Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál dokumentu stáhnete odsud
Celý záznam ALBSCSSG44YX najdete zde
VII.
PLATNÉ ZNĚNÍ DOTČENÝCH USTANOVENÍ ZÁKONŮ PODLE NÁVRHU ZÁKONA, KTERÝM SE MĚNÍ NĚKTERÉ ZÁKONY V SOUVISLOSTI S PŘIJETÍM ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI, S VYZNAČENÍM NAVRHOVANÝCH ZMĚN A DOPLNĚNÍ
Platné znění dotčených ustanovení zákona č. 21/1992 Sb., o bankách, ve znění zákona č. 292/1993 Sb., zákona č. 306/1997 Sb., zákona č. 127/1998 Sb., zákona č. 165/1998 Sb., zákona č. 120/2001 Sb., zákona č. 319/2001 Sb., zákona č. 126/2002 Sb., zákona č. 453/2003 Sb., zákona č. 439/2004 Sb., zákona č. 413/2005 Sb., zákona č. 57/2006 Sb., zákona č. 159/2006 Sb., zákona č. 189/2006 Sb., zákona č. 120/2007 Sb., zákona č. 126/2008 Sb., zákona č. 254/2008 Sb., zákona č. 281/2009 Sb., zákona č. 285/zákona č. 73/2011 Sb., zákona č. 254/2012 Sb., zákona č. 135/2014 Sb., zákona č. 219/2015 Sb., zákona č. 220/2015 Sb., zákona č. 301/2016 Sb., zákona č. 302/2016 Sb., zákona č. 368/2016 Sb., zákona č. 238/2020 Sb., zákona č. 338/2020 Sb., zákona č. 174/202 Sb., zákona č. 353/2021 Sb. a zákona č. 35/2023 Sb.
§ 38
(1) Na všechny bankovní obchody, peněžní služby bank, včetně stavů na účtech a depozit, se vztahuje bankovní tajemství. Tím není dotčena možnost podat zprávu o záležitostech týkajících se klienta, které jsou předmětem bankovního tajemství, na základě jeho žádosti nebo s jeho souhlasem.
(2) Zprávu o všech záležitostech, které jsou předmětem bankovního tajemství, je banka povinna podat osobám pověřeným výkonem bankovního dohledu. Za porušení bankovního tajemství se nepovažuje výměna informací mezi Českou národní bankou a orgány bankovního dohledu a obdobnými orgány jiných států, jestliže předmětem výměny jsou informace o subjektech, které působí nebo hodlají působit na území příslušného státu. Porušením povinnosti dodržet bankovní tajemství rovněž není sdělení údajů o klientovi a jeho obchodech při podání trestního oznámení, při plnění oznamovací povinnosti podle zákona o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu nebo podle zákona o provádění mezinárodních sankcí nebo při plnění povinnosti předávat údaje podle zákona o centrální evidenci účtů.
(3) Zprávu o záležitostech, které jsou předmětem bankovního tajemství, podá banka jen na písemné vyžádání
a) soudu pro účely občanského soudního řízení;8)
b) orgánu činného v trestním řízení za podmínek, které stanoví zvláštní zákon;9)
c) správcům daně za podmínek podle daňového řádu,
d) finančnímu arbitrovi rozhodujícímu ve sporu podle zvláštního právního předpisu9c),
e) Finančnímu analytickému úřadu za podmínek, které stanoví zákon o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu nebo zákon o provádění mezinárodních sankcí,
f) orgánů sociálního zabezpečení ve věci řízení o pojistném na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti, které klient dluží, včetně dluhu na přirážce k pojistnému, penále a pokutách, orgánů nemocenského pojištění ve věci řízení o přeplatku na dávkách nemocenského pojištění, regresních náhradách a dluhu na pokutách, orgánů sociálního zabezpečení nebo obecních úřadů obcí s rozšířenou působností nebo pověřených obecních úřadů ve věci řízení o přeplatku na dávkách sociálního zabezpečení a dluhu na pokutách nebo orgánů státní sociální podpory ve věci řízení o přeplatku na dávkách státní sociální podpory, který je klient povinen vrátit; to platí i pro vymáhání tohoto pojistného, příspěvku a přeplatku,
g) zdravotních pojišťoven ve věci řízení o pojistném na veřejné zdravotní pojištění, které klient dluží; to platí i pro vymáhání tohoto pojistného,
h) soudního exekutora pověřeného provedením exekuce podle zvláštního zákona,9b)
i) Úřadu práce České republiky ve věci řízení o vrácení finančních prostředků poskytnutých klientovi ze státního rozpočtu; to platí i pro vymáhání těchto prostředků,
j) zpravodajské služby za účelem plnění konkrétního úkolu v její působnosti podle zákona upravujícího činnost zpravodajských služeb České republiky se souhlasem soudce; pro vyžádání zprávy se použijí ustanovení zákona upravujícího činnost zpravodajských služeb České republiky,
k) Úřadu pro dohled nad hospodařením politických stran a politických hnutí pro účely výkonu dohledu podle zákona upravujícího sdružování v politických stranách a politických hnutích,
l) Národního bezpečnostního úřadu, zpravodajské služby nebo Ministerstva vnitra při provádění bezpečnostního řízení podle zvláštního zákona10c),
m) Policie České republiky pro účely pátrání po hledané nebo pohřešované osobě nebo předcházení a odhalování konkrétních hrozeb v oblasti terorismu podle zákona o Policii České republiky,
n) Generální inspekce bezpečnostních sborů pro účely pátrání po hledané osobě podle zákona o Generální inspekci bezpečnostních sborů, nebo
o) Ministerstvu financí za podmínek, které stanoví zákon o pojišťování a financování vývozu se státní podporou, nebo zákon o koordinaci spolupráce s Evropským úřadem pro boj proti podvodům.,
p) Národního úřadu pro kybernetickou a informační bezpečnost při prověřování rizik spojených s dodavatelem podle zákona o kybernetické bezpečnosti.
Písemné vyžádání musí obsahovat údaje, podle nichž může banka příslušnou záležitost identifikovat.
Platné znění dotčených ustanovení zákona č. 29/2000 Sb., o poštovních službách a o změně některých zákonů (zákon o poštovních službách), ve znění zákona č. 517/2002 Sb., zákona č. 225/2003 Sb., zákona č. 501/2004 Sb., zákona č. 95/2005 Sb., zákona č. 413/2005 Sb., zákona č. 444/2005 Sb., zákona č. 264/2006 Sb., zákona č. 110/2007 Sb., zákona č. 41/2009 Sb., zákona č. 281/2009 Sb., zákona č. 285/2009 Sb., zákona č. 153/2010 Sb., zákona č. 329/2011 Sb., zákona č. 89/2012 Sb., zákona č. 221/2012 Sb., zákona č. 212/2013 Sb., zákona č. 258/2014 Sb., zákona č. 319/2015 Sb., zákona č. 378/2015 Sb., zákona č. 250/2016 Sb., zákona č. 183/2017 Sb., zákona č. 202/2019 Sb., zákona č. 164/2020 Sb. a zákona č. 374/2021 Sb., s vyznačením navrhovaných změn a doplnění
§ 33
Povinnosti držitele poštovní licence
(1) Držitel poštovní licence je povinen
a) plnit poštovní povinnost způsobem, který je v souladu s potřebami veřejnosti a se základními kvalitativními požadavky, včetně soustavného poskytování informací o základních službách a způsobu jejich užití,
b) nabízet poštovní služby, na něž se vztahuje poštovní povinnost, podle poštovních podmínek.
(2) Držitel poštovní licence nemusí dočasně plnit povinnosti podle odstavce 1 písm. a), jestliže tomu brání překážky, jež sám nevyvolal a jejichž vzniku nemohl ani při řádné péči zabránit, zejména nezaviněné technické problémy, důsledky přírodních událostí, nedostatek potřebné součinnosti jiných osob nebo důsledky krizové situace. Držitel poštovní licence je však povinen počínat si tak, aby plnění povinností bylo omezeno co nejméně a aby překážky byly co nejdříve odstraněny.
(3) Držitel poštovní licence je povinen bez zbytečného odkladu informovat Úřad o ohrožení nebo narušení bezpečnosti poštovní sítě, poskytování základních služeb nebo přístupu k prvkům poštovní infrastruktury a k zvláštním službám souvisejícím s provozováním poštovní infrastruktury podle § 34. Tato povinnost se neuplatní, pokud má narušení bezpečnosti a integrity těchto sítí a služeb původ v kyberprostoru, a to v rozsahu, ve kterém se na držitele poštovní licence vztahují obdobné povinnosti podle zákona o kybernetické bezpečnosti.
(34) Držitel poštovní licence nemusí poskytnout poštovní službu, na niž se vztahuje poštovní povinnost, pokud by její poskytnutí bylo v důsledku toho, že některý z požadavků podle § 6 odst. 2 písm. b) až e) nebyl splněn, neúměrně komplikované, anebo by bylo pro něho spojeno s rizikem jiných vážných následků.
(45) Držitel poštovní licence je povinen
a) zajistit, aby nedocházelo k neodůvodněnému zvýhodňování nebo znevýhodňování zájemců o základní služby, které jsou obsaženy v jeho poštovní licenci,
b) vhodně poskytovat informace o základních službách, které jsou obsaženy v jeho poštovní licenci, a způsobu jejich užití,
c) zajistit rychlé a účinné projednávání námitek uživatelů základních služeb, které jsou obsaženy v jeho poštovní licenci; informace o počtu námitek a způsobu jejich vyřízení se uveřejňují podle písmene e),
d) dodržovat technické normy pro poštovní odvětví závazné podle předpisů Evropské unie a vhodně poskytovat informace o těchto normách a provádět nezávislá měření přepravních dob poštovních zásilek a výsledky uveřejňovat podle písmene e),
e) každoročně uveřejňovat a současně Úřadu předkládat úplné a pravdivé informace o výsledcích poskytování a zajišťování základních služeb, které jsou obsaženy v jeho poštovní licenci, a vyhodnocení plnění parametrů kvality podle stavu k 31. prosinci kalendářního roku, a to nejpozději do 31. března následujícího kalendářního roku; obsah, formu a způsob uveřejnění informací stanoví prováděcí právní předpis.
(56) Držitel poštovní licence má povinnost poskytovat základní služby, které jsou obsaženy v jeho poštovní licenci, za nákladově orientované ceny s výjimkou podle odstavce 6, § 3 odst. 1 písm. f) a § 34a. Nákladově orientovanou cenou se rozumí cena, která zahrnuje efektivně a účelně vynaložené náklady a přiměřený zisk a která se stanovuje tak, aby zajistila návratnost investic v přiměřeném časovém období a zohlednila příslušná rizika.
(67) Držitel poštovní licence může sjednat ceny, které zahrnují nižší míru zisku, než je přiměřený zisk odpovídající nákladově orientovaným cenám základních služeb podle odstavce 5; nevzniká mu však právo na úhradu čistých nákladů stanovených podle § 34b z rozdílu mezi uplatňovaným a přiměřeným ziskem.
(78) Držitel poštovní licence je povinen sjednat ceny základních služeb, které jsou obsaženy v jeho poštovní licenci, transparentně a nediskriminačně. Pokud za určitých podmínek sjedná cenu některé z těchto základních služeb specificky, je povinen za srovnatelných podmínek nabídnout každému takto sjednanou cenu.
(89) Držitel poštovní licence je povinen písemně Úřadu oznámit
a) zvýšení cen základních služeb, které jsou obsaženy v jeho poštovní licenci,
b) veškeré změny technické, organizační nebo právní povahy vztahující se k tomuto držiteli poštovní licence, jež mohou zásadním způsobem ovlivnit poskytování a zajišťování základních služeb, které jsou obsaženy v jeho poštovní licenci.
(910) Oznámení podle odstavce 8 písm. a) je držitel poštovní licence povinen učinit alespoň 90 dnů přede dnem, od kterého hodlá zvýšit ceny základních služeb, a oznámení podle odstavce 8 písm. b) alespoň 30 dnů přede dnem rozhodné události.
§ 36b
Spolupráce s Národním úřadem pro kybernetickou a informační bezpečnost
Úřad a Národní úřad pro kybernetickou a informační bezpečnost si vzájemně poskytují podněty, informace a jiné formy součinnosti potřebné k plnění úkolů, které jim stanoví právní předpisy. Při předávání informací je příjemce povinen zajistit stejnou úroveň důvěrnosti jako předávající.
§ 37a
(1) Právnická nebo podnikající fyzická osoba se dopustí přestupku tím, že
a) poruší některou z povinností podle § 16 odst. 1,
b) zjišťuje obsah poštovní zásilky v rozporu s § 16 odst. 5,
c) podniká v oblasti poštovních služeb v rozporu s obecnými podmínkami podnikání uvedenými v § 17,
d) podniká v oblasti poštovních služeb bez oprávnění podle § 18 odst. 1,
e) nesplní povinnost podle § 18 odst. 5 nebo 6, nebo
f) provozuje službu dodání peněžní částky poštovním poukazem bez poštovní licence v rozporu s § 20.
(2) Provozovatel se dopustí přestupku tím, že
a) nezpřístupní poštovní podmínky podle § 4 odst. 1,
b) neuzavře poštovní smlouvu podle § 4 odst. 2,
c) neuveřejní informaci o změně poštovních podmínek podle § 6 odst. 3,
d) zachází s poštovní zásilkou nebo poukázanou peněžní částkou v rozporu s § 7 odst. 1,
e) otevře nebo prohlíží poštovní zásilku v rozporu § 8 odst. 1, 2 a 4,
f) neinformuje o otevření poštovní zásilky při dodání adresáta, popřípadě odesílatele při vrácení poštovní zásilky podle § 8 odst. 3,
g) prodá poštovní zásilku v rozporu s § 9 odst. 1 a 2,
h) nevydá čistý výtěžek podle § 9 odst. 3,
i) zničí poštovní zásilku v rozporu s § 10,
j) nevyplatí poukázanou peněžní částku v rozporu § 11,
k) v rozporu s § 16 odst. 7 nevydá poštovní zásilku nebo neumožní jiná opatření dotýkající se poštovní zásilky,
l) nesplní povinnost podle § 18 odst. 4,
m) neplní informační povinnost podle § 32a,
n) neplní povinnost podle § 34 odst. 12, nebo
o) v rozporu s § 6 odst. 2 neuvede v poštovních podmínkách veškeré požadované informace nebo je uvede nesrozumitelným, neúplným nebo obtížně přístupným způsobem.
(3) Držitel poštovní licence se dopustí přestupku tím, že
a) neplní poštovní povinnost způsobem podle § 33 odst. 1 písm. a) nebo podle rozhodnutí o udělení poštovní licence,
b) nabízí poštovní služby v rozporu s § 33 odst. 1 písm. b),
c) nesplní informační povinnost podle § 33 odst. 3,
cd) poruší některou z povinností podle § 33 odst. 45,
de) poruší některou z povinností podle § 33 odst. 5, 7, 8 nebo 96, 8, 9 nebo 10,
ef) neplní některou z povinností podle § 33a,
fg) poruší některou z povinností podle § 34 odst. 1, 2, 3, 9 nebo 10, nebo
gh) nabízí základní služby, které jsou obsaženy v jeho poštovní licenci, v rozporu s rozhodnutím o ceně podle § 34a odst. 2.
…..
(6) Za přestupek lze uložit pokutu do
a) 10 000 000 Kč, jde-li o přestupek podle odstavce 1 písm. c), d) nebo f), nebo podle odstavce 3 písm. e)f),
b) 2 000 000 Kč, jde-li o přestupek podle odstavce 1 písm. a) nebo b), nebo podle odstavce 2 písm. e) nebo k), nebo podle odstavce 3 písm. a), c), d), f) nebo g)e), g) nebo h),
c) 1 000 000 Kč, jde-li o přestupek podle odstavce 1 písm. e), nebo podle odstavce 2 písm. b), d), h), j), l), m) nebo o), nebo podle odstavce 3 písm. b), nebo podle odstavců 4 a 5, nebo
d) 500 000 Kč, jde-li o přestupek podle odstavce 2 písm. a), c), f), g), i) nebo n).
§ 41
Zmocňovací ustanovení
(1) Úřad vydá vyhlášku k provedení § 3 odst. 3, § 18 odst. 1, § 33 odst. 4odst. 5 písm. e), § 33a odst. 2 a § 34b odst. 7.
(2) Vláda vydá nařízení k provedení § 3 odst. 2 písm. a).
(3) Ministerstvo průmyslu a obchodu vydá vyhlášku k provedení § 37 odst. 2 písm. a).
Platné znění dotčených ustanovení zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění zákona č. 517/2002 Sb., zákona č. 413/2005 Sb., zákona č. 444/2005 Sb., zákona č. 70/2006 Sb., zákona č. 81/2006 Sb., zákona č. 110/2007 Sb., zákona č. 269/2007 Sb., zákona č. 130/2008 Sb., zákona č. 190/2009 Sb., zákona č. 223/2009 Sb., zákona č. 227/2009 Sb., zákona č. 281/2009 Sb., zákona č. 263/2011 Sb., zákona č. 18/2012 Sb., zákona č. 167/2012 Sb., zákona č. 64/2014 Sb., zákona č. 298/2016 Sb., zákona č. 301/2016 Sb., zákona č. 368/2016 Sb., zákona č. 104/2017 Sb., zákona č. 183/2017 Sb., zákona č. 195/2017 Sb., zákona č. 205/2017 Sb., zákona č. 251/2017 Sb., zákona č. 99/2019 Sb., zákona č. 12/2020 Sb., zákona č. 261/2021 Sb. a zákona č. 471/2022 Sb., s vyznačením navrhovaných změn a doplnění
§ 2
Vymezení pojmů
(1) Pro účely tohoto zákona se rozumí
a) informační činností získávání a poskytování informací, reprezentace informací daty, shromažďování, vyhodnocování a ukládání dat na nosiče a uchovávání, vyhledávání, úprava nebo pozměňování dat, jejich předávání, šíření, zpřístupňování, výměna, třídění nebo kombinování, blokování a likvidace dat ukládaných na nosičích. Informační činnost je prováděna správci, provozovateli a uživateli informačních systémů veřejné správy prostřednictvím technických a programových prostředků,
b) informačním systémem veřejné správy funkční celek nebo jeho část zabezpečující cílevědomou a systematickou informační činnost pro účely výkonu veřejné správy nebo plnění jiných funkcí státu anebo dalších veřejnoprávních korporací. Každý informační systém veřejné správy zahrnuje data, která jsou uspořádána tak, aby bylo možné jejich zpracování a zpřístupnění, provozní údaje a dále technické a programové prostředky, případně jiné nástroje umožňující výkon informačních činností,
c) správcem informačního systému veřejné správy osoba nebo její součást, která poskytuje služby informačního systému veřejné správy a za informační systém veřejné správy odpovídá,
d) provozovatelem informačního systému veřejné správy osoba nebo její součást, která zajišťuje funkčnost technických a programových prostředků tvořících informační systém veřejné správy. Provozováním informačního systému veřejné správy může správce pověřit jiné osoby nebo jejich součásti, pokud to jiný zákon nevylučuje,
e) uživatelem informačního systému veřejné správy osoba nebo její součást, která do informačního systému veřejné správy zapisuje data nebo data, případně i provozní údaje obsažené v informačním systému veřejné správy, využívá, uživatelem informačního systému veřejné správy je i správce nebo provozovatel informačního systému veřejné správy, pokud informační systém veřejné správy užívá při výkonu veřejné správy v oblasti, pro kterou informační systém veřejné správy poskytuje službu informačního systému veřejné správy,
f) vytvářením informačních systémů veřejné správy proces zavádění informačních systémů veřejné správy, včetně jeho právního, organizačního, znalostního a technického zajištění,
g) rozvojem informačních systémů veřejné správy proces zlepšování vlastností informačních systémů veřejné správy nebo zlepšování služeb informačních systémů veřejné správy, včetně jeho právního, organizačního, znalostního a technického zajištění; rozvojem je i modernizace technických nebo programových prostředků anebo jiných nástrojů umožňujících výkon informační činnosti nebo částečná anebo úplná náhrada technických nebo programových prostředků anebo jiných nástrojů umožňujících výkon informační činnosti za účelem zlepšení vlastností informačních systémů veřejné správy nebo zlepšení služeb informačních systémů veřejné správy,
h) službou informačního systému veřejné správy činnost informačního systému veřejné správy uspokojující dané požadavky oprávněné osoby nebo její součásti spojená s funkcí informačního systému veřejné správy,
i) referenčním, sdíleným a bezpečným rozhraním informačních systémů veřejné správy (dále jen "referenční rozhraní") souhrn právních, technických, organizačních a jiných opatření vytvářejících jednotné integrační prostředí informačních systémů veřejné správy, které poskytuje kvalitní soustavu společných služeb informačních systémů veřejné správy, včetně služeb výměny oprávněně vyžadovaných informací mezi jednotlivými informačními systémy, a to i se systémy mimo Českou republiku,
j) atestacemi stanovení shody dlouhodobého řízení informačních systémů veřejné správy s výjimkou provozních informačních systémů uvedených v § 1 odst. 4 písm. a) až d) s požadavky tohoto zákona a prováděcích právních předpisů k tomuto zákonu,
k) produktem souhrnný název pro technické a programové prostředky, dokumentaci informačních systémů veřejné správy nebo služby informačního systému veřejné správy nebo jejich kombinaci,
l) atestem doklad osvědčující kladný výsledek atestace,
m) atestačním střediskem právnická nebo fyzická osoba, kteří jsou podnikateli, provádějící atestace,
n) dálkovým přístupem přístup prostřednictvím sítě nebo služby elektronických komunikací (například s využitím internetu),
o) sdílením dat umožnění přístupu k daným datům prostřednictvím referenčního rozhraní, případně i mimo referenční rozhraní více osobám nebo jejich součástem současně,
p) vazbou mezi informačními systémy veřejné správy vzájemné nebo jednostranné poskytování služeb informačních systémů veřejné správy, například sdílení dat,
q) provozním informačním systémem informační systém veřejné správy zajišťující informační činnosti nutné pro vnitřní provoz příslušného orgánu,
r) atestačními podmínkami obchodní podmínky vydané atestačním střediskem, obsahující zejména vymezení předmětu atestace a postupy atestačního střediska při provádění atestací schválené Digitální a informační agenturou (dále jen „Agentura“),
s) akreditací postup, na jehož základě se vydává osvědčení o tom, že právnické nebo fyzické osoby, které jsou podnikateli, splňují ve vymezeném rozsahu technické, organizační, ekonomické a personální předpoklady k provádění atestací,
t) provozní dokumentací dokumentace informačního systému veřejné správy nebo centrálního místa služeb komunikační infrastruktury veřejné správy (dále jen „centrální místo služeb“), která popisuje funkční a technické vlastnosti informačního systému veřejné správy nebo centrálního místa služeb a blíže rozpracovává oprávnění a povinnosti jeho správce, provozovatele a uživatele,
u) přístupem se zaručenou identitou přístup do informačního systému veřejné správy nebo elektronické aplikace s využitím prostředku pro elektronickou identifikaci, při jehož vydání nebo v souvislosti s ním anebo v souvislosti s umožněním jeho využití byla totožnost osoby ověřena státním orgánem, orgánem územního samosprávného celku nebo orgánem veřejné moci, který není státním orgánem ani orgánem územního samosprávného celku, (dále jen „veřejný orgán“) nebo který byl vydán v rámci kvalifikovaného systému elektronické identifikace,
v) určeným informačním systémem informační systém veřejné správy, který
1. využívá služby referenčního rozhraní nebo poskytuje služby referenčnímu rozhraní,
2. má vazby na informační systém veřejné správy podle bodu 1, nebo
3. je určený k poskytování služby informačního systému veřejné správy fyzickým nebo právnickým osobám s předpokládaným počtem uživatelů, kteří využívají přístup se zaručenou identitou, alespoň 5000 ročně.
(2) Pro účely tohoto zákona se dále rozumí
a) bezpečnostní úrovní cloud computingu bezpečnostní úroveň pro využívání cloud computingu orgány veřejné moci podle právního předpisu upravujícího kybernetickou bezpečnost informačního systému veřejné správy bezpečnostní úroveň podle prováděcího právního předpisu upravujícího stanovení bezpečnostní úrovně informačního systému veřejné správy,
b) cloud computingem způsob zajištění provozu informačního systému veřejné správy nebo jeho části prostřednictvím dálkového přístupu k sdílenému technickému nebo programovému prostředku, který je zpřístupněný poskytovatelem cloud computingu a nastavitelný správcem informačního systému veřejné správy,
c) poptávkou cloud computingu právní jednání orgánu veřejné správy,
1. jehož předmětem je projev vůle využít cloud computing poskytovaný osobou nebo její součástí, které jsou odlišné od tohoto orgánu veřejné správy, pro potřebu tohoto nebo jiného orgánu veřejné správy a mimo rámec vertikální nebo horizontální spolupráce podle právního předpisu upravujícího zadávání veřejných zakázek nebo obecné výjimky z povinnosti zadat veřejnou zakázku v zadávacím řízení podle právního předpisu upravujícího zadávání veřejných zakázek,
2. který obsahuje charakteristiku poptávaného cloud computingu a
3. který předchází právnímu jednání tohoto nebo jiného orgánu veřejné správy podle právního předpisu upravujícího zadávání veřejných zakázek, má-li být cloud computing zadán podle právního předpisu upravujícího zadávání veřejných zakázek,
d) nabídkou cloud computingu právní jednání poskytovatele cloud computingu,
1. jehož předmětem je projev vůle poskytnout cloud computing orgánu veřejné správy mimo rámec vertikální nebo horizontální spolupráce podle právního předpisu upravujícího zadávání veřejných zakázek nebo obecné výjimky z povinnosti zadat veřejnou zakázku v zadávacím řízení podle právního předpisu upravujícího zadávání veřejných zakázek,
2. který obsahuje charakteristiku nabízeného cloud computingu a
3. který předchází právnímu jednání tohoto poskytovatele cloud computingu podle právního předpisu upravujícího zadávání veřejných zakázek, má-li být cloud computing zadán podle právního předpisu upravujícího zadávání veřejných zakázek,
e) státní právnickou osobou státní fond a právnická osoba zřízená nebo založená státem, pokud byla zřízena nebo založena za zvláštním účelem spočívajícím v uspokojování potřeb obecného zájmu, které nemají průmyslovou nebo obchodní povahu, a je financována převážně státem nebo podléhá řídícímu dohledu státu anebo je v jejím správním, řídícím nebo dozorčím orgánu více než polovina členů jmenována státem,
f) architektonickou změnou technické zhodnocení informačního systému veřejné správy spočívající ve změně jeho vnitřní struktury, části informačního systému veřejné správy nebo jejích vlastností, vazby na jiný informační systém veřejné správy nebo vazby mezi částmi téhož informačního systému veřejné správy.,
g) bezpečnostními pravidly pro orgány veřejné správy využívající služby poskytovatelů cloud computingu (dále jen „bezpečnostní pravidla“) pravidla stanovená prováděcím právním předpisem zajišťující bezpečnost informací při využívání služeb cloud computingu orgány veřejné správy k zajištění provozu informačního systému veřejné správy nebo jeho části.
§ 4
Agentura
(1) Agentura ve spolupráci s orgány veřejné správy
a) vyhledává, zpracovává, ukládá a vytváří nové informace, které jsou znalostní základnou pro kvalitní vytváření a rozvoj informačních systémů veřejné správy,
b) se vyjadřuje k návrhům dokumentací programů obsahujících pořízení nebo architektonické změny určených informačních systémů vypracovaných podle zvláštního právního předpisu7a); Agentura přitom přihlíží zejména k oprávněným zájmům předkladatele dokumentace programu, architektuře určených informačních systémů, technickému, ekonomickému a projektovému hledisku, práci s daty, uživatelskému zážitku a k potřebám zajištění řádného výkonu veřejné správy,
c) zajišťuje tvorbu metodických pokynů pro výkon odborných činností spojených s vytvářením, správou, provozem, užíváním a rozvojem informačních systémů veřejné správy,
d) koordinuje a vytváří podmínky pro činnost veřejné správy prostřednictvím veřejně přístupných informačních systémů veřejné správy, včetně dálkového přístupu,
e) koordinuje a vytváří podmínky pro činnost kontaktních míst veřejné správy.
(2) Agentura
a) kontroluje u orgánů veřejné správy dodržování povinností stanovených tímto zákonem s výjimkou povinností stanovených v § 6n písm. b) až f) a § 6l odst. 3,
b) se vyjadřuje k investičním záměrům akcí pořízení nebo architektonických změn určených informačních systémů; Agentura přitom přihlíží zejména k oprávněným zájmům předkladatele investičního záměru akce, architektuře určených informačních systémů, technickému, ekonomickému a projektovému hledisku, práci s daty, uživatelskému zážitku a k potřebám zajištění řádného výkonu veřejné správy,
c) vykonává působnost stanovenou tímto zákonem v oblasti akreditace a atestací,
d) stanoví a spravuje referenční rozhraní a stanoví a ve Věstníku Agentury zveřejní pravidla užívání referenčního rozhraní,
e) ukládá správní tresty za přestupky podle § 7,
f) ukládá opatření směřující k nápravě nedostatků,
g) vyjadřuje se k projektům určených informačních systémů nebo jejich architektonických změn, jde-li o určené informační systémy spravované státními orgány nebo státními právnickými osobami anebo určené informační systémy spravované orgány územních samosprávných celků, které slouží k výkonu přenesené působnosti,
h) posuzuje, zda informační systémy veřejné správy splňují požadavky kladené na ně právními předpisy upravujícími informační nebo komunikační technologie, informační koncepcí orgánu veřejné správy a provozní dokumentací, a jde-li o informační systémy veřejné správy spravované orgány veřejné správy, pro něž jsou závazná usnesení vlády, rovněž informační koncepcí České republiky a jinými usneseními vlády týkajícími se informačních nebo komunikačních technologií,
i) vydává Věstník Agentury, v němž uveřejňuje metodické pokyny [odstavec 1 písm. f)], seznam atestačních středisek, udělení osvědčení o akreditaci a udělení atestů a další dokumenty vztahující se k informačním systémům veřejné správy; vydávání Věstníku Agentury zabezpečuje Agentura prostřednictvím portálu veřejné správy,
j) konzultuje návrhy metodických pokynů zejména s dotčenými osobami nebo jejich součástmi formou veřejné konzultace, jejímž cílem je získání stanovisek a připomínek dotčených osob nebo jejich součástí k předmětnému návrhu, a za tímto účelem zřídí a spravuje informační systém, kde způsobem umožňujícím dálkový přístup uveřejňuje návrhy metodických pokynů, umožňuje předkládání připomínek a uveřejňuje výsledek konzultace,
k) kontroluje výkon působnosti kontaktních míst veřejné správy.
§ 5a
Dlouhodobé řízení informačních systémů veřejné správy
(1) Rada vlády pro informační společnost vytváří a předkládá vládě ke schválení informační koncepci České republiky. Informační koncepce České republiky stanoví cíle České republiky v oblasti informačních systémů veřejné správy a obecné principy pořizování, architektonických změn, vytváření, správy, provozování, užívání a rozvoje informačních systémů veřejné správy v České republice na období 5 let.
(2) Orgány veřejné správy vytvářejí a vydávají informační koncepci orgánu veřejné správy, uplatňují ji v praxi a vyhodnocují její dodržování. V informační koncepci orgánu veřejné správy orgány veřejné správy stanoví své dlouhodobé cíle v oblasti řízení spravovaných informačních systémů veřejné správy a vymezí obecné principy pořizování, architektonických změn, vytváření, správy, provozování, užívání a rozvoje svých informačních systémů veřejné správy. V případě orgánů téhož územního samosprávného celku se vytváří jedna informační koncepce pro všechny orgány územního samosprávného celku. Orgány veřejné správy předkládají informační koncepci orgánu veřejné správy do 3 měsíců ode dne jejího vydání nebo aktualizace Agentuře. Strukturu a náležitosti informační koncepce orgánu veřejné správy, jakož i postupy orgánů veřejné správy při jejím vytváření, vydávání a při vyhodnocování jejího dodržování, požadavky na řízení informačních systémů veřejné správy, včetně bezpečnostních úrovní a dekomponování informačních systémů veřejné správy, technické požadavky na informační systémy veřejné správy, pravidla pro strukturování dat v informačních systémech veřejné správy a bezpečnostní požadavky na zajištění důvěrnosti, integrity a dostupnosti informací zpracovávaných v informačních systémech veřejné správy spravovaných orgány veřejné správy, které nejsou orgány nebo osobami, kterým se ukládají povinnosti v oblasti kybernetické bezpečnosti podle zákona upravujícího kybernetickou bezpečnost, stanoví prováděcí právní předpis.Strukturu a náležitosti informační koncepce orgánu veřejné správy, jakož i postupy orgánů veřejné správy při jejím vytváření, vydávání a při vyhodnocování jejího dodržování, požadavky na řízení informačních systémů veřejné správy, včetně dekomponování informačních systémů veřejné správy, technické požadavky na informační systémy veřejné správy a pravidla pro strukturování dat v informačních systémech veřejné správy stanoví prováděcí právní předpis.
(3) Na základě vydané informační koncepce orgánu veřejné správy orgány veřejné správy vytvářejí a vydávají provozní dokumentaci k jednotlivým informačním systémům veřejné správy, uplatňují ji v praxi a vyhodnocují její dodržování. Strukturu a náležitosti provozní dokumentace stanoví prováděcí právní předpis.
(4) Orgány veřejné správy si zajistí atestaci dlouhodobého řízení informačních systémů veřejné správy s výjimkou provozních informačních systémů uvedených v § 1 odst. 4 písm. a) až d) a prokáží splnění povinností podle odstavců 2 a 3 atestem dlouhodobého řízení informačních systémů veřejné správy. Rozsah provozní dokumentace předkládané při atestaci stanoví prováděcí právní předpis. Povinnost podle věty první se nevztahuje na obce, které vykonávají přenesenou působnost pouze v základním rozsahu9a).
§ 5b
(1) Orgány veřejné správy uplatňují opatření odpovídající bezpečnostním požadavkům na zajištění důvěrnosti, integrity a dostupnosti informací zpracovávaných v informačních systémech veřejné správy.
(2) Orgány veřejné správy při využívání cloud computingu postupují podle bezpečnostních pravidel pro orgány veřejné moci využívající služby cloud computingu podle právního předpisu upravujícího kybernetickou bezpečnost.
Správci informačních systémů veřejné správy, kteří nejsou poskytovateli regulované služby podle zákona o kybernetické bezpečnosti, jsou povinni na jimi spravované informační systémy veřejné správy přiměřeně zavádět bezpečnostní opatření pro poskytovatele regulované služby v režimu nižších povinností podle § 6, 14 a 15 zákona o kybernetické bezpečnosti.“.
§ 6i
Působnost v oblasti využívání cloud computingu orgány veřejné správy
(1) Vláda
a) pověřuje osobu nebo jiné právní uspořádání, které jsou zřízené nebo založené státem a které splňují požadavky podle § 6m odst. 1, poskytováním cloud computingu orgánům veřejné správy (dále jen „poskytovatel státního cloud computingu“),
b) schvaluje plán zajištění potřebné kapacity pro poskytování cloud computingu poskytovatelem státního cloud computingu orgánům veřejné správy, včetně rozpočtového výhledu na 5 let.
(2) Agentura
a) koordinuje využívání cloud computingu orgány veřejné správy,
b) vydává metodické pokyny pro využívání cloud computingu orgány veřejné správy,
c) zpracovává plán zajištění potřebné kapacity pro poskytování cloud computingu poskytovatelem státního cloud computingu orgánům veřejné správy, včetně rozpočtového výhledu na 5 let a předkládá ho vládě,
d) navrhuje opatření k zajištění dlouhodobě udržitelného financování využívání cloud computingu orgány veřejné správy,
e) kontroluje, zda cloud computing poskytovaný orgánům veřejné správy splňuje požadavky podle § 6n písm. a) a kvalitu tohoto cloud computingu,
f) spravuje informační systém cloud computingu pro orgány veřejné správy (dále jen „informační systém cloud computingu“),
g) vede katalog cloud computingu pro orgány veřejné správy (dále jen „katalog cloud computingu“),
h) vykonává působnost správního orgánu příslušného k uplatňování, regulaci a kontrole cen podle právního předpisu upravujícího ceny v případě cen za poskytování cloud computingu orgánům veřejné správy.
(3) Národní úřad pro kybernetickou a informační bezpečnost kontroluje, zda cloud computing poskytovaný orgánům veřejné správy splňuje požadavky podle § 6n, v případě, že je využíván k provozování informačního systému veřejné správy, který je informačním nebo komunikačním systémem kritické informační infrastruktury, významným informačním systémem nebo informačním systémem základní služby podle právního předpisu upravujícího kybernetickou bezpečnost.
(3) Národní úřad pro kybernetickou a informační bezpečnost
a) kontroluje, zda cloud computing poskytovaný orgánům veřejné správy splňuje požadavky podle § 6n písm. b) až f),
b) kontroluje zařazení informačního systému veřejné správy do bezpečnostní úrovně podle § 6l odst. 3,
c) kontroluje zajištění dodržování bezpečnostních pravidel orgánem veřejné správy při využívání služby cloud computingu podle § 6l odst. 3.
(4) Orgán veřejné správy poskytne na žádost Agentury podklady pro zpracování plánu zajištění potřebné kapacity pro poskytování cloud computingu poskytovatelem státního cloud computingu orgánům veřejné správy.
§ 6l
Základní pravidla využívání cloud computingu orgánem veřejné správy
(1) Orgán veřejné správy může využívat pouze cloud computing, který splňuje požadavky podle § 6n a je poskytovaný
a) poskytovatelem státního cloud computingu nebo poskytovatelem cloud computingu zapsaným v katalogu cloud computingu na základě nabídky cloud computingu tohoto poskytovatele zapsané v okamžiku jejího přijetí orgánem veřejné správy v katalogu cloud computingu,
b) v rámci vertikální nebo horizontální spolupráce podle právního předpisu upravujícího zadávání veřejných zakázek nebo
c) v rámci obecné výjimky z povinnosti zadat veřejnou zakázku v zadávacím řízení podle právního předpisu upravujícího zadávání veřejných zakázek.
(2) Přestane-li cloud computing využívaný orgánem veřejné správy splňovat podmínky podle odstavce 1, orgán veřejné správy ukončí jeho využívání nejpozději do 12 měsíců ode dne, kdy se o této skutečnosti dozvěděl.
(3) Orgán veřejné správy využívá cloud computing poskytovaný poskytovatelem cloud computingu na základě písemné smlouvy o poskytování cloud computingu orgánu veřejné správy. Orgán veřejné správy je povinen před uzavřením smlouvy s poskytovatelem cloud computingu zařadit informační systém veřejné správy nebo jeho část, k zajištění jehož provozu má být cloud computing využíván, do bezpečnostní úrovně s ohledem na povahu dotčeného informačního systému veřejné správy podle prováděcího právního předpisu. Orgán veřejné správy je dále povinen zajišťovat, že budou dodržována bezpečnostní pravidla stanovená prováděcím právním předpisem.
(4) Odstavce 1 až 3 se nepoužijí v případě cloud computingu, který slouží výlučně
a) ke správě a řešení technických potíží nebo diagnostice programových anebo technických prostředků, případně k zabezpečení nebo přenosu s tím souvisejících signálů,
b) ke správě nebo využívání prostředků pro elektronickou identifikaci využívajících vícefaktorové autentizace,
c) k aktualizaci nebo opravě programového prostředku, nebo
d) ke shromažďování nebo výměně provozních údajů,
e) ke zkušebnímu provozu informačního systému veřejné správy, pokud při něm nebudou využity údaje, které se v informačním systému veřejné správy vedou nebo povedou anebo které jsou nebo budou v souvislosti s poskytováním služby informačního systému veřejné správy využívány.
(5) Je-li poskytování cloud computingu poskytovatelem státního cloud computingu závislé na využití cloud computingu jiného poskytovatele cloud computingu, použijí se na toto využití ustanovení tohoto zákona o využívání cloud computingu orgány veřejné správy.
§ 6n
Požadavky na cloud computing využívaný orgánem veřejné správy
Orgán veřejné správy může využívat a poskytovatel cloud computingu může orgánu veřejné správy nebo poskytovateli státního cloud computingu poskytovat pouze cloud computing,
a) který umožňuje splnění požadavků kladených na informační systém veřejné správy informační koncepcí České republiky,
b) který umožňuje dosažení alespoň základní úrovně ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy,
c) který umožňuje orgánu veřejné správy postupovat podle bezpečnostních pravidel pro orgány veřejné moci využívající služby cloud computingu podle právního předpisu upravujícího kybernetickou bezpečnost zajistit dodržování bezpečnostních pravidel stanovených prováděcím právním předpisem,
d) jehož bezpečnostní úroveň je stejná nebo vyšší než bezpečnostní úroveň informačního systému veřejné správy nebo jeho části, k zajištění jehož provozu je využíván,
e) který v případě, že je jeho poskytování závislé na jiném cloud computingu, je poskytovaný s využitím cloud computingu splňujícího požadavky podle písmen b) až d) a poskytovaného poskytovatelem státního cloud computingu nebo poskytovatelem cloud computingu zapsaným v katalogu cloud computingu; část věty před středníkem se nepoužije v případě cloud computingu poskytovaného podle § 6l odst. 1 písm. c),
f) u něhož v případě, že je jeho poskytování závislé na více poskytovatelích cloud computingu, je každý poskytovatel cloud computingu poskytovatelem státního cloud computingu nebo poskytovatelem cloud computingu zapsaným v katalogu cloud computingu; část věty před středníkem se nepoužije v případě cloud computingu poskytovaného podle § 6l odst. 1 písm. c).
§ 6q
(1) Agentura rozhodne o zápisu poskytovatele cloud computingu do katalogu cloud computingu na základě jeho žádosti, splňuje-li poskytovatel cloud computingu požadavky podle § 6m odst. 1. O žádosti rozhodne Agentura do 45 dnů ode dne jejího podání; proti rozhodnutí o žádosti není rozklad přípustný.
(2) Je-li žádosti v plném rozsahu vyhověno, písemné vyhotovení rozhodnutí se nevydává. Takové rozhodnutí nabývá právní moci dnem zápisu poskytovatele cloud computingu do katalogu cloud computingu. O zápisu do katalogu cloud computingu Agentura vyrozumí poskytovatele cloud computingu, který o zápis požádal.
(3) Poskytovatel cloud computingu podává žádost elektronicky ve strojově čitelném formátu.
(4) Poskytovatel cloud computingu uvede v žádosti
a) údaje o sobě v rozsahu údajů, které se o poskytovateli cloud computingu vedou v katalogu cloud computingu,
b) adresu svého sídla, má-li jej mimo území České republiky.
(5) Poskytovatel cloud computingu k žádosti připojí
a) doklad vydaný orgánem státu, v němž má sídlo, obsahující identifikační údaje osob, které jsou jeho skutečným majitelem; část věty před středníkem se nepoužije, má-li poskytovatel cloud computingu sídlo na území České republiky,
b) doklad o svých zkušenostech s poskytováním cloud computingu za posledních 5 let,
c) doklad o tom, že splňuje požadavky pro certifikaci nebo audit pro oblast ochrany důvěrnosti, integrity a dostupnosti informací, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost vydaným podle § 12 odst. 2 tohoto zákona,
d) doklad o své bezúhonnosti, nelze-li bezúhonnost potvrdit postupem podle § 12 zákona o Rejstříku trestů; ustanovení právního předpisu upravujícího elektronickou identifikaci o dokladech prokazujících bezúhonnost kvalifikovaného správce kvalifikovaného systému elektronické identifikace se použijí obdobně,
e) doklad vydaný orgánem státu, v němž má sídlo, a doklad vydaný orgánem státu, na jehož území předpokládá dlouhodobé uložení informací orgánu veřejné správy, že nemá evidován nedoplatek vůči žádnému z orgánů těchto států; část věty před středníkem se ve vztahu k dokladu vydanému orgánem státu, v němž má poskytovatel cloud computingu sídlo, nepoužije, má-li poskytovatel cloud computingu sídlo na území České republiky.
(6) Nevydává-li orgán státu doklad podle odstavce 5 písm. a) nebo e), poskytovatel cloud computingu jej může nahradit čestným prohlášením.
§ 6t
(1) Agentura rozhodne o zápisu nabídky cloud computingu zařazeného do jiné než nejnižší bezpečnostní úrovně do katalogu cloud computingu na základě žádosti poskytovatele státního cloud computingu nebo poskytovatele cloud computingu zapsaného v katalogu cloud computingu, splňuje-li nabízený cloud computing požadavky podle § 6n písm. a), b), d) a f) a požadavek podle § 6n písm. e), pokud jde o požadavky podle § 6n písm. b) a d) a požadavek na poskytování podpůrného cloud computingu poskytovatelem státního cloud computingu nebo poskytovatelem cloud computingu zapsaným v katalogu cloud computingu. Agentura rozhodne o zápisu nabídky cloud computingu zařazeného do nejnižší bezpečnostní úrovně do katalogu cloud computingu na základě žádosti poskytovatele podle věty první, splňuje-li nabízený cloud computing požadavky podle § 6n písm. a) a f) a požadavek podle § 6n písm. e), pokud jde o požadavek na poskytování podpůrného cloud computingu poskytovatelem státního cloud computingu nebo poskytovatelem cloud computingu zapsaným v katalogu cloud computingu. O žádosti podle vět první a druhé rozhodne Agentura do 30 dnů ode dne jejího podání; proti rozhodnutí o žádosti není rozklad přípustný.
(2) Je-li žádosti v plném rozsahu vyhověno, písemné vyhotovení rozhodnutí se nevydává. Takové rozhodnutí nabývá právní moci dnem zápisu nabídky cloud computingu do katalogu cloud computingu. Agentura o zápisu do katalogu cloud computingu vyrozumí poskytovatele cloud computingu, který o zápis požádal.
(3) Poskytovatel cloud computingu podává žádost elektronicky ve strojově čitelném formátu.
(4) Poskytovatel cloud computingu může v žádosti uvést pouze jednu nabídku jednoho cloud computingu nebo jednu nabídku více cloud computingů zařazených do stejné bezpečnostní úrovně.
(5) Poskytovatel cloud computingu uvede v žádosti
a) údaje o nabídce cloud computingu v rozsahu údajů, které se o nabídce cloud computingu vedou v katalogu cloud computingu,
b) údaj, zda je poskytování nabízeného cloud computingu závislé na využití jiného cloud computingu, identifikaci tohoto cloud computingu a jeho poskytovatele a popis využití jiného cloud computingu, včetně rozsahu využití,
c) údaj, zda je poskytování nabízeného cloud computingu závislé na více poskytovatelích cloud computingu, identifikaci těchto poskytovatelů cloud computingu a popis jejich zapojení do poskytování nabízeného cloud computingu, včetně rozsahu zapojení.
(6) Poskytovatel cloud computingu k žádosti připojí
a) seznam svých dodavatelů, u kterých předpokládá zpracovávání informací orgánu veřejné správy,
b) doklad o tom, že nabízený cloud computing splňuje požadavky pro certifikaci nebo audit pro oblast ochrany důvěrnosti, integrity a dostupnosti informací, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost vydaným podle § 12 odst. 2,
c) dokumentaci nabízeného cloud computingu,
d) zprávu o provedení penetračního testu nabízeného cloud computingu, pokud je požadována právním předpisem upravujícím kybernetickou bezpečnost vydaným podle § 12 odst. 2,
e) plán zajištění kontinuity provozu nabízeného cloud computingu a plán na obnovu poskytování nabízeného cloud computingu po havárii, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost vydaným podle § 12 odst. 2; namísto plánů lze připojit auditní zprávu osvědčující jejich existenci,
f) doklad o zhodnocení zdrojů rizik nabízeného cloud computingu, pokud je požadován právním předpisem upravujícím kybernetickou bezpečnost,
g) podklady k ověření splnění požadavku na zajištění důvěrnosti, integrity a dostupnosti informací nabízeným cloud computingem, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost vydaným podle § 12 odst. 2.
(7) Je-li poskytování nabízeného cloud computingu závislé na využití jiného cloud computingu a není-li jiný cloud computing ke dni podání žádosti předmětem nabídky cloud computingu zapsané v katalogu cloud computingu, poskytovatel cloud computingu k žádosti dále připojí
a) smlouvu s poskytovatelem cloud computingu, který poskytuje cloud computing, na jehož využití je závislé poskytování nabízeného cloud computingu, (dále jen „podpůrný cloud computing“),
b) seznam dodavatelů poskytovatele podpůrného cloud computingu, u kterých poskytovatel podpůrného cloud computingu předpokládá zpracovávání informací orgánu veřejné správy,
c) doklad o tom, že podpůrný cloud computing splňuje požadavky pro certifikaci nebo audit pro oblast ochrany důvěrnosti, integrity a dostupnosti informací podpůrným cloud computingem, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost vydaným podle § 12 odst. 2,
d) dokumentaci podpůrného cloud computingu,
e) zprávu o provedení penetračního testu podpůrného cloud computingu, pokud je požadována právním předpisem upravujícím kybernetickou bezpečnost vydaným podle § 12 odst. 2,
f) plán zajištění kontinuity provozu podpůrného cloud comutingu a plán na obnovu poskytování podpůrného cloud computingu po havárii, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost vydaným podle § 12 odst. 2; namísto plánů lze připojit auditní zprávu osvědčující jejich existenci,
g) doklad o zhodnocení zdrojů rizik podpůrného cloud computingu, pokud je požadován právním předpisem upravujícím kybernetickou bezpečnost vydaným podle § 12 odst. 2,
h) podklady k ověření splnění požadavku na zajištění důvěrnosti, integrity a dostupnosti informací podpůrným cloud computingem, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost vydaným podle § 12 odst. 2.
(8) Je-li poskytování nabízeného cloud computingu závislé na více poskytovatelích cloud computingu, poskytovatel cloud computingu k žádosti dále připojí
a) smlouvu o poskytování nabízeného cloud computingu s těmito poskytovateli cloud computingu,
b) seznam dodavatelů těchto poskytovatelů cloud computingu, u kterých tito poskytovatelé cloud computingu předpokládají zpracovávání informací orgánu veřejné správy.
§ 7
Přestupky právnických a podnikajících fyzických osob a orgánů veřejné správy
(1) Akreditující osobě, která
a) neprovádí akreditaci podle akreditačních pravidel, s nimiž Agentura vyslovila souhlas [§ 6 odst. 4 písm. a)],
b) vydá osvědčení o akreditaci, aniž by splňovala personální požadavky [§ 6 odst. 4 písm. d)],
c) neohlásí bezodkladně Agentuře, že nemá po dobu delší než 3 měsíce zajištěné zdroje potřebné pro výkon svých činností [§ 6 odst. 4 písm. f)],
d) nepostupuje při provádění akreditace nestranně [§ 6 odst. 4 písm. e)], nebo
e) nesplní ve stanovené lhůtě povinnost předání informací Agentuře (§ 6a odst. 3),
lze uložit pokutu do 100 000 Kč.
(2) Atestační středisko se dopustí přestupku tím, že
a) neprovádí atestaci podle postupů atestačního střediska schválených Agenturou (§ 6b odst. 3),
b) vyhodnotilo způsob dlouhodobého řízení informačních systémů veřejné správy v rozporu s osvědčením o akreditaci (§ 6a) nebo tímto zákonem,
c) vydá atest na dlouhodobé řízení informačních systémů veřejné správy, na jejichž vývoji, přípravě, výrobě nebo na obchodu se jakkoliv podílelo samo nebo s ním ekonomicky nebo personálně spojená osoba (§ 6d odst. 2),
d) nesplní ve stanovené lhůtě povinnost vydání protokolu o provedené zkoušce (§ 6d odst. 4),
e) nesplní ve stanovené lhůtě povinnost předání informací Agentuře (§ 6d odst. 7), nebo
f) nesplní ve stanovené lhůtě povinnost zveřejnění atestačních podmínek (§ 6e odst. 1).
(3) Právnická nebo podnikající fyzická osoba se jako provozovatel informačního systému veřejné správy dopustí přestupku tím, že
a) nepředá data a provozní údaje na vyžádání správce informačního systému veřejné správy podle § 9e odst. 1, nebo
b) v rozporu s § 9e odst. 2 nebo 3
1. nepředá data a provozní údaje po ukončení provozování informačního systému veřejné správy,
2. nezlikviduje kopie dat a provozních údajů, nebo
3. neumožní správci informačního systému veřejné správy dohled nad průběhem likvidace kopií dat a provozních údajů.
(4) Poskytovatel cloud computingu se dopustí přestupku tím, že poskytuje orgánu veřejné správy nebo poskytovateli státního cloud computingu cloud computing, který nesplňuje požadavky na cloud computing využívaný orgánem veřejné správy podle § 6n.
(5) Orgán veřejné správy se dopustí přestupku tím, že
a) využívá cloud computing v rozporu s § 6l odst. 1,
b) nesplní ve stanovené lhůtě povinnost ukončit využívání cloud computingu podle § 6l odst. 2,
c) nesplní povinnost zařadit informační systém nebo jeho část do bezpečnostní úrovně podle § 6l odst. 3, nebo
d) nezajišťuje dodržování bezpečnostních pravidel podle § 6l odst. 3.
(46) Za přestupek lze uložit pokutu do
a) 10 000 000 Kč, jde-li o přestupek podle odstavce 4 nebo 5,
ab) 1000000 Kč, jde-li o přestupek podle odstavce 2 písm. a) až c) nebo odstavce 3 písm. b) bodu 1 nebo 2,
bc) 200000 Kč, jde-li o přestupek podle odstavce 3 písm. a) nebo písm. b) bodu 3,
cd) 100000 Kč, jde-li o přestupek podle odstavce 2 písm. d) až f).
§ 9e
(1) Provozovatel informačního systému veřejné správy předá bezodkladně na vyžádání správce informačního systému veřejné správy data a provozní údaje týkající se provozovaného informačního systému veřejné správy.
(2) Provozovatel informačního systému veřejné správy předá bezodkladně po ukončení provozování informačního systému veřejné správy data a provozní údaje týkající se provozovaného informačního systému veřejné správy správci informačního systému veřejné správy a kopie těchto dat a provozních údajů zlikviduje.
(3) Provozovatel informačního systému veřejné správy postupuje při likvidaci kopií dat a provozních údajů týkajících se provozovaného informačního systému veřejné správy podle pravidel stanovených právním předpisem upravujícím kybernetickou bezpečnost pro likvidaci dat, provozních údajů, informací a jejich kopií správci a provozovateli významného informačního systému. Provozovatel informačního systému veřejné správy umožní správci informačního systému veřejné správy dohled nad průběhem likvidace kopií dat a provozních údajů, nevylučuje-li to způsob provozování informačního systému veřejné správy.
(4) Provozovatel informačního systému veřejné správy má právo na úhradu účelně vynaložených nákladů za předání dat a provozních údajů podle odstavců 1 a 2.
(5) Ustanovení právního předpisu upravujícího práva k duševnímu vlastnictví nejsou předáním dat a provozních údajů podle odstavců 1 a 2 dotčena.
§ 12
(1) Agentura stanoví vyhláškou
a) požadavky na strukturu a náležitosti hodnocení ekonomické výhodnosti způsobu provozu informačních systémů veřejné správy podle § 5 odst. 2 písm. j), hodnocení ekonomické výhodnosti provozu informačního systému veřejné správy podle § 5 odst. 2 písm. k) a hodnocení ekonomické výhodnosti využití poptávaného cloud computingu podle § 6o odst. 4 a postup při jejich provádění,
b) požadavky na strukturu a náležitosti informační koncepce orgánu veřejné správy, postupy orgánů veřejné správy při jejím vytváření, vydávání, při vyhodnocování jejího dodržování, požadavky na řízení informačních systémů veřejné správy, včetně bezpečnostních úrovní a dekomponování informačních systémů veřejné správy, technické požadavky na informační systémy veřejné správy, pravidla pro strukturování dat v informačních systémech veřejné správy a bezpečnostní požadavky na zajištění důvěrnosti, integrity a dostupnosti informací zpracovávaných v informačních systémech veřejné správy spravovaných orgány veřejné správy, které nejsou orgány nebo osobami, kterým se ukládají povinnosti v oblasti kybernetické bezpečnosti podle zákona upravujícího kybernetickou bezpečnost, podle § 5a odst. 2,
c) požadavky na strukturu a náležitosti provozní dokumentace podle § 5a odst. 3 a na rozsah provozní dokumentace předkládané při atestaci podle § 5a odst. 4,
d) postupy atestačních středisek při posuzování dlouhodobého řízení informačních systémů veřejné správy podle § 6d odst. 1 písm. b),
e) údaje o poptávkách cloud computingu, poskytovatelích cloud computingu, nabídkách cloud computingu a o cloud computingu využívaném orgány veřejné správy podle § 6k odst. 2,
f) požadavky na náležitosti smlouvy o poskytování cloud computingu orgánu veřejné správy podle § 6l odst. 3,
g) požadavky na náležitosti dokladu o zkušenostech poskytovatele cloud computingu s poskytováním cloud computingu podle § 6q odst. 5 písm. b),
h) požadavky na strukturu a náležitosti dokumentace nabízeného cloud computingu podle § 6t odst. 6 písm. c) a dokumentace podpůrného cloud computingu podle § 6t odst. 7 písm. d),
i) seznam obecních úřadů, úřadů městských částí nebo městských obvodů územně členěných statutárních měst a úřadů městských částí hlavního města Prahy podle § 8a odst. 2 písm. d),
j) náležitosti a vzor formuláře žádosti o vyjádření podle § 5 odst. 2 písm. b) a f) a žádosti o posouzení podle § 5 odst. 2 písm. c).
(2) Národní úřad pro kybernetickou a informační bezpečnost stanoví vyhláškou
a) požadavky na zajištění základní úrovně ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy podle § 6m odst. 1 písm. a) a § 6n písm. b),
b) seznam certifikací a auditů pro oblast ochrany důvěrnosti, integrity a dostupnosti informací podle § 6q odst. 5 písm. c), § 6t odst. 6 písm. b) a § 6t odst. 7 písm. c), doklady o jejich splnění a intervaly pro předkládání těchto dokladů podle § 6y odst. 2,
c) požadavky na strukturu a náležitosti zprávy o provedení penetračního testu podle § 6t odst. 6 písm. d) a § 6t odst. 7 písm. e) a intervaly pro její předkládání,
d) požadavky na náležitosti auditní zprávy osvědčující existenci plánu zajištění kontinuity provozu nabízeného cloud computingu a plánu na obnovu poskytování nabízeného cloud computingu po havárii podle § 6t odst. 6 písm. e) a § 6t odst. 7 písm. f),
e) požadavky na strukturu a náležitosti dokladu o zhodnocení zdrojů rizik podle § 6t odst. 6 písm. f) a § 6t odst. 7 písm. g),
f) požadavky na strukturu a náležitosti podkladů k ověření splnění požadavku na zajištění důvěrnosti, integrity a dostupnosti informací podle § 6t odst. 6 písm. g) a § 6t odst. 7 písm. h).,
g) bezpečnostní úrovně informačních systémů veřejné správy,
h) obsah a rozsah bezpečnostních pravidel pro orgány veřejné správy využívající služeb cloud computingu podle § 6l odst. 3.
(3) Agentura a Ministerstvo vnitra stanoví vyhláškou požadavky na strukturu a náležitosti záznamů o poskytnutí a využití údajů a o přístupu do informačního systému veřejné správy podle § 5e.
Platné znění dotčených ustanovení zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění zákona č. 468/2011 Sb., zákona č. 374/2021 Sb. a zákona č. 202/2023 Sb., s vyznačením navrhovaných změn a doplnění
§ 6
(1) Ministerstvo a Úřad nesmí svým jednáním a rozhodováním poskytnout výhodu jednomu podnikateli nebo uživateli, nebo skupině podnikatelů nebo uživatelů, na úkor ostatních podnikatelů nebo uživatelů, aniž by jednaly na základě tohoto zákona a toto jednání bylo odůvodněné rozdíly v postavení dotčených osob. Jakýkoliv rozdíl v zacházení musí být v souladu s tímto zákonem.
(2) Úřad je povinen průběžně sledovat a vyhodnocovat účinky uložených nápravných opatření na jednotlivé relevantní trhy i v období mezi jejich analýzami prováděnými podle tohoto zákona. Zjistí-li, že uložené nápravné opatření má na trhy nežádoucí účinek, neúměrně je deformuje, pominul důvod k jeho uložení, nebo na relevantním trhu existuje účinná a udržitelná hospodářská soutěž, neprodleně uložené nápravné opatření změní nebo zruší.
(3) Ministerstvo a Úřad jsou povinny zohlednit potřebu technologicky neutrální regulace; technologicky neutrální regulací se rozumí regulace, která neukládá povinnost použít konkrétní druh technologie a ani žádný druh technologie nezvýhodňuje.
(4) V rámci naplňování zásady transparentnosti je Úřad, nestanoví-li tento zákon jinak, povinen
a) poskytovat podnikatelům poskytujícím veřejně dostupné služby elektronických komunikací a uživatelům s předstihem všechny informace, které jsou rozhodující pro posouzení věci a jejichž poskytnutí nebrání ustanovení zvláštního právního předpisu3), aby byla umožněna předvídatelnost jednání Úřadu v případech, kde tento zákon s určitým stavem spojuje právo nebo povinnost Úřadu konat,
b) náležitě odůvodnit opatření obecné povahy a rozhodnutí, včetně rozhodnutí o ceně.
(5) Úřad v rámci správy harmonizovaného rádiového spektra zajistí předvídatelnost regulačních opatření pro držitele přídělů rádiových kmitočtů s ohledem na podmínky investování do infrastruktury, která je závislá na využívání rádiového spektra. Pro držitele přídělu rádiových kmitočtů pro bezdrátové vysokorychlostní služby elektronických komunikací zajistí Úřad předvídatelnost regulačních opatření po dobu nejméně 20 let.
(6) Úřad může na základě žádosti rozhodnout o změně nebo zrušení regulačního opatření uloženého rozhodnutím vydaným na základě tohoto zákona v případě, že plnění podmínek nebo povinností stanovených v takovém rozhodnutí znemožňuje nebo brání podmínky uvedené v protiopatření nebo opatření obecné povahy vydaných podle zákona o kybernetické bezpečnosti.
§ 22a
Změna přídělu rádiových kmitočtů
(1) Předseda Rady rozhodne po konzultaci podle § 130 o změně přídělu rádiových kmitočtů na žádost držitele přídělu.
(2) Předseda Rady může rovněž rozhodnout po konzultaci podle § 130 o změně přídělu rádiových kmitočtů, jestliže
a) oprávnění k využívání rádiových kmitočtů, na které se příděl vztahuje, bylo odňato podle § 19 odst. 4 písm. b) nebo d) a držitel přídělu byl držitelem odňatého oprávnění,
b) jde o převod přídělu podle § 23, nebo
c) je nutné stanovit konkrétní podmínky plnění povinností podle § 22 odst. 3.
(3) Při rozhodování podle odstavců 1 a 2 předseda Rady posoudí plnění všech podmínek a povinností stanovených v přídělu a zohlední zejména plnění podmínek podle § 22 odst. 2 písm. d), rozsah služeb, pro které byla práva k využívání rádiových kmitočtů udělena, potřeby zajištění hospodářské soutěže a plnění podmínek účelného využívání rádiových kmitočtů. Postupem podle odstavce 1, odstavce 2 písm. b) a odstavce 56 lze změnit příděl rádiových kmitočtů pouze v případě, že je to nezbytné k naplnění harmonizačních záměrů Evropské unie nebo mezinárodních smluv, kterými je Česká republika vázána a které byly vyhlášeny ve Sbírce zákonů nebo ve Sbírce mezinárodních smluv.
(4) Předseda Rady rozhodne o změně přídělu rádiových kmitočtů, jestliže je to nezbytné k dodržení závazků vyplývajících z mezinárodní smlouvy, kterou je Česká republika vázána a která byla vyhlášena ve Sbírce zákonů nebo ve Sbírce mezinárodních smluv, anebo to vyplývá z členství České republiky v Evropské unii, Severoatlantické alianci anebo v mezinárodních organizacích, vyžaduje-li to obrana nebo bezpečnost státu, anebo je to nezbytné pro zajištění naplnění harmonizačních záměrů Evropské unie na využívání rádiového spektra16a).
(5) Předseda Rady může rozhodnout po konzultaci podle § 130 o změně přídělu rádiových kmitočtů, jestliže je to nezbytné pro plnění protiopatření nebo plnění účelu opatření obecné povahy vydaného podle zákona o kybernetické bezpečnosti. Postup podle § 6 odst. 6 tím není dotčen.
(56) Změnu přídělu rádiových kmitočtů lze provést rovněž, pokud na základě postupu podle § 21 má dojít k udělení dalších práv k využívání rádiových kmitočtů držiteli přídělu a takové změně nebrání obsahové náležitosti přídělu podle § 22 odst. 2 a 3.
§ 98
Bezpečnost a integrita veřejných komunikačních sítí a služeb elektronických komunikací
(1) Osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací je povinna zajišťovat bezpečnost a integritu své sítě a bezpečnost služeb, které poskytuje. Za tím účelem je tato osoba zejména povinna přijmout technicko-organizační pravidla vytvořená v souladu se síťovými plány podle odstavce 2. S ohledem na technické možnosti tato pravidla zajistí takovou úroveň bezpečnosti, která odpovídá míře existujícího rizika s cílem předejít nebo minimalizovat dopad bezpečnostních incidentů na uživatele a na sítě a služby. Bezpečností sítě a služby se rozumí jejich schopnost odolávat s dostatečnou spolehlivostí veškerým zásahům, které narušují dostupnost, hodnověrnost, integritu nebo důvěrnost této sítě a služby, uchovávaných, předávaných nebo zpracovávaných dat nebo souvisejících služeb, které tato síť nebo služba elektronických komunikací nabízí nebo které jsou jejich prostřednictvím přístupné. Bezpečnostním incidentem se rozumí událost, která má skutečný nepříznivý dopad na bezpečnost sítí nebo služeb elektronických komunikací.
(2) Pro zajištění bezpečnosti a integrity veřejných komunikačních sítí Úřad vydává síťové plány (§ 62), ve kterých vymezí základní vlastnosti těchto sítí a jejich rozhraní, které jsou nezbytné pro vzájemné propojování veřejných komunikačních sítí, pro přístup k nim, pro připojování neveřejných komunikačních sítí a zajištění bezpečnosti a kontinuity dodávek služeb, které jsou prostřednictvím veřejných komunikačních služeb poskytovány.
(3) Osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací může v případech, kdy hrozí nebo dojde k závažnému narušení bezpečnosti sítě a služby a integrity jeho sítě z důvodů poškození nebo zničení elektronického komunikačního zařízení, zejména vlivem velkých provozních havárií nebo živelních pohrom, přerušit poskytování služby nebo odepřít přístup ke službě. Přerušení nebo odepření musí být omezeno pouze na dobu nezbytně nutnou, a je-li to technicky možné, musí být zachován přístup k tísňovým číslům.
(4) O závažném narušení bezpečnosti sítě a služby a ztrátě integrity sítě, rozsahu a důvodech přerušení poskytování služby nebo odepření přístupu k ní, přijatých opatřeních a o předpokládaném termínu odstranění příčiny podle odstavce 3 je osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací povinen bezodkladně informovat Úřad, subjekty provozující centra tísňové komunikace a vhodným způsobem i uživatele. Kritéria určení závažného narušení bezpečnosti sítě a služby a ztrátu integrity sítě a rozsah a formu předávání informací stanoví Úřad prováděcím právním předpisem. Úřad může v případě, že je zveřejnění těchto informací ve veřejném zájmu, informovat o tom vhodným způsobem veřejnost nebo povinnost zveřejnění těchto informací uložit osobě zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací. Je-li to vhodné, informuje Úřad také příslušné orgány v jiných členských státech a Evropskou agenturu pro bezpečnost sítí a informací (ENISA).
(5) Úřad předkládá každoročně Komisi a Evropské agentuře pro bezpečnost sítí a informací (ENISA) souhrnnou zprávu za předchozí kalendářní rok, která informuje o oznámeních a opatřeních přijatých podle odstavců 3 a 4, a to v rozsahu a formátu stanoveném Komisí.
(6) Osobě zajišťující veřejnou komunikační síť nebo poskytujícímu veřejně dostupnou službu elektronických komunikací může Úřad uložit povinnost provést bezpečnostní audit. Tento audit musí být proveden kvalifikovaným nezávislým subjektem a na náklady podnikatele. Podnikatel zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací je dále povinen na žádost Úřadu předložit mu informace potřebné k posouzení bezpečnosti a integrity sítí a bezpečnosti služeb, bezpečnostní audit a jeho výsledky, včetně podkladů k bezpečnostní politice.
(7) V případě, že Úřad identifikoval významnou hrozbu pro bezpečnost a integritu veřejné komunikační sítě nebo služby elektronických komunikací, rozhodne o povinnosti dotčené osoby zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací provést opatření, včetně lhůt k jejich provedení, k řešení bezpečnostního incidentu, anebo k zabránění jeho vzniku. Toto rozhodnutí je prvním úkonem ve věci. Nepodaří-li se rozhodnutí adresátovi doručit do vlastních rukou do 3 dnů ode dne jeho vydání, doručí se mu tak, že se vyvěsí na úřední desce Úřadu a tímto okamžikem je vykonatelné. Rozhodnutí může Úřad vydat i v řízení na místě podle správního řádu. Rozklad podaný proti rozhodnutí nemá odkladný účinek. O výsledku přijatých opatření dotčená osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací informuje bez zbytečného odkladu Úřad.
(8) Má-li se opatření k řešení hrozby pro bezpečnost a integritu veřejné komunikační sítě nebo služby elektronických komunikací týkat blíže neurčeného okruhu osob zajišťujících veřejnou komunikační síť nebo poskytujících veřejně dostupnou službu elektronických komunikací, vydá je Úřad formou opatření obecné povahy.
(9) Povinnosti stanovené nebo uložené na základě odstavce 1, 3, 4, 6 až 8 se nepoužijí v případě podnikatele zajišťujícího veřejnou komunikační síť nebo poskytujícího veřejně dostupnou službu elektronických komunikací, pokud má narušení bezpečnosti a integrity těchto sítí a služeb původ v kyberprostoru, a to v rozsahu, ve kterém se na něj vztahují obdobné povinnosti podle zákona o kybernetické bezpečnosti.
Platné znění dotčeného ustanovení zákon č. 69/2006 Sb., o provádění mezinárodních sankcí, ve znění zákona č. 368/2016 Sb., zákona č. 261/2021 Sb. a zákona č. 240/2022 Sb., s vyznačením navrhovaných změn a doplnění
§ 16
Povinnost mlčenlivosti
(1) Zaměstnanci Úřadu a orgánů uvedených v § 15 jsou povinni zachovávat mlčenlivost o úkonech učiněných podle tohoto zákona a o informacích získaných při jeho provádění. Povinnost zachovávat mlčenlivost podle tohoto zákona má i ten, kdo se v souvislosti s šetřením prováděným Úřadem seznámí s informacemi získanými na základě tohoto zákona. Povinnost zachovávat mlčenlivost se nevztahuje na informace veřejně známé nebo informace, které mohou být zapsány podle tohoto zákona do veřejného rejstříku, veřejné evidence nebo veřejného seznamu.
(2) Povinnost mlčenlivosti osob uvedených v odstavci 1 nezaniká skončením pracovněprávního nebo jiného vztahu k orgánu uvedenému v § 15.
(3) Porušením povinnosti zachovávat mlčenlivost není zveřejnění zobecněných informací, z nichž nevyplývá, které osoby nebo věci se týkají.
(4) Povinnosti zachovávat mlčenlivost podle odstavců 1 a 2 se nelze dovolávat vůči
a) orgánu činnému v trestním řízení, pokud vede řízení o trestném činu souvisejícím s uplatňováním mezinárodních sankcí nebo s terorismem, nebo jedná-li se o splnění oznamovací povinnosti vztahující se k takovému trestnému činu,
b) státnímu zastupitelství při výkonu jeho působnosti9),
c) orgánu státní správy odpovědnému za uplatňování kontrolního režimu při předávání informací významných pro plnění povinností podle zvláštních právních předpisů o kontrole dovozu a vývozu zboží a technologií podléhajících mezinárodním kontrolním režimům,
d) osobám vykonávajícím kontrolu podle § 15,
e) soudu rozhodujícímu v občanském nebo správním soudním řízení spory týkající se nároku vyplývajícího z tohoto zákona,
f) osobě, která by mohla uplatnit nárok na náhradu majetkové újmy způsobené postupem podle tohoto zákona, jde-li o následné sdělení skutečností rozhodných pro uplatnění takového nároku; v tom případě však lze příslušné informace omezit nebo jejich sdělení odložit až do doby, kdy jejich poskytnutí nemůže ohrozit naplnění účelu tohoto zákona,
g) příslušnému zahraničnímu orgánu při předávání údajů sloužících k dosažení účelu stanoveného tímto zákonem, pokud to zvláštní právní předpis nezakazuje,
h) příslušné zpravodajské službě České republiky při poskytnutí informací významných pro plnění jejích úkolů,
i) finančnímu arbitrovi rozhodujícímu podle zvláštního právního předpisu ve sporu navrhovatele proti instituci,
j) správci poplatku za správu majetku,
k) správci seznamu nebo rejstříku podle § 13d odst. 3 nebo orgánu veřejné moci, který do nich zapisuje údaje nebo změny, a oprávněnému uživateli tohoto seznamu nebo rejstříku,
l) Policii České republiky nebo Ministerstvu vnitra pro účely postupu podle zákona upravujícího pobyt cizinců na území České republiky nebo zákona upravujícího azyl,
m) vládě nebo Ministerstvu zahraničních věcí při postupu podle sankčního zákona nebo,
n) orgánu, který poskytuje stanovisko nebo informaci podle § 14a, nebo
o) Národnímu úřadu pro kybernetickou a informační bezpečnost při prověřování rizik spojených s dodavatelem podle zákona o kybernetické bezpečnosti.
(5) Podá-li Úřad oznámení podle § 14 odst. 6, může podle odstavce 3 písm. e) nebo f) poskytnout informace oprávněnému pouze se souhlasem příslušného orgánu činného v trestním řízení.
(6) Předseda vlády nebo jím pověřený člen vlády je oprávněn v odůvodněných případech zprostit osobu podle odstavce 1 povinnosti zachovávat mlčenlivost. Osoby, kterým vznikla povinnost zachovávat mlčenlivost v souvislosti s výkonem působnosti České národní banky, lze zprostit povinnosti zachovávat mlčenlivost pouze se souhlasem České národní banky.
(7) Výjimky uvedené v odstavci 4 písm. b) až o)
a) se uplatní jen v nezbytně nutném rozsahu podle účelu poskytované informace,
b) nelze uplatnit, pokud by poskytnutí informací mohlo zmařit nebo ohrozit šetření podle tohoto zákona nebo probíhající trestní řízení, nebo jestliže by poskytnutí informací bylo zjevně nepřiměřené oprávněným zájmům osoby, jíž se informace týká, nebo účelu, pro který byla žádost podána.
Platní znění dotčeného ustanovení zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, ve znění zákona č. 199/2010 Sb., zákona č. 368/2016 Sb., zákona č. 183/2017 Sb., zákona č. 94/2018 Sb., zákona č. 527/2020 Sb. a zákona č. 34/2021 Sb., s vyznačením navrhovaných změn a doplnění
§ 39
Výjimky z mlčenlivosti
(1) Povinnosti zachovávat mlčenlivost stanovené v § 38 se nelze dovolávat vůči
a) orgánu činnému v trestním řízení, pokud provádí řízení o trestném činu souvisejícím s legalizací výnosu z trestné činnosti nebo financováním terorismu, anebo jedná-li se o splnění oznamovací povinnosti vztahující se k takovému trestnému činu,
b) specializovaným policejním složkám pro vyhledávání legalizace výnosů z trestné činnosti a financování terorismu, pokud jde o informace získané podle § 42 odst. 3,
c) zahraničnímu orgánu uvedenému v § 33 při předávání údajů sloužících k dosažení účelu stanoveného tímto zákonem, a informací souvisejících s trestnými činy podle § 3 odst. 2,
d) Policii České republiky, Generálnímu finančnímu ředitelství nebo Generálnímu ředitelství cel, pokud jde o skutečnosti, které jsou součástí informace uvedené v § 32 odst. 2,
e) dozorčím úřadům uvedeným v § 35 odst. 1 nebo Radě pro veřejný dohled nad auditem, pokud vykonávají působnost podle tohoto zákona,
f) správnímu orgánu, který plní úkoly v systému certifikace surových diamantů podle jiného právního předpisu,
g) správnímu orgánu oprávněnému vykonávat státní kontrolu nebo vést řízení o přestupku podle zákona o provádění mezinárodních sankcí,
h) orgánu oprávněnému podle jiného právního předpisu rozhodovat o odnětí oprávnění k podnikatelské nebo jiné samostatné výdělečné činnosti nebo o uložení sankce v případě, že Úřad předloží podnět k odnětí takového oprávnění nebo k uložení takové sankce,
i) finančnímu arbitrovi rozhodujícímu podle jiného právního předpisu ve sporu navrhovatele proti instituci,
j) osobě, která by mohla uplatnit nárok na náhradu škody způsobené postupem podle tohoto zákona, jde-li o následné sdělení skutečností rozhodných pro uplatnění takového nároku; povinná osoba může v tomto případě sdělit klientovi, že bylo jednáno podle tohoto zákona, až po dni, ve kterém bylo vykonáno rozhodnutí orgánu činného v trestním řízení o odnětí nebo zajištění předmětu podezřelého obchodu nebo ve kterém skončila lhůta stanovená v § 20 odst. 7; v ostatních případech až po předchozím písemném souhlasu Úřadu,
k) soudu
1. rozhodujícímu v občanském soudním řízení spory týkající se podezřelého obchodu nebo nároku na náhradu škody nebo nemajetkové újmy vzniklé v důsledku splnění povinnosti podle tohoto zákona,
2. příslušnému k rozhodování v řízení o nesrovnalosti podle zákona upravujícího evidenci skutečných majitelů,
l) Národnímu bezpečnostnímu úřadu, Ministerstvu vnitra nebo zpravodajské službě při provádění bezpečnostního řízení podle jiného právního předpisu24),
m) příslušné zpravodajské službě, jedná-li se o informace, které jsou významné pro plnění jejích úkolů v oblastech působnosti vymezených zákonem upravujícím zpravodajské služby,
n) správci daně při poskytování informací při plnění povinností stanovených daňovým řádem povinné osobě,
o) orgánu pro vyhledávání majetku z trestné činnosti a národní jednotce Europolu při plnění povinnosti Úřadu podle § 33a,
p) orgánu příslušnému k dozoru nad zpracováním osobních údajů, pokud jde o přístup k evidenci žádostí o poskytnutí údajů podle § 33a,
q) Ministerstvu průmyslu a obchodu při provádění řízení o prověření zahraniční investice podle zákona upravujícího prověřování zahraničních investic.,
r) Národnímu úřadu pro kybernetickou a informační bezpečnost při prověřování rizik spojených s dodavatelem podle zákona o kybernetické bezpečnosti.
(2) Povinnosti zachovávat mlčenlivost stanovené v § 38 se, za předpokladu, že sdělené informace se použijí výhradně pro účely předcházení legalizaci výnosů z trestné činnosti a financování terorismu, nelze dovolávat při sdělování informací mezi
a) úvěrovými nebo finančními institucemi, včetně zahraničních úvěrových a finančních institucí, jestliže působí na území členského státu Evropské unie nebo státu tvořícího Evropský hospodářský prostor a náležejí do stejné skupiny, nebo mezi těmito institucemi a jejich dceřinými obchodními korporacemi působícími ve třetích zemích, ve kterých tyto instituce vlastní většinový podíl a které plně dodržují skupinové strategie a postupy pro boj proti legalizaci výnosů z trestné činnosti a financování terorismu,
b) povinnými osobami uvedenými v § 2 odst. 1 písm. e) a f) nebo osobami stejného typu působícími na území státu, který jim ukládá v oblasti boje proti legalizaci výnosů z trestné činnosti a financování terorismu povinnosti rovnocenné požadavkům práva Evropské unie, pokud vykonávají svou profesní činnost jako zaměstnanci nebo osoby činné pro povinnou osobu jinak než v základním pracovněprávním vztahu, v rámci téže právnické osoby a mezi právnickými osobami, které jsou spolu smluvně nebo personálně propojeny, nebo
c) úvěrovými nebo finančními institucemi, nebo mezi povinnými osobami uvedenými v § 2 odst. 1 písm. e) a f), nebo osobami stejného typu působícími na území státu, který jim ukládá v oblasti boje proti legalizaci výnosů z trestné činnosti a financování terorismu povinnosti rovnocenné požadavkům práva Evropské unie, a to v případech, které se týkají stejného klienta a stejného obchodu, a na nichž se podílí dvě nebo více osob, pokud jsou ze stejné profesní kategorie a vztahují se na ně rovnocenné povinnosti o zachování profesního tajemství a ochrany osobních údajů.
(3) Povinnosti mlčenlivosti se nelze dovolávat v řízení podle zákona o provádění mezinárodních sankcí.
(4) Výjimky uvedené v odstavci 1 písm. c) až q) r).
a) se uplatní jen v nezbytně nutném rozsahu podle účelu poskytované informace, a to zejména s ohledem na ochranu informací o oznamovatelích podezřelých obchodů,
b) nelze uplatnit, pokud by poskytnutí informací mohlo zmařit nebo ohrozit šetření podezřelého obchodu nebo probíhající trestní řízení, nebo jestliže by poskytnutí informací bylo zjevně nepřiměřené oprávněným zájmům osoby, jíž se informace týká, nebo účelu, pro který byla žádost podána.
Platné znění dotčeného ustanovení zákona č. 273/2008 Sb., o Policii České republiky, ve znění zákona č. 341/2011 Sb., s vyznačením navrhovaných změn a doplnění.
§ 115
(1) Policista nebo zaměstnanec policie jsou povinni zachovávat mlčenlivost o skutečnostech, se kterými se seznámili při plnění úkolů policie nebo v souvislosti s nimi, a které v zájmu zabezpečení úkolů policie nebo v zájmu jiných osob vyžadují, aby zůstaly utajeny před nepovolanými osobami. Tato povinnost trvá i po skončení služebního nebo pracovního poměru.
(2) Každý, koho útvar policie nebo policista požádá o poskytnutí pomoci, je povinen, byl-li řádně poučen, zachovávat mlčenlivost o všem, co se v souvislosti s požadovanou nebo poskytnutou pomocí dověděl.
(3) Povinnosti mlčenlivosti se nemůže policista nebo zaměstnanec policie dovolávat vůči policejnímu orgánu, státnímu zástupci, soudu, jinému bezpečnostnímu sboru včetně bezpečnostního sboru státu Evropské unie, kontrolním orgánům podle tohoto zákona, Národnímu úřadu pro kybernetickou a informační bezpečnost a vůči ministerstvu, pokud jde o údaje potřebné k plnění jejich působnosti na základě zákona nebo mezinárodní smlouvy.
(4) Povinnosti mlčenlivosti je oprávněn zprostit osoby uvedené v odstavcích 1 a 2 ministr nebo jím pověřená osoba.
Platné znění dotčeného ustanovení zákona č. 280/2009 Sb., daňový řád, ve znění zákona zákonného opatření Senátu č. 344/2013 Sb., zákona č. 368/2016 Sb., zákona č. 170/2017 Sb., zákona č. 94/2018 Sb., zákona č. 283/2020 Sb. a zákona č. 527/2020 Sb. s vyznačením navrhovaných změn a doplnění.
§ 115
(1) O porušení povinnosti mlčenlivosti nejde, poskytne-li správce daně informace získané při správě daní
a) Finančnímu analytickému úřadu na základě zákona o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu nebo zákona o provádění mezinárodních sankcí,
b) koordinačnímu orgánu veřejné podpory podle zákona upravujícího některé vztahy v oblasti veřejné podpory při plnění informační povinnosti ve věci veřejné podpory nebo podpory malého rozsahu poskytované správcem daně,
c) soudu, jde-li o
1. řízení vedené z podnětu daňového subjektu ve věci správy jeho daní,
2. uplatnění práva správcem daně při správě daní, nebo
3. údaje potřebné pro účely rozhodnutí o výživném,
4. oznámení nesrovnalosti podle zákona upravujícího evidenci skutečných majitelů,
d) správnímu orgánu, který vede řízení o správním deliktu, který se týká porušení povinnosti při správě daní,
e) Ministerstvu práce a sociálních věcí při výkonu jeho působnosti a dalším orgánům sociálního zabezpečení při výkonu jejich působnosti, jde-li o údaje, které mohou tyto úřady vyžadovat v rozsahu nezbytném k plnění úkolů ve své působnosti,
f) zdravotním pojišťovnám, jde-li o údaje nezbytné pro stanovení platby pojistného na všeobecné zdravotní pojištění, které mohou tyto pojišťovny při výkonu své zákonné pravomoci požadovat od plátců pojistného, kteří jsou daňovými subjekty,
g) Nejvyššímu kontrolnímu úřadu, jakož i dalším kontrolním orgánům, pokud provádí v rozsahu svého oprávnění kontrolu podle schváleného plánu kontrolní činnosti a pokud jsou oprávněny kontrolovat správu daní,
h) Českému statistickému úřadu, jde-li o údaje nezbytné pro potřeby sestavování národních účtů Evropských společenství a pro potřeby vedení statistických registrů,
i) Komoře daňových poradců nebo České advokátní komoře ke kárnému řízení s jejím členem, jakož i orgánu, který jmenoval znalce nebo tlumočníka, pro řízení o jeho odvolání,
j) příslušnému orgánu veřejné moci pro projednání nároku podle zákona o odpovědnosti za škodu způsobenou při správě daní výkonem veřejné moci rozhodnutím nebo nesprávným úředním postupem,
k) Veřejnému ochránci práv, pokud provádí šetření podle jiného právního předpisu,
l) orgánu veřejné moci pro účely prokázání skutečnosti, že daňový subjekt nemá u správce daně evidován nedoplatek, a to v případě, kdy takové prokázání požaduje jiný zákon,
m) Ministerstvu financí jako orgánu příslušnému k jednání v řízení na základě mezinárodní smlouvy, a to v rozsahu projednávání správy daní v tomto řízení.,
n) Národnímu úřadu pro kybernetickou a informační bezpečnost při prověřování rizik spojených s dodavatelem podle zákona o kybernetické bezpečnosti.
(2) O porušení povinnosti mlčenlivosti rovněž nejde, poskytne-li správce daně informace získané při správě daní pro účely trestního řízení, pokud je požaduje státní zástupce a po podání obžaloby soud v souvislosti s objasněním okolností nasvědčujících tomu, že byl spáchán
a) některý z trestných činů daňových a poplatkových, který se týká porušení povinnosti při správě daní,
b) trestný čin, jehož nepřekažení nebo neoznámení je trestným činem,
c) trestný čin dotačního podvodu, trestný čin zkreslování údajů o stavu hospodaření a jmění a trestný čin poškozování finančních zájmů Evropských společenství,
d) některý z trestných činů proti výkonu pravomoci orgánu veřejné moci a úřední osoby, některý z trestných činů úředních osob, některý z trestných činů úplatkářství a trestný čin maření výkonu úředního rozhodnutí, nebo
e) trestný čin udávání padělaných a pozměněných peněz, padělání a pozměňování veřejné listiny, nedovolené výroby a držení pečetidla státní pečeti a úředního razítka.
(3) Správce daně má oznamovací povinnost podle zákona7), pokud při své činnosti zjistí skutečnosti nasvědčující tomu, že byl spáchán některý z trestných činů uvedených v odstavci 2.
Platné znění dotčeného ustanovení zákona č. 17/2012 Sb., o Celní správě České republiky, ve znění zákona č. 283/2020 Sb., s vyznačením navrhovaných změn a doplnění
§ 27
(1) Celník je v případech, na něž se nevztahuje povinnost mlčenlivosti podle daňového řádu nebo jiného právního předpisu s výjimkou zákona upravujícího služební poměr příslušníků bezpečnostních sborů, povinen zachovávat mlčenlivost o skutečnostech, se kterými se seznámil při své činnosti nebo v souvislosti s ní. Tato povinnost trvá i po skončení služebního poměru celníka.
(2) Každý, koho orgány celní správy nebo celník požádají o poskytnutí pomoci, je povinen, byl-li řádně poučen, zachovat mlčenlivost o všem, co se v souvislosti s požadovanou nebo poskytnutou pomocí dověděl.
(3) Povinnosti mlčenlivosti uložené podle tohoto zákona se nelze dovolávat vůči policejnímu orgánu, státnímu zástupci, soudu, jinému bezpečnostnímu sboru, zpravodajské službě České republiky, Národnímu úřadu pro kybernetickou a informační bezpečnost, celnímu, policejnímu nebo obdobnému orgánu členského státu nebo orgánu, který vykonává dozor nebo který vede řízení o přestupku v oblasti týkající se působnosti orgánů celní správy, pokud jde o informace potřebné k výkonu jejich působnosti.
(4) Povinnosti mlčenlivosti uložené podle tohoto zákona je oprávněn zprostit osobu uvedenou v odstavci 1 nebo 2 generální ředitel nebo jím pověřený vedoucí zaměstnanec Generálního ředitelství cel. Generálního ředitele zprošťuje mlčenlivosti uložené podle tohoto zákona ministr nebo jím pověřený vedoucí zaměstnanec ministerstva.
Platné znění dotčeného ustanovení zákona č. 34/2021 Sb., o prověřování zahraničních investic a o změně souvisejících zákonů (zákon o prověřování zahraničních investic), s vyznačením navrhovaných změn a doplnění
§ 7
Bez povolení podle § 14 odst. 1 nebo podmínečného povolení podle § 15 odst. 3 nesmí být uskutečněna zahraniční investice do
a) cílové osoby, která provádí výrobu, výzkum, vývoj, inovace[footnoteRef:1]2) nebo zajišťování životního cyklu vojenského materiálu podle právního předpisu upravujícího zahraniční obchod s vojenským materiálem[footnoteRef:2]3), nebo do cílové věci, jejímž prostřednictvím se uvedené činnosti provádí, [1: 2) Zákon č. 130/2002 Sb., o podpoře výzkumu a vývoje z veřejných prostředků a o změně některých souvisejících zákonů (zákon o podpoře výzkumu a vývoje), ve znění pozdějších předpisů.
] [2: 3) Zákon č. 38/1994 Sb., o zahraničním obchodu s vojenským materiálem, ve znění pozdějších předpisů.
Vyhláška č. 210/2012 Sb., o provedení některých ustanovení zákona č. 38/1994 Sb., o zahraničním obchodu s vojenským materiálem, ve znění pozdějších předpisů.
]
b) cílové osoby, která provozuje prvek kritické infrastruktury určený příslušným ústředním správním úřadem[footnoteRef:3]4), [3: 4) Zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění pozdějších předpisů.
5) Zákon č. ............... Sb., o kybernetické bezpečnosti.
]
c) cílové osoby, která je správcem informačního systému kritické informační infrastruktury, správcem komunikačního systému kritické informační infrastruktury, správcem informačního systému základní služby nebo provozovatelem základní poskytovatelem regulované služby v režimu vyšších povinností5), nebo
d) cílové osoby, která vyvíjí nebo vyrábí zboží uvedené v příloze IV nařízení Rady (ES) 428/2009, kterým se zavádí režim Společenství pro kontrolu vývozu, přepravy, zprostředkování a tranzitu zboží dvojího užití, v platném znění, nebo do cílové věci, jejímž prostřednictvím se takové zboží vyvíjí nebo vyrábí.
Stránka 2 (celkem 2)