Zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti - ČÁST PÁTÁ - VÝKON STÁTNÍ SPRÁVY

ČÁST PÁTÁ

VÝKON STÁTNÍ SPRÁVY

§ 136

(1) Státní správu v oblasti ochrany utajovaných informací a bezpečnostní způsobilosti vykonává Úřad, který je ústředním správním úřadem, pokud tento zákon nestanoví jinak.

(2) V čele Úřadu je ředitel, kterého jmenuje po projednání ve výboru Poslanecké sněmovny příslušném ve věcech bezpečnosti vláda, která ho též odvolává.

(3) Ředitel Úřadu je odpovědný předsedovi vlády nebo pověřenému členovi vlády.

(4) Poskytování platu a odměn z dohod o pracích konaných mimo pracovní poměr zaměstnanců Úřadu se řídí zákoníkem práce a Platovým řádem Úřadu. Platový řád Úřadu vydává ředitel Úřadu po jeho schválení rozpočtovým výborem Poslanecké sněmovny.

§ 137

Úřad

Úřad

a) rozhoduje o žádosti fyzické osoby, žádosti podnikatele a žádosti o doklad a o zrušení platnosti osvědčení fyzické osoby, osvědčení podnikatele a dokladu a vydává osvědčení pro cizí moc, s výjimkou případů stanovených tímto zákonem [§ 140 odst. 1 písm. a) a § 141 odst. 1], a vydává osvědčení fyzické osoby podle § 56a,

b) vykonává kontrolu v oblasti ochrany utajovaných informací a bezpečnostní způsobilosti (§ 143) a metodickou činnost, s výjimkou případů stanovených tímto zákonem (§ 143 odst. 4),

c) plní úkoly v oblasti ochrany utajovaných informací v souladu se závazky vyplývajícími z členství České republiky v Evropské unii, Organizaci Severoatlantické smlouvy a z mezinárodních smluv, jimiž je Česká republika vázána, a provádí na žádost bezpečnostního úřadu členského státu Organizace Severoatlantické smlouvy, Evropské unie nebo jiného státu, se kterým má Česká republika uzavřenou mezinárodní smlouvu, který má v působnosti ochranu utajovaných informací, úkony řízení k osobě, která je v daném státě prověřována pro přístup k utajovaným informacím,

d) vede ústřední registr a schvaluje zřízení registrů v orgánech státu, u právnických osob podle § 60b a u podnikatelů,

e) ve stanovených případech povoluje poskytování utajovaných informací v mezinárodním styku,

f) vydává na základě písemné žádosti odpovědné osoby nebo bezpečnostního ředitele kurýrní listy a v odůvodněných případech zajišťuje přepravu utajovaných informací, s výjimkou utajovaných informací poskytovaných podle § 78 odst. 1,

g) provádí certifikace technického prostředku,

h) vydává bezpečnostní standardy,

i) ukládá správní tresty za nedodržení povinností stanovených tímto zákonem,

j) rozhoduje v dalších věcech a plní další úkoly na úseku ochrany utajovaných informací a bezpečnostní způsobilosti stanovené tímto zákonem,

k) vydává Věstník Úřadu, který zveřejňuje na svých internetových stránkách,

l) vede a na svých internetových stránkách zveřejňuje seznam osvědčení fyzické osoby, osvědčení podnikatele a dokladů, jejichž držitelé jsou oprávněni mít přístup k utajované informaci podle § 60a nebo vykonávat citlivou činnost nebo mít přístup k utajované informaci stupně utajení Vyhrazené podle § 80a, a

m) zajišťuje výzkum a vývoj v oblasti ochrany utajovaných informací.

§ 137a

Národní úřad pro kybernetickou a informační bezpečnost

Národní úřad pro kybernetickou a informační bezpečnost v oblasti působnosti svěřené mu tímto zákonem

a) zajišťuje zkoušky zvláštní odborné způsobilosti a vydává osvědčení o zvláštní odborné způsobilosti,

b) plní úkoly v souladu se závazky vyplývajícími z členství České republiky v Evropské unii, Organizaci Severoatlantické smlouvy a z mezinárodních smluv, jimiž je Česká republika vázána, ve vybraných oblastech ochrany utajovaných informací,

c) vykonává metodickou činnost,

d) zajišťuje činnost Národního střediska komunikační bezpečnosti, Národního střediska pro distribuci kryptografického materiálu, Národního střediska pro měření kompromitujícího vyzařování a Národního střediska pro bezpečnost informačních systémů, které jsou jeho součástí,

e) provádí certifikace a akreditace informačního systému, certifikace kryptografického prostředku, kryptografického pracoviště a stínící komory a schvaluje projekt bezpečnosti komunikačního systému,

f) zajišťuje výzkum, vývoj a výrobu národních kryptografických prostředků,

g) vyvíjí a schvaluje národní šifrové algoritmy a vytváří národní politiku kryptografické ochrany,

h) zjišťuje kompromitující vyzařování tam, kde se vyskytují nebo budou vyskytovat utajované informace,

i) zjišťuje v součinnosti se zpravodajskými službami a policií, zda v jednací oblasti nedochází nedovoleným použitím technických prostředků určených k získávání informací k ohrožení nebo únikům utajovaných informací,

j) vydává bezpečnostní standardy,

k) ukládá správní tresty za nedodržení povinností stanovených tímto zákonem,

l) rozhoduje v dalších věcech a plní další úkoly na úseku ochrany utajovaných informací stanovené tímto zákonem,

m) vede a na svých internetových stránkách zveřejňuje seznam certifikátů informačního systému, kryptografického prostředku, kryptografického pracoviště a stínicí komory, jejichž platnost zanikla podle § 48 odst. 4 písm. b) a d), § 49 odst. 5 písm. b), § 50 odst. 4 písm. b) a d) nebo § 51 odst. 4 písm. b) a d),

n) provádí analýzu a monitoring hrozeb, které mohou ohrozit způsobilost informačního nebo komunikačního systému nakládat s utajovanými informacemi, a zvýšení rizika využití těchto hrozeb a

o) zajišťuje výzkum a vývoj v oblasti ochrany utajovaných informací.

§ 138

(1) Úřad je při plnění úkolů podle tohoto zákona oprávněn

a) zpracovávat osobní údaje v rozsahu nezbytném pro plnění úkolů podle tohoto zákona,

b) vést evidenci porušení ochrany utajovaných informací, evidenci bezpečnostních ředitelů, evidenci fyzických osob a podnikatelů, kteří mají přístup k utajovaným informacím, s výjimkou příslušníků a zaměstnanců zařazených do zpravodajských služeb a vybraných policistů, evidenci fyzických osob, které jsou držiteli dokladu,

c) požadovat bezplatně poskytnutí informace u orgánu státu, právnické osoby nebo podnikající fyzické osoby a tyto informace využívat a evidovat,

d) pro účely řízení požadovat od policie a zpravodajských služeb informace získané postupy podle zvláštního právního předpisu⁴³),

e) vyžadovat opis z evidence Rejstříku trestů¹¹) a z evidence přestupků vedené Rejstříkem trestů; žádost o vydání opisu z evidence Rejstříku trestů a z evidence přestupků a opis z evidence Rejstříku trestů a z evidence přestupků se předávají v elektronické podobě, a to způsobem umožňujícím dálkový přístup,

f) nahlížet do trestních a soudních spisů a dále do spisů vedených jiným orgánem veřejné moci v rámci výkonu jeho působnosti a pořizovat si z nich výpisy a kopie,

g) poskytovat v nezbytném rozsahu orgánu státu, právnické osobě nebo podnikající fyzické osobě potřebné osobní údaje vztahující se k vyžádané informaci,

h) uzavírat smlouvu s orgánem státu nebo podnikatelem k provádění dílčích úloh při certifikaci technických prostředků,

i) uchovávat ve svých informačních systémech údaje získané v rámci plnění úkolů podle tohoto zákona,

j) při provádění řízení spolupracovat s úřadem cizí moci, který má v působnosti ochranu utajovaných informací, zejména vyžadovat informace k účastníku řízení,

k) vyjadřovat se k oznámení podle § 69 odst. 1 písm. r) ve lhůtě 30 dnů ode dne jeho doručení a poskytovat přehled těchto oznámení a vyjádření k nim Úřadu pro ochranu hospodářské soutěže a

l) pro rozhodování zpravodajské služby podle § 140 odst. 1, na základě její písemné žádosti, provádět úkony podle § 107 odst. 1.

(2) Zpravodajská služba může nahlížení do svých spisů podle odstavce 1 písm. f) odmítnout. Nahlížení do spisů uvedených v odstavci 1 písm. f) lze dále odmítnout, pokud by jejich zpřístupnění ohrozilo důležitý zájem sledovaný orgánem veřejné moci, který spis vede, přičemž po odpadnutí důvodu odmítnutí orgán veřejné moci spis k nahlížení Úřadu zpřístupní. Z nahlížení je vyloučen bezpečnostní svazek vedený podle § 124.

(3) Úřad poskytuje

a) zpravodajským službám a Ministerstvu vnitra jedenkrát měsíčně seznam

1. osvědčení fyzických osob, osvědčení podnikatelů a dokladů s uvedením informace o datu platnosti a datu zániku jejich platnosti,

2. osob, u kterých rozhodl o nevydání veřejné listiny uvedené v bodu 1 nebo kterým byla platnost této listiny zrušena, a

3. podnikatelů, k nimž obdržel podle § 15a odst. 2 nebo 3 prohlášení podnikatele, a

b) policii, Generální inspekci bezpečnostních sborů, Generálnímu ředitelství cel a Vojenské policii jedenkrát měsíčně seznam podle písmene a) bodů 1 a 3.

(4) Způsob ochrany informací poskytovaných podle odstavce 3 písm. b), jejich poskytování a podmínky dalšího nakládání se stanoví dohodou mezi Úřadem a orgány uvedenými v odstavci 3 písm. b).

(5) Úřad vydá zaměstnanci služební průkaz, který osvědčuje, že jeho držitel je zaměstnancem Úřadu; vzor služebního průkazu stanoví prováděcí právní předpis.

(6) Národní úřad pro kybernetickou a informační bezpečnost je při plnění úkolů podle tohoto zákona oprávněn k činnostem podle odstavce 1 písm. a), c), g) a i), a dále je oprávněn

a) vést evidenci fyzických osob, které jsou držiteli osvědčení o zvláštní odborné způsobilosti, evidenci porušení ochrany utajovaných informací a evidenci pracovníků kryptografické ochrany a kurýrů kryptografického materiálu,

b) uzavírat smlouvu s orgánem státu nebo podnikatelem k provádění dílčích úloh při certifikaci informačních systémů, kryptografických prostředků, kryptografického pracoviště, stínících komor, k provádění školení zvláštní odborné způsobilosti pracovníků kryptografické ochrany a zjišťování možnosti výskytu kompromitujícího vyzařování tam, kde se utajované informace budou vyskytovat, a provádět výrobu kryptografických prostředků a

c) vést certifikační spis informačního systému, kryptografického prostředku, kryptografického pracoviště a stínící komory, vést seznam kontrolovaných kryptografických položek a vést dokumentaci pro provádění činností podle § 45.

§ 138b

Spolupráce Úřadu a Národního úřadu pro kybernetickou a informační bezpečnost

Národní úřad pro kybernetickou a informační bezpečnost předá bez zbytečného odkladu Úřadu oznámení, které obdržel podle § 34 odst. 6, § 43 odst. 2 nebo § 69 odst. 1 písm. f) a h).

§ 138c

Ministerstvo vnitra, policie, Generální inspekce bezpečnostních sborů, Generální ředitelství cel a Vojenská policie oznámí neprodleně Úřadu okolnosti nasvědčující tomu, že držitel osvědčení fyzické osoby, držitel osvědčení podnikatele nebo držitel dokladu přestal splňovat podmínky pro jeho vydání.

§ 139

Vláda stanoví nařízením katalog oblastí utajovaných informací. Katalog oblastí utajovaných informací stanoví jeden nebo více stupňů utajení, kterými lze klasifikovat utajovanou informaci.

§ 140

Zpravodajské služby

(1) Zpravodajské služby

a) rozhodují o žádosti fyzické osoby v případě svých příslušníků, zaměstnanců a uchazečů o přijetí do služebního poměru nebo základního pracovněprávního vztahu, s výjimkou uchazečů o přijetí do služebního poměru nebo základního pracovněprávního vztahu, kteří jsou držiteli osvědčení fyzické osoby alespoň pro požadovaný stupeň utajení, a o zrušení platnosti osvědčení této fyzické osoby a vydávají osvědčení fyzické osoby podle § 56a a osvědčení fyzické osoby pro cizí moc podle § 57; za fyzickou osobu se považuje též osoba, která žádá o zařazení do aktivní zálohy, bývalý voják z povolání, který má být zařazen do aktivní zálohy, a voják v aktivní záloze, pokud mají vykonávat službu ve služebním zařazení u Vojenského zpravodajství a nejsou zároveň držiteli osvědčení fyzické osoby vydaného Úřadem,

b) na základě písemné žádosti Úřadu v rámci své působnosti provádí šetření podle tohoto zákona.

(2) Zpravodajské služby mají při rozhodování podle odstavce 1 písm. a) postavení Úřadu a odpovědná osoba zpravodajské služby postavení ředitele Úřadu. Příslušnost k úkonům se řídí podle § 5 zákona č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších předpisů.

(3) Zpravodajské služby jsou při plnění úkolů podle tohoto zákona povinny oznámit neprodleně Úřadu, zjistí-li okolnosti nasvědčující tomu, že držitel osvědčení fyzické osoby, držitel osvědčení podnikatele nebo dokladu přestal splňovat podmínky pro jejich vydání, neohrozí-li to zájem sledovaný zpravodajskou službou.

(4) Zpravodajské služby jsou při plnění úkolů podle tohoto zákona oprávněny

a) používat prostředky k získávání informací podle zvláštních právních předpisů⁴⁴),

b) využívat údaje ze svých evidencí a údaje z evidencí poskytnutých Úřadem,

c) požadovat a využívat údaje z evidencí a materiálů vzniklých z činnosti bezpečnostních a vojenských orgánů československého státu,

d) zpracovávat osobní údaje,

e) vést evidence,

f) požadovat bezúplatně informace u orgánu státu, právnické osoby nebo podnikající fyzické osoby a využívat je,

g) vyžadovat opis a výpis z evidence Rejstříku trestů¹¹) a opis z evidence přestupků; žádost o vydání opisu nebo výpisu z evidence Rejstříku trestů nebo opisu z evidence přestupků a opis nebo výpis z evidence Rejstříku trestů nebo opis z evidence přestupků se předávají v listinné podobě, popřípadě elektronické podobě, a to způsobem umožňujícím dálkový přístup,

h) uchovávat v informačních systémech údaje získané v rámci plnění úkolů podle tohoto zákona,

i) provádět opatření k evidenční ochraně osobních údajů fyzické osoby,

j) využívat údaje z evidence osob, kterým byl umožněn přístup k utajovaným informacím podle § 58 odst. 4,

k) v souvislosti s postupem podle odstavce 1 písm. a) požadovat další informace nad rámec položek dotazníku podle § 95 odst. 1 v rozsahu nezbytném pro ověřování podmínek pro vydání osvědčení fyzické osoby a

l) nahlížet do trestních a soudních spisů a dále do spisů vedených jiným orgánem veřejné moci v rámci výkonu jeho působnosti a pořizovat si z nich výpisy a kopie.

(5) Zpravodajská služba může nahlížení do svých spisů podle odstavce 4 písm. l) odmítnout. Nahlížení do spisů uvedených v odstavci 4 písm. l) lze dále odmítnout, pokud by jejich zpřístupnění ohrozilo důležitý zájem sledovaný orgánem veřejné moci, který spis vede, přičemž po odpadnutí důvodu odmítnutí orgán veřejné moci spis k nahlížení zpravodajské službě zpřístupní. Z nahlížení je vyloučen bezpečnostní svazek vedený podle § 124.

(6) Orgán veřejné správy, který je správcem informačního systému, v němž jsou zpracovávány příslušné osobní údaje, je povinen poskytnout zpravodajským službám součinnost potřebnou k provedení opatření podle odstavce 4 písm. i).

(7) Ředitel zpravodajské služby vydává souhlas podle § 59 odst. 3.

(8) V řízení podle odstavce 1 písm. a) se ustanovení § 105 odst. 6 věty čtvrté, § 105 odst. 7, § 112, 114 a 120 použijí přiměřeně.

(9) Zpravodajská služba může usnesením řízení

a) přerušit, pokud je jí odmítnuto nahlížení do spisu podle odstavce 5, nebo

b) zastavit, pokud odpadl důvod řízení podle odstavce 1 písm. a) z důvodu nepříslušnosti a žádost fyzické osoby nebyla vzata zpět.

(10) Je-li to nezbytné z důvodu ohrožení činnosti při plnění úkolů v působnosti zpravodajské služby podle jiného zákona⁵⁶), může zpravodajská služba používat při ochraně utajovaných informací zvláštní postupy v oblasti administrativní bezpečnosti, fyzické bezpečnosti, bezpečnosti informačních nebo komunikačních systémů a kryptografické ochrany. Zvláštní postupy stanoví vláda; návrh zvláštních postupů předkládá vládě zpravodajská služba prostřednictvím příslušného člena vlády, a to se stanoviskem Úřadu, a jde-li o zvláštní postupy v oblasti bezpečnosti informačních nebo komunikačních systémů a kryptografické ochrany Národního úřadu pro kybernetickou a informační bezpečnost. Použitím zvláštních postupů nesmí být ohrožena ochrana utajovaných informací. Zvláštní postupy nelze používat při nakládání s utajovanými informacemi Evropské unie a Organizace Severoatlantické smlouvy a utajovanými informacemi vyžadujícími zvláštní režim nakládání.

§ 141

Ministerstvo vnitra a policie

(1) Ministerstvo vnitra rozhoduje o žádosti fyzické osoby v případě příslušníků policie vybraných v zájmu plnění závažných úkolů policie ministrem vnitra, s výjimkou příslušníků policie, kteří jsou držiteli osvědčení fyzické osoby alespoň pro požadovaný stupeň utajení, a o zrušení platnosti osvědčení fyzické osoby u těchto příslušníků policie a vydává osvědčení fyzické osoby podle § 56a a osvědčení fyzické osoby pro cizí moc podle § 57; obdobně Ministerstvo vnitra rozhoduje o žádosti fyzické osoby, která může být vybrána v zájmu plnění závažných úkolů policie ministrem vnitra.

(2) Ministerstvo vnitra má při rozhodování podle odstavce 1 postavení Úřadu a ministr vnitra postavení ředitele Úřadu.

(3) Ministerstvo vnitra je při plnění úkolů podle tohoto zákona dále povinno provádět na žádost Úřadu opatření k evidenční ochraně osobních údajů držitele osvědčení fyzické osoby nebo jeho manžela, partnera⁵²), dítěte nebo rodiče nebo osoby žijící s ním ve společné domácnosti a údajů o vozidle provozovaném nebo vlastněném těmito osobami.

(4) Při plnění úkolů podle odstavců 1 až 3 je Ministerstvo vnitra oprávněno

a) využívat údaje ze svých evidencí a údaje poskytnuté Úřadem z jeho evidencí,

b) zpracovávat osobní údaje,

c) vést evidence,

d) požadovat bezúplatně informace u orgánu státu, právnické osoby nebo podnikající fyzické osoby a využívat je,

e) vyžadovat stanovisko policie k bezpečnostní spolehlivosti vybraného příslušníka policie,

f) vyžadovat opis a výpis z evidence Rejstříku trestů¹¹) a opis z evidence přestupků; žádost o vydání opisu nebo výpisu z evidence Rejstříku trestů nebo opisu z evidence přestupků a opis nebo výpis z evidence Rejstříku trestů nebo opis z evidence přestupků se předávají v listinné podobě, popřípadě elektronické podobě, a to způsobem umožňujícím dálkový přístup,

g) nahlížet do trestních a soudních spisů a dále do spisů vedených jiným orgánem veřejné moci v rámci výkonu jeho působnosti a pořizovat si z nich výpisy a kopie.

(5) Zpravodajská služba může nahlížení do svých spisů podle odstavce 4 písm. g) odmítnout. Nahlížení do spisů uvedených v odstavci 4 písm. g) lze dále odmítnout, pokud by jejich zpřístupnění ohrozilo důležitý zájem sledovaný orgánem veřejné moci, který spis vede, přičemž po odpadnutí důvodu odmítnutí orgán veřejné moci spis k nahlížení Ministerstvu vnitra zpřístupní. Z nahlížení je vyloučen bezpečnostní svazek vedený podle § 124.

(6) Ministerstvo vnitra může usnesením řízení

a) přerušit, pokud je mu odmítnuto nahlížení do spisu podle odstavce 5, nebo

b) zastavit, pokud odpadl důvod řízení podle odstavce 1 z důvodu nepříslušnosti a žádost fyzické osoby nebyla vzata zpět.

(7) Policie se podílí v rámci své působnosti podle zvláštního právního předpisu³⁰) na plnění úkolů Ministerstva vnitra podle odstavce 1; na základě písemné žádosti Úřadu v rámci své působnosti provádí též úkony v řízení.

(8) Policie je při plnění úkolů podle tohoto zákona oprávněna využívat údaje z evidence osob, kterým byl umožněn přístup k utajovaným informacím podle § 58 odst. 4.

(9) Orgán veřejné správy, který je správcem informačního systému, v němž jsou zpracovávány příslušné osobní údaje, je povinen poskytnout Ministerstvu vnitra součinnost potřebnou k provedení opatření podle odstavce 3.

(10) Ministr vnitra vydává souhlas podle § 59 odst. 3.

§ 142

(1) Byla-li Úřadu, policii nebo zastupitelskému úřadu České republiky odevzdána nalezená písemnost podle § 65 odst. 1 nebo doklad podle § 87 odst. 2, sepíše tento orgán záznam o odevzdání, v němž nalezenou písemnost nebo doklad označí, a uvede jméno, příjmení, rodné číslo a místo trvalého pobytu osoby, která nalezenou písemnost nebo doklad odevzdala, a podrobně okolnosti, za kterých je tato osoba získala. Policie nebo zastupitelský úřad České republiky spolu se záznamem předá nalezenou písemnost nebo doklad Úřadu. Úřad doručí utajovanou informaci jejímu původci a osvědčení fyzické osoby, osvědčení podnikatele, doklad, osvědčení fyzické osoby pro cizí moc nebo osvědčení podnikatele pro cizí moc doručí tomu, na koho jsou vydány.

(2) Pro účely předání utajované informace podle odstavce 1 se příslušník policie nebo zaměstnanec pracující na zastupitelském úřadu České republiky považuje za oprávněného k přístupu k utajované informaci v rozsahu nezbytně nutném pro sepsání záznamu a jejímu doručení Úřadu.