Kdo a kdy může mít přístup k utajované informaci

Přístup k utajovaným informacím může mít:

  1. podnikatel, který:
    • v případě utajovaných informací stupně utajení VYHRAZENÉ doloží prohlášením podnikatele svou schopnost zabezpečit ochranu utajovaných informací nebo je držitelem osvědčení podnikatele (stupně utajení DŮVĚRNÉ, TAJNÉ, PŘISNĚ TAJNÉ),
    • v případě utajované informace stupně utajení DŮVĚRNÉ, TAJNÉ nebo PŘÍSNÉ TAJNÉ je držitelem platného osvědčení podnikatele odpovídajícího nebo vyššího stupně,
  2. podnikatelský subjekt, kterému bylo uznáno bezpečnostní oprávnění vydané úřadem cizí moci (§ 62 zákona),
  3. podnikatel, kterému byl udělen souhlas s jednorázovým přístupem k utajované informaci (§ 59 zákona),
  4. podnikatel, který není držitelem osvědčení podnikatele potřebného stupně utajení nebo nemá přístup k utajovaným informacím stupně utajení Vyhrazené, a to pokud plní úkoly v období rostoucího mezinárodního napětí nebo  v rámci účasti České republiky v ozbrojeném konfliktu v zahraničí, v záchranné nebo humanitární akci v zahraničí nebo v rámci vyhlášeného válečného stavu, stavu ohrožení státu, nouzového stavu, stavu nebezpečí nebo stavu kybernetického nebezpečí  (§ 60 zákona).
  5. podnikatel v případě, že mu zanikla platnost osvědčení z důvodu uvedeného v § 56 odst. 1 písm. a) zákona - uplynutím doby platnosti, a to do doby vydání rozhodnutí o žádosti podle § 96 odst. 3, nejdéle však po dobu 12 měsíců od uplynutí doby platnosti osvědčení, pokud byla žádost podána v době, kdy byl vyhlášen krizový stav pro celé území České republiky nebo byl-li krizový stav vyhlášen v průběhu řízení o této žádosti (§ 60a zákona).

 

Ad 1) 

 Přístup k utajované informaci stupně utajení VyhrazenéPřístup k utajované informaci stupně utajení Důvěrné nebo Tajné nebo Přísně tajné
Typ dokumentu nebo veřejné listiny Prohlášení podnikatele Osvědčení
Osvědčení

Ad 2)

Přístup k utajované informaci na základě uznání bezpečnostního oprávnění vydaného úřadem cizí moci (§ 62 zákona)

Na základě žádosti podnikatelského subjektu může Úřad uznat bezpečnostní oprávnění vydané úřadem cizí moci. Žádost lze podat i prostřednictvím úřadu cizí moci, který má v působnosti ochranu utajovaných informací. Jedná se o případy, kdy to umožňuje mezinárodní smlouva, kterou je ČR vázána, nebo kdy je uznání v souladu se zahraničně politickými a bezpečnostními zájmy ČR. Na toto uznání není právní nárok.

K žádosti je nutné přiložit úřední překlad bezpečnostního oprávnění nebo jeho ověřenou kopii; tyto doklady se nevyžadují, je-li žádost podána prostřednictvím úřadu cizí moci, který má v působnosti ochranu utajovaných informací, pokud tento na žádosti potvrdí, že podnikatelský subjekt je držitelem příslušného bezpečnostního oprávnění.

Žádost musí obsahovat také důvod, proč má být uznání provedeno, a dobu, na jakou má být provedeno.

Ad 3)

Jednorázový přístup k utajované informaci (§ 59, § 61 zákona)

Úřad může ve výjimečných a odůvodněných případech vydat souhlas s jednorázovým přístupem k utajované informaci o jeden stupeň vyšším, než na který je vydáno platné osvědčení podnikatele, nejdéle však na dobu 6 měsíců a pouze pro formu přístupu podnikatele, která spočívá pouze v tzv. seznamování se s utajovanou informací, tzn., že utajovaná informace není podnikateli předávána a podnikatel se s ní pouze seznámí např. u zadavatele zakázky; jednorázový přístup nelze umožnit k utajované informaci stupně utajení PŘÍSNĚ TAJNÉ. Jednorázový přístup tedy může být udělen pouze pro přístup k utajované informaci stupně utajení Tajné.

Žádost o jednorázový přístup je vždy písemná, podepisuje ji odpovědná osoba podnikatele a obsahuje zdůvodnění potřeby jednorázového přístupu, označení oblasti utajovaných informací, ke kterým má být přístup umožněn a požadovanou dobu jednorázového přístupu. Přílohou žádosti musí být kopie osvědčení podnikatele a písemný souhlas poskytovatele utajované informace s vydáním souhlasu s jednorázovým přístupem. Témuž podnikateli lze souhlas udělit jen jednou a není na něj právní nárok. V kladném případě je souhlas vydán nejpozději do 5 dnů ode dne doručení žádosti.

K utajované informaci cizí moci lze jednorázový přístup umožnit pouze v souladu s požadavky této cizí moci.

 Ad 4)

Přístup k utajované informaci v případě plnění úkolů v období rostoucího mezinárodního napětí nebo v rámci účasti České republiky v ozbrojeném konfliktu v zahraničí, v záchranné nebo humanitární akci v zahraničí nebo v rámci vyhlášeného válečného stavu, stavu ohrožení státu, nouzového stavu, stavu nebezpečí nebo stavu kybernetického nebezpečí  (§ 60 zákona).

1. Úvod a základní vymezení

Mimořádný přístup k utajované informaci podle § 60 zákona je nástroj umožňující v přesně vymezených a výjimečných situacích zpřístupnit utajované informace i fyzickým osobám nebo podnikatelům, kteří nejsou držiteli příslušného oprávnění v závislosti na stupni utajení utajované informace (oznámení, prohlášení, osvědčení). Tento postup je určen pouze pro případy, kdy je nezbytné rychle a efektivně řešit mimořádné situace v zájmu České republiky.

Aplikace § 60 zákona v žádném případě nenahrazuje nastavený systém a neodvrací se od nastavených principů a obecných pravidel v rámci ochrany utajovaných informací. Institut mimořádného přístupu k utajované informaci podle § 60 zákona tak neslouží k nahrazení obecných povinností subjektu umožňujícímu mimořádný přístup k utajované informaci podle § 60 zákona vytvořit si podmínky pro nakládání s utajovanými informacemi, vést a stanovit seznam míst a funkcí, na kterých je nezbytný přístup k utajované informaci, včetně míst a funkcí, na kterých je nezbytně nutný přístup k utajované informaci cizí moci. Stejně tak je povinností zajistit ochranu utajovaných informací prostřednictvím konkrétních druhů zajištění ochrany utajovaných informací v závislosti na způsobu nakládání s utajovanou informací.

2. Podmínky aplikace mimořádného přístupu

2.1 Existence výjimečných okolností

Mimořádný přístup lze umožnit pouze v mimořádných situacích, které jsou předvídány zákonem:

  • Období rostoucího mezinárodního napětí (gradující mezinárodní krize, včetně hybridních aktivit, intenzivních kampaní státních aktérů apod.).
  • Účast České republiky v ozbrojeném konfliktu v zahraničí (nikoliv však mírové či pozorovatelské mise).
  • Záchranné nebo humanitární akce v zahraničí (zejména v gesci Ministerstva vnitra a Ministerstva zahraničních věcí).
  • Vyhlášený válečný stav, stav ohrožení státu, nouzový stav a stav nebezpečí
  • Stav kybernetického nebezpečí

Ustanovení § 60 zákona taxativně stanoví mimořádné situace, ve kterých lze při splnění předvídaných podmínek poskytnout utajované informace subjektu, který nemá přístup k utajované informaci podle zákona. Výkladem nelze tento uzavřený výčet rozšiřovat. Případ období rostoucího mezinárodního napětí, který můžeme eventuálně identifikovat i v současné době, musí být též doprovázen určitými limity. Konkrétně lze fyzické osobě nebo podnikateli poskytnout utajovanou informaci podle § 60 zákona, pokud plní úkoly v období rostoucího mezinárodního napětí (např. cvičení CMX), avšak primárně je třeba nastavit systém řízení tak, aby byly k plnění takového úkolu využity fyzické osoby nebo podnikatelé, kteří podmínky pro přístup k utajované informaci podle zákona splňují. Ustanovení § 60 zákona tak lze aplikovat až jako ultima ratio.

Přístup k utajované informaci lze ve smyslu § 60 zákona udělit jen za kumulativně splněných podmínek:

  1. nacházíme se v období rostoucího mezinárodního napětí nebo v jiné mimořádné situaci vyjmenovaném v § 60 zákona,
  2. do plnění úkolů nelze primárně zapojit fyzické osoby nebo podnikatele, kteří mají přístup k utajovaným informacím na základě oznámení, prohlášení nebo osvědčení,
  3. přístup je udělen fyzické osobě nebo podnikateli plnícím úkoly, které s těmito mimořádnými situacemi souvisí.

 

2.2 Zvláštní postavení subjektu

  • Mimořádný přístup lze umožnit pouze fyzické osobě nebo podnikateli, který v dané situaci vykonává specifické činnosti nezbytné pro zabezpečení klíčových zájmů státu.
  • Typicky jde o fyzické osoby či podnikatele, jejichž zapojení je v daném místě a čase nenahraditelné a bez jejich účasti by bylo plnění zvláštních úkolů ohroženo nebo znemožněno.
  • U fyzických osob je nutné posoudit důvěryhodnost a předpoklady pro zachovávání mlčenlivosti – provádí se základní bezpečnostní screening, např. prostřednictvím referencí nebo osobní znalosti.

3. Postup při umožnění mimořádného přístupu

Poskytovatelem utajované informace bude v rámci mimořádné situace předvídané § 60 zákona zpravidla orgán státu. Stejně jako v jiných situacích za normálního provozu úkoly orgánu státu vykonávají jednotlivé fyzické osoby, které tak činí z titulu, že jsou jeho zaměstnanci, respektive na základě nastavených rolí, avšak poskytovatelem je vždy daný orgán státu (kraj, ministerstvo atd., viz § 2 písm. d) zákona).

Přístup k utajované informaci fyzické osobě bude umožňovat fyzická osoba, které byl příslušný utajovaný dokument přidělen v rámci její pracovní činnosti. Taková osoba sice může provádět též screening, avšak není to nutností, jeho provedením může být pověřená též jiná osoba z příslušného orgánu státu. Není tak důležité, kdo z orgánu státu bude screening provádět, nýbrž jak bude proveden – aby došlo k využití dostupných zdrojů v daném čase a místě, a to prostředky dostupnými pro daný orgán státu.

Definitivní rozhodnutí o umožnění přístupu k utajované informaci podle § 60 zákona však nemůže záviset na subjektivním názoru jedné fyzické osoby. Fyzická osoba, která fakticky umožní přístup k utajované informaci, tak bude postupovat v souladu s rozhodnutím orgánu státu jako takového. Paralela je daná i stávajícím fungováním orgánu státu v jiných oblastech, než je ochrana utajovaných informací, které rovněž není založeno na svévoli a subjektivním uvážení každého jednoho zaměstnance bez ohledu na jeho funkci či zařazení.

Nelze tak striktně určit, která osoba bude mít v případě nezbytné potřeby zajištění přístupu k utajované informaci podle § 60 zákona odpovědnost za jednotlivý úkon, neboť vždy bude odpovědný daný subjekt jako celek – nelze tedy určit konkrétní osobu, která bude odpovědná za jednotlivý úkon (každý subjekt může mít jinou strukturu a řízení). Plnění úkolů může být nastaveno obdobně jako v případě přístupu k utajované informaci za standardní situace, přičemž při aplikaci § 60 zákona pouze nemusí být splněna podmínka držení oznámení, prohlášení nebo osvědčení.

TEST PROPORCIONALITY

Rozhodnutí o umožnění přístupu k utajované informaci podle § 60 zákona musí předcházet test proporcionality!!!

Pokud riziko a možné následky (hrozící v případě, kdy by nebyla využita pro plnění úkolu fyzická osoba nebo podnikatel, kteří nejsou držiteli osvědčení) zjevně převyšují (nad riziky a možnými následky, které by nastaly v případě umožnění přístupu pouze fyzické osobě nebo podnikateli, kteří mají přístup k utajované informaci na základě osvědčení), potom lze umožnit zvláštní přístup podle § 60 zákona.

Významné je zejména časové hledisko, které bude rozhodujícím faktorem, neboť operativa bude v krizových situacích pro taková rozhodnutí klíčová.

3.1 Posouzení důvěryhodnosti

  • U fyzických osob musí poskytovatel utajované informace operativně ověřit důvěryhodnost (např. reference od zaměstnavatele, osobní znalost, záruka od důvěryhodné autority).
  • Pokud existuje jakákoliv pochybnost o důvěryhodnosti osoby, přístup k utajované informaci nesmí být umožněn.
  • U podnikatelů se doporučuje obezřetnost a v případě pochybností o schopnosti zajistit ochranu informací přístup neumožnit.

Co se týče rozsahu prováděného screeningu, rozhodně není cílem provádět obdobu bezpečnostního řízení. Cílem je z dostupných zdrojů (i veřejných) bez výraznější časové náročnosti prověřit, zda se jedná o subjekt, u něhož není evidentní rizikový faktor, který by mohl mít dopad na schopnost utajovat informace. Jak již bylo výše řečeno, screening nemusí provádět osoba s přístupem k utajované informaci, ale může to být jakákoli k tomu určená fyzická osoba v rámci orgánu státu.

Důvěryhodností osoby se myslí zejména absence skutečností, které by nasvědčovaly, že osoba může využít mimořádného přístupu k utajované informaci k jiným účelům, než je zákonem předpokládáno.

Je podstatné, že osoba, která „bezpečnostní screening“ provádí, nemá povinnost procházet veškeré veřejné i neveřejné zdroje, vyžádávat si výpis z rejstříku trestů a žádat o součinnost jiné správní úřady nebo jiné orgány, aby ověřila absenci těchto skutečností. Pro umožnění přístupu postačí, pokud si jich ani po zevrubném prověření není u subjektu, kterému je udělován přístup, vědoma. Takové prověření se může sestávat z osobní znalosti prověřující osoby, potažmo osobní znalosti zaměstnanců, kteří s prověřovanou osobou pracují, základního prohledání veřejných zdrojů (internet, insolvenční rejstřík, obchodní rejstřík atd.) a dále referencí zaměstnavatele nebo zárukou od důvěryhodné autority. V případě, že orgán státu dojde na základě získaných dat k závěru, že existuje pochybnost o důvěryhodnosti a schopnosti utajovat informace, nelze přístup k utajované informaci umožnit.

Osoba provádějící „screening“ tak při posouzení důvěryhodnosti pracuje zejména s osobní znalostí, základním prověřením veřejně dostupných zdrojů, referencemi od zaměstnavatele, zárukou od důvěryhodné autority apod.

Zárukou od důvěryhodné autority se konkrétně rozumí utvrzení od osoby, která má k osobě, které má být udělen mimořádný přístup, určitý kvalifikovaný vztah, a která může posoudit její důvěryhodnost. Jedná se zejména o jejího zaměstnavatele, nadřízeného nebo úřední osobu.  Zárukou může být potvrzení, že u osoby absentují skutečnosti, které by jinak nasvědčovaly o její nedůvěryhodnosti. Zároveň se musí jednat o autoritu, u které samotné není pochybnost o důvěryhodnosti. Autorita se tedy zaručí, že osoba, které je udělován mimořádný přístup, je k takovému přístupu způsobilá, respektive, že nemá informace o žádné skutečnosti, která má dopad na její důvěryhodnost.

Zákon za podnikatele považuje podnikající fyzickou osobu a právnickou osobu, jejíž hlavní činností je podnikání, blíže viz § 15 zákona. Pokud je umožněn přístup k utajované informaci podle § 60 zákona podnikateli (tedy ve smyslu § 15 zákona), tak je třeba, aby byl za podmínek v tomto ustanovení udělen přístup též fyzickým osobám, které se budou v rámci tohoto podnikatele seznamovat s utajovanou informací. Bude se jednat typicky o zaměstnance plnící úkoly pro podnikatele, kterému má být přístup podle § 60 zákona umožněn. Tyto fyzické osoby tak musí být prověřeny tzv. screeningem a poučeny podle § 60 zákona, neboť podnikatel bude mít přístup k utajovaným informacím reálně prostřednictvím svých zaměstnanců.

Přestože to zákon výslovně nevyžaduje, NBÚ jedině doporučuje screeningem prověřit též podnikatele jako takového a vyloučit tak existenci zjevné pochybnosti o zajištění ochrany utajovaných informací. Takový screening doporučujeme provádět obdobně jako u fyzických osob, tedy z dostupných zdrojů a dostupnými prostředky v daném místě a čase. U podnikatele lze doporučit provádět screening i některých fyzických osob, zejména těch, které se podílí na řízení takového podnikatele a vystupují jeho jménem. Současně pak bude nezbytné prověřit konkrétní fyzickou osobu, která se bude s utajovanou informací seznamovat, pokud jí bude též umožněn přístup podle § 60 zákona, respektive nebude již držitelem oznámení nebo osvědčení fyzické osoby.

3.2 Poučení a dokumentace

  • Fyzická osoba musí být před zpřístupněním utajované informace poučena podle vzoru doporučeného poučení - zde nebo podle vzoru poučení uvedeného v příloze č. 3 k vyhlášce č. 300/2024 Sb., o personální bezpečnosti a o bezpečnostní způsobilosti.
  • Poučení se provádí písemně, v odůvodněných případech (např. nebezpečí z prodlení) lze nahradit ústním seznámením.
  • O mimořádném přístupu je povinné vyhotovit datovaný písemný záznam obsahující podstatné okolnosti, identifikaci osob a utajovaných informací, případně skutečnost, že bylo provedeno ústní poučení. Vzor písemného záznamu není stanoven právním předpisem. Pro Vaše případné využití je vzor doporučeného písemného záznamu - zde.
  • Jakmile to okolnosti dovolí, je třeba tento záznam spolu s originálem písemného poučení (pokud nebylo učiněno pouze ústní poučení) zaslat NBÚ.

Obecně platí, že při každém přístupu k utajované informaci je třeba fyzickou osobu znovu poučit, sepsat záznam o přístupu a odeslat je NBÚ. Každý přístup k jednotlivé „nové“ utajované informaci představuje nový přístup ve smyslu § 60 zákona a je tak třeba u něj postupovat podle zákona – tedy provést poučení a písemný záznam a odeslat je NBÚ. Pokud půjde o poskytnutí vícero utajovaných informací v téže věci stejné fyzické osobě nebo podnikateli, potom lze záznam spojit pro všechny tyto utajované informace (např. na konci cvičení CMX), ovšem za podmínky, že přístup nebude umožněn s výraznou časovou prodlevou, neboť záznam by se měl zaslat NBÚ neprodleně.

3.3 Specifika pro podnikatele

  • U podnikatelů je odpovědná osoba povinna vyhotovit písemný záznam a neprodleně jej doručit NBÚ. Vzor písemného záznamu není stanoven právním předpisem. Pro Vaše případné využití je vzor doporučeného písemného záznamu - zde

4. Omezení a zásady

  • Mimořádný přístup není právně vymahatelný – nelze se jej domáhat a případné odmítnutí nemusí být zdůvodněno.
  • Zásada „need to know“ platí i v těchto případech – přístup je umožněn pouze v nezbytném rozsahu a jen těm, kdo jej skutečně potřebují k plnění konkrétního úkolu.
  • Přístup podle § 60 zákona k utajované informaci stupně utajení Přísně tajné nelze umožnit podnikateli.
  • Přístup podle § 60 zákona k utajované informaci stupně utajení Přísně tajné lze umožnit fyzické osobě, pouze pokud je držitelem platného osvědčení pro přístup k utajované informaci stupně utajení Tajné a je poučena.
  • Přístup podle § 60 zákona nelze umožnit podnikateli k utajované informaci, na kterou se vztahuje zvláštní režim nakládání (např. KRYPTO, ATOMAL).
  • V rámci přístupu podle § 60 zákona nelze vykonávat citlivou činnost.
  • Odpovědnost za správnost a zákonnost postupu nese ten, kdo přístup umožňuje (typicky orgán státu).

5. Praktický postup krok za krokem

Krok Popis
1 Identifikace mimořádné situace (krizový stav, ozbrojený konflikt, humanitární akce apod.)
2 Posouzení nezbytnosti mimořádného přístupu pro konkrétní fyzickou osobu/podnikatele
3 Ověření důvěryhodnosti fyzické osoby (screening, reference, osobní znalost)
4 Poučení fyzické osoby o povinnostech a následcích (písemně, výjimečně ústně)
5 Vyhotovení písemného záznamu o mimořádném přístupu (identifikace osob, podstatné okolnosti)
6 Neprodlené zaslání záznamu a poučení NBÚ (pokud nejde o zpravodajskou službu)
7 U podnikatelů: povinný písemný záznam a jeho odeslání NBÚ

 

6. Důležité poznámky a doporučení

  • Každý případ mimořádného přístupu je nutné pečlivě zdokumentovat a zdůvodnit, včetně všech kroků vedoucích k rozhodnutí o zpřístupnění utajované informace.
  • Přístup k utajovaným informacím podle § 60 zákona je výjimečný a nesmí být zneužíván pro běžné provozní účely.
  • Odpovědnost za správnost postupu nese vždy orgán, který přístup umožňuje.
  • V případě pochybností doporučujeme konzultovat konkrétní situaci s NBÚ nebo právním oddělením příslušného orgánu.

Vzor doporučeného písemného záznamu pro mimořádný přístup (podnikatel) - zde