§ 69
Povinnosti podnikatele, který má přístup k utajované informaci, právnické osoby podle § 60b a orgánu státu
(1) Podnikatel, který má přístup k utajované informaci, právnická osoba podle § 60b a orgán státu jsou povinni
a) zajistit ochranu utajovaných informací podle tohoto zákona a mezinárodních smluv,
b) zpracovávat a vést přehled míst nebo funkcí, na kterých je nezbytné mít přístup k utajovaným informacím včetně utajovaných informací Evropské unie, Organizace Severoatlantické smlouvy a utajovaných informací vyžadujících zvláštní režim nakládání, s uvedením stupně utajení, nebo které nelze vykonávat bez osvědčení o zvláštní odborné způsobilosti podle tohoto zákona (§ 39); tím nejsou dotčena ustanovení zvláštních právních předpisů na úseku odborné způsobilosti 29),
c) neprodleně písemně oznámit Úřadu skutečnost, která může mít vliv na vydání nebo na platnost osvědčení fyzické osoby nebo osvědčení podnikatele,
d) zajistit vytvoření podmínek pro označování, evidenci, zapůjčování, ukládání, přepravu, další manipulaci a vyřazování utajované informace a utajované informace se zvláštním režimem nakládání v souladu s prováděcím právním předpisem,
e) provozovat jen informační systém, který je certifikován Národním úřadem pro kybernetickou a informační bezpečnost a písemně schválen do provozu, nebo informační systém cizí moci, který je akreditován Národním úřadem pro kybernetickou a informační bezpečnost,
f) zastavit provoz informačního systému, který nesplňuje podmínky stanovené v certifikační zprávě, a zajistit ochranu utajované informace v něm a o těchto skutečnostech informovat Národní úřad pro kybernetickou a informační bezpečnost,
g) provozovat jen komunikační systém, jehož projekt bezpečnosti byl schválen Národním úřadem pro kybernetickou a informační bezpečnost,
h) zastavit provoz komunikačního systému, který nesplňuje podmínky stanovené v projektu bezpečnosti komunikačního systému, a o této skutečnosti informovat Národní úřad pro kybernetickou a informační bezpečnost,
i) používat pro kryptografickou ochranu jen prostředek, který je certifikován Národním úřadem pro kybernetickou a informační bezpečnost nebo je součástí informačního systému cizí moci akreditovaného Národním úřadem pro kybernetickou a informační bezpečnost, a používat kryptografické pracoviště jen k účelu, ke kterému bylo certifikováno a schváleno do provozu,
j) vést evidenci fyzických osob, které mají přístup k utajované informaci, a evidenci případů neoprávněného nakládání s utajovanou informací,
k) hlásit porušení povinnosti při ochraně utajované informace nebo povinnosti uložené mezinárodní smlouvou v oblasti ochrany utajovaných informací a přijetí opatření k odstranění příčin a nepříznivých následků porušení Úřadu; tato povinnost se nevztahuje na zpravodajské služby v případech podle § 140 odst. 1 písm. a) a na Ministerstvo vnitra v případech podle § 141 odst. 1, s výjimkou případů porušení ochrany utajovaných informací Organizace Severoatlantické smlouvy nebo Evropské unie,
l) zřídit registr poskytovaných utajovaných informací (§ 79) a hlásit změny v něm Úřadu v rozsahu stanoveném prováděcím právním předpisem,
m) provést kontrolu utajovaných informací evidovaných v registru utajovaných informací k 31. prosinci kalendářního roku a zprávu o jejím výsledku zaslat Úřadu do 15. února následujícího kalendářního roku spolu s uvedením počtu utajovaných informací a jejich stupňů utajení; zpravodajské služby zasílají zprávu o utajovaných informacích poskytnutých ústředním registrem a registrem vedeným Ministerstvem zahraničních věcí podle § 78 odst. 1,
n) předat utajovanou informaci poskytnutou cizí mocí nebo zahraničním partnerem k zaevidování Úřadu nebo Ministerstvu zahraničních věcí podle § 79 odst. 5,
o) zasílat v případech stanovených tímto zákonem utajované informace cizí moci prostřednictvím ústředního registru (§ 79 odst. 2),
p) zajistit písemné pověření fyzické osoby k přístupu k utajované informaci se zvláštním režimem nakládání označené "ATOMAL",
q) jako poskytovatel vyhrazené informace neprodleně zaslat Úřadu kopii prohlášení podnikatele podle § 15a odst. 2,
r) jako zadavatel, není-li zpravodajskou službou, neprodleně písemně oznámit a doložit Úřadu doklady ke
1. skutečnosti, že bude zadávat veřejnou zakázku mimo zadávací řízení z důvodu ochrany utajovaných informací 49) nebo bude zadávat nadlimitní veřejnou zakázku mimo zadávací řízení z jiného důvodu 63), pokud při zadávání veřejné zakázky bude umožněn přístup k utajované informaci,
2. skutečnosti, že v zadávacím řízení stanoví opatření k zajištění ochrany utajované informace 50) stupně utajení Důvěrné nebo vyšší,
3. stanovení požadavku na profesní způsobilost v zadávacím řízení 51) spočívající v předložení dokladu prokazujícího schopnost dodavatele zabezpečit ochranu utajovaných informací stupně utajení Důvěrné nebo vyšší nebo oprávnění ke vstupu osob dodavatele do zabezpečené oblasti kategorie Důvěrné nebo vyšší anebo jednací oblasti podle tohoto zákona, nebo
4. stanovení podmínky na uzavření smlouvy v zadávacím řízení spočívající v předložení dokladu prokazujícího schopnost dodavatele zabezpečit ochranu utajovaných informací 64) stupně utajení Důvěrné nebo vyšší.
s) kontrolovat dodržování dalších povinností stanovených tímto zákonem,
t) vést evidenci kryptografického materiálu, evidenci pracovníků kryptografické ochrany, evidenci provozní obsluhy kryptografického prostředku a evidenci kurýrů kryptografického materiálu,
u) oznámit Úřadu zničení utajované informace podle § 21 odst. 11.
(2) Povinnost uvedená v odstavci 1 písm. c) se nevztahuje na zpravodajské služby v případech podle § 140 odst. 1 písm. a) a na Ministerstvo vnitra v případech podle § 141 odst. 1.
(3) Povinnost podle odstavce 1 písm. r) se vztahuje i na kraj při výkonu jeho samostatné působnosti.
------------------------------------------------------------------
29) Například zákon č. 234/2014 Sb., o státní službě, ve znění pozdějších předpisů, zákon č. 312/2002 Sb., o úřednících územních samosprávných celků a o změně některých zákonů, ve znění zákona č. 46/2004 Sb., nařízení vlády č. 194/2022 Sb., o požadavcích na odbornou způsobilost k výkonu činnosti na elektrických zařízeních a na odbornou způsobilost v elektrotechnice.
49) § 29 písm. b) zákona č. 134/2016 Sb., o zadávání veřejných zakázek.
50) § 192 zákona č. 134/2016 Sb.
51) § 194 zákona č. 134/2016 Sb.
63) Například § 158 a 160 zákona č. 134/2016 Sb.
64) § 104 písm. c) zákona č. 134/2016 Sb.