14. Ochrana utajovaných informací

1. Prameny práva

Mezi nejvýznamnější úkoly státu, zejména s přihlédnutím na mezinárodní situaci počátku 21 století patří zajištění ochrany utajovaných informací. Důsledky plynoucí z vyzrazení nebo zneužití utajované informace mohou mít za následek vážné ohrožení základních funkcí státu, jakými jsou zajištění svrchovanosti, vnitřního pořádku a bezpečnosti, a ochrana ekonomiky, života a zdraví osob nejen ČR, ale např. i spojenců v Organizaci Severoatlantické smlouvy.

Hlavními prameny práva v oblasti ochrany utajovaných informací jsou zákon č.412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů (dále jen „zákon“), a navazující prováděcí právní předpisy, mezi něž patří zejména nařízení vlády č. 522/2005 Sb., kterým se stanoví seznam utajovaných informací, ve znění pozdějších předpisů, a jeho prováděcí vyhlášky Národního bezpečnostního úřadu (dále jen „NBÚ“), které specifikují jednotlivé druhy zajištění ochrany utajovaných informací.

Ochrana utajovaných informací je regulována také na mezinárodní úrovni, a to předpisy vydanými EU a Organizací Severoatlantické smlouvy. Další oblastí práva, která přitom podtrhuje význam utajovaných informací jako takových, je oblast trestního práva, která vyzrazení nebo zneužití utajované informace zařadila mezi trestné činy proti bezpečnosti ČR, cizího státu a mezinárodní organizace.

2. Definice utajované informace

Z hlediska formálních znaků se utajovanou informací rozumí informace v jakékoliv podobě zaznamenaná na jakémkoliv nosiči, která je označená v souladu se zákonem, a je uvedena v seznamu utajovaných informací.

Utajovaná informace musí dále naplňovat materiální znak spočívající v možném způsobení újmy, poškození nebo ohrožení zájmů ČR anebo nevýhodnosti pro tyto zájmy, ke kterému může dojít v případě vyzrazení nebo zneužití utajované informace.

Seznam utajovaných informací vydává na základě návrhu NBÚ vláda formou nařízení. Tento seznam je dle obsahu jednotlivých položek rozčleněn na obecnou část, která se týká všech oblastí výkonu veřejné správy a na konkrétní části, které jsou v gesci jednotlivých ústředních správních orgánů. Ke každé položce v seznamu je také přiřazeno rozpětí stupňů utajení. Utajovaná informace může mít pouze takový stupeň utajení, jaký je přiřazen položce, 
pod níž spadá.

3. Klasifikace utajovaných informací

Utajované informace se klasifikují do stupňů utajení podle stupně újmy, která hrozí zájmům ČR v případě, že dojde k vyzrazení nebo zneužití utajované informace.

Vyzrazení nebo zneužití utajované informace stupně utajení:

• Vyhrazené by mohlo být nevýhodné pro zájmy ČR,
• Důvěrné by mohlo způsobit prostou újmu zájmům ČR,
• Tajné by mohlo způsobit vážnou újmu zájmům ČR a v případě stupně utajení,
• Přísně tajné by mohlo způsobit mimořádně vážnou újmu zájmům ČR.

Stupeň utajení na utajované informaci vyznačí původce při jejím vzniku, nestanoví‑li zákon jinak. Pozdější změnu nebo zrušení stupně utajení je možné provést pouze se souhlasem jejího původce.

4. Ochrana utajovaných informací

Druhá část zákona specifikuje opatření, která mají zabránit, aby se s utajovanou informací seznámila neoprávněná osoba. Zákon vymezuje celkem šest druhů zajištění ochrany utajovaných informací.

Personální bezpečnost stanoví podmínky, které musí splňovat fyzická osoba, aby mohla mít přístup k utajované informaci. Fyzické osobě lze umožnit přístup k utajované informaci, jestliže jej nezbytně potřebuje k výkonu své funkce, pracovní nebo jiné činnosti, a je držitelem dokumentu stvrzujícího splnění podmínek pro přístup k utajovaným informacím a to buď oznámení o splnění podmínek pro přístup k utajované informaci stupně utajení Vyhrazené (dále jen „oznámení“), které vydává příslušná odpovědná osoba, nebo v případě utajované informace stupně utajení Důvěrné a vyšší osvědčení fyzické osoby pro příslušný stupeň utajení, které vydává NBÚ. Před prvním přístupem k utajované informaci musí být fyzická osoba poučena o právech a povinnostech v oblasti ochrany utajovaných informací a o následcích jejich porušení. Vydané oznámení pro přístup k utajované informaci stupně utajení Vyhrazené není časově omezeno a ten, kdo oznámení vydal, je povinen ověřovat každých 5 let, zda fyzická osoba splňuje stanovené podmínky. Pokud taková osoba přejde k jinému zaměstnavateli, a i nadále má mít přístup k utajované informaci stupně utajení Vyhrazené, přechází ověřování podmínek na něj. Naproti tomu platnost osvědčení fyzické osoby pro přístup ke všem stupňům utajení je časově omezena: pro stupeň utajení Přísně tajné na 5 let, pro stupeň utajení Tajné 7 na let a pro stupeň utajení Důvěrné na 9 let. Po zániku platnosti osvědčení fyzické osoby je tato fyzická osoba v konkrétních případech stanovených zákonem povinna do 15 dnů své osvědčení fyzické osoby odevzdat tomu, kdo osvědčení vydal.

Průmyslová bezpečnost stanoví podmínky pro přístup podnikatele k utajované informaci a určuje pravidla pro zajištění nakládání s utajovanou informací u podnikatele v souladu se zákonem včetně stanovení formy přístupu podnikatele k utajované informaci, zda bude utajovanou informaci vytvářet nebo k ní bude mít jen přístup. V návaznosti na formě přístupu k utajované informaci jsou u podnikatele i odlišně nastavena opatření k ochraně utajovaných informací.

Administrativní bezpečnost upravuje celý průběh „života“ utajované informace, a to od jejího vzniku až po její zničení nebo případnou archivaci; jedná se zejména o způsob označování, evidence, přepravy, přenášení, přebírání nebo zapůjčování utajované informace včetně stanovení administrativních pomůcek pro tyto účely i způsoby její likvidace. Archivace utajované informace je podřízena režimu, který stanoví zákon o archivnictví a spisové službě, přičemž výběr archiválií, u nichž nebyl zrušen stupeň utajení nebo nelze stupeň utajení zrušit, provádějí příslušné bezpečnostní archivy zřízené podle tohoto zákona. Z utajované informace je rovněž možné vyhotovit opis, kopii nebo překlad nebo výpis z ní, a to na základě písemného souhlasu původce v případě utajované informace stupně utajení Přísně tajné nebo na základě písemného souhlasu přímo nadřízené osoby v případě utajované informace stupně utajení Tajné nebo Důvěrné; pro stupeň utajení Vyhrazené tento souhlas není nutný, je však vždy potřebné mít opis, kopii, překlad či výpis správně evidovaný včetně evidence osob, které k ní měly přístup.

Fyzická bezpečnost zahrnuje systém opatření, která ztěžují nebo brání – pomocí např. mechanických zábranných prostředků – neoprávněným osobám v přístupu k utajované informaci, nebo které pokus o neoprávněný přístup anebo neoprávněný přístup k utajované informací zaznamenávají opatřeními fyzické bezpečnosti, kterými je ostraha, režimová opatření a technické prostředky a jejich kombinace. Fyzická bezpečnost se zabývá rovněž certifikací technických prostředků.

Převážná část posledních dvou opatření je v kompetenci Národního úřadu pro kybernetickou a informační bezpečnost.

Bezpečnost informačních a komunikačních systémů vymezuje pravidla pro práci s utajovanou informací v informačních a komunikačních systémech, jejichž cílem je zajištění důvěrnosti, integrity a dostupnosti utajované informace.

Kryptografická bezpečnost stanoví podmínky šifrování utajované informace, pro certifikaci kryptografických prostředků, kterými se utajovaná informace šifruje včetně schvalování osob, které s kryptografickými prostředky mohou nakládat.

5. NBÚ

Státní správu v oblasti ochrany utajovaných informací, až na dvě výjimky vykonává NBÚ, který je ústředním správním úřadem pro oblasti ochrany utajovaných informací a bezpečnostní způsobilosti.

V oblasti informačních a komunikačních systémů a kryptografické ochrany je ústředním správním úřadem pro oblast ochrany utajovaných informací je Národní úřad pro kybernetickou a informační bezpečnost, zřízený dnem 1. srpna 2017 na základě zákona č. 205/2017 Sb., kterým se změnil zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů.

V čele Národního bezpečnostního úřadu stojí ředitel, kterého po projednání ve výboru Poslanecké sněmovny Parlamentu ČR příslušném ve věcech bezpečnosti jmenuje vláda.

Kontrolou Národního bezpečnostního úřadu je pověřena Poslanecká sněmovna Parlamentu ČR, která za tímto účelem zřizuje zvláštní kontrolní orgán, jenž je tvořen nejméně 7 poslanci, přičemž počet členů je zvolen tak, aby byl zastoupen každý poslanecký klub. Kontrolní orgán prověřuje, jestli činnost Národního bezpečnostního úřadu nezákonně neomezuje nebo nepoškozuje práva a svobody občanů, a zda nejsou rozhodnutí Národního bezpečnostního úřadu vedená v rámci bezpečnostního řízení stižena vadami, a jestli se zaměstnanci Národního bezpečnostního úřadu řádně řídí ustanovením zákona a neporušují jej.

Činnosti, které vykonává NBÚ, jsou s ohledem na komplexnost zákona různorodé. NBÚ zejména rozhoduje o vydání a zrušení osvědčení fyzické osoby nebo podnikatele, zároveň vykonává státní dozor a metodickou činnost v oblasti ochrany utajovaných informací a ukládá sankce za nedodržení povinností stanovených zákonem. V neposlední řadě NBÚ vydává Věstník, který je dostupný také na internetových stránkách NBÚ, v němž informuje o přijatých opatřeních a zveřejňuje komentáře a stanoviska k novým právním předpisům z oblasti ochrany utajovaných informací a bezpečnostní způsobilosti a v němž uvádí i seznam osob, se kterými uzavřel smlouvu o zajištění činnosti podle zákona.

Zákon upravuje rovněž přestupky v oblasti ochrany utajovaných informací. Tyto přestupky projednává NBÚ nebo Národní úřad pro kybernetickou a informační bezpečnost a v odůvodněných případech za ně následně vybírá pokuty. V případě méně závažných přestupků jako např. neohlášení změny vybraných údajů uvedených v žádosti fyzické osoby o vydání osvědčení fyzické osoby či neodevzdání nalezené utajované informace, je možné udělit pokutu do výše 50000 Kč. Porušení povinností závažného charakteru stanovených zákonem, spočívající např. v porušení mlčenlivosti či umožnění přístupu k utajované informaci neoprávněné osobě, může být trestáno pokutou až do výše 5000000 Kč.

6. Funkce při ochraně utajovaných informací

Zajištění efektivní ochrany utajovaných informací vyžaduje, aby všechny subjekty mající přístup k utajovaným informacím (orgány státu, právnické osoby a podnikající fyzické osoby) měly v rámci vlastní organizační struktury určeny osoby zajišťující dodržování povinností vyplývajících ze zákona. Za tímto účelem definuje zákon institut odpovědní osoby a ukládá všem zmíněným subjektům povinnost zřídit funkci bezpečnostního ředitele.

V rámci subjektu má nejvyšší postavení odpovědná osoba, která zajišťuje plnění požadavků na ochranu utajovaných informací vyplývajících ze zákona. Zákon stanoví taxativně, kdo je odpovědnou osobou pro daný subjekt. Obecně lze konstatovat, že se jedná o osobu stojící v jejím čele (např. v případě ministerstva jde o ministra, u jiného správního úřadu o toho, kdo stojí v jejím čele, u právnické osoby o statutární orgán atd.).

Druhou významnou funkcí je bezpečnostní ředitel, který je přímo podřízen odpovědné osobě, a na něhož může odpovědná osoba přenést některé své pravomoci při zajišťování ochrany utajovaných informací. Mezi hlavní povinnosti bezpečnostního ředitele patří schválení přehledu míst, u nichž je vyžadován přístup k utajovaným informacím.

Ostatní osoby, které přímo zabezpečují ochranu utajovaných informací v rámci výkonu své činnosti musí, nad rámec být oprávněný k přístupu k utajované informaci, prokázat odbornou způsobilost a disponovat příslušným oprávněním vydaným NBÚ nebo Národním úřadem pro kybernetickou a informační bezpečnost. Týká se to např. pracovníků, kteří přepravují utajovanou informaci jako kurýři nebo kteří vykonávají činnost pracovníků kryptografické ochrany.

7. Povinnosti při ochraně utajovaných informací

Povinnosti vyplývající ze zákona se mohou vztahovat dokonce i na fyzické osoby, které běžně nemají žádný přístup k utajovaným informacím a ani jej nepotřebují. Zákon tak pamatuje na případy, kdy by taková osoba nalezla utajovanou informaci nebo by jí obdržela v rozporu se zákonem. Každý, kdo tímto způsobem získá utajovanou informaci, je povinen ji neprodleně odevzdat NBÚ, Policii ČR nebo zastupitelskému úřadu ČR. Za nedodržení této povinnosti hrozí pokuta do výše až 100000 Kč.

Zvláštní povinnosti vznikají fyzickým osobám, které mají přístup k utajované informaci a jsou držiteli osvědčení fyzické osoby. Tyto osoby jsou povinny informovat NBÚ o ztrátě či odcizení osvědčení fyzické osoby, jakož i o změnách vybraných údajů uvedených v žádosti fyzické osoby. Rozsah uváděných údajů je stanoven prováděcím právním předpisem a poskytování údajů o své osobě nebo o osobách blízkých je odstupňováno podle stupně utajení utajované informace, k níž má osoba přístup; lze konstatovat, že čím je vyšší stupeň utajení, tím je větší i rozsah poskytovaných údajů.

Specifické povinnosti stanovené zákonem a mezinárodními smlouvami plní rovněž právnické osoby a podnikající fyzické osoby, které mají přístup k utajované informaci, ale i orgán státu. Kromě zajištění ochrany utajovaných informací v rámci vlastní organizace se okruh povinnosti vztahuje také např. na zadávání veřejných zakázek. Výše uvedené subjekty jako zadavatelé veřejné zakázky mají povinnost písemně oznámit a doložit NBÚ, že budou zadávat veřejnou zakázku mimo zadávací řízení z důvodu ochrany utajovaných informací, že budou stanovit požadavek na profesní způsobilost v zadávacím řízení spočívající v předložení dokladu prokazujícího schopnost dodavatele zabezpečit ochranu utajovaných informací stupně utajení Důvěrné nebo vyšší, anebo, že v zadávacím řízení stanoví opatření k zajištění ochrany utajované informace stupně utajení Důvěrné nebo vyšší. K těmto oznámením se NBÚ vyjadřuje svým stanoviskem a přehled oznámení a vyjádření pak poskytuje Úřadu pro ochranu hospodářské soutěže.

8. Poskytování utajovaných informací v mezinárodním styku

Zákon rovněž stanoví podmínky a postup při poskytování utajovaných informací v mezinárodním styku.

Utajovanou informaci stupně utajení Vyhrazené lze poskytovat na základě písemné žádosti orgánu státu, právnické osoby nebo podnikající fyzické osoby a písemného souhlasu ústředního správního úřadu, do jehož oblasti věcné působnosti utajovaná informace náleží.

Naproti tomu utajovanou informaci stupně utajení Důvěrné a vyšší lze poskytnout na základě žádosti stejného okruhu subjektů jako v případě stupně utajení Vyhrazené, je k tomu však navíc nutné i písemné povolení NBÚ.

Orgán státu, právnická osoba a podnikající fyzická osoba zřizují a vedou registr utajovaných informací, v němž se eviduje v jednacích protokolech a ukládá nebo odesílá utajovaná informace stupně utajení Důvěrné a vyšší poskytovaná v mezinárodním styku. NBÚ vede seznam zřízených registrů a provádí kontrolu jejich činnosti. Samotné poskytování utajovaných informací stupně utajení Důvěrné a vyšší v mezinárodním styku se uskutečňuje prostřednictvím ústředního registru utajovaných informací, který zřizuje a vede NBÚ.