1. Úvod a základní vymezení
Mimořádný přístup k utajované informaci podle § 60 zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů (dále jen „zákon“), je nástroj umožňující v přesně vymezených a výjimečných situacích zpřístupnit utajované informace i fyzickým osobám nebo podnikatelům, kteří nejsou držiteli příslušného oprávnění v závislosti na stupni utajení utajované informace (oznámení, osvědčení). Tento postup je určen pouze pro případy, kdy je nezbytné rychle a efektivně řešit mimořádné situace v zájmu České republiky.
Aplikace § 60 zákona v žádném případě nenahrazuje nastavený systém a neodvrací se od nastavených principů a obecných pravidel v rámci ochrany utajovaných informací. Institut mimořádného přístupu k utajované informaci podle § 60 zákona tak neslouží k nahrazení obecných povinností subjektu umožňujícímu mimořádný přístup k utajované informaci podle § 60 zákona vytvořit si podmínky pro nakládání s utajovanými informacemi, vést a stanovit seznam míst a funkcí na kterých je nezbytný přístup k UI, včetně míst a funkcí na kterých je nezbytně nutný přístup k UI cizí moci. Stejně tak je povinností, zajistit ochranu utajovaných informací prostřednictvím konkrétních druhů zajištění ochrany utajovaných informací v závislosti na způsobu nakládání s utajovanou informací.
2. Podmínky aplikace mimořádného přístupu
2.1 Existence výjimečných okolností
Mimořádný přístup lze umožnit pouze v mimořádných situacích, které jsou předvídány zákonem:
1. Období rostoucího mezinárodního napětí (gradující mezinárodní krize, včetně hybridních aktivit, intenzivních kampaní státních aktérů apod.),
2. Účast České republiky v ozbrojeném konfliktu v zahraničí (nikoliv však mírové či pozorovatelské mise),
3. Záchranné nebo humanitární akce v zahraničí (zejména v gesci Ministerstva vnitra a Ministerstva zahraničních věcí),
4. Vyhlášený válečný stav, stav ohrožení státu, nouzový stav a stav nebezpečí,
5. Stav kybernetického nebezpečí.
Ustanovení § 60 zákona taxativně stanoví mimořádné situace, ve kterých lze při splnění předvídaných podmínek poskytnout utajované informace osobě, která nemá přístup k utajované informaci podle zákona. Výkladem nelze tento uzavřený výčet rozšiřovat. Případ období rostoucího mezinárodního napětí, který můžeme eventuálně identifikovat i v současné době, musí být též doprovázen určitými limity. Konkrétně lze fyzické osobě nebo podnikateli poskytnout utajovanou informaci podle § 60 zákona, pokud plní úkoly v období rostoucího mezinárodního napětí (např. cvičení CMX), avšak primárně je třeba nastavit systém řízení tak, aby byly k plnění takového úkolu využity fyzické osoby nebo podnikatelé, kteří podmínky pro přístup k utajované informaci podle zákona splňují. Ustanovení § 60 tak lze aplikovat až jako ultima ratio.
Přístup k utajované informaci lze ve smyslu § 60 zákona udělit jen za kumulativně splněných podmínek:
1. nacházíme se v období rostoucího mezinárodního napětí nebo v jiné mimořádné situaci vyjmenovaném v § 60 zákona,
2. do plnění úkolů nelze primárně zapojit fyzické osoby nebo podnikatele, kteří mají přístup k utajovaným informacím na základě oznámení nebo osvědčení,
3. přístup je udělen fyzické osobě nebo podnikateli, plnícím úkoly, které s těmito mimořádnými situacemi souvisí.
2.2 Zvláštní postavení subjektu
Mimořádný přístup lze umožnit pouze fyzické osobě nebo podnikateli, který v dané situaci vykonává specifické činnosti nezbytné pro zabezpečení klíčových zájmů státu.
Typicky jde o fyzické osoby či podnikatele, jejichž zapojení je v daném místě a čase nenahraditelné a bez jejich účasti by bylo plnění zvláštních úkolů ohroženo nebo znemožněno.
U fyzických osob je nutné posoudit důvěryhodnost a předpoklady pro zachovávání mlčenlivosti – provádí se základní bezpečnostní screening, např. prostřednictvím referencí nebo osobní znalosti.
3. Postup při umožnění mimořádného přístupu
Poskytovatelem utajované informace bude v rámci mimořádné situace předvídané § 60 zákona zpravidla orgán státu. Stejně jako v jiných situacích za normálního provozu úkoly orgánu státu vykonávají jednotlivé fyzické osoby, které tak činí z titulu, že jsou jeho zaměstnanci, respektive na základě nastavených rolí, avšak poskytovatelem je vždy daný orgán státu (kraj, ministerstvo atd. viz § 2 písm. d) zákona).
Přístup k utajované informaci fyzické osobě bude umožňovat fyzická osoba, které byl příslušný utajovaný dokument přidělen v rámci její pracovní činnosti. Taková osoba sice může provádět též screening, avšak není to nutností, jeho provedením může být pověřená též jiná osoba z příslušného orgánu státu. Není tak důležité, kdo z orgánu státu bude screening provádět, nýbrž jak bude proveden – aby došlo k využití dostupných zdrojů v daném čase a místě, a to prostředky dostupnými pro daný orgán státu.
Definitivní rozhodnutí o umožnění přístupu k utajované informaci podle § 60 zákona však nemůže záviset na subjektivním názoru jedné fyzické osoby. Fyzická osoba, která fakticky umožní přístup k utajované informaci, tak bude postupovat v souladu s rozhodnutím orgánu státu jako takového. Paralela je daná i stávajícím fungováním orgánu státu v jiných oblastech, než je ochrana utajovaných informací, které rovněž není založeno na svévoli a subjektivním uvážení každého jednoho zaměstnance bez ohledu na jeho funkci či zařazení.
Nelze tak striktně určit, která osoba bude mít v případě nezbytné potřeby zajištění přístupu k utajované informaci podle § 60 zákona odpovědnost za jednotlivý úkon, neboť vždy bude odpovědný daný subjekt jako celek – nelze tedy určit konkrétní osobu, která bude odpovědná za jednotlivý úkon (každý subjekt může mít jinou strukturu a řízení). Plnění úkolů může být nastaveno obdobně jako v případě přístupu k utajované informaci za standardní situace, přičemž při aplikaci § 60 zákona pouze nemusí být splněna podmínka držení oznámení nebo osvědčení.
TEST PROPORCIONALITY
Rozhodnutí o umožnění přístupu k utajované informaci podle § 60 zákona musí předcházet test proporcionality!!!
Pokud riziko a možné následky (hrozící v případě, kdy by nebyla využita pro plnění úkolu fyzická osoba nebo podnikatel, kteří nejsou držiteli osvědčení) zjevně převyšují (nad riziky a možnými následky, které by nastaly v případě umožnění přístupu pouze fyzické osobě nebo podnikateli, kteří mají přístup k utajované informaci na základě osvědčení), potom lze umožnit zvláštní přístup podle § 60 zákona.
Významné je zejména časové hledisko, které bude rozhodujícím faktorem, neboť operativa bude v krizových situacích pro taková rozhodnutí klíčová.
3.1 Posouzení důvěryhodnosti
U fyzických osob musí poskytovatel utajované informace operativně ověřit důvěryhodnost (např. reference od zaměstnavatele, osobní znalost, záruka od důvěryhodné autority).
Pokud existuje jakákoliv pochybnost o důvěryhodnosti osoby, přístup k utajované informaci nesmí být umožněn.
U podnikatelů se doporučuje obezřetnost a v případě pochybností o schopnosti zajistit ochranu informací přístup neumožnit.
Co se týče rozsahu prováděného screeningu, rozhodně není cílem provádět obdobu bezpečnostního řízení. Cílem je z dostupných zdrojů (i veřejných) bez výraznější časové náročnosti prověřit, zda se jedná o subjekt, u něhož není evidentní rizikový faktor, který by mohl mít dopad na schopnost utajovat informace. Jak již bylo výše řečeno, screening nemusí provádět osoba s přístupem k utajované informaci, ale může to být jakákoli k tomu určená fyzická osoba v rámci orgánu státu.
Důvěryhodností osoby se myslí zejména absence skutečností, které by nasvědčovaly, že osoba může využít mimořádného přístupu k utajované informaci k jiným účelům, než je zákonem předpokládáno.
Je podstatné, že osoba, která „bezpečnostní screening“ provádí, nemá povinnost procházet veškeré veřejné i neveřejné zdroje, vyžádávat si výpis z rejstříku trestů a žádat o součinnost jiné správní úřady nebo jiné orgány, aby ověřila absenci těchto skutečností. Pro umožnění přístupu postačí, pokud si jich ani po zevrubném prověření není u subjektu, kterému je udělován přístup, vědoma. Takové prověření se může sestávat z osobní znalosti prověřující osoby, potažmo osobní znalosti zaměstnanců, kteří s prověřovanou osobou pracují, základního prohledání veřejných zdrojů (internet, insolvenční rejstřík, obchodní rejstřík atd.) a dále referencí zaměstnavatele nebo zárukou od důvěryhodné autority. V případě, že orgán státu dojde na základě získaných dat k závěru, že existuje pochybnost o důvěryhodnosti a schopnosti utajovat informace, nelze přístup k utajované informaci umožnit.
Osoba provádějící „screening“ tak při posouzení důvěryhodnosti pracuje zejména s osobní znalostí, základním prověřením veřejně dostupných zdrojů, referencemi od zaměstnavatele, zárukou od důvěryhodné autority apod.
Zárukou od důvěryhodné autority se konkrétně rozumí utvrzení od osoby, která má k osobě, které má být udělen mimořádný přístup, určitý kvalifikovaný vztah, a která může posoudit její důvěryhodnost. Jedná se zejména o jejího zaměstnavatele, nadřízeného nebo úřední osobu. Zárukou může být potvrzení, že u osoby absentují skutečnosti, které by jinak nasvědčovaly o její nedůvěryhodnosti. Zároveň se musí jednat o autoritu, o které samotné není pochybnost o důvěryhodnosti. Autorita se tedy zaručí, že u osoby, které je udělován mimořádný přístup, je k takovému přístupu způsobilá, respektive, že nemá informace o žádné skutečnosti, která má dopad na její důvěryhodnost.
Zákon za podnikatele považuje podnikající fyzickou osobu a právnickou osobu jejíž hlavní činností je podnikání, blíže viz § 15 zákona. Pokud je umožněn přístup k utajované informaci podle § 60 zákona podnikateli (tedy ve smyslu § 15 zákona), tak je třeba, aby byl za podmínek v tomto ustanovení udělen přístup též fyzickým osobám, které se budou v rámci tohoto podnikatele seznamovat s utajovanou informací. Bude se jednat typicky o zaměstnance plnící úkoly pro podnikatele, kterému má být přístup podle § 60 zákona umožněn. Tyto fyzické osoby tak musí být prověřeny tzv. screeningem a poučeny podle § 60 zákona, neboť podnikatel bude mít přístup k utajovaným informacím reálně prostřednictvím svých zaměstnanců.
Přestože to zákon výslovně nevyžaduje, NBÚ jedině doporučuje screeningem prověřit též podnikatele jako takového a vyloučit tak existenci zjevné pochybnosti o zajištění ochrany utajovaných informací. Takový screening doporučujeme provádět obdobně jako u fyzických osob, tedy z dostupných zdrojů a dostupnými prostředky v daném místě a čase. U podnikatele lze doporučit provádět screening i některých fyzických osob, zejména těch, které se podílí na řízení takového podnikatele a vystupují jeho jménem. Současně pak bude nezbytné prověřit konkrétní fyzickou osobu, která se bude s utajovanou informací seznamovat, pokud jí bude též umožněn přístup podle § 60 zákona, respektive nebude již držitelem oznámení nebo osvědčení fyzické osoby.
3.2 Poučení a dokumentace
1. Fyzická osoba musí být před zpřístupněním utajované informace poučena podle vzoru doporučeného poučení - zde nebo podle vzoru poučení uvedeného v příloze č. 3 k vyhlášce č. 300/2024 Sb., o personální bezpečnosti a o bezpečnostní způsobilosti.
2. Poučení se provádí písemně, v odůvodněných případech (např. nebezpečí z prodlení) lze nahradit ústním seznámením.
3. O mimořádném přístupu je povinné vyhotovit datovaný písemný záznam obsahující podstatné okolnosti, identifikaci osob a utajovaných informací, případně skutečnost, že bylo provedeno ústní poučení. Vzor písemného záznamu není stanoven právním předpisem. Pro Vaše případné využití je vzor doporušeného písemného záznamu - zde.
4. Jakmile to okolnosti dovolí, je třeba tento záznam spolu s písemným poučením (pokud nebylo učiněno pouze ústní poučení) zaslat NBÚ.
Obecně platí, že při každém přístupu k utajované informaci je třeba fyzickou osobu znovu poučit, sepsat záznam o přístupu a odeslat je NBÚ. Každý přístup k jednotlivé „nové“ utajované informaci představuje nový přístup ve smyslu § 60 zákona a je tak třeba u něj postupovat podle zákona – tedy provést poučení a písemný záznam a odeslat je NBÚ. Pokud půjde o poskytnutí vícero utajovaných informací v téže věci stejné fyzické osobě nebo podnikateli, potom lze záznam spojit pro všechny tyto utajované informace (např. na konci cvičení CMX), ovšem za podmínky, že přístup nebude umožněn s výraznou časovou prodlevou, neboť záznam by se měl zaslat NBÚ neprodleně.
3.3 Specifika pro podnikatele
U podnikatelů je odpovědná osoba povinna vyhotovit písemný záznam a neprodleně jej doručit NBÚ.
4. Omezení a zásady
1. Mimořádný přístup není právně vymahatelný – nelze se jej domáhat a případné odmítnutí nemusí být zdůvodněno.
2. Zásada „need to know“ platí i v těchto případech – přístup je umožněn pouze v nezbytném rozsahu a jen těm, kdo jej skutečně potřebují k plnění konkrétního úkolu.
3. Přístup podle § 60 k utajované informaci stupně utajení Přísně tajné nelze umožnit podnikateli.
4. Přístup podle § 60 k utajované informaci stupně utajení Přísně tajné lze umožnit fyzické osobě, pouze pokud je držitelem platného osvědčení pro přístup k utajované informaci stupně utajení Tajné a je poučena.
5. Přístup podle § 60 nelze umožnit podnikateli k utajované informaci, na kterou se vztahuje zvláštní režim nakládání (např. KRYPTO, ATOMAL).
6. V rámci přístupu podle § 60 zákona nelze vykonávat citlivou činnost.
7. Odpovědnost za správnost a zákonnost postupu nese ten, kdo přístup umožňuje (typicky orgán státu).
5. Praktický postup krok za krokem
| Krok |
Popis |
| 1 |
Identifikace mimořádné situace (krizový stav, ozbrojený konflikt, humanitární akce apod.) |
| 2 |
Posouzení nezbytnosti mimořádného přístupu pro konkrétní fyzickou osobu/podnikatele |
| 3 |
Ověření důvěryhodnosti fyzické osoby (screening, reference, osobní znalost) |
| 4 |
Poučení fyzické osoby o povinnostech a následcích (písemně, výjimečně ústně) |
| 5 |
Vyhotovení písemného záznamu o mimořádném přístupu (identifikace osob, podstatné okolnosti) |
| 6 |
Neprodlené zaslání záznamu a poučení NBÚ (pokud nejde o zpravodajskou službu) |
| 7 |
U podnikatelů: povinný písemný záznam a jeho odeslání NBÚ |
6. Důležité poznámky a doporučení
Každý případ mimořádného přístupu je nutné pečlivě zdokumentovat a zdůvodnit, včetně všech kroků vedoucích k rozhodnutí o zpřístupnění utajované informace.
Přístup k utajovaným informacím podle § 60 zákona je výjimečný a nesmí být zneužíván pro běžné provozní účely.
Odpovědnost za správnost postupu nese vždy orgán, který přístup umožňuje.
V případě pochybností doporučujeme konzultovat konkrétní situaci s NBÚ nebo právním oddělením příslušného orgánu.
Vzor doporučeného písemného zánamu pro mimořádný přístup (fyzická osoba) - zde
Vzor doporučeného poučení pro mimořádný přístup (fyzická osoba) - zde
