Zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti - Hlava XI - Povinnosti při ochraně utajovaných informací

Předpis č. 412/2005 Sb.

Znění od 1. 2. 2022

412/2005 Sb. Zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti

Hlava XI

Povinnosti při ochraně utajovaných informací

§ 65

Obecné povinnosti

(1) Každý je povinen neprodleně odevzdat nalezenou utajovanou informaci nebo utajovanou informaci získanou v rozporu s tímto zákonem anebo osvědčení fyzické osoby, osvědčení podnikatele, osvědčení fyzické osoby pro cizí moc nebo osvědčení podnikatele pro cizí moc (dále jen "nalezená písemnost") Úřadu, policii nebo zastupitelskému úřadu České republiky.

(2) Každý, kdo měl nebo má přístup k utajované informaci, je povinen zachovávat o ní mlčenlivost a nesmí k ní umožnit přístup neoprávněné osobě.

(3) Každý je povinen při výkonu kontroly Úřadem plnit pokyny kontrolního pracovníka při provádění neodkladných opatření podle § 144 odst. 1.

§ 66

Povinnosti fyzické osoby, která má přístup k utajovaným informacím, a fyzické osoby, která je držitelem osvědčení fyzické osoby

(1) Fyzická osoba, která má přístup k utajovaným informacím, je povinna

a) dodržovat povinnosti při ochraně utajovaných informací,

b) odevzdat tomu, kdo osvědčení fyzické osoby vydal, do 15 dnů své osvědčení fyzické osoby, jehož platnost zanikla podle § 56 odst. 1 písm. b), f) až i), k) nebo m),

c) neprodleně písemně oznámit tomu, kdo osvědčení fyzické osoby nebo osvědčení fyzické osoby pro cizí moc vydal, ztrátu nebo odcizení svého osvědčení fyzické osoby nebo osvědčení fyzické osoby pro cizí moc,

d) neprodleně písemně oznamovat Úřadu změny údajů, které byly uvedeny v její žádosti fyzické osoby; omezení rozsahu hlášení změn, jakož i způsob a formu jejich doložení, stanoví prováděcí právní předpis,

e) neprodleně oznamovat tomu, kdo provedl její poučení podle § 9 odst. 1 nebo § 11 odst. 2, porušení povinností stanovených tímto zákonem,

f) účastnit se proškolení podle § 67 odst. 1 písm. b).

(2) Na fyzickou osobu, která je držitelem osvědčení fyzické osoby, ale nemá přístup k utajované informaci, se vztahují pouze povinnosti uvedené v odstavci 1 písm. b) až d).

§ 67

Povinnosti odpovědné osoby

(1) Odpovědná osoba je povinna zajistit

a) poučení fyzické osoby,

b) jednou ročně provedení proškolení fyzických osob, které mají přístup k utajované informaci, z právních předpisů v oblasti ochrany utajovaných informací a vést o těchto proškoleních přehledy,

c) ověřování splnění podmínek pro přístup fyzické osoby k utajované informaci stupně utajení Vyhrazené,

d) schválení informačního systému do provozu a písemné oznámení této skutečnosti Národnímu úřadu pro kybernetickou a informační bezpečnost,

e) pověření fyzické osoby k výkonu kryptografické ochrany,

f) neprodlené písemné oznámení Úřadu o tom, že před vydáním osvědčení fyzické osoby nebo rozhodnutí podle § 121 odst. 2 pominuly skutečnosti, kterými byla žádost fyzické osoby odůvodněna,

g) neprodlené písemné oznámení Úřadu o skončení služebního poměru nebo pracovněprávního, členského či obdobného vztahu, ve kterém byl fyzické osobě umožněn přístup k utajované informaci stupně utajení Přísně tajné, Tajné nebo Důvěrné; tato povinnost se nevztahuje na odpovědnou osobu zpravodajské služby nebo Ministerstva vnitra v případech příslušníků policie podle § 141 odst. 1,

h) kontrolu dodržování dalších povinností stanovených tímto zákonem.

(2) K výkonu povinností stanovených odpovědné osobě v § 21 odst. 5, § 23 odst. 1 písm. b), § 59 odst. 1, § 60 odst. 5, § 63 odst. 1 a 4, § 70 odst. 5 a v § 77 odst. 2 nelze pověřit jinou osobu.

§ 68

Povinnosti podnikatele, který je držitelem osvědčení podnikatele

Podnikatel, který je držitelem osvědčení podnikatele, je povinen

a) odevzdat Úřadu do 15 dnů osvědčení podnikatele, jehož platnost zanikla podle § 56 odst. 1 písm. b), f), g), l) nebo n),

b) neprodleně písemně oznámit Úřadu ztrátu nebo odcizení osvědčení podnikatele nebo osvědčení podnikatele pro cizí moc,

c) neprodleně písemně oznamovat Úřadu změny údajů uvedených podle § 97 písm. a), b) nebo p) anebo § 98 písm. c) v dotazníku podnikatele a v jeho bezpečnostní dokumentaci; omezení rozsahu hlášení změn, jakož i způsob a formu jejich doložení, stanoví prováděcí právní předpis,

d) písemně oznamovat Úřadu každoročně ke dni, který se svým označením shoduje se dnem vydání osvědčení podnikatele, změny údajů uvedených v žádosti podnikatele podle § 96; omezení rozsahu hlášení změn a formu jejich doložení stanoví prováděcí právní předpis,

e) zabezpečit ochranu utajovaných informací při zániku platnosti osvědčení podnikatele,

f) zaslat Úřadu rozhodnutí o schválení projektu přeměny podle zákona o přeměnách obchodních společností a družstev28a) do 15 dnů ode dne jeho přijetí.

§ 68a

Povinnosti podnikatele, který učinil prohlášení podnikatele

Podnikatel, který učinil prohlášení podnikatele, je povinen

a) vést bezpečnostní dokumentaci podnikatele v rozsahu § 98 písm. c) a d) a na vyžádání poskytovatele vyhrazené informace mu ji poskytnout,

b) zabezpečit ochranu utajovaných informací při zániku přístupu k utajované informaci,

c) zaslat prohlášení podnikatele Úřadu podle § 15a odst. 3,

d) oznámit podle § 15a odst. 4 písemně Úřadu nebo poskytovateli vyhrazené informace ukončení přístupu k ní nebo podle § 15a odst. 6 zánik platnosti prohlášení podnikatele,

e) postupovat obdobně podle § 56 odst. 2 při zániku platnosti prohlášení podnikatele z důvodů uvedených v § 15a odst. 5,

f) učinit a neprodleně předat poskytovateli vyhrazené informace, nebo v případě § 15a odst. 3 Úřadu, nové prohlášení podnikatele, pokud i po zániku platnosti původního prohlášení podnikatele podle § 15a odst. 5 písm. a) nebo f) i nadále nezbytně potřebuje přístup k utajované informaci stupně utajení Vyhrazené.

§ 69

Povinnosti právnické osoby a podnikající fyzické osoby, které mají přístup k utajované informaci, a orgánu státu

(1) Právnická osoba a podnikající fyzická osoba, které mají přístup k utajované informaci, a orgán státu jsou povinni

a) zajistit ochranu utajovaných informací podle tohoto zákona a mezinárodních smluv,

b) zpracovávat a vést přehled míst nebo funkcí, na kterých je nezbytné mít přístup k utajovaným informacím včetně utajovaných informací Evropské unie, Organizace Severoatlantické smlouvy a utajovaných informací vyžadujících zvláštní režim nakládání, s uvedením stupně utajení, nebo které nelze vykonávat bez osvědčení o zvláštní odborné způsobilosti podle tohoto zákona (§ 39); tím nejsou dotčena ustanovení zvláštních právních předpisů na úseku odborné způsobilosti29),

c) neprodleně písemně oznámit Úřadu skutečnost, která může mít vliv na vydání nebo na platnost osvědčení fyzické osoby nebo osvědčení podnikatele,

d) zajistit vytvoření podmínek pro označování, evidenci, zapůjčování, ukládání, přepravu, další manipulaci a vyřazování utajované informace a utajované informace se zvláštním režimem nakládání v souladu s prováděcím právním předpisem,

e) provozovat jen informační systém, který je certifikován Národním úřadem pro kybernetickou a informační bezpečnost a písemně schválen do provozu,

f) zastavit provoz informačního systému, který nesplňuje podmínky stanovené v certifikační zprávě, a zajistit ochranu utajované informace v něm a o těchto skutečnostech informovat Národní úřad pro kybernetickou a informační bezpečnost,

g) provozovat jen komunikační systém, jehož projekt bezpečnosti byl schválen Národním úřadem pro kybernetickou a informační bezpečnost,

h) zastavit provoz komunikačního systému, který nesplňuje podmínky stanovené v projektu bezpečnosti komunikačního systému, a o této skutečnosti informovat Národní úřad pro kybernetickou a informační bezpečnost,

i) používat pro kryptografickou ochranu jen prostředek, který je certifikován Národním úřadem pro kybernetickou a informační bezpečnost, a používat kryptografické pracoviště jen k účelu, ke kterému bylo certifikováno a schváleno do provozu,

j) vést evidenci fyzických osob, které mají přístup k utajované informaci, a evidenci případů neoprávněného nakládání s utajovanou informací,

k) hlásit porušení povinnosti při ochraně utajované informace nebo povinnosti uložené mezinárodní smlouvou v oblasti ochrany utajovaných informací a přijetí opatření k odstranění příčin a nepříznivých následků porušení Úřadu; tato povinnost se nevztahuje na zpravodajské služby v případech podle § 140 odst. 1 písm. a) a na Ministerstvo vnitra v případech podle § 141 odst. 1, s výjimkou případů porušení ochrany utajovaných informací Organizace Severoatlantické smlouvy nebo Evropské unie,

l) zřídit registr poskytovaných utajovaných informací (§ 79) a hlásit změny v něm Úřadu v rozsahu stanoveném prováděcím právním předpisem,

m) provést kontrolu utajovaných informací vedených v registru utajovaných informací k 31. prosinci kalendářního roku a zprávu o jejím výsledku zaslat Úřadu do 15. února následujícího kalendářního roku spolu s uvedením počtu utajovaných informací a jejich stupňů utajení; zpravodajské služby zasílají zprávu o utajovaných informacích poskytnutých ústředním registrem a registrem vedeným Ministerstvem zahraničních věcí podle § 78 odst. 1,

n) předat utajovanou informaci poskytnutou cizí mocí nebo zahraničním partnerem právnické osoby nebo podnikající fyzické osoby k zaevidování Úřadu nebo Ministerstvu zahraničních věcí podle § 79 odst. 5,

o) zasílat v případech stanovených tímto zákonem utajované informace cizí moci prostřednictvím ústředního registru (§ 79 odst. 2),

p) zajistit písemné pověření fyzické osoby k přístupu k utajované informaci se zvláštním režimem nakládání označené "ATOMAL",

q) jako poskytovatel vyhrazené informace neprodleně zaslat Úřadu kopii prohlášení podnikatele podle § 15a odst. 2,

r) jako zadavatel, není-li zpravodajskou službou, neprodleně písemně oznámit a doložit Úřadu doklady ke

1. skutečnosti, že bude zadávat veřejnou zakázku mimo zadávací řízení z důvodu ochrany utajovaných informací49),

2. skutečnosti, že v zadávacím řízení stanoví opatření k zajištění ochrany utajované informace50) stupně utajení Důvěrné nebo vyšší,

3. stanovení požadavku na profesní způsobilost v zadávacím řízení51) spočívající v předložení dokladu prokazujícího schopnost dodavatele zabezpečit ochranu utajovaných informací stupně utajení Důvěrné nebo vyšší nebo oprávnění ke vstupu osob dodavatele do zabezpečené oblasti kategorie Důvěrné nebo vyšší anebo jednací oblasti podle tohoto zákona, nebo

4. stanovení podmínky na uzavření smlouvy v zadávacím řízení spočívající v předložení dokladu prokazujícího schopnost dodavatele zabezpečit ochranu utajovaných informací53) stupně utajení Důvěrné nebo vyšší.

s) kontrolovat dodržování dalších povinností stanovených tímto zákonem,

t) vést evidenci kryptografického materiálu, evidenci pracovníků kryptografické ochrany, evidenci provozní obsluhy kryptografického prostředku a evidenci kurýrů kryptografického materiálu.

(2) Povinnost uvedená v odstavci 1 písm. c) se nevztahuje na zpravodajské služby v případech podle § 140 odst. 1 písm. a) a na Ministerstvo vnitra v případech podle § 141 odst. 1.

§ 70

Povinnosti při ochraně průmyslového vlastnictví

(1) Každý, kdo Úřadu průmyslového vlastnictví podává přihlášku vynálezu, užitného vzoru nebo topografie polovodičového výrobku (dále jen "přihlašovatel"), je povinen na přihlášce vyznačit návrh stupně utajení, domnívá-li se, že předmět přihlášky obsahuje utajovanou informaci. Je-li přihlašovatelem právnická osoba, uvede v přihlášce jméno, příjmení a funkci nebo postavení odpovědné osoby.

(2) Úřad průmyslového vlastnictví přihlášku podle odstavce 1 předloží Úřadu, který po vyjádření ústředního správního úřadu, do jehož oblasti věcné působnosti předmět přihlášky náleží, návrh stupně utajení potvrdí, změní nebo, neobsahuje-li předmět přihlášky utajovanou informaci, návrh zamítne; nenáleží-li předmět přihlášky do oblasti věcné působnosti žádného ústředního správního úřadu, vyjádření se nevyžaduje.

(3) Úřad potvrzení nebo změnu návrhu stupně utajení provedené podle odstavce 2 oznámí Úřadu průmyslového vlastnictví ve lhůtě 60 dnů ode dne doručení přihlášky Úřadu, popřípadě mu v téže lhůtě sdělí, že návrh stupně utajení zamítl, a přihlášku mu vrátí; v oznámení Úřad zároveň uvede, zda přihlašovatel splňuje podmínky přístupu k utajované informaci.

(4) Úřad průmyslového vlastnictví stupeň utajení oznámený podle odstavce 3 vyznačí na přihlášce a neprodleně jej oznámí přihlašovateli, který tento stupeň utajení stanoveným způsobem (§ 21 a 22) vyznačí na předmětu přihlášky; je-li přihlašovatelem nepodnikající fyzická osoba, Úřad průmyslového vlastnictví má postavení původce. Sdělení podle odstavce 3 Úřad průmyslového vlastnictví přihlašovateli neprodleně oznámí též.

(5) Obsahuje-li předmět přihlášky podle odstavce 1 utajovanou informaci a nesplňuje-li přihlašovatel podmínky přístupu k utajované informaci tohoto stupně utajení, Úřad průmyslového vlastnictví provede, je-li přihlašovatelem fyzická osoba, její poučení, a je-li přihlašovatelem právnická osoba, poučení odpovědné osoby přihlašovatele; odpovědná osoba přihlašovatele poučí všechny fyzické osoby, které v rámci právnické osoby přihlašovatele přístup k předmětu přihlášky měly nebo jej nezbytně potřebují; poučením se tyto osoby považují za osoby splňující podmínky přístupu k utajované informaci, obsažené v předmětu této přihlášky. Ustanovení § 9 odst. 1 věty poslední a § 11 odst. 2 věty třetí platí obdobně.

§ 71

Bezpečnostní ředitel

(1) Orgán státu, u kterého utajovaná informace vzniká nebo kterému je poskytnuta, a dále právnická osoba a podnikající fyzická osoba, které mají přístup k utajované informaci, jsou povinni zřídit a obsadit funkci bezpečnostního ředitele. Funkci bezpečnostního ředitele může vykonávat i odpovědná osoba sama; jinak je bezpečnostní ředitel přímo podřízen odpovědné osobě.

(2) Orgán státu, právnická osoba a podnikající fyzická osoba podle odstavce 1 jsou povinni do 15 dnů ode dne obsazení funkce bezpečnostního ředitele oznámit písemně Úřadu jméno, příjmení a rodné číslo osoby vykonávající tuto funkci.

(3) Bezpečnostní ředitel schvaluje přehled míst nebo funkcí podle § 69 odst. 1 písm. b), u nichž je vyžadován přístup k utajované informaci, a plní další povinnosti stanovené mu písemně odpovědnou osobou v rozsahu tohoto zákona, včetně povinností jí stanovených, nejde-li o případy uvedené v § 67 odst. 2; odpovědnost odpovědné osoby za ochranu utajovaných informací není jmenováním bezpečnostního ředitele dotčena. Povinnost schválit přehled míst nebo funkcí podle § 69 odst. 1 písm. b) bezpečnostním ředitelem se nevztahuje na zpravodajské služby.

(4) Funkci bezpečnostního ředitele může vykonávat pouze fyzická osoba, která splňuje podmínky přístupu k utajovaným informacím takového stupně utajení, ke kterým bude mít při výkonu této funkce přístup. U podnikatele musí fyzická osoba ve funkci bezpečnostního ředitele být držitelem osvědčení fyzické osoby pro přístup k utajované informaci nejméně takového stupně utajení, pro který má podnikatel vydané osvědčení.

(5) Funkci bezpečnostního ředitele nelze vykonávat u více orgánů státu nebo podnikatelů souběžně.

§ 72

Personální projekt

(1) Ministerstva a další ústřední správní úřady každoročně zpracovávají personální projekt.

(2) Personální projekt obsahuje

a) zhodnocení stavu v personální bezpečnosti za uplynulý rok a

b) předpokládaný počet fyzických osob, u kterých bude nutné v následujícím roce provést řízení podle § 92 písm. a), a to s rozlišením podle stupňů utajení.

(3) Personální projekt zasílají ministerstva a další ústřední správní úřady Úřadu vždy do 31. července příslušného kalendářního roku.

(4) Personální projekty předloží Úřad spolu se svým vyjádřením vládě vždy do 30. listopadu příslušného kalendářního roku ke schválení.

Skrýt změny zákona Legenda text přidán text vypuštěn
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).