Do Plánu legislativních prací vlády na rok 2017 byl pro Národní bezpečnostní úřad zařazen legislativní úkol předložit vládě návrh novely zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů (dále jen „návrh zákona“), do února 2017, a to jen v oblasti administrativní bezpečnosti, pokud jde o možnost zpracovávat elektronické dokumenty obsahující utajované informace. Předpokládaný termín nabytí účinnosti uvedeného návrhu zákona je navržen na leden 2018. Na základě usnesení vlády ze dne 14. prosince 2016 č. 1121, kterým byl schválen Plán legislativních prací vlády na rok 2017, neobsahuje návrh zákona hodnocení dopadů regulace (RIA).
1. Zhodnocení platného právního stavu, včetně zhodnocení současného stavu ve vztahu k zákazu diskriminace a ve vztahu k rovnosti mužů a žen
Platná a účinná právní úprava zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů (dále jen „zákon“), ve stávajícím legislativním znění prostřednictvím § 23 odst. 3 zákona vylučuje použití části druhé hlavy IV. zákona, upravující administrativní bezpečnost jakožto jeden z druhů zajištění ochrany utajovaných informací, na zpracování a přenos utajovaných informací v informačních systémech a kryptografických prostředcích. Jinak řečeno se ustanovení § 21 až 23 zákona použijí toliko pro nakládání s utajovanými informacemi v listinné nebo nelistinné podobě.
Z § 34 zákona vyplývá, že nakládat s utajovanou informací lze pouze v informačním systému, který musí být certifikován Národním bezpečnostním úřadem a písemně schválen do provozu odpovědnou osobou nebo jí pověřenou osobou. Tím je tak zajištěna důvěrnost, integrita a dostupnost utajovaných informací, s nimiž informační systém nakládá, a odpovědnost správy a uživatele za jejich činnost v něm. Současná právní úprava však plně nezohledňuje tendence elektronizace státní správy a e-Governmentu v oblasti správy utajovaných informací v elektronické (digitální) podobě. Vzhledem k tomu, že takové utajované informace reálně existují, je nezbytné současnou legislativní úpravu doplnit o absentující stanovení podmínek pro nakládání s utajovanými informacemi v elektronické podobě.
V této souvislosti dále uvádíme, že ustanovení § 63 odst. 4 zákona č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon č. 499/2004 Sb.“), již v současné době stanoví, že pokud veřejnoprávní původce uvedený v § 63 odst. 3 větě první zákona č. 499/2004 Sb., jejichž zvláštní povaha působnosti umožňuje výkon spisové služby v listinné nebo elektronické podobě v elektronických systémech spisové služby, vykonává spisovou službu v elektronické podobě v elektronickém systému spisové služby, který je součástí informačního systému pro nakládání s utajovanými informacemi.
Platná právní úprava není diskriminačního charakteru, ani nepředpokládá možnost vzniku diskriminačního rizika. Stávající právní úprava nemá též dopad na rovnost mužů a žen, neboť aplikace zákona dotčenými subjekty se uskutečňuje vždy shodně bez ohledu na pohlaví, popřípadě na povahu příslušného subjektu.
2. Odůvodnění hlavních principů navrhované právní úpravy, včetně dopadů navrhovaného řešení ve vztahu k zákazu diskriminace a ve vztahu k rovnosti mužů a žen
Hlavním principem navrhované právní úpravy je legislativní zohlednění elektronizace utajovaných informací. Návrh zákona má za cíl legislativně zakotvit praxí vyžadovaný stav, kterým je stanovení postupů ochrany utajovaných informací v oblasti administrativní bezpečnosti též pro zpracování a přenos utajovaných informací zpracovávaných v elektronickém systému spisové služby, respektive v certifikovaném informačním systému pro nakládání s utajovanými informacemi příslušného stupně utajení. Kýženého stavu lze dosáhnout právě prostřednictvím změny § 23 odst. 3 zákona.
Konkrétně se navrhuje stanovit pravidla v oblasti administrativní bezpečnosti pro nakládání s utajovanou informací zpracovávanou v elektronickém systému spisové služby, který je součástí informačního systému nakládajícího s utajovanými informacemi. Elektronický systém spisové služby musí vždy splňovat požadavky určené národním standardem pro elektronické systémy spisové služby. Takový informační systém je v souladu s § 46 a následujícími ustanoveními zákona vždy certifikován Národním bezpečnostním úřadem a písemně schválen do provozu odpovědnou osobou nebo jí pověřenou osobou. Pokud tak orgán státu, právnická osoba nebo podnikající fyzická osoba používá nebo chce používat pro správu utajovaných dokumentů v elektronické podobě elektronický systém spisové služby jako součást informačního systému pro nakládání s utajovanými informacemi certifikovaného podle zákona, musí tento elektronický systém spisové služby splňovat požadavky stanovené národním standardem pro elektronické systémy spisové služby, s výjimkou těch požadavků, jejichž užití vylučuje splnění podmínek certifikace informačního systému pro nakládání s utajovanými informacemi (§ 46 odst. 1 zákona), nebo jejichž užití vylučuje zvláštní povaha působnosti těchto původců. Nakládání s utajovanými informacemi v elektronickém systému spisové služby tak bude vždy předcházet certifikace informačního systému ze strany Národního bezpečnostního úřadu.
Ve svém důsledku dojde prostřednictvím návrhu zákona k posílení ochrany utajovaných informací, neboť jeho cílem je výslovné legislativní stanovení podmínek pro nakládání s utajovanými informacemi v elektronické podobě zpracovávané v elektronickém systému spisové služby, který je součástí informačního systému nakládajícího s utajovanými informacemi. Prostřednictvím uvedené změny tak dojde k dokumentaci celého životního cyklu utajované informace v elektronické podobě při dodržování podmínek administrativní bezpečnosti jako je tomu v případě utajovaných informací v listinné nebo nelistinné podobě. Konkrétně dojde k aplikaci ustanovení upravující požadavky na vyznačování údajů a evidenci utajované informace vyjma ustanovení, která z povahy věci nelze použít pro utajované informace v již blíže popsaném elektronickém systému spisové služby. Kupříkladu se tak neuplatní ustanovení upravující podmínky přepravy a přenášení utajované informace. Dalším prostředkem k posílení ochrany utajovaných informací v elektronické podobě bude vztažení podmínek pro vyznačování stupně utajení, jeho stanovení, změnu nebo rušení.
Navrhovaná právní úprava není diskriminačního charakteru, ani nepředpokládá možnost vzniku diskriminačního rizika. Předkládaná právní úprava nemá též dopad na rovnost mužů a žen, neboť stejně jako je tomu i při stávajícím legislativním znění se aplikace zákona dotčenými subjekty bude uskutečňovat vždy shodně bez ohledu na pohlaví, popřípadě na povahu příslušného subjektu.
3. Vysvětlení nezbytnosti navrhované právní úpravy v jejím celku
S přihlédnutím k současným tendencím elektronizace státní správy a e-Governmentu v oblasti správy utajovaných informací v elektronické podobě a s ohledem na reálnou existenci takových utajovaných informací, je nezbytné upravit podmínky nakládání s utajovanými informacemi v elektronické podobě, a to pokud jde o zpracování nebo přenos utajované informace zpracovávané v elektronickém systému spisové služby, který je součástí informačního systému nakládajícího s utajovanými informacemi.
Výše citované ustanovení § 63 odst. 4 zákona č. 499/2004 Sb. umožňuje reálnou existenci utajované informace v rámci elektronického systému spisové služby veřejnoprávního původce. Je tudíž z legislativního pohledu nezbytné vztáhnout pravidla uvedená v § 21 až 23 zákona též na zpracování utajované informace v rámci elektronického systému spisové služby, který je součástí informačního systému nakládajícího s utajovanými informacemi. Konkrétně se jedná o vyjmenovaná ustanovení upravující administrativní bezpečnost, která se v těchto případech použijí obdobně.
Pro jiné právnické osoby než ty, které byly zřízeny zákonem, a podnikající fyzické osoby, respektive osoby neuvedené v § 63 odst. 3 zákona č. 499/2004 Sb., se tak prostřednictvím navrhované právní úpravy stanoví podmínky pro nakládání s utajovanými informacemi, pokud se rozhodnou, že pro nakládání s utajovanými informacemi využijí elektronický systém spisové služby, přičemž tento musí být vždy součástí informačního systému pro nakládání s utajovanými informacemi a musí splňovat požadavky národního standardu pro elektronické systémy spisové služby (s výjimkou těch požadavků, které vylučuje institut certifikace podle zákona).
Vzhledem k tomu, že se předpokládá stále vyšší zájem o volbu tohoto způsobu nakládání s utajovanými informacemi v elektronické podobě, považujeme z hlediska ochrany utajovaných informací za nezbytné a s přihlédnutím k současným tendencím za žádoucí stanovit podmínky pro nakládání s utajovanými informacemi v elektronické podobě, a to v rámci popsaného elektronického systému spisové služby.
4. Zhodnocení souladu navrhované právní úpravy s ústavním pořádkem České republiky
Na oblast ochrany utajovaných informací a oblast bezpečnostní způsobilosti se z hlediska právních předpisů, které jsou součástí ústavního pořádku, vztahuje zejména čl. 17 odst. 4 Listiny základních práv a svobod, který stanoví, že „právo vyhledávat a šířit informace lze omezit zákonem, jde-li o opatření v demokratické společnosti nezbytná pro ochranu práv a svobod druhých, bezpečnost státu, veřejnou bezpečnost, ochranu veřejného zdraví a mravnosti“. S přihlédnutím k tomuto článku Listiny základních práv a svobod zákon omezil přístup k utajovaným informacím z hlediska zásady „nezbytně nutné potřebnosti vědět“, na základě provedení bezpečnostního řízení, vydání osvědčení a poučení.
Návrh zákona respektuje současné tendence a snahy o elektronizaci státní správy a e- Governmentu, přičemž stanovení podmínek pro nakládání s utajovanými informacemi je s uvedeným plně v souladu.
Návrh zákona je plně v souladu s ústavním pořádkem České republiky.
5. Zhodnocení slučitelnosti navrhované právní úpravy s předpisy Evropské unie, judikaturou soudních orgánů Evropské unie nebo obecnými právními zásadami práva Evropské unie
Na oblast ochrany utajovaných informací se vztahují především tyto sekundární předpisy Evropské unie:
- rozhodnutí Komise (EU, Euratom) 2015/444 ze dne 13. března 2015 o bezpečnostních pravidlech na ochranu utajovaných informací EU;
- rozhodnutí Rady 2013/488/EU ze dne 23. září 2013 o bezpečnostních pravidlech na ochranu utajovaných informací EU, v konsolidovaném znění; a
- nařízení Rady Euratom č. 3, kterým se provádí článek 24 Smlouvy o založení Evropského společenství pro atomovou energii (celex 31958R0003).
Oblast úpravy, jež je dotčena předkládanou novelou, však není výše zmíněnými sekundárními předpisy Evropské unie přímo upravena. V kontextu návrhu zákona lze však zmínit ustanovení uvedená v příloze č. 3 k rozhodnutí Rady 2013/488/EU v části II. bod 5 a 6, popřípadě ustanovení článku 22 odst. 4 a 5 rozhodnutí Komise (EU, Euroatom) 2015/444, která jsou dosahem návrhu zákona nepřímo rozváděna. Uvedená ustanovení konkrétně stanoví, že stupeň utajení musí být jasně a správně označen bez ohledu na to, zda mají utajované informace Evropské unie tištěnou nebo elektronickou podobu. Jednotlivé části daného dokumentu mohou vyžadovat různé stupně utajení a musí být podle toho označeny, a to i v případě, že jsou uloženy v elektronické podobě. Návrh zákona též nepřímo souvisí s ustanovením čl. 29 odst. 3 rozhodnutí Komise (EU, Euroatom) 2015/444 a ustanovením uvedeným v příloze č. 3 k rozhodnutí Rady 2013/488/EU v části III. bod 21, které stanoví, že v případě komunikačního a informačního systému mohou být evidenční postupy provedeny přímo v rámci systému. Na základě uvedeného lze konstatovat, že návrh zákona je v souladu s příslušnými rozhodnutími Rady a Komise Evropské unie a v souladu s nimi pouze blíže rozvádí zásady a pravidla v nich stanovených.
Návrh zákona není v rozporu s judikaturou soudních orgánů Evropské unie a je v souladu s obecnými právními zásadami práva Evropské unie (např. zásada právní jistoty, proporcionality a zákazu diskriminace).
Na základě výše uvedených skutečnostní lze konstatovat, že navrhovaná právní úprava je plně slučitelná s předpisy Evropské unie.
6. Zhodnocení souladu navrhované právní úpravy s mezinárodními smlouvami, kterými je Česká republika vázána, včetně zhodnocení slučitelnosti navrhované právní úpravy s mezinárodními smlouvami o lidských právech a základních svobodách
Navrhovaná právní úprava je plně v souladu s dosud uzavřenými mezinárodními smlouvami, upravujícími oblast výměny a vzájemné ochrany utajovaných informací. Jde zejména o mezinárodní smlouvy týkající se vzájemné ochrany utajovaných informací se Spolkovou republikou Německo, Slovenskou republikou, Lotyšskou republikou, Litevskou republikou, Estonskou republikou, Ruskou federací, Ukrajinou, Spojeným Královstvím Velké Británie a Severního Irska a Italskou republikou. Návrh zákona je rovněž v souladu s mezinárodními smlouvami, jimiž je Česká republika vázána, a je plně slučitelný s předpisy Evropské unie a NATO. V případě závazků k Organizaci Severoatlantické smlouvy jde zejména o Dohodu mezi smluvními stranami Severoatlantické smlouvy o bezpečnosti informací (uveřejněna sdělením Ministerstva zahraničních věcí č. 75/2000 Sb. m. s.) a o bezpečnostní standardy NATO (bezpečnostní směrnice C-M (2002)49 - Bezpečnost v rámci NATO z dubna 2002).
Z hlediska ochrany lidských práv a základních svobod ctí návrh zákona práva a základní svobody přiznávané mezinárodními smlouvami o lidských právech a základních svobodách jako je Listina základních práv Evropské unie nebo Úmluva o ochraně lidských práv a základních svobod a jejích protokolů.
Na základě výše uvedených skutečnostní lze konstatovat, že návrh zákona je plně v souladu s mezinárodními smlouvami, jimiž je Česká republika vázána, a plně slučitelná s mezinárodními smlouvami o lidských právech a základních svobodách.
7. Zhodnocení předpokládaného hospodářského a finančního dopadu navrhované právní úpravy na státní rozpočet, ostatní veřejné rozpočty, na podnikatelské prostředí České republiky, sociální dopady, včetně dopadu na rodiny a dopadů na specifické skupiny obyvatel, zejména osoby sociálně slabé, osoby se zdravotním postižením a národnostní menšiny, a dopady na životní prostředí
Předkládaný návrh zákona nepředpokládá negativní hospodářský ani finanční dopad. Pro státní rozpočet, rozpočty krajů a obcí, ostatní veřejné rozpočty ani pro podnikatelské prostředí České republiky nepředstavuje zvýšené finanční náklady. Pro podnikatelské prostředí se jedná pouze o možnost nakládat s utajovanými informacemi v elektronické podobě, přičemž v takovém případě bude nezbytné použít pro nakládání elektronický systém spisové služby, který musí být součástí informačního systému nakládajícího s utajovanými informacemi a splňovat požadavky stanovené národním standardem pro elektronické systémy spisové služby.
Návrh zákona vzhledem ke své povaze nepředpokládá žádné sociální dopady ani dopady na životní prostředí.
8. Zhodnocení dopadů navrhovaného řešení ve vztahu k ochraně soukromí a osobních údajů
Návrh zákona nepřináší žádné změny, které by měly dopad ve vztahu k ochraně soukromí nebo k ochraně osobních údajů, a to s přihlédnutím k povaze a záměrům předkládané právní úpravy. Navrhované řešení tak nemá dopad na ochranu soukromí a osobních údajů.
9. Zhodnocení korupčních rizik
Předkládaný návrh zákona nepředpokládá založení korupčních rizik ani jejich nárůst. Navrhovaná právní úprava má za cíl toliko stanovit podmínky pro nakládání s utajovanými informacemi, respektive legislativně zajistit ochranu utajovaných informací v elektronické podobě. Podstata této právní úpravy tak nezakládá vznik korupčních rizik.
10. Zhodnocení dopadů na bezpečnost nebo obranu státu
Návrh zákona nepředpokládá založení rizik v oblasti bezpečnosti nebo obrany státu ani jejich nárůst. Naopak jím má dojít ke zvýšení ochrany utajovaných informací, která má beze sporu pozitivní dosah v oblasti bezpečnosti nebo obrany státu.
11. Odůvodnění návrhu, aby Poslanecká sněmovna vyslovila s návrhem zákona souhlas již v prvém čtení
S ohledem na obsah návrhu zákona, kdy se nově upravují pravidla pro nakládání s utajovanými informacemi v elektronickém systému spisové služby, se jedná o novelu technické povahy, která nezasahuje významným způsobem do práv a povinností v oblasti ochrany utajovaných informací a de facto pouze rozvádí možnost využití elektronických nástrojů pro správu dokumentů, se navrhuje, aby Poslanecká sněmovna Parlamentu České republiky vyslovila s návrhem zákona souhlas již v prvním čtení.
K čl. I (§ 23 odst. 3)
Navrhované znění § 23 odst. 3 zákona má za cíl vztáhnout použití vybraných ustanovení části druhé hlavy IV. zákona, respektive ustanovení § 21 až 23 zákona i na nakládání s utajovanými informacemi zpracovávanými v elektronickém systému spisové služby, který je součástí informačního systému nakládajícího s utajovanými informacemi, přičemž tento musí splňovat požadavky stanovené národním standardem pro elektronické systémy spisové služby (s výjimkou těch požadavků, které vylučuje institut certifikace podle zákona a zvláštní povaha působnosti původce).
Pro jiné právnické osoby než ty, které byly zřízeny zákonem, a podnikající fyzické osoby, respektive osoby neuvedené v § 63 odst. 3 zákona č. 499/2004 Sb., nevyplývá z předkládaného návrhu zákony a priori povinnost využívat pro manipulaci s utajovanými informacemi popsaný elektronický systém spisové služby. Je zde stanovena možnost takovým způsobem s utajovanými informacemi v elektronické podobě nakládat, avšak pokud si tuto cestu zvolí, budou se na ně vztahovat příslušná ustanovení zákona upravující administrativní bezpečnost.
Vzhledem k povaze utajované informace v elektronické podobě se pro nakládání s utajovanou informací s ohledem na navržené znění § 23 odst. 3 zákona konkrétně neuplatní § 21 odst. 5 část věty první za středníkem, § 21 odst. 6 pokud jde o opis a kopii a § 21 odst. 7 zákona. Výslovně se pak navrhuje stanovit, že se obdobně použije § 21 odst. 1 až 4, § 21 odst. 5, s výjimkou části věty první za středníkem, § 21 odst. 6, pokud jde o překlad, § 21 odst. 8 až 10, § 22 a § 23 odst. 1 zákona.
Stejně jako doposud se navrhuje, s výjimkou definovaného případu, vyloučit použití ustanovení zákona upravující administrativní bezpečnost pro zpracování a přenos utajovaných informací v informačních systémech a kryptografických prostředcích. Vyloučení použití opatření administrativní bezpečnosti v uvedeném případě nesnižuje důvěrnost, integritu ani dostupnost utajovaných informací, neboť tyto jsou zajištěny již samotným institutem certifikace informačního systému. Ochrana utajovaných informací tak není ohrožena. Záměr předvídaný v návrhu zákona je prvním krokem k úpravě podmínek nakládání s utajovanými informacemi v elektronické podobě obecně, avšak s ohledem na již citovaný § 63 odst. 4 zákona č. 499/2004 Sb. se navrhuje upravit toliko podmínky nakládání s utajovanou informací zpracovávanou v elektronickém systému spisové služby.
S návrhem zákona souvisí též novela vyhlášky č. 529/2005 Sb., o administrativní bezpečnosti a o registrech utajovaných informací, ve znění pozdějších přepisů, která blíže stanoví podmínky pro nakládání s utajovanými informacemi zpracovávanými v elektronickém systému spisové služby, který je součástí informačního systému pro nakládání s utajovanými informacemi. Konkrétním záměrem připravované novelizace je do vyhlášky č. 529/2005 Sb. vložit zvláštní ustanovení explicitně vylučující z použití ta ustanovení předmětné vyhlášky, která vzhledem ke své povaze nelze použít pro nakládání s utajovanými informacemi v elektronickém systému spisové služby, který je součástí informačního systému nakládajícího s utajovanými informacemi.
K čl. II (účinnost)
Navrhuje se účinnost k 1. lednu 2018.
V Praze dne 13. března 2017
Předseda vlády: Mgr. Bohuslav Sobotka v. r.
Ředitel Národního bezpečnostního úřadu: Jiří Lang v. r.