěno, že k utajované informaci nemá přístup neoprávněná osoba, nebo
d) v odůvodněných případech s písemným souhlasem odpovědné osoby nebo bezpečnostního ředitele mimo objekt, pokud je zajištěno, že k utajované informaci nemá přístup neoprávněná osoba.
(6) Utajovaná informace se ukládá v zabezpečené oblasti příslušné kategorie nebo vyšší a v ní popřípadě v trezoru, uzamykatelné skříni nebo jiné schránce za podmínek stanovených prováděcím právním předpisem.
§ 25
(1) Zabezpečené oblasti se podle nejvyššího stupně utajení utajované informace, která se v nich ukládá, a objekty se podle nejvyššího stupně utajení utajované informace, která se v nich zpracovává, zařazují do kategorií
a) Přísně tajné,
b) Tajné,
c) Důvěrné, nebo
d) Vyhrazené.
(2) Zabezpečené oblasti se podle možnosti přístupu k utajované informaci zařazují do tříd
a) třída I, kdy vstupem do této oblasti dochází k seznámení s utajovanou informací,
b) třída II, kdy vstupem do této oblasti nedochází k seznámení s utajovanou informací.
(3) Vstup do zabezpečené oblasti a výstup z ní musí být kontrolovány opatřeními podle § 27. Neoprávněná osoba může vstoupit pouze do zabezpečené oblasti třídy II, a to s osobou, která má do této oblasti vstup povolen.
(4) V odůvodněných případech s písemným souhlasem odpovědné osoby nebo jí pověřené osoby lze na dobu nezbytně nutnou změnit třídu I na třídu II, pokud je zajištěno, že k utajované informaci nemá přístup neoprávněná osoba.
§ 26
(1) Odpovědná osoba je povinna zajistit, aby v jednací oblasti podle § 24 odst. 4 nedocházelo k ohrožení nebo úniku projednávaných utajovaných informací.
(2) Ke splnění povinnosti podle odstavce 1 je odpovědná osoba povinna požádat Úřad o provedení kontroly, zda v jednací oblasti nedochází k nedovolenému použití technických prostředků určených k získávání informací; o provedení této kontroly může odpovědná osoba požádat rovněž u zabezpečené oblasti kategorie Tajné nebo Přísně tajné. Tuto kontrolu Úřad zajistí v součinnosti se zpravodajskými službami a Policií České republiky (dále jen "policie"). Pro své potřeby si zpravodajské služby a policie kontrolu provádějí samy.
(3) Vstup do jednací oblasti a výstup z ní musí být kontrolován opatřeními podle § 27. Neoprávněná osoba může vstoupit do jednací oblasti pouze s osobou, která má do této oblasti vstup povolen.
§ 27
Opatřeními fyzické bezpečnosti jsou
a) ostraha,
b) režimová opatření,
c) technické prostředky.
§ 28
(1) Ostraha se nepřetržitě zajišťuje u objektu, ve kterém se nachází zabezpečená oblast kategorie
a) Přísně tajné, nejméně 2 osobami u objektu,
b) Tajné, nejméně 1 osobou u objektu a 1 další osobou, které poplachové hlášení technických prostředků umožní rychlý zásah, je-li provádění ochrany utajovaných informací narušeno,
c) Důvěrné, nejméně 1 osobou, které poplachové hlášení technických prostředků umožní rychlý zásah, je-li provádění ochrany utajovaných informací narušeno.
(2) U objektu, ve kterém se nachází zabezpečená oblast nejvýše kategorie Vyhrazené, a u objektu bez zabezpečené oblasti nebo jednací oblasti se ostraha zajišťuje v rozsahu stanoveném odpovědnou osobou.
(3) U objektu, ve kterém se nachází jednací oblast, v níž se pravidelně projednávají utajované informace stupně utajení Přísně tajné, se ostraha zajišťuje nejméně 2 osobami u objektu; u objektu, ve kterém se nachází jednací oblast, v níž se pravidelně projednávají utajované informace stupně utajení Tajné, nejméně 1 osobou u objektu a 1 další osobou, které poplachové hlášení technických prostředků umožní rychlý zásah, je-li provádění ochrany utajovaných informací narušeno.
(4) Ostraha se zabezpečuje zaměstnanci orgánu státu, právnické osoby nebo podnikající fyzické osoby, o jejichž objekt jde, příslušníky ozbrojených sil nebo ozbrojených bezpečnostních sborů nebo příslušníky ozbrojených sil cizí moci anebo zaměstnanci bezpečnostní ochranné služby.
§ 29
Režimová opatření stanoví oprávnění osob a dopravních prostředků pro vstup a vjezd do objektu, oprávnění osob pro vstup do zabezpečené oblasti a jednací oblasti a způsob kontroly těchto oprávnění a dále způsob manipulace s klíči a identifikačními prostředky, které se používají pro systémy zabezpečení vstupů podle § 30 odst. 1 písm. b), a způsob manipulace s technickými prostředky a jejich používání. Režimová opatření stanoví též oprávnění při výstupu osob a výjezdu dopravních prostředků z objektu a pro jejich kontrolu, podmínky a způsob kontroly pohybu osob v objektu, zabezpečené oblasti a jednací oblasti a způsob kontroly a vynášení utajovaných informací z objektu, zabezpečené oblasti a jednací oblasti.
§ 30
(1) Technickými prostředky jsou zejména
a) mechanické zábranné prostředky,
b) elektrická zámková zařízení a systémy pro kontrolu vstupů,
c) zařízení elektrické zabezpečovací signalizace,
d) speciální televizní systémy,
e) tísňové systémy,
f) zařízení elektrické požární signalizace,
g) zařízení sloužící k vyhledávání nebezpečných látek nebo předmětů,
h) zařízení fyzického ničení nosičů informací,
i) zařízení proti pasivnímu a aktivnímu odposlechu utajované informace.
(2) Bodové ohodnocení (§ 31 odst. 1) se přiřazuje certifikovaným technickým prostředkům [§ 46 odst. 1 písm. a)] a odpovědnou osobou nebo jí pověřenou osobou schváleným necertifikovaným technickým prostředkům.
(3) Technické prostředky uvedené v odstavci 1 lze v případě účasti České republiky v mezinárodním ozbrojeném konfliktu, mezinárodní záchranné nebo humanitární akci, v dalších zahraničních misích, v případě vyhlášení válečného stavu, v případě stavu nebezpečí, nouzového stavu nebo stavu ohrožení státu20), v případě zpravodajských operací zpravodajských služeb a při činnostech ozbrojených sil České republiky v rámci vojenského cvičení a praktického vojenského výcviku s vojenskou technikou a vojenskou výzbrojí mimo místa stálé dislokace vojenského útvaru nahradit zvýšenou ostrahou, než jaká je uvedena v § 28, prováděnou příslušníky ozbrojených sil nebo ozbrojených bezpečnostních sborů na základě zvláštních právních předpisů21) anebo příslušníky ozbrojených sil cizí moci.
§ 31
(1) Míra zabezpečení jednací oblasti a zabezpečené oblasti opatřeními fyzické bezpečnosti se určuje pomocí bodových hodnot těchto opatření v závislosti na vyhodnocení rizik; bodové hodnoty a nejnižší míra zabezpečení jsou stanoveny prováděcím právním předpisem.
(2) Opatření fyzické bezpečnosti nebo kombinace více těchto opatření musí odpovídat alespoň nejnižší míře zabezpečení jednací oblasti nebo zabezpečené oblasti a stanoví se v závislosti na vyhodnocení rizik a na stupni utajení utajovaných informací, které jsou v jednací oblasti pravidelně projednávány, nebo na kategorii zabezpečené oblasti.
(3) Opatření podle odstavce 2 a opatření fyzické bezpečnosti objektu bez zabezpečené oblasti nebo jednací oblasti schvaluje a stanoví odpovědná osoba nebo jí pověřená osoba v projektu fyzické bezpečnosti.
(4) Hodnocení rizik musí být prováděno průběžně a v případě potřeby musí být míra opatření fyzické bezpečnosti upravena.
(5) Orgán státu, právnická osoba a podnikající fyzická osoba jsou povinni zajistit a pravidelně ověřovat, zda použitá opatření fyzické bezpečnosti odpovídají projektu fyzické bezpečnosti a právním předpisům v oblasti ochrany utajovaných informací.
§ 32
(1) Projekt fyzické bezpečnosti v případech, kdy se v objektu nacházejí zabezpečené oblasti kategorie Přísně tajné, Tajné nebo Důvěrné, obsahuje
a) určení objektu a zabezpečených oblastí, včetně jejich hranic a určení kategorií a tříd zabezpečených oblastí,
b) vyhodnocení rizik,
c) způsob použití opatření fyzické bezpečnosti,
d) provozní řád objektu a
e) plán zabezpečení objektu a zabezpečených oblastí v krizových situacích.
(2) Projekt fyzické bezpečnosti v případech, kdy se v objektu nachází zabezpečená oblast pouze kategorie Vyhrazené, obsahuje
a) určení objektu a zabezpečených oblastí, včetně jejich hranic a určení kategorií a tříd zabezpečených oblastí a
b) způsob použití opatření fyzické bezpečnosti.
(3) Projekt fyzické bezpečnosti v případech, kdy se v objektu nachází jednací oblast, obsahuje
a) určení objektu a jednací oblasti, včetně jejich hranic,
b) vyhodnocení rizik,
c) způsob použití opatření fyzické bezpečnosti,
d) provozní řád objektu a
e) plán zabezpečení objektu a jednací oblasti v krizových situacích.
(4) Projekt fyzické bezpečnosti objektu kategorie Přísně tajné, Tajné a Důvěrné bez zabezpečené oblasti nebo jednací oblasti obsahuje
a) určení objektu včetně jeho hranic,
b) způsob použití opatření fyzické bezpečnosti,
c) provozní řád objektu a
d) plán zabezpečení objektu v krizových situacích.
(5) Projekt fyzické bezpečnosti objektu kategorie Vyhrazené bez zabezpečené oblasti obsahuje určení objektu včetně jeho hranic.
(6) Na projekt fyzické bezpečnosti se v případech podle § 30 odst. 3 použijí ustanovení odstavců 1 až 5 přiměřeně; rozsah projektu schvaluje a stanoví odpovědná osoba nebo jí pověřená osoba.
(7) Projekt fyzické bezpečnosti se ukládá u odpovědné osoby nebo bezpečnostního ředitele.
§ 33
Prováděcí právní předpis stanoví
a) způsob ukládání utajovaných informací v závislosti na stupni jejich utajení (§ 24 odst. 6),
b) organizační požadavky na provádění ostrahy (§ 28) a zabezpečení jednací oblasti nebo zabezpečené oblasti touto ostrahou, včetně určení kategorie osob uvedených v § 28 odst. 4, a to v závislosti na stupni utajení utajovaných informací, které jsou v jednací oblasti pravidelně projednávány, na kategorii objektu, nebo na kategorii zabezpečené oblasti,
c) podrobnosti režimových opatření (§ 29),
d) požadavky na technické prostředky, uvedené v § 30 odst. 1, a zabezpečení objektů, jednací oblasti nebo zabezpečené oblasti těmito prostředky, v závislosti na stupni utajení utajovaných informací, které jsou v jednací oblasti pravidelně projednávány, nebo na kategorii zabezpečené oblasti, anebo na kategorii objektu,
e) bodové ohodnocení jednotlivých opatření fyzické bezpečnosti a bodovou hodnotu nejnižší míry zabezpečení jednací oblasti nebo zabezpečené oblasti, včetně základní metody hodnocení rizik (§ 31 odst. 1 a 2),
f) četnost a způsob zápisu o ověřování, zda použitá opatření fyzické bezpečnosti odpovídají projektu fyzické bezpečnosti a právním předpisům v oblasti ochrany utajovaných informací, v závislosti na stupni utajení utajovaných informací (§ 31 odst. 5),
g) obsah provozního řádu objektu a plánu zabezpečení objektů, zabezpečených oblastí a jednacích oblastí v krizových situacích [§ 32 odst. 1 písm. d) a e) a § 32 odst. 3 písm. d) a e)].
Hlava VI
§ 33a
Státní správu v oblasti ochrany utajovaných informací podle této hlavy vykonává Národní úřad pro kybernetickou a informační bezpečnost, pokud tento zákon nestanoví jinak.
§ 34
(1) Informačním systémem nakládajícím s utajovanými informacemi se pro účely tohoto zákona rozumí jeden nebo více počítačů, jejich programové vybavení, k tomu patřící periferní zařízení, správa tohoto informačního systému a k tomuto systému se vztahující procesy nebo prostředky schopné provádět sběr, tvorbu, zpracování, ukládání, zobrazení nebo přenos utajovaných informací (dále jen "informační systém").
(2) Informační systém musí být certifikován Národním úřadem pro kybernetickou a informační bezpečnost [§ 46 odst. 1 písm. b)] a písemně schválen do provozu odpovědnou osobou nebo jí pověřenou osobou.
(3) Informační systém podnikatele, který má přístup k utajovaným informacím stupně utajení Vyhrazené, může být schválen do provozu jen v době platnosti prohlášení podnikatele; zánikem platnosti prohlášení podnikatele zaniká též schválení informačního systému do provozu.
(4) Nakládat s utajovanou informací lze pouze v informačním systému splňujícím podmínky podle odstavce 2 nebo 3.
(5) Schválení informačního systému do provozu podle odstavce 2 musí odpovědná osoba nebo jí pověřená osoba písemně oznámit Národnímu úřadu pro kybernetickou a informační bezpečnost do 30 dnů od tohoto schválení.
(6) Prováděcí právní předpis stanoví
a) požadavky na informační systém a podmínky jeho bezpečného provozování v závislosti na stupni utajení utajovaných informací, s nimiž nakládá, a na bezpečnostním provozním módu a
b) obsah bezpečnostní dokumentace informačního systému.
§ 35
(1) Komunikačním systémem nakládajícím s utajovanými informacemi (dále jen "komunikační systém") se pro účely tohoto zákona rozumí systém zajišťující přenos těchto informací mezi koncovými uživateli a zahrnující koncové komunikační zařízení, přenosové prostředí, kryptografické prostředky, obsluhu a provozní podmínky a postupy.
(2) Komunikační systém nelze provozovat bez projektu bezpečnosti komunikačního systému schváleného Národním úřadem pro kybernetickou a informační bezpečnost. O schválení projektu bezpečnosti komunikačního systému písemně žádá u Národního úřadu pro kybernetickou a informační bezpečnost orgán státu, právnická osoba nebo podnikající fyzická osoba, která jej bude provozovat.
(3) Nakládat s utajovanou informací lze pouze v komunikačním systému splňujícím podmínky podle odstavce 2.
(4) Komunikační systém musí být písemně schválen do provozu odpovědnou osobou nebo jí pověřenou osobou.
(5) Komunikační systém podnikatele, který má přístup k utajovaným informacím stupně utajení Vyhrazené, může být schválen do provozu jen v době platnosti prohlášení podnikatele; zánikem platnosti prohlášení podnikatele zaniká též schválení komunikačního systému do provozu.
(6) Prováděcí právní předpis stanoví
a) obsah žádosti o schválení projektu bezpečnosti komunikačního systému a
b) náležitosti projektu bezpečnosti komunikačního systému a způsob a podmínky jeho schvalování.
§ 35a
(1) Taktickou informací se pro účely tohoto zákona rozumí utajovaná informace s krátkou dobou trvání důvodu utajení. Taktická informace se zpracovává v informačním nebo komunikačním systému a při přenosu se chrání kryptografickou ochranou.
(2) Ochrana taktické informace do stupně utajení Tajné může být zabezpečena též souborem opatření stanovených na základě vyhodnocení rizik. Podmínky odlišné manipulace s taktickou informací upravuje bezpečnostní standard.
Hlava VII
§ 36
(1) Při zpracování utajované informace v elektronické podobě v zařízení, které není součástí informačního nebo komunikačního systému, zejména v psacím stroji s pamětí a v zařízení umožňujícím kopírování, záznam nebo zobrazení utajované informace anebo její převod do jiného datového formátu, musí být zajištěna ochrana této utajované informace.
(2) Orgán státu, právnická osoba a podnikající fyzická osoba jsou povinni pro jimi provozované zařízení uvedené v odstavci 1 vydat bezpečnostní provozní směrnici; pouze v souladu s ní lze zpracovávat utajovanou informaci.
(3) V bezpečnostní provozní směrnici podle odstavce 2 se uvedou pro zařízení podle odstavce 1
a) způsob jeho bezpečného provozování,
b) provozní směrnice pro jeho uživatele.
(4) Podmínky bezpečného provozování zařízení uvedeného v odstavci 1 v závislosti na stupni utajení v něm zpracovávaných utajovaných informací stanoví prováděcí právní předpis.
Hlava VIII
§ 36a
Státní správu v oblasti ochrany utajovaných informací podle této hlavy vykonává Národní úřad pro kybernetickou a informační bezpečnost, pokud tento zákon nestanoví jinak.
§ 37
(1) Kryptografickým materiálem je kryptografický prostředek, materiál k zajištění jeho funkce nebo kryptografický dokument.
(2) Kryptografické prostředky používané pro kryptografickou ochranu utajovaných informací musí být certifikovány Národním úřadem pro kybernetickou a informační bezpečnost [§ 46 odst. 1 písm. c)].
(3) Kryptografickým pracovištěm je pracoviště určené k výrobě nebo testování materiálu k zajištění funkce kryptografického prostředku, ukládání kryptografického materiálu nebo k distribuci a evidenci kryptografického materiálu nebo k výrobě a testování kryptografických prostředků. Kryptografické pracoviště musí splňovat bezpečnostní standardy a musí být do provozu schváleno odpovědnou osobou nebo bezpečnostním ředitelem.
(4) Kryptografické pracoviště určené k výrobě nebo testování materiálu k zajištění funkce kryptografického prostředku nebo které je centrálním distribučním a evidenčním místem kryptografického materiálu orgánu státu, právnické osoby nebo podnikající fyzické osoby, musí být před schválením do provozu odpovědnou osobou nebo bezpečnostním ředitelem certifikováno Národním úřadem pro kybernetickou a informační bezpečnost [§ 46 odst. 1 písm. d)].
(5) Orgán státu, právnická osoba a podnikající fyzická osoba, které vykonávají kryptografickou ochranu, musí vést evidence kryptografického materiálu, pracovníků kryptografické ochrany, provozní obsluhy kryptografických prostředků a kurýrů kryptografického materiálu.
§ 37a
(1) Kontrolovanou kryptografickou položkou se rozumí neutajované zařízení nebo jeho součást, zařazené do seznamu podle odstavce 3, sloužící k ochraně informací při jejich zpracování nebo přenosu a využívající kryptografických metod.
(2) Kontrolovanou kryptografickou položku lze použít pouze v souladu s bezpečnostním standardem.
(3) Zařízení uvedené v odstavci 1 nebo jeho součást na základě písemné žádosti jeho výrobce, dovozce, distributora nebo uživatele Národní úřad pro kybernetickou a informační bezpečnost schválí a zařadí do jím vedeného seznamu kontrolovaných kryptografických položek v případě, že je to v souladu se záměry České republiky v oblasti zajišťování ochrany utajovaných informací.
§ 38
(1) Výkonem kryptografické ochrany se rozumí
a) její bezpečnostní správa,
b) speciální obsluha kryptografického prostředku, nebo
c) výroba nebo servis kryptografického prostředku nebo materiálu k zajištění jeho funkce.
(2) Výkon kryptografické ochrany provádí pracovník kryptografické ochrany, který je
a) k výkonu kryptografické ochrany pověřen odpovědnou osobou nebo jí pověřenou osobou,
b) držitelem platného osvědčení fyzické osoby a
c) držitelem osvědčení o zvláštní odborné způsobilosti pracovníka kryptografické ochrany (dále jen "osvědčení o zvláštní odborné způsobilosti").
§ 39
(1) Zvláštní odborná způsobilost pracovníka kryptografické ochrany (dále jen „zvláštní odborná způsobilost“) zahrnuje znalost předpisů z oblasti kryptografické ochrany utajovaných informací, schopnost jejich aplikace a další schopnosti podle § 38 odst. 1. Tyto znalosti a schopnosti ověřuje Národní úřad pro kybernetickou a informační bezpečnost zkouškou zvláštní odborné způsobilosti (dále jen „odborná zkouška“). Odborná zkouška probíhá před zkušební komisí; to není podmínkou pro její část prováděnou podle odstavce 3 písm. b). Členy zkušební komise jmenuje odpovědná osoba nebo jí pověřená osoba Národního úřadu pro kybernetickou a informační bezpečnost nebo orgánu státu podle odstavce 3 písm. a). Tomu, kdo složil odbornou zkoušku, vydá Národní úřad pro kybernetickou a informační bezpečnost nebo orgán státu podle odstavce 3 písm. a) osvědčení o zvláštní odborné způsobilosti a vede o tom evidenci. Osvědčení o zvláštní odborné způsobilosti se vydává nejdéle na 5 let.
(2) Přihlášku k odborné zkoušce podává písemně odpovědná osoba orgánu státu nebo podnikatele u Národního úřadu pro kybernetickou a informační bezpečnost nebo u jím pověřeného orgánu státu. Odborná zkouška se musí konat do 6 měsíců od podání přihlášky. Národní úřad pro kybernetickou a informační bezpečnost nebo jím pověřený orgán státu písemně oznámí tomu, kdo o odbornou zkoušku požádal, termín a místo konání odborné zkoušky; oznámení musí být odesláno nejpozději 20 dnů přede dnem konání odborné zkoušky. Ten, kdo při odborné zkoušce nevyhověl, ji může vykonat opakovaně. Opakovaná zkouška může být vykonána nejdříve po uplynutí 5 pracovních dnů ode dne neúspěšně vykonané zkoušky.
(3) Národní úřad pro kybernetickou a informační bezpečnost může uzavřít s orgánem státu smlouvu o zajištění činnosti podle § 52, jejímž předmětem je provedení
a) odborné zkoušky a vydání osvědčení o zvláštní odborné způsobilosti, nebo
b) části odborné zkoušky, týkající se § 38 odst. 1 písm. b) nebo c) a příslušné návaznosti na § 38 odst. 1 písm. a).
Smlouvu podle písmene b) může Národní úřad pro kybernetickou a informační bezpečnost uzavřít též s podnikatelem.
§ 40
(1) Provozní obsluhou kryptografického prostředku se rozumí výkon uživatelských funkcí kryptografického prostředku.
(2) Osoba, která provádí provozní obsluhu kryptografického prostředku podle odstavce 1, musí
a) být k této obsluze pověřena odpovědnou osobou nebo jí pověřenou osobou,
b) splňovat podmínky přístupu k utajované informaci podle § 6 odst. 1 nebo § 11 odst. 1 a
c) být k této obsluze zaškolena.
§ 41
(1) Manipulací s kryptografickým materiálem se rozumí způsob přenášení, přepravy, zapůjčování, ukládání nebo jiného nakládání s ním, včetně jeho vyřazování.
(2) Kryptografický materiál lze evidovat a manipulovat s ním jen způsobem a prostředky, které zajistí ochranu kryptografického materiálu a splňují požadavky, které stanoví prováděcí právní předpis.
(3) Ochranu kryptografického prostředku a materiálu k zajištění jeho funkce do stupně utajení Důvěrné, bez nutnosti jejich ukládání, lze zajistit způsobem, při kterém je tento kryptografický prostředek a materiál trvale pod dohledem jejich oprávněného uživatele.
(4) Kontrolovanou kryptografickou položku lze evidovat, provozovat, ukládat, přepravovat, vyvážet, kontrolovat a distribuovat způsobem, který zajistí její ochranu a splní požadavky bezpečnostního standardu.
§ 42
(1) Přepravu kryptografického materiálu provádí kurýr kryptografického materiálu. Kurýrem kryptografického materiálu je osoba, která
a) byla k přepravě pověřena odpovědnou osobou nebo jí pověřenou osobou,
b) je držitelem platného osvědčení fyzické osoby, nejméně pro stupeň utajení přepravovaného kryptografického materiálu,
c) byla k přepravě zaškolena.
(2) Z území České republiky lze vyvážet certifikovaný kryptografický prostředek [§ 46 odst. 1 písm. c)] pouze na základě povolení Národního úřadu pro kybernetickou a informační bezpečnost. Za vývoz se nepovažuje používání certifikovaného kryptografického prostředku mimo území České republiky orgánem státu.
(3) Povolení podle odstavce 2 lze udělit na základě písemné žádosti. Povolení se vydává na vývoz konkrétního kryptografického prostředku a obsahuje též účel vývozu. Národní úřad pro kybernetickou a informační bezpečnost povolení nevydá, jestliže by vývozem byla ohrožena utajovaná informace České republiky nebo utajovaná informace, k jejíž ochraně se Česká republika zavázala; tuto skutečnost písemně oznámí žadateli o povolení. Na udělení povolení není právní nárok.
(4) Národní úřad pro kybernetickou a informační bezpečnost vede evidenci povolení udělených podle odstavce 2.
§ 43
(1) Kompromitací kryptografického materiálu se rozumí nakládání s kryptografickým materiálem, které způsobilo nebo by mohlo způsobit porušení ochrany utajované informace.
(2) Kompromitaci kryptografického materiálu je orgán státu, právnická osoba nebo podnikající fyzická osoba povinna neprodleně oznámit Národnímu úřadu pro kybernetickou a informační bezpečnost.
§ 43a
(1) Distribuci a evidenci kryptografického materiálu České republiky, kryptografického materiálu Evropské unie a kryptografického materiálu distribuovaného na základě mezinárodní smlouvy, s výjimkou kryptografického materiálu pro vojenské účely, zajišťuje Národní úřad pro kybernetickou a informační bezpečnost. Distribuci a evidenci kryptografického materiálu Organizace Severoatlantické smlouvy a kryptografického materiálu pro vojenské účely zajišťuje Ministerstvo obrany.
(2) Podmínky evidence, manipulace a kontroly kryptografického materiálu v České republice, zahrnující zejména možnost zřízení účtů pro kryptografický materiál v orgánech státu nebo u podnikatele, vedení evidencí, kontrolní funkce, povinnosti držitelů kryptografického materiálu vůči Národnímu úřadu pro kybernetickou a informační bezpečnost nebo Ministerstvu obrany a zajištění kurýrní služby pro kryptografický materiál Evropské unie upraví bezpečnostní standard.
§ 44
Prováděcí právní předpis stanoví
a) náležitosti přihlášky k odborné zkoušce,
b) organizaci, obsah a způsob provádění odborné zkoušky,
c) náležitosti osvědčení o zvláštní odborné způsobilosti,
d) minimální požadavky na zajištění bezpečnostní správy kryptografické ochrany,
e) podrobnosti zajišťování provozu kryptografického prostředku,
f) způsob zaškolování provozní obsluhy kryptografického prostředku a kurýra kryptografického materiálu a vzor potvrzení o zaškolení provozní obsluhy kryptografického prostředku a kurýra kryptografického materiálu,
g) podrobnosti způsobu vyznačování náležitostí na utajované informaci z oblasti kryptografické ochrany, zejména podle druhu kryptografického materiálu,
h) druhy a náležitosti administrativních pomůcek kryptografické ochrany a požadavky na vedení těchto pomůcek,
i) bližší požadavky na způsob a prostředky manipulace s kryptografickým materiálem,
j) obsah žádosti pro udělení povolení pro vývoz certifikovaného kryptografického prostředku z území České republiky a náležitosti povolení,
k) způsob vedení evidencí uvedených v § 37 odst. 5,
l) kategorie kryptografických pracovišť, typy činností na kryptografickém pracovišti a minimální požadavky na jejich zabezpečení,
m) podmínky ochrany kryptografického prostředku a materiálu k zajištění jeho funkce podle § 41 odst. 3.
Kompromitující vyzařování
§ 45
(1) Ochranou utajovaných informací stupně utajení Přísně tajné, Tajné nebo Důvěrné před jejich únikem kompromitujícím vyzařováním je zabezpečení elektrických a elektronických zařízení, zabezpečené oblasti nebo objektu.
(2) Je-li ochrana utajované informace před únikem kompromitujícím vyzařováním zabezpečena stínicí komorou, musí být tato komora certifikována Národním úřadem pro kybernetickou a informační bezpečnost [§ 46 odst. 1 písm. e)].
(3) Ověřování způsobilosti elektrických a elektronických zařízení, zabezpečené oblasti nebo objektu k ochraně před únikem utajované informace kompromitujícím vyzařováním zajišťuje Národní úřad pro kybernetickou a informační bezpečnost při certifikaci informačního systému nebo kryptografického prostředku, při schvalování projektu bezpečnosti komunikačního systému nebo na základě odůvodněné písemné žádosti orgánu státu nebo podnikatele v souvislosti s ochranou utajovaných informací.
(4) K provádění měření možného úniku utajovaných informací podle odstavce 3 může Národní úřad pro kybernetickou a informační bezpečnost uzavřít s orgánem státu nebo podnikatelem smlouvu podle § 52 o zajištění této činnosti.
(5) K provádění měření zařízení, zabezpečené oblasti nebo objektu podle odstavce 3, které jsou provozovány nebo užívány zpravodajskými službami, jsou oprávněny zpravodajské služby. V těchto případech není vyžadováno uzavření smlouvy podle § 52. Pro potřeby certifikace informačního systému nebo kryptografického prostředku, nebo při schválení projektu bezpečnosti komunikačního systému předají zpravodajské služby Národnímu úřadu pro kybernetickou a informační bezpečnost zprávy o provedeném měření včetně jeho výsledku.
(6) Při provádění měření podle odstavce 5 jsou zpravodajské služby povinny dodržovat ustanovení tohoto zákona, prováděcích právních předpisů a bezpečnostních standardů Národního úřadu pro kybernetickou a informační bezpečnost.
Hlava IX
§ 45a
Státní správu v oblasti ochrany utajovaných informací podle této hlavy vykonává Národní úřad pro kybernetickou a informační bezpečnost, pokud tento zákon nestanoví jinak.
§ 46
(1) Certifikace je postup, jímž Úřad nebo Národní úřad pro kybernetickou a informační bezpečnost
a) ověřuje způsobilost technického prostředku k ochraně utajovaných informací,
b) ověřuje způsobilost informačního systému k nakládání s utajovanými informacemi,
c) ověřuje způsobilost kryptografického prostředku k ochraně utajovaných informací,
d) ověřuje způsobilost kryptografického pracoviště pro vykonávání činností podle § 37 odst. 4, nebo
e) ověřuje způsobilost stínicí komory k ochraně utajovaných informací.
(2) Zjistí-li Úřad nebo Národní úřad pro kybernetickou a informační bezpečnost způsobilost podle odstavce 1, certifikát technického prostředku, certifikát informačního systému, certifikát kryptografického prostředku, certifikát kryptografického pracoviště nebo certifikát stínicí komory vydá.
(3) Certifikáty podle odstavce 2 jsou veřejnými listinami.
(4) Certifikát technického prostředku obsahuje
a) evidenční číslo certifikátu,
b) název a typové označení technického prostředku,
c) identifikaci výrobce technického prostředku obchodní firmou (dále jen "firma") nebo názvem, identifikačním číslem osoby (dále jen „identifikační číslo“) a sídlem, jde-li o právnickou osobu, nebo jménem, příjmením, rodným číslem a místem trvalého pobytu, jde-li o osobu fyzickou,
d) identifikaci držitele certifikátu technického prostředku podle písmene c),
e) hodnocení technického prostředku,
f) datum vydání a dobu platnosti certifikátu a
g) otisk úředního razítka a podpis oprávněného zástupce Úřadu; otisk úředního razítka se nevyžaduje, byl-li certifikát vydán v elektronické podobě.
(5) Certifikát informačního systému, certifikát kryptografického prostředku, certifikát kryptografického pracoviště a certifikát stínicí komory obsahuje
a) evidenční číslo certifikátu,
b) identifikaci držitele certifikátu podle odstavce 4 písm. c),
c) datum vydání a dobu platnosti certifikátu a
d) otisk úředního razítka Národního úřadu pro kybernetickou a informační bezpečnost a podpis oprávněného zástupce Národního úřadu pro kybernetickou a informační bezpečnost; otisk úředního razítka se nevyžaduje, byl-li certifikát vydán v elektronické podobě.
(6) Certifikát informačního systému vedle náležitostí podle odstavce 5 obsahuje identifikaci informačního systému a stupeň utajení utajovaných informací, pro který byla způsobilost informačního systému ověřena.
(7) Certifikát kryptografického prostředku vedle náležitostí podle odstavce 5 obsahuje
a) identifikaci kryptografického prostředku,
b) identifikaci výrobce kryptografického prostředku podle odstavce 4 písm. c) a
c) stupeň utajení utajovaných informací, pro který byla způsobilost kryptografického prostředku schválena.
(8) Certifikát kryptografického pracoviště vedle náležitostí podle odstavce 5 obsahuje
a) identifikaci kryptografického pracoviště,
b) rozsah způsobilosti kryptografického pracoviště a
c) kategorii kryptografického pracoviště.
(9) Certifikát stínicí komory vedle náležitostí podle odstavce 5 obsahuje
a) identifikaci stínicí komory, pro kterou je vydáván,
b) identifikaci výrobce stínicí komory podle odstavce 4 písm. c) a
c) stupeň utajení utajovaných informací, pro který byla způsobilost stínicí komory schválena.
(10) Není-li Úřadem nebo Národním úřadem pro kybernetickou a informační bezpečnost zjištěna způsobilost podle odstavce 1, rozhodne o nevydání certifikátu. Proti rozhodnutí o nevydání certifikátu podle odstavce 1 písm. b) a c) není odvolání přípustné.
(11) Úřad rozhoduje o zániku platnosti certifikátu v případech uvedených v § 47 odst. 4 písm. b). Národní úřad pro kybernetickou a informační bezpečnost rozhoduje o zániku platnosti certifikátu v případech uvedených v § 48 odst. 4 písm. d), § 49 odst. 5 písm. b), § 50 odst. 4 písm. d) a § 51 odst. 4 písm. d). Odvolání podané proti rozhodnutí Úřadu nebo Národního úřadu pro kybernetickou a informační bezpečnost o zániku platnosti certifikátu nemá odkladný účinek. Proti rozhodnutí Národního úřadu pro kybernetickou a informační bezpečnost o zániku platnosti certifikátu informačního systému a certifikátu kryptografického prostředku není odvolání přípustné.
(12) Jestliže platnost certifikátu zanikla podle § 48 odst. 4 písm. b) a d), § 49 odst. 5 písm. b), § 50 odst. 4 písm. b) a d) nebo § 51 odst. 4 písm. b) a d), je držitel certifikátu povinen do 5 dnů ode dne doručení oznámení Národního úřadu pro kybernetickou a informační bezpečnost odevzdat certifikát Národnímu úřadu pro kybernetickou a informační bezpečnost. Jestliže platnost certifikátu zanikla podle § 47 odst. 4 písm. b), je držitel certifikátu povinen do 5 dnů ode dne doručení oznámení Úřadu odevzdat certifikát Úřadu.
(13) Přílohou certifikátu informačního systému, kryptografického prostředku, kryptografického pracoviště nebo stínicí komory je certifikační zpráva, která obsahuje zásady a podmínky jejich provozování. V příloze certifikátu technického prostředku mohou být stanoveny podmínky jeho používání.
(14) Úřad ověřuje způsobilost technického prostředku podle odstavce 1 písm. a) na základě posudku vlastností technického prostředku (dále jen "posudek"). K vydávání posudku podle věty první může Úřad uzavřít s orgánem státu nebo podnikatelem smlouvu podle § 52 o zajištění činnosti.
(15) K provádění dílčích úloh při ověřování způsobilosti podle odstavce 1 písm. b) až e) může Národní úřad pro kybernetickou a informační bezpečnost uzavřít s orgánem státu nebo podnikatelem smlouvu podle § 52 o zajištění těchto činností; to neplatí, jde-li o ověřování způsobilosti informačního systému, kryptografického prostředku nebo pracoviště anebo stínící komory, které mají být provozovány zpravodajskými službami.
(16) Seznam orgánů státu a podnikatelů, s nimiž Úřad uzavřel smlouvu podle § 52, zveřejňuje Úřad a Národní úřad pro kybernetickou a informační bezpečnost v příslušném věstníku.
(17) K provádění dílčích úloh při ověřování způsobilosti podle odstavce 1 písm. b) až e), které z důvodu utajení nelze provést Národním úřadem pro kybernetickou a informační bezpečnost, jde-li o informační systém, kryptografický prostředek, kryptografické pracoviště nebo stínicí komoru, které mají být provozovány zpravodajskými službami, jsou oprávněny tyto zpravodajské služby. V těchto případech zpravodajské služby předají Národnímu úřadu pro kybernetickou a informační bezpečnost protokoly o provedení dílčích úloh, včetně jejich výsledků.
(18) Při provádění dílčích úloh podle odstavce 17 jsou zpravodajské služby povinny dodržovat ustanovení tohoto zákona, prováděcích právních předpisů a bezpečnostních standardů Národního úřadu pro kybernetickou a informační bezpečnost.
(19) Účastníkem řízení o certifikaci nebo o zrušení platnosti certifikátu je žadatel podle § 47 odst. 1, § 48 odst. 1, § 49 odst. 1, § 50 odst. 1 a § 51 odst. 1.
§ 47
(1) O certifikaci technického prostředku písemně žádá u Úřadu výrobce, dovozce, distributor nebo uživatel technického prostředku. K žádosti se přiloží posudek podle § 46 odst. 14 a dokumentace nezbytná pro provedení certifikace technického prostředku.
(2) Dobu platnosti certifikátu technického prostředku stanoví Úřad nejdéle na dobu 5 let.
(3) Seznam certifikovaných technických prostředků, kromě technických prostředků certifikovaných na žádost uživatele technického prostředku, je zveřejňován na internetových stránkách Úřadu.
(4) Platnost certifikátu technického prostředku zaniká
a) uplynutím doby jeho platnosti, nebo
b) rozhodnutím Úřadu o zániku platnosti certifikátu v případě, že vyráběný technický prostředek nesplňuje požadavky tohoto zákona a prováděcích právních předpisů nebo není ve shodě s posuzovaným technickým prostředkem.
(5) Zanikla-li platnost certifikátu technického prostředku podle odstavce 4, Úřad tento technický prostředek vyřadí ze seznamu zveřejňovaného podle odstavce 3.
(6) Technický prostředek používaný k ochraně utajovaných informací lze nadále používat i po uplynutí doby platnosti jeho certifikátu.
(7) Úřad může při certifikaci technického prostředku přihlédnout k certifikátu nebo obdobnému dokumentu technického prostředku vydanému oprávněným pracovištěm cizí moci.
§ 48
(1) O certifikaci informačního systému písemně žádá u Národního úřadu pro kybernetickou a informační bezpečnost orgán státu nebo podnikatel, který bude informační systém provozovat.
(2) Ten, kdo o certifikaci informačního systému podle odstavce 1 požádal, předkládá v průběhu certifikace na žádost Národního úřadu pro kybernetickou a informační bezpečnost dokumentaci nezbytnou pro provedení certifikace.
(3) Dobu platnosti certifikátu informačního systému stanoví Národní úřad pro kybernetickou a informační bezpečnost. Platnost certifikátu informačního systému je pro stupeň utajení
a) Přísně tajné a Tajné nejdéle 2 roky,
b) Důvěrné nejdéle 3 roky a
c) Vyhrazené nejdéle 5 let.
(4) Platnost certifikátu informačního systému zaniká
a) uplynutím doby jeho platnosti,
b) v případě informačního systému pro nakládání s utajovanými informacemi stupně utajení Důvěrné nebo vyššího zánikem platnosti osvědčení podnikatele,
c) zrušením orgánu státu,
d) rozhodnutím Národního úřadu pro kybernetickou a informační bezpečnost o zániku platnosti certifikátu, přestal-li být informační systém způsobilý k nakládání s utajovanými informacemi, nebo
e) oznámením orgánu státu nebo podnikatele, který je držitelem certifikátu, o zrušení informačního systému.
(5) Má-li být informační systém používán i bezprostředně po uplynutí doby platnosti jeho certifikátu, je žadatel podle odstavce 1 povinen požádat Národní úřad pro kybernetickou a informační bezpečnost o certifikaci informačního systému. Opakovaná žádost musí být Národnímu úřadu pro kybernetickou a informační bezpečnost doručena nejméně 6 měsíců před uplynutím doby platnosti původního certifikátu informačního systému.
(6) Národní úřad pro kybernetickou a informační bezpečnost je povinen rozhodnout o certifikaci informačního systému do 1 roku od zahájení řízení o certifikaci, ve zvlášť složitých případech do 2 let; nelze-li vzhledem k povaze věci rozhodnout v této lhůtě, může ji přiměřeně prodloužit ředitel Národního úřadu pro kybernetickou a informační bezpečnost, nejvýše však o 6 měsíců.
§ 49
(1) O certifikaci kryptografického prostředku písemně žádá u Národního úřadu pro kybernetickou a informační bezpečnost výrobce, dovozce, distributor nebo uživatel kryptografického prostředku. Žádá-li o certifikaci kryptografického prostředku podnikatel, musí být držitelem platného osvědčení podnikatele pro přístup k utajované informaci podle § 20 odst. 1 písm. a).
(2) Národní úřad pro kybernetickou a informační bezpečnost žádost podle odstavce 1 rozhodnutím odmítne, není-li v souladu se záměry České republiky v oblasti zajišťování ochrany utajovaných informací kryptografickou ochranou. Proti rozhodnutí podle věty první není odvolání přípustné a nelze jej ani přezkoumat soudem.
(3) Ten, kdo o certifikaci kryptografického prostředku podle odstavce 1 požádal, předkládá v průběhu certifikace na žádost Národního úřadu pro kybernetickou a informační bezpečnost kryptografický prostředek v potřebném počtu a dokumentaci nezbytnou pro provedení certifikace.
(4) Dobu platnosti certifikátu kryptografického prostředku stanoví Národní úřad pro kybernetickou a informační bezpečnost na dobu nejdéle 5 let.
(5) Platnost certifikátu kryptografického prostředku zaniká
a) uplynutím doby jeho platnosti, nebo
b) rozhodnutím Národního úřadu pro kybernetickou a informační bezpečnost o zániku platnosti certifikátu, přestal-li být kryptografický prostředek způsobilý k ochraně utajovaných informací.
(6) Má-li být kryptografický prostředek používán i bezprostředně po uplynutí doby platnosti jeho certifikátu, je žadatel podle odstavce 1 povinen požádat Národní úřad pro kybernetickou a informační bezpečnost o certifikaci kryptografického prostředku. Opakovaná žádost musí být Národnímu úřadu pro kybernetickou a informační bezpečnost doručena nejméně 6 měsíců před uplynutím doby platnosti původního certifikátu kryptografického prostředku.
(7) Národní úřad pro kybernetickou a informační bezpečnost může při certifikaci kryptografického prostředku přihlédnout k certifikátu nebo obdobnému dokumentu kryptografického prostředku vydanému oprávněným pracovištěm cizí moci.
(8) Řízení o certifikaci kryptografického prostředku lze též přerušit současně s odesláním žádosti adresované zahraničnímu subjektu o informaci nezbytnou pro spolehlivé zjištění stavu věci.
(9) Národní úřad pro kybernetickou a informační bezpečnost může stanovit při certifikaci kryptografického prostředku jeho způsobilost k ochraně taktické informace.
(10) Pro lhůty pro vydání rozhodnutí platí § 48 odst. 6.
§ 50
(1) O certifikaci kryptografického pracoviště písemně žádá u Národního úřadu pro kybernetickou a informační bezpečnost orgán státu nebo podnikatel, u kterého má být kryptografické pracoviště provozováno. Žádá-li o certifikaci kryptografického pracoviště podnikatel, musí být držitelem platného osvědčení podnikatele.
(2) Ten, kdo o certifikaci kryptografického pracoviště podle odstavce 1 požádal, předkládá v průběhu certifikace na žádost Národního úřadu pro kybernetickou a informační bezpečnost dokumentaci nezbytnou pro provedení certifikace.
(3) Dobu platnosti certifikátu kryptografického pracoviště stanoví Národní úřad pro kybernetickou a informační bezpečnost na dobu nejdéle 3 let.
(4) Platnost certifikátu kryptografického pracoviště zaniká
a) uplynutím doby jeho platnosti,
b) zánikem platnosti osvědčení podnikatele,
c) zrušením orgánu státu,
d) rozhodnutím Národního úřadu pro kybernetickou a informační bezpečnost o zániku platnosti certifikátu, přestalo-li být kryptografické pracoviště způsobilé pro vykonávání určených činností, nebo
e) oznámením orgánu státu nebo podnikatele, který je držitelem certifikátu, o zrušení kryptografického pracoviště.
(5) Má-li být kryptografické pracoviště využíváno i bezprostředně po uplynutí doby platnosti jeho certifikátu, je žadatel podle odstavce 1 povinen požádat Národní úřad pro kybernetickou a informační bezpečnost o certifikaci kryptografického pracoviště. Opakovaná žádost musí být Národnímu úřadu pro kybernetickou a informační bezpečnost doručena nejméně 6 měsíců před uplynutím doby platnosti původního certifikátu kryptografického pracoviště.
(6) Národní úřad pro kybernetickou a informační bezpečnost je povinen rozhodnout o certifikaci kryptografického pracoviště do 6 měsíců od zahájení řízení o certifikaci, ve zvlášť složitých případech do 1 roku; nelze-li vzhledem k povaze věci rozhodnout v této lhůtě, může ji přiměřeně prodloužit ředitel Národního úřadu pro kybernetickou a informační bezpečnost, nejvýše však o 3 měsíce.
§ 51
(1) O certifikaci stínicí komory písemně žádá u Národního úřadu pro kybernetickou a informační bezpečnost orgán státu nebo podnikatel, u kterého je stínicí komora používána.
(2) Ten, kdo o certifikaci stínicí komory podle odstavce 1 požádal, předkládá v průběhu certifikace na žádost Národního úřadu pro kybernetickou a informační bezpečnost dokumentaci nezbytnou pro provedení certifikace.
(3) Dobu platnosti certifikátu stínicí komory stanoví Národní úřad pro kybernetickou a informační bezpečnost na dobu nejdéle 5 let.
(4) Platnost certifikátu stínicí komory zaniká
a) uplynutím doby jeho platnosti,
b) zánikem platnosti osvědčení podnikatele,
c) zrušením orgánu státu, nebo
d) rozhodnutím Národního úřadu pro kybernetickou a informační bezpečnost o zániku platnosti certifikátu, přestala-li být stínicí komora způsobilá k ochraně utajovaných informací.
(5) Má-li být stínicí komora používána i bezprostředně po uplynutí doby platnosti jejího certifikátu, je žadatel podle odstavce 1 povinen požádat Národní úřad pro kybernetickou a informační bezpečnost o certifikaci stínicí komory. Opakovaná žádost musí být Národnímu úřadu pro kybernetickou a informační bezpečnost doručena nejméně 12 měsíců před uplynutím doby platnosti původního certifikátu stínicí komory.
(6) Pro lhůty pro vydání rozhodnutí platí § 50 odst. 6.
§ 52
(1) Smlouva o zajištění činnosti (dále jen "smlouva") uvedená v § 39 odst. 3, § 45 odst. 4 a § 46 odst. 14 a 15 se uzavírá na dobu určitou nebo neurčitou. Smlouva musí mít písemnou formu. Projev vůle účastníků smlouvy musí být na téže listině.
(2) Smlouvu lze uzavřít s orgánem státu nebo podnikatelem na základě jejich písemné žádosti, a to pouze tehdy, budou-li činnosti, jež jsou předmětem smlouvy,
a) prováděny odborně způsobilými zaměstnanci státu nebo podnikatele,
b) zajištěny u orgánu státu nebo podnikatele organizačně, technicky a materiálně.
(3) Smlouvu s podnikatelem lze dále uzavřít pouze tehdy, je-li
a) jeho sídlo nebo místo podnikání na území České republiky,
b) držitelem platného osvědčení podnikatele příslušného stupně utajení; tato podmínka neplatí, má-li být uzavřena smlouva k vydávání posudku uvedená v § 46 odst. 14 a 15.
(4) Smlouva musí obsahovat
a) označení účastníků smlouvy,
b) vymezení předmětu smlouvy a jeho rozsahu,
c) práva a povinnosti účastníků smlouvy,
d) způsob kontroly prováděné Úřadem nebo Národním úřadem pro kybernetickou a informační bezpečnost podle odstavce 6,
e) způsob a podmínky odstoupení účastníků od smlouvy,
f) souhlas se zveřejněním technického prostředku na internetových stránkách Úřadu, jde-li o smlouvu k vydávání posudku uvedenou v § 46 odst. 14.
(5) V podmínkách podle odstavce 4 písm. e) musí být též stanoveno, že Úřad nebo Národní úřad pro kybernetickou a informační bezpečnost odstoupí od smlouvy v případě, že druhý účastník smlouvy poruší povinnost stanovenou tímto zákonem, prováděcími právními předpisy nebo uzavřenou smlouvou.
(6) Úřad nebo Národní úřad pro kybernetickou a informační bezpečnost kontroluje, zda druhý účastník smlouvy dodržuje ustanovení tohoto zákona, prováděcích právních předpisů a uzavřené smlouvy.
(7) Změnit obsah smlouvy lze pouze písemnou dohodou účastníků smlouvy.
(8) Smlouvu lze vypovědět pouze písemnou formou.
(9) Nestanoví-li tento zákon jinak, použijí se v ostatním přiměřeně ustanovení občanského zákoníku.
§ 53
Prováděcí právní předpis stanoví
a) náležitosti žádosti o certifikaci technického prostředku, dokumentaci nezbytnou k provedení certifikace technického prostředku, pravidla pro stanovení doby platnosti certifikátu technického prostředku, pravidla a způsob používání technického prostředku po uplynutí doby platnosti jeho certifikátu a vzor certifikátu technického prostředku,
b) náležitosti žádosti a opakované žádosti o certifikaci informačního systému, certifikaci kryptografického prostředku, certifikaci kryptografického pracoviště a certifikaci stínící komory, a dokumentaci nezbytnou k provedení certifikace informačního systému, certifikace kryptografického prostředku, certifikace kryptografického pracoviště a certifikace stínící komory,
c) způsob a podmínky provádění certifikace informačního systému, certifikace kryptografického prostředku, certifikace kryptografického pracoviště a certifikace stínící komory a jejich opakování a obsah certifikační zprávy podle § 46 odst. 13,
d) vzory certifikátu informačního systému, certifikátu kryptografického prostředku, certifikátu kryptografického pracoviště a certifikátu stínící komory,
e) náležitosti žádosti o ověření způsobilosti elektrických a elektronických zařízení, zabezpečené oblasti nebo objektu k ochraně před únikem utajované informace kompromitujícím vyzařováním a způsob hodnocení jejich způsobilosti a
f) náležitosti žádosti orgánu státu nebo podnikatele o uzavření smlouvy podle § 52.
Hlava X
Osvědčení fyzické osoby a osvědčení podnikatele
§ 54
(1) Osvědčení fyzické osoby a osvědčení podnikatele jsou veřejnými listinami.
(2) Osvědčení fyzické osoby obsahuje
a) jméno, příjmení, rodné příjmení,
b) den, měsíc, rok a místo narození,
c) rodné číslo,
d) státní občanství,
e) uvedení nejvyššího stupně utajení utajované informace, pro přístup k níž osvědčení fyzické osoby opravňuje,
f) datum vydání a dobu platnosti a
g) otisk úředního razítka a podpis oprávněného zástupce Úřadu; otisk úředního razítka se nevyžaduje, bylo-li osvědčení vydáno v elektronické podobě.
(3) Osvědčení podnikatele obsahuje
a) identifikaci podnikatele firmou nebo názvem, identifikačním číslem a sídlem, jde-li o právnickou osobu, a jde-li o osobu fyzickou, údaje podle odstavce 2 písm. a) až d),
b) uvedení nejvyššího stupně utajení utajované informace, pro přístup k níž osvědčení podnikatele opravňuje,
c) formu přístupu podle § 20,
d) datum vydání a dobu platnosti a
e) otisk úředního razítka a podpis oprávněného zástupce Úřadu; otisk úředního razítka se nevyžaduje, bylo-li osvědčení vydáno v elektronické podobě.
§ 55
Platnost osvědčení fyzické osoby a osvědčení podnikatele je pro stupeň utajení
a) Přísně tajné 5 let,
b) Tajné 7 let a
c) Důvěrné 9 let.
§ 56
(1) Platnost osvědčení fyzické osoby nebo osvědčení podnikatele zaniká
a) uplynutím doby jeho platnosti,
b) dnem vykonatelnosti rozhodnutí Úřadu (§ 123 odst. 3, § 126 odst. 4) o zrušení jeho platnosti (§ 101),
c) úmrtím fyzické osoby, nebo byla-li prohlášena za mrtvou,
d) zrušením nebo zánikem podnikatele,
e) ohlášením jeho odcizení nebo ztráty,
f) takovým poškozením, že zápisy v něm uvedené jsou nečitelné nebo je porušena jeho celistvost,
g) změnou některého z údajů v něm obsažených,
h) vznikem služebního poměru příslušníka zpravodajské služby nebo pracovního poměru zaměstnance zařazeného do zpravodajské služby, jde-li o osvědčení fyzické osoby, vydané Úřadem,
i) skončením služebního poměru příslušníka zpravodajské služby nebo pracovního poměru zaměstnance zařazeného do zpravodajské služby, nebo dnem, kdy přestane být fyzická osoba osobou uvedenou v § 141 odst. 1, jde-li o osvědčení fyzické osoby, vydané příslušnou zpravodajskou službou nebo Ministerstvem vnitra,
j) vrácením jeho držitelem tomu, kdo jej vydal,
k) dnem doručení nového osvědčení fyzické osoby,
l) dnem doručení nového osvědčení podnikatele pro stejnou formu přístupu podnikatele k utajované informaci,
m) dnem doručení rozhodnutí o nevydání osvědčení fyzické osoby pro stejný stupeň utajení, nebo
n) dnem doručení rozhodnutí o nevydání osvědčení podnikatele pro stejnou formu přístupu podnikatele k utajované informaci.
(2) Při zániku platnosti osvědčení podnikatele podle odstavce 1 písm. a), b), d), j) nebo n) je podnikatel povinen utajovanou informaci, která mu byla poskytnuta, odevzdat tomu, kdo mu ji poskytl nebo do jehož působnosti náleží; nelze-li tak učinit, je povinen odevzdat ji Úřadu. Utajované informace, které u podnikatele vznikly, je povinen předat orgánu státu, do jehož působnosti utajované informace náleží, není-li jej, Úřadu. Odevzdání a předání utajované informace podle tohoto odstavce je podnikatel povinen provést neprodleně po zániku platnosti osvědčení podnikatele.
(3) Při zániku platnosti osvědčení fyzické osoby podle odstavce 1 písm. a), b), j) nebo m) je odpovědná osoba nebo ten, kdo provedl poučení, povinen zajistit, aby tato fyzická osoba neměla přístup k utajované informaci. V případě zániku platnosti osvědčení fyzické osoby podle odstavce 1 písm. j) a m) Úřad písemně vyrozumí její odpovědnou osobu o zániku platnosti osvědčení fyzické osoby; Úřad postupuje stejně i v případě zániku platnosti osvědčení fyzické osoby podle odstavce 1 písm. k), pokud jde o osvědčení fyzické osoby vydané pro nižší stupeň utajení.
(4) Pokud držitel osvědčení fyzické osoby nebo podnikatele do 15 dnů ode dne zániku jeho platnosti podle odstavce 1 písm. e), f) nebo g) požádá písemně Úřad o vydání osvědčení nového, přístup fyzické osoby nebo podnikatele k utajované informaci není zánikem platnosti původního osvědčení dotčen; Úřad vydá do 5 dnů od doručení žádosti osvědčení nové, které nahrazuje původní.
§ 56a
(1) V případě zániku platnosti osvědčení fyzické osoby podle § 56 odst. 1 písm. h) vydá příslušná zpravodajská služba této fyzické osobě nové osvědčení, které nahrazuje osvědčení původní, a to ke dni vzniku jejího služebního nebo pracovního poměru.
(2) V případě zániku platnosti osvědčení fyzické osoby podle § 56 odst. 1 písm. i) vydá této fyzické osobě nové osvědčení, jež nahrazuje osvědčení původní,
a) příslušná zpravodajská služba, a to ke dni, kdy této fyzické osobě vznikl služební poměr příslušníka zpravodajské služby nebo pracovní poměr zaměstnance zařazeného do zpravodajské služby,
b) Ministerstvo vnitra, a to ke dni, kdy se tato fyzická osoba stala osobou uvedenou v § 141 odst. 1, nebo
c) Úřad v ostatních případech, a to ke dni následujícímu po dni zániku platnosti původního osvědčení. Nové osvědčení fyzické osoby Úřad vydá na základě písemné žádosti této fyzické osoby, a to do 5 dnů ode dne doručení žádosti. Žádost o vydání nového osvědčení fyzické osoby lze podat do 30 dnů ode dne zániku platnosti původního osvědčení; přílohou žádosti musí být potvrzení příslušné zpravodajské služby nebo Ministerstva vnitra podle odstavce 3.
(3) Příslušná zpravodajská služba nebo Ministerstvo vnitra potvrdí v případě postupu podle odstavce 2 písm. c) zánik platnosti osvědčení fyzické osoby na základě žádosti této fyzické osoby, a to do 5 dnů ode dne doručení žádosti. V potvrzení se uvede označení orgánu státu, který původní osvědčení fyzické osoby vydal, údaje uvedené v § 54 odst. 2 písm. a) až f) a den zániku platnosti tohoto osvědčení.
(4) Orgán státu, který vydal nové osvědčení fyzické osoby, si písemně vyžádá bezpečnostní svazek této osoby od orgánu státu, který vydal původní osvědčení; bezpečnostní svazek se předá do 5 dnů ode dne doručení této žádosti.
§ 57
(1) Má-li mít fyzická osoba nebo podnikatel přístup k utajované informaci cizí moci, musí splňovat podmínky podle § 11 nebo § 15 písm. b), a požaduje-li tak cizí moc, být též držitelem osvědčení pro cizí moc.
(2) Je-li to v souladu s bezpečnostními a ekonomickými zájmy České republiky a se závazky vyplývajícími pro Českou republiku z mezinárodní smlouvy a neprobíhá-li s danou osobou řízení podle § 101 odst. 1, Úřad na základě písemné odůvodněné žádosti držitele platného osvědčení fyzické osoby nebo platného osvědčení podnikatele vydává
a) osvědčení fyzické osoby pro cizí moc, nebo
b) osvědčení podnikatele pro cizí moc.
(3) Osvědčení podle odstavce 2 je veřejnou listinou.
(4) Osvědčení podle odstavce 2 obsahuje náležitosti uvedené v § 54 s tím, že označení nejvyššího stupně utajení utajované informace, pro přístup k níž toto osvědčení opravňuje, se uvádí včetně zkratky ve smyslu § 21 odst. 2.
(5) Osvědčení podle odstavce 2 potvrzuje, že u jeho držitele bylo provedeno bezpečnostní řízení podle části čtvrté a je držitelem platného osvědčení fyzické osoby nebo osvědčení podnikatele daného stupně utajení; v případě osvědčení podnikatele potvrzuje též formy přístupu podnikatele k utajované informaci podle § 20.
(6) Osvědčení podle odstavce 2 se vydává na dobu nezbytně nutnou, nejdéle však na dobu, na kterou je vydáno osvědčení fyzické osoby nebo osvědčení podnikatele.
(7) Platnost osvědčení uvedeného v odstavci 2 zaniká
a) zánikem platnosti osvědčení fyzické osoby nebo osvědčení podnikatele, nejde-li o zánik podle § 56 odst. 1 písm. e) nebo f), nebo
b) z důvodů stanovených v § 56 odst. 1 písm. a), e), f), j), m) nebo n).
(8) Platnost osvědčení podle odstavce 2 nezaniká z důvodu uvedeného v § 56 odst. 1 písm. a) do doby rozhodnutí o žádosti podle § 94 odst. 4 nebo § 96 odst. 4, nejdéle však po dobu 12 měsíců od uplynutí doby platnosti osvědčení, pokud byla žádost podána v době, kdy byl vyhlášen válečný stav nebo pro celé území České republiky nouzový stav nebo stav ohrožení státu (dále jen „krizový stav“), nebo byl-li krizový stav vyhlášen v průběhu řízení o této žádosti.
(9) Držitel osvědčení podle odstavce 2 je povinen odevzdat je do 15 dnů Úřadu, zanikla-li
a) platnost osvědčení fyzické osoby nebo osvědčení podnikatele podle § 56 odst. 1 písm. b), d) nebo g) až n), nebo
b) jeho platnost z důvodů stanovených v § 56 odst. 1 písm. f).
(10) Na základě odůvodněné písemné žádosti právnické osoby, která není podnikatelem, Úřad vydá, je-li to požadavek jejího zahraničního partnera nebo cizí moci, časově omezené potvrzení o rozsahu ochrany utajovaných informací, zajištěné podle § 5 u právnické osoby. Před vydáním potvrzení Úřad v nezbytné míře ověří splnění podmínek tohoto zákona.
Zvláštní přístup k utajované informaci
§ 58
(1) Osobami, které mají přístup k utajované informaci všech stupňů utajení bez platného osvědčení fyzické osoby a poučení, jsou
a) prezident republiky,
b) poslanci a senátoři Parlamentu,
c) členové vlády,
d) Veřejný ochránce práv a zástupce Veřejného ochránce práv,
e) soudci a
f) prezident, viceprezident a členové Nejvyššího kontrolního úřadu.
(2) Osoby uvedené v odstavci 1 mají přístup k utajované informaci ode dne zvolení nebo jmenování do funkce po dobu jejího výkonu a v rozsahu nezbytném pro její výkon.
(3) Přístup k utajovaným informacím bez platného osvědčení fyzické osoby lze umožnit fyzické osobě jednající ve prospěch zpravodajské služby24), informátorovi25) nebo fyzické osobě, které je poskytována zvláštní nebo krátkodobá ochrana podle zvláštního právního předpisu26), nebo příslušníku zpravodajské služby, který je zařazen v záloze zvláštní27). Poučení této osoby provede ten, kdo jí přístup k utajované informaci umožní. Této osobě nelze umožnit přístup k utajované informaci cizí moci.
(4) Zvláštní právní předpis28) stanoví, které fyzické osoby a za jakých podmínek mají přístup k utajované informaci bez platného osvědčení fyzické osoby v trestním řízení, v občanském soudním řízení, ve správním řízení a v soudním řízení správním, a to v rozsahu nezbytném pro uplatnění jejich práv a plnění povinností v těchto řízeních. Přístup k utajovaným informacím lze v těchto případech umožnit pouze na základě poučení podle odstavce 5.
(5) Poučení podle § 2 písm. i) u osob uvedených v odstavci 4 provede ten, o němž to stanoví zvláštní právní předpis28). Poučení se provede přiměřeně způsobem uvedeným v § 9 odst. 1; poučení musí dále obsahovat spisové označení věci, která je předmětem řízení, a poučení o tom, že údaje o osobách, které mají přístup k utajované informaci podle odstavce 4, jsou Úřadem evidovány a mohou být využity způsobem stanoveným tímto zákonem.
(6) Osoby uvedené v odstavcích 1 a 4 nemají, s výjimkou prezidenta republiky, předsedy Senátu Parlamentu, předsedy Poslanecké sněmovny Parlamentu, předsedy vlády a ministra zahraničních věcí, přístup k utajované informaci cizí moci.
§ 59
(1) Na základě písemné žádosti odpovědné osoby může Úřad ve výjimečných a odůvodněných případech vydat souhlas s jednorázovým přístupem k utajované informaci se stupněm utajení o jeden vyšším, než na který je vydáno platné osvědčení fyzické osoby nebo osvědčení podnikatele, a to na dobu nezbytně nutnou, nejdéle však na dobu 6 měsíců.
(2) Souhlas podle odstavce 1 lze podnikateli vydat pouze pro přístup k utajované informaci podle § 20 odst. 1 písm. b).
(3) Souhlas s jednorázovým přístupem podle odstavce 1 může u příslušníků zpravodajských služeb vydat ředitel příslušné zpravodajské služby a v případech příslušníků policie podle § 141 odst. 1 ministr vnitra, a to na základě písemné žádosti příslušného služebního funkcionáře.
(4) Žádost podle odstavce 1 obsahuje
a) zdůvodnění jednorázového přístupu,
b) označení oblasti utajovaných informací, ke kterým má být jednorázový přístup umožněn,
c) kopii osvědčení fyzické osoby nebo osvědčení podnikatele,
d) požadovanou dobu jednorázového přístupu a
e) v případě podnikatele písemný souhlas poskytovatele utajované informace s vydáním souhlasu podle odstavce 1.
(5) Úřad vydá souhlas podle odstavce 1 neprodleně, nejpozději do 5 dnů ode dne doručení žádosti. Odpovědná osoba nebo jí pověřená osoba, která po vydání souhlasu Úřadu umožní přístup fyzické osoby k utajované informaci podle odstavce 1 nebo 3, provede její poučení.
(6) Na udělení souhlasu k jednorázovému přístupu k utajované informaci není právní nárok a lze jej téže osobě udělit jen jednou.
(7) K utajované informaci cizí moci lze jednorázový přístup umožnit pouze v souladu s požadavky této cizí moci.
§ 60
(1) V případě účasti České republiky v ozbrojeném konfliktu v zahraničí nebo v záchranné nebo humanitární akci v zahraničí, v případě vyhlášení válečného stavu a v případě stavu nebezpečí, nouzového stavu nebo stavu ohrožení státu20) lze umožnit přístup k utajované informaci fyzické osobě, která není držitelem osvědčení fyzické osoby nebo nemá přístup k utajovaným informacím stupně utajení Vyhrazené, nebo podnikateli, který není držitelem osvědčení podnikatele nebo nemá přístup k utajovaným informacím stupně utajení Vyhrazené.
(2) Přístup fyzické osoby podle odstavce 1 lze umožnit pouze v případě, že neexistují pochybnosti o důvěryhodnosti fyzické osoby a o její schopnosti utajovat informace.
(3) V případě přístupu podle odstavce 1 je odpovědná osoba povinna zajistit poučení fyzické osoby. Hrozí-li nebezpečí z prodlení nebo z důvodu jiné naléhavosti a významu konkrétního úkolu, lze poučení nahradit ústním seznámením fyzické osoby s jejími povinnostmi v oblasti ochrany utajovaných informací a s následky jejich porušení.
(4) O přístupu podle odstavce 1 je odpovědná osoba nebo jí pověřená osoba povinna zpracovat písemný záznam. Tento písemný záznam spolu s poučením zašle odpovědná osoba nebo jí pověřená osoba neprodleně Úřadu; bylo-li poučení nahrazeno ústním seznámením podle odstavce 3 věty druhé, uvede se tato skutečnost v písemném záznamu. Je-li přístup podle odstavce 1 umožněn zpravodajskou službou, písemný záznam podle věty první a části věty druhé za středníkem ani poučení se Úřadu nezasílají, ale ukládají se u příslušné zpravodajské služby.
(5) Je-li podnikateli umožněn přístup k utajované informaci podle odstavce 1, je jeho odpovědná osoba povinna o přístupu zpracovat písemný záznam, který neprodleně zašle Úřadu.
(6) V mimořádných situacích lze přístup k utajované informaci cizí moci umožnit pouze v souladu s požadavky této cizí moci.
§ 60a
Držitel osvědčení fyzické osoby nebo podnikatele je oprávněn v případě, že mu zanikla platnost osvědčení z důvodu uvedeného v § 56 odst. 1 písm. a), mít do doby vydání rozhodnutí o žádosti podle § 94 odst. 4 nebo § 96 odst. 4, nejdéle však po dobu 12 měsíců od uplynutí doby platnosti osvědčení, přístup k utajované informaci do stupně utajení a v případě podnikatele i ve formě přístupu odpovídajícím dosavadnímu osvědčení, pokud byla žádost podána v době, kdy byl vyhlášen krizový stav, nebo byl-li krizový stav vyhlášen v průběhu řízení o této žádosti.
§ 61
Jednorázový přístup k utajované informaci podle § 59 a přístup podle § 60 nelze umožnit k utajované informaci stupně utajení Přísně tajné nebo k utajované informaci, na kterou se vztahuje zvláštní režim nakládání.
§ 62
(1) Přístup k utajované informaci lze umožnit fyzické osobě, která je poučena, nebo podnikateli i v případech, kdy Úřad uzná bezpečnostní oprávnění vydané úřadem cizí moci, který má v působnosti ochranu utajovaných informací (dále jen "bezpečnostní oprávnění"). Úřad bezpečnostní oprávnění uzná, stanoví-li tak mezinárodní smlouva, kterou je Česká republika vázána. Úřad dále může bezpečnostní oprávnění uznat v případě, kdy je uznání v souladu se zahraničně politickými a bezpečnostními zájmy České republiky; na toto uznání není právní nárok. Při postupu podle věty třetí si Úřad může vyžádat písemné stanovisko Ministerstva zahraničních věcí a příslušné zpravodajské služby; neobdrží-li Úřad vyžádané stanovisko do 30 dnů ode dne doručení žádosti o ně, má se za to, že stanovisko je kladné.
(2) Uznání podle odstavce 1 Úřad provede na základě žádosti nepodnikající fyzické osoby nebo podnikatele, kteří jsou držiteli bezpečnostního oprávnění. Žádost lze podat i prostřednictvím úřadu cizí moci, který má v působnosti ochranu utajovaných informací; lhůty podle odstavce 4 běží v takovém případě ode dne, kdy žádost dojde Úřadu. Žádost obsahuje
a) jméno, popřípadě jména, a příjmení držitele bezpečnostního oprávnění,
b) datum a místo narození držitele bezpečnostního oprávnění,
c) státní občanství držitele bezpečnostního oprávnění,
d) u podnikatele jeho identifikaci firmou nebo názvem, identifikačním číslem a sídlem, jde-li o právnickou osobu, nebo jménem, příjmením a místem trvalého pobytu, jde-li o osobu fyzickou,
e) důvod, proč má být provedeno uznání podle odstavce 1,
f) u podnikatele, který je držitelem bezpečnostního oprávnění odpovídajícího formě přístupu podle § 20 odst. 1 písm. a), uvedení formy přístupu, o jejíž uznání je žádáno,
g) dobu, na kterou má být uznání provedeno, a
h) podpis držitele bezpečnostního oprávnění nebo odpovědného pracovníka úřadu cizí moci, který má v působnosti ochranu utajovaných informací, a adresu, na kterou má být uznání podle odstavce 1 doručeno.
(3) K žádosti podle odstavce 2 je nutné připojit úřední překlad bezpečnostního oprávnění nebo jeho ověřenou kopii; tyto doklady se nevyžadují, je-li žádost podána prostřednictvím úřadu cizí moci, který má v působnosti ochranu utajovaných informací, pokud tento na žádosti nebo v potvrzení, které se k žádosti připojí, potvrdí, že žadatel je držitelem příslušného bezpečnostního oprávnění.
(4) Uznání podle odstavce 1 věty druhé Úřad zašle držiteli bezpečnostního oprávnění do 10 dnů ode dne podání jeho žádosti. Uznání podle odstavce 1 věty třetí Úřad zašle držiteli bezpečnostního oprávnění do 60 dnů ode dne podání jeho žádosti; pokud by uznání nebylo v souladu se zahraničně politickými nebo bezpečnostními zájmy České republiky, Úřad žádosti nevyhoví a tuto skutečnost žadateli v téže lhůtě písemně oznámí.
(5) Uznání podle odstavce 1 musí obsahovat
a) údaje podle odstavce 2 písm. a) až d),
b) identifikaci bezpečnostního oprávnění vydaného úřadem cizí moci,
c) označení nejvyššího stupně utajení utajované informace, pro přístup k níž uznání podle odstavce 1 opravňuje,
d) u podnikatele formu přístupu podle § 20,
e) datum vydání a dobu platnosti,
f) otisk úředního razítka a podpis oprávněného zástupce Úřadu; otisk úředního razítka se nevyžaduje, bylo-li uznání vydáno v elektronické podobě.
Zproštění povinnosti zachovávat mlčenlivost
§ 63
(1) V řízení před orgánem státu může, na žádost tohoto orgánu, odpovědná osoba orgánu státu, do jehož oblasti věcné působnosti utajovaná informace náleží, fyzickou osobu zprostit povinnosti zachovávat mlčenlivost (dále jen "zproštění mlčenlivosti"), nestanoví-li tento zákon jinak (odstavec 8 a § 133 odst. 2).
(2) V případě, že orgán státu zanikne bez právního nástupce, může zproštění mlčenlivosti provést ředitel Úřadu.
(3) Pro potřeby řízení podle odstavce 1 zproštění mlčenlivosti dále provádí
a) prezident republiky u předsedy vlády, prezidenta, viceprezidenta a členů Nejvyššího kontrolního úřadu, předsedy a místopředsedy Ústavního soudu, předsedy a místopředsedy Nejvyššího soudu, předsedy a místopředsedy Nejvyššího správního soudu, vedoucího Kanceláře prezidenta republiky, Veřejného ochránce práv, zástupce Veřejného ochránce práv, guvernéra a viceguvernérů České národní banky,
b) Poslanecká sněmovna u poslanců,
c) Senát u senátorů,
d) předseda Poslanecké sněmovny u vedoucího Kanceláře Poslanecké sněmovny,
e) předseda Senátu u vedoucího Kanceláře Senátu,
f) předseda vlády u ministrů a vedoucích ostatních ústředních správních úřadů,
g) předseda Ústavního soudu u soudců Ústavního soudu,
h) ministr spravedlnosti u soudců neuvedených v písmenu g), státních zástupců a přísedících, vláda u ředitele Bezpečnostní informační služby, ministr vnitra u ředitele Úřadu pro zahraniční styky a informace a ministr obrany u ředitele Vojenského zpravodajství.
(4) Týká-li se povinnost zachovávat mlčenlivost věci, kterou projednává orgán Parlamentu, může zproštění mlčenlivosti fyzické osoby provést Poslanecká sněmovna nebo Senát po vyjádření odpovědné osoby orgánu státu, do jehož oblasti věcné působnosti utajovaná informace náleží.
(5) Před zproštěním mlčenlivosti podle odstavce 3 je třeba požádat o vyjádření odpovědnou osobu orgánu státu, do jehož oblasti věcné působnosti utajovaná informace náleží.
(6) Zproštění mlčenlivosti se nevyžaduje u prezidenta republiky.
(7) Zproštění mlčenlivosti se vztahuje pouze na příslušnou utajovanou informaci, a to v nezbytně nutném rozsahu a na dobu nezbytně nutnou. Zproštění mlčenlivosti se provádí písemně. Stupeň utajení utajované informace není zproštěním mlčenlivosti dotčen.
(8) Zproštění mlčenlivosti lze odepřít v případech, kdy by tím mohlo dojít k mimořádně vážné nebo vážné újmě zájmům České republiky anebo k ohrožení života či zdraví osob.
Zmocňovací ustanovení
§ 64
Prováděcí právní předpis stanoví vzor
a) osvědčení fyzické osoby a osvědčení podnikatele,
b) žádostí o vydání osvědčení fyzické osoby pro cizí moc a osvědčení podnikatele pro cizí moc a
c) žádosti o uznání bezpečnostního oprávnění fyzické osoby a žádosti o uznání bezpečnostního oprávnění podnikatele.
Hlava XI
§ 65
(1) Každý je povinen neprodleně odevzdat nalezenou utajovanou informaci nebo utajovanou informaci získanou v rozporu s tímto zákonem anebo osvědčení fyzické osoby, osvědčení podnikatele, osvědčení fyzické osoby pro cizí moc nebo osvědčení podnikatele pro cizí moc (dále jen "nalezená písemnost") Úřadu, policii nebo zastupitelskému úřadu České republiky.
(2) Každý, kdo měl nebo má přístup k utajované informaci, je povinen zachovávat o ní mlčenlivost a nesmí k ní umožnit přístup neoprávněné osobě.
(3) Každý je povinen při výkonu kontroly Úřadem plnit pokyny kontrolního pracovníka při provádění neodkladných opatření podle § 144 odst. 1.
§ 66
(1) Fyzická osoba, která má přístup k utajovaným informacím, je povinna
a) dodržovat povinnosti při ochraně utajovaných informací,
b) odevzdat tomu, kdo osvědčení fyzické osoby vydal, do 15 dnů své osvědčení fyzické osoby, jehož platnost zanikla podle § 56 odst. 1 písm. b), f) až i), k) nebo m),
c) neprodleně písemně oznámit tomu, kdo osvědčení fyzické osoby nebo osvědčení fyzické osoby pro cizí moc vydal, ztrátu nebo odcizení svého osvědčení fyzické osoby nebo osvědčení fyzické osoby pro cizí moc,
d) neprodleně písemně oznamovat Úřadu změny údajů, které byly uvedeny v její žádosti fyzické osoby; omezení rozsahu hlášení změn, jakož i způsob a formu jejich doložení, stanoví prováděcí právní předpis,
e) neprodleně oznamovat tomu, kdo provedl její poučení podle § 9 odst. 1 nebo § 11 odst. 2, porušení povinností stanovených tímto zákonem,
f) účastnit se proškolení podle § 67 odst. 1 písm. b).
(2) Na fyzickou osobu, která je držitelem osvědčení fyzické osoby, ale nemá přístup k utajované informaci, se vztahují pouze povinnosti uvedené v odstavci 1 písm. b) až d).
§ 67
(1) Odpovědná osoba je povinna zajistit
a) poučení fyzické osoby,
b) jednou ročně provedení proškolení fyzických osob, které mají přístup k utajované informaci, z právních předpisů v oblasti ochrany utajovaných informací a vést o těchto proškoleních přehledy,
c) ověřování splnění podmínek pro přístup fyzické osoby k utajované informaci stupně utajení Vyhrazené,
d) schválení informačního systému do provozu a písemné oznámení této skutečnosti Národnímu úřadu pro kybernetickou a informační bezpečnost,
e) pověření fyzické osoby k výkonu kryptografické ochrany,
f) neprodlené písemné oznámení Úřadu o tom, že před vydáním osvědčení fyzické osoby nebo rozhodnutí podle § 121 odst. 2 pominuly skutečnosti, kterými byla žádost fyzické osoby odůvodněna,
g) neprodlené písemné oznámení Úřadu o skončení služebního poměru nebo pracovněprávního, členského či obdobného vztahu, ve kterém byl fyzické osobě umožněn přístup k utajované informaci stupně utajení Přísně tajné, Tajné nebo Důvěrné; tato povinnost se nevztahuje na odpovědnou osobu zpravodajské služby nebo Ministerstva vnitra v případech příslušníků policie podle § 141 odst. 1,
h) kontrolu dodržování dalších povinností stanovených tímto zákonem.
(2) K výkonu povinností stanovených odpovědné osobě v § 21 odst. 5, § 23 odst. 1 písm. b), § 59 odst. 1, § 60 odst. 5, § 63 odst. 1 a 4, § 70 odst. 5 a v § 77 odst. 2 nelze pověřit jinou osobu.
§ 68
Podnikatel, který je držitelem osvědčení podnikatele, je povinen
a) odevzdat Úřadu do 15 dnů osvědčení podnikatele, jehož platnost zanikla podle § 56 odst. 1 písm. b), f), g), l) nebo n),
b) neprodleně písemně oznámit Úřadu ztrátu nebo odcizení osvědčení podnikatele nebo osvědčení podnikatele pro cizí moc,
c) neprodleně písemně oznamovat Úřadu změny údajů uvedených podle § 97 písm. a), b) nebo p) anebo § 98 písm. c) v dotazníku podnikatele a v jeho bezpečnostní dokumentaci; omezení rozsahu hlášení změn, jakož i způsob a formu jejich doložení, stanoví prováděcí právní předpis,
d) písemně oznamovat Úřadu každoročně ke dni, který se svým označením shoduje se dnem vydání osvědčení podnikatele, změny údajů uvedených v žádosti podnikatele podle § 96; omezení rozsahu hlášení změn a formu jejich doložení stanoví prováděcí právní předpis,
e) zabezpečit ochranu utajovaných informací při zániku platnosti osvědčení podnikatele,
f) zaslat Úřadu rozhodnutí o schválení projektu přeměny podle zákona o přeměnách obchodních společností a družstev28a) do 15 dnů ode dne jeho přijetí.
§ 68a
Podnikatel, který učinil prohlášení podnikatele, je povinen
a) vést bezpečnostní dokumentaci podnikatele v rozsahu § 98 písm. c) a d) a na vyžádání poskytovatele vyhrazené informace mu ji poskytnout,
b) zabezpečit ochranu utajovaných informací při zániku přístupu k utajované informaci,
c) zaslat prohlášení podnikatele Úřadu podle § 15a odst. 3,
d) oznámit podle § 15a odst. 4 písemně Úřadu nebo poskytovateli vyhrazené informace ukončení přístupu k ní nebo podle § 15a odst. 6 zánik platnosti prohlášení podnikatele,
e) postupovat obdobně podle § 56 odst. 2 při zániku platnosti prohlášení podnikatele z důvodů uvedených v § 15a odst. 5,
f) učinit a neprodleně předat poskytovateli vyhrazené informace, nebo v případě § 15a odst. 3 Úřadu, nové prohlášení podnikatele, pokud i po zániku platnosti původního prohlášení podnikatele podle § 15a odst. 5 písm. a) nebo f) i nadále nezbytně potřebuje přístup k utajované informaci stupně utajení Vyhrazené.
§ 69
(1) Právnická osoba a podnikající fyzická osoba, které mají přístup k utajované informaci, a orgán státu jsou povinni
a) zajistit ochranu utajovaných informací podle tohoto zákona a mezinárodních smluv,
b) zpracovávat a vést přehled míst nebo funkcí, na kterých je nezbytné mít přístup k utajovaným informacím včetně utajovaných informací Evropské unie, Organizace Severoatlantické smlouvy a utajovaných informací vyžadujících zvláštní režim nakládání, s uvedením stupně utajení, nebo které nelze vykonávat bez osvědčení o zvláštní odborné způsobilosti podle tohoto zákona (§ 39); tím nejsou dotčena ustanovení zvláštních právních předpisů na úseku odborné způsobilosti29),
c) neprodleně písemně oznámit Úřadu skutečnost, která může mít vliv na vydání nebo na platnost osvědčení fyzické osoby nebo osvědčení podnikatele,
d) zajistit vytvoření podmínek pro označování, evidenci, zapůjčování, ukládání, přepravu, další manipulaci a vyřazování utajované informace a utajované informace se zvláštním režimem nakládání v souladu s prováděcím právním předpisem,
e) provozovat jen informační systém, který je certifikován Národním úřadem pro kybernetickou a informační bezpečnost a písemně schválen do provozu,
f) zastavit provoz informačního systému, který nesplňuje podmínky stanovené v certifikační zprávě, a zajistit ochranu utajované informace v něm a o těchto skutečnostech informovat Národní úřad pro kybernetickou a informační bezpečnost,
g) provozovat jen komunikační systém, jehož projekt bezpečnosti byl schválen Národním úřadem pro kybernetickou a informační bezpečnost,
h) zastavit provoz komunikačního systému, který nesplňuje podmínky stanovené v projektu bezpečnosti komunikačního systému, a o této skutečnosti informovat Národní úřad pro kybernetickou a informační bezpečnost,
i) používat pro kryptografickou ochranu jen prostředek, který je certifikován Národním úřadem pro kybernetickou a informační bezpečnost, a používat kryptografické pracoviště jen k účelu, ke kterému bylo certifikováno a schváleno do provozu,
j) vést evidenci fyzických osob, které mají přístup k utajované informaci, a evidenci případů neoprávněného nakládání s utajovanou informací,
k) hlásit porušení povinnosti při ochraně utajované informace nebo povinnosti uložené mezinárodní smlouvou v oblasti ochrany utajovaných informací a přijetí opatření k odstranění příčin a nepříznivých následků porušení Úřadu; tato povinnost se nevztahuje na zpravodajské služby v případech podle § 140 odst. 1 písm. a) a na Ministerstvo vnitra v případech podle § 141 odst. 1, s výjimkou případů porušení ochrany utajovaných informací Organizace Severoatlantické smlouvy nebo Evropské unie,
l) zřídit registr poskytovaných utajovaných informací (§ 79) a hlásit změny v něm Úřadu v rozsahu stanoveném prováděcím právním předpisem,
m) provést kontrolu utajovaných informací vedených v registru utajovaných informací k 31. prosinci kalendářního roku a zprávu o jejím výsledku zaslat Úřadu do 15. února následujícího kalendářního roku spolu s uvedením počtu utajovaných informací a jejich stupňů utajení; zpravodajské služby zasílají zprávu o utajovaných informacích poskytnutých ústředním registrem a registrem vedeným Ministerstvem zahraničních věcí podle § 78 odst. 1,
n) předat utajovanou informaci poskytnutou cizí mocí nebo zahraničním partnerem právnické osoby nebo podnikající fyzické osoby k zaevidování Úřadu nebo Ministerstvu zahraničních věcí podle § 79 odst. 5,
o) zasílat v případech stanovených tímto zákonem utajované informace cizí moci prostřednictvím ústředního registru (§ 79 odst. 2),
p) zajistit písemné pověření fyzické osoby k přístupu k utajované informaci se zvláštním režimem nakládání označené "ATOMAL",
q) jako poskytovatel vyhrazené informace neprodleně zaslat Úřadu kopii prohlášení podnikatele podle § 15a odst. 2,
r) jako zadavatel, není-li zpravodajskou službou, neprodleně písemně oznámit a doložit Úřadu doklady ke
1. skutečnosti, že bude zadávat veřejnou zakázku mimo zadávací řízení z důvodu ochrany utajovaných informací49),
2. skutečnosti, že v zadávacím řízení stanoví opatření k zajištění ochrany utajované informace50) stupně utajení Důvěrné nebo vyšší,
3. stanovení požadavku na profesní způsobilost v zadávacím řízení51) spočívající v předložení dokladu prokazujícího schopnost dodavatele zabezpečit ochranu utajovaných informací stupně utajení Důvěrné nebo vyšší nebo oprávnění ke vstupu osob dodavatele do zabezpečené oblasti kategorie Důvěrné nebo vyšší anebo jednací oblasti podle tohoto zákona, nebo
4. stanovení podmínky na uzavření smlouvy v zadávacím řízení spočívající v předložení dokladu prokazujícího schopnost dodavatele zabezpečit ochranu utajovaných informací53) stupně utajení Důvěrné nebo vyšší.
s) kontrolovat dodržování dalších povinností stanovených tímto zákonem,
t) vést evidenci kryptografického materiálu, evidenci pracovníků kryptografické ochrany, evidenci provozní obsluhy kryptografického prostředku a evidenci kurýrů kryptografického materiálu.
(2) Povinnost uvedená v odstavci 1 písm. c) se nevztahuje na zpravodajské služby v případech podle § 140 odst. 1 písm. a) a na Ministerstvo vnitra v případech podle § 141 odst. 1.
§ 70
(1) Každý, kdo Úřadu průmyslového vlastnictví podává přihlášku vynálezu, užitného vzoru nebo topografie polovodičového výrobku (dále jen "přihlašovatel"), je povinen na přihlášce vyznačit návrh stupně utajení, domnívá-li se, že předmět přihlášky obsahuje utajovanou informaci. Je-li přihlašovatelem právnická osoba, uvede v přihlášce jméno, příjmení a funkci nebo postavení odpovědné osoby.
(2) Úřad průmyslového vlastnictví přihlášku podle odstavce 1 předloží Úřadu, který po vyjádření ústředního správního úřadu, do jehož oblasti věcné působnosti předmět přihlášky náleží, návrh stupně utajení potvrdí, změní nebo, neobsahuje-li předmět přihlášky utajovanou informaci, návrh zamítne; nenáleží-li předmět přihlášky do oblasti věcné působnosti žádného ústředního správního úřadu, vyjádření se nevyžaduje.
(3) Úřad potvrzení nebo změnu návrhu stupně utajení provedené podle odstavce 2 oznámí Úřadu průmyslového vlastnictví ve lhůtě 60 dnů ode dne doručení přihlášky Úřadu, popřípadě mu v téže lhůtě sdělí, že návrh stupně utajení zamítl, a přihlášku mu vrátí; v oznámení Úřad zároveň uvede, zda přihlašovatel splňuje podmínky přístupu k utajované informaci.
(4) Úřad průmyslového vlastnictví stupeň utajení oznámený podle odstavce 3 vyznačí na přihlášce a neprodleně jej oznámí přihlašovateli, který tento stupeň utajení stanoveným způsobem (§ 21 a 22) vyznačí na předmětu přihlášky; je-li přihlašovatelem nepodnikající fyzická osoba, Úřad průmyslového vlastnictví má postavení původce. Sdělení podle odstavce 3 Úřad průmyslového vlastnictví přihlašovateli neprodleně oznámí též.
(5) Obsahuje-li předmět přihlášky podle odstavce 1 utajovanou informaci a nesplňuje-li přihlašovatel podmínky přístupu k utajované informaci tohoto stupně utajení, Úřad průmyslového vlastnictví provede, je-li přihlašovatelem fyzická osoba, její poučení, a je-li přihlašovatelem právnická osoba, poučení odpovědné osoby přihlašovatele; odpovědná osoba přihlašovatele poučí všechny fyzické osoby, které v rámci právnické osoby přihlašovatele přístup k předmětu přihlášky měly nebo jej nezbytně potřebují; poučením se tyto osoby považují za osoby splňující podmínky přístupu k utajované informaci, obsažené v předmětu této přihlášky. Ustanovení § 9 odst. 1 věty poslední a § 11 odst. 2 věty třetí platí obdobně.
§ 71
(1) Orgán státu, u kterého utajovaná informace vzniká nebo kterému je poskytnuta, a dále právnická osoba a podnikající fyzická osoba, které mají přístup k utajované informaci, jsou povinni zřídit a obsadit funkci bezpečnostního ředitele. Funkci bezpečnostního ředitele může vykonávat i odpovědná osoba sama; jinak je bezpečnostní ředitel přímo podřízen odpovědné osobě.
(2) Orgán státu, právnická osoba a podnikající fyzická osoba podle odstavce 1 jsou povinni do 15 dnů ode dne obsazení funkce bezpečnostního ředitele oznámit písemně Úřadu jméno, příjmení a rodné číslo osoby vykonávající tuto funkci.
(3) Bezpečnostní ředitel schvaluje přehled míst nebo funkcí podle § 69 odst. 1 písm. b), u nichž je vyžadován přístup k utajované informaci, a plní další povinnosti stanovené mu písemně odpovědnou osobou v rozsahu tohoto zákona, včetně povinností jí stanovených, nejde-li o případy uvedené v § 67 odst. 2; odpovědnost odpovědné osoby za ochranu utajovaných informací není jmenováním bezpečnostního ředitele dotčena. Povinnost schválit přehled míst nebo funkcí podle § 69 odst. 1 písm. b) bezpečnostním ředitelem se nevztahuje na zpravodajské služby.
(4) Funkci bezpečnostního ředitele může vykonávat pouze fyzická osoba, která splňuje podmínky přístupu k utajovaným informacím takového stupně utajení, ke kterým bude mít při výkonu této funkce přístup. U podnikatele musí fyzická osoba ve funkci bezpečnostního ředitele být držitelem osvědčení fyzické osoby pro přístup k utajované informaci nejméně takového stupně utajení, pro který má podnikatel vydané osvědčení.
(5) Funkci bezpečnostního ředitele nelze vykonávat u více orgánů státu nebo podnikatelů souběžně.
§ 72
(1) Ministerstva a další ústřední správní úřady každoročně zpracovávají personální projekt.
(2) Personální projekt obsahuje
a) zhodnocení stavu v personální bezpečnosti za uplynulý rok a
b) předpokládaný počet fyzických osob, u kterých bude nutné v následujícím roce provést řízení podle § 92 písm. a), a to s rozlišením podle stupňů utajení.
(3) Personální projekt zasílají ministerstva a další ústřední správní úřady Úřadu vždy do 31. července příslušného kalendářního roku.
(4) Personální projekty předloží Úřad spolu se svým vyjádřením vládě vždy do 30. listopadu příslušného kalendářního roku ke schválení.
Hlava XII
§ 73
Utajovanou informaci lze v mezinárodním styku poskytovat, není-li v § 74 stanoveno jinak,
a) jde-li o utajovanou informaci stupně utajení Přísně tajné, Tajné nebo Důvěrné, na základě písemné žádosti orgánu státu, právnické osoby nebo podnikající fyzické osoby a písemného povolení Úřadu,
b) jde-li o utajovanou informaci stupně utajení Vyhrazené, na základě písemné žádosti orgánu státu, právnické osoby nebo podnikající fyzické osoby a písemného souhlasu ústředního správního úřadu, do jehož oblasti věcné působnosti utajovaná informace náleží; nenáleží-li utajovaná informace do oblasti věcné působnosti žádného ústředního správního úřadu, na základě písemného souhlasu Úřadu.
§ 74
(1) Splnění podmínek podle § 73 písm. a) při poskytování utajované informace mezi orgánem státu a cizí mocí se nevyžaduje
a) je-li uzavřena mezinárodní smlouva v oblasti ochrany utajovaných informací, kterou je Česká republika vázána,
b) vyplývá-li poskytování utajovaných informací ze závazku členství České republiky v Evropské unii,
c) je-li utajovaná informace poskytována podle zvláštního právního předpisu30), nebo
d) je-li utajovaná informace poskytována mezi zpravodajskou službou a obdobnou službou cizí moci v rámci spolupráce uskutečňované podle zvláštního právního předpisu19).
(2) Utajovanou informaci stupně utajení Vyhrazené lze mezi orgánem státu a cizí mocí poskytovat bez souhlasu uvedeného v § 73 písm. b).
§ 75
(1) Žádost podle § 73 obsahuje
a) označení cizí moci nebo zahraničního partnera, kterým má být utajovaná informace poskytnuta,
b) důvody, pro které se o povolení nebo o souhlas žádá; to neplatí, má-li být utajovaná informace poskytnuta cizí moci orgánem státu.
(2) Přílohou žádosti právnické osoby nebo podnikající fyzické osoby o povolení nebo souhlas podle § 73 je
a) smlouva, podle které má být utajovaná informace poskytnuta cizí moci nebo zahraničnímu partnerovi, obsahující konkretizaci utajované informace a podmínky její ochrany, nebo
b) jde-li zároveň o případ podle § 75a, návrh smlouvy, podle které má být utajovaná informace poskytnuta další cizí moci (§ 77 odst. 6) nebo zahraničnímu partnerovi, obsahující bezpečnostní instrukci; to platí obdobně i pro orgán státu.
§ 75a
(1) Smlouva, při jejímž plnění je nutný přístup k utajované informaci cizí moci, obsahuje bezpečnostní instrukci upravující podmínky ochrany této informace a utajované informace, která při plnění smlouvy popřípadě vznikne.
(2) Bezpečnostní instrukce musí být před uzavřením smlouvy schválena
a) Úřadem, pokud si to vyhradí, nebo pokud nedojde k dohodě podle písmene b) anebo nenáleží-li utajovaná informace do věcné působnosti jiného ústředního správního úřadu,
b) jiným ústředním správním úřadem, do jehož působnosti utajovaná informace náleží, a náleží-li do působnosti více ústředních správních úřadů, jedním z nich na základě dohody mezi nimi.
Ústřední správní úřad, který bezpečnostní instrukci schválil, provádí kontrolu jejího dodržování, a to podle kontrolního řádu.
(3) Na smlouvu podle odstavce 1 uzavíranou mezi cizí mocí nebo zahraničním partnerem a zpravodajskou službou se ustanovení odstavce 2 nevztahuje.
(4) Obsah a strukturu bezpečnostní instrukce stanoví prováděcí právní předpis.
§ 76
(1) Před vydáním povolení podle § 73 písm. a) si Úřad vždy vyžádá písemné stanovisko Ministerstva zahraničních věcí a příslušné zpravodajské služby a dále ústředního správního úřadu, do jehož oblasti věcné působnosti utajovaná informace náleží, nežádá-li o povolení tento orgán státu; nenáleží-li utajovaná informace do oblasti věcné působnosti žádného ústředního správního úřadu, stanovisko se nevyžaduje. Žádá-li o povolení orgán státu, právnická osoba nebo podnikající fyzická osoba, Úřad si od nich vyžádá bezpečnostní oprávnění jejich zahraničního partnera vydané úřadem cizí moci, do jehož působnosti náleží ochrana utajovaných informací v zemi zahraničního partnera.
(2) Ministerstvo zahraničních věcí, příslušná zpravodajská služba a ústřední správní úřad poskytnou Úřadu stanovisko podle odstavce 1 ve lhůtě 30 dnů ode dne doručení jeho žádosti.
(3) Úřad vydá povolení § 73 písm. a) ve lhůtě 60 dnů ode dne doručení žádosti orgánu státu, právnické osoby nebo podnikající fyzické osoby; v případě, kdy by utajovaná informace byla jejím poskytnutím ohrožena, Úřad žádosti nevyhoví a tuto skutečnost žadateli v uvedené lhůtě písemně oznámí.
(4) Ústřední správní úřad nebo Úřad vydá souhlas podle § 73 písm. b) ve lhůtě 30 dnů ode dne doručení žádosti orgánu státu, právnické osoby nebo podnikající fyzické osoby; v případě, kdy by utajovaná informace byla jejím poskytnutím ohrožena, ústřední správní úřad nebo Úřad žádosti nevyhoví a tuto skutečnost žadateli v uvedené lhůtě písemně oznámí.
(5) Na vydání povolení a na udělení souhlasu podle § 73 není právní nárok.
(6) Úřad vede přehled povolení vydaných podle § 73 písm. a).
§ 77
(1) Poskytování utajované informace stupně utajení Přísně tajné, Tajné nebo Důvěrné v mezinárodním styku se uskutečňuje prostřednictvím registru uvedeného v § 79 odst. 2, pokud není v odstavcích 2 až 5, v § 78 nebo v mezinárodní smlouvě stanoveno jinak.
(2) Na poskytování utajované informace mezi zpravodajskou službou a obdobnou službou cizí moci v rámci spolupráce uskutečňované podle zvláštního právního předpisu19) se odstavec 1 nevztahuje. O poskytování utajované informace v těchto případech rozhoduje odpovědná osoba zpravodajské služby.
(3) Na poskytování utajovaných informací mezi Ministerstvem obrany, Ministerstvem spravedlnosti, soudy, státními zastupitelstvími, policií nebo celními orgány a obdobnými orgány cizí moci se odstavec 1, stanoví-li mezinárodní smlouva, kterou je Česká republika vázána, nebo zvláštní právní předpis31) jinak, nevztahuje.
(4) Orgány státu a policie vedou evidenci utajovaných informací poskytovaných podle odstavců 2 a 3.
(5) Ustanovení odstavce 1 a § 73 se nepoužijí, jde-li o poskytování utajované informace v mezinárodním styku v případech podle § 60 odst. 1.
(6) Utajovanou informaci cizí moci lze pouze v souladu s jejími požadavky poskytnout další cizí moci nebo zahraničnímu partnerovi.
§ 78
(1) Poskytování utajované informace stupně utajení Tajné nebo Důvěrné mezi Českou republikou a členskými státy Evropské unie nebo mezi Českou republikou a orgány Evropské unie, která se týká vzájemné spolupráce členských států Evropské unie podle smlouvy o založení Evropské unie nebo smlouvy o založení Evropských společenství, se uskutečňuje prostřednictvím registru vedeného Ministerstvem zahraničních věcí podle § 79 odst. 3.
(2) Ustanovení odstavce 1 se nevztahuje na poskytování utajované informace, která vyžaduje zvláštní režim nakládání podle § 21 odst. 3.
§ 79
Registry, pomocné registry a kontrolní body
(1) V registrech nebo pomocných registrech utajovaných informací se eviduje v jednacích protokolech a ukládá nebo odesílá utajovaná informace stupně utajení Přísně tajné, Tajné nebo Důvěrné poskytovaná v mezinárodním styku. V kontrolních bodech registru se tato utajovaná informace zaznamenává v pomocných jednacích protokolech a předává zpracovateli.
(2) Úřad zřizuje a vede ústřední registr utajovaných informací uvedených v odstavci 1 jím nebo jemu přímo poskytnutých a utajovaných informací, které se poskytují jeho prostřednictvím podle § 77 odst. 1 (dále jen "ústřední registr").
(3) Orgán státu, právnická osoba a podnikající fyzická osoba zřizují a vedou registr utajovaných informací uvedených v odstavci 1 jimi nebo jim poskytnutých (dále jen "registr"); v registru Ministerstva zahraničních věcí se vedou též utajované informace, které se poskytují jeho prostřednictvím podle § 78 odst. 1. Zřízení registru schvaluje Úřad na základě písemné žádosti orgánu státu, právnické osoby nebo podnikající fyzické osoby; to neplatí pro zpravodajské služby. Úřad je oprávněn před vydáním souhlasu provést kontrolu skutečností uvedených v žádosti o zřízení registru, případně dalších skutečností a podmínek, souvisejících se zřízením registru.
(4) Orgán státu, právnická osoba nebo podnikající fyzická osoba mohou z důvodu zvýšení operativnosti využívání svého registru zřídit, jako jeho vnitřní složky, pomocné registry nebo kontrolní body.
(5) Neposkytne-li cizí moc nebo zahraniční partner právnické osoby nebo podnikající fyzické osoby utajovanou informaci uvedenou v odstavci 1 způsobem uvedeným v § 77 odst. 1 nebo § 78 odst. 1, orgán státu, právnická osoba nebo podnikající fyzická osoba předají poskytnutou utajovanou informaci k zaevidování v ústředním registru, nebo v případě utajované informace podle § 78 odst. 1 v registru Ministerstva zahraničních věcí, neprodleně po jejím poskytnutí.
(6) Orgán státu, právnická osoba nebo podnikající fyzická osoba oznamují Úřadu změny v registru v rozsahu stanoveném prováděcím právním předpisem.
(7) Úřad vede přehled zřízených registrů a provádí kontrolu jejich činnosti.
(8) Prováděcí právní předpis stanoví
a) organizaci a činnost ústředního registru,
b) organizaci a činnost registru, pomocného registru a kontrolního bodu,
c) náležitosti zprávy o kontrole utajovaných informací vedených v registru podle § 69 odst. 1 písm. m),
d) obsah písemné žádosti o zřízení registru,
e) podmínky zřízení, obsah a způsob vedení registru a
f) rozsah změn v registru, oznamovaných Úřadu.