OCHRONA DANYCH
OSOBOWYCH
I INFORMACJI NIEJAWNYCH
OCHRONA DANYCH
OSOBOWYCH
I INFORMACJI NIEJAWNYCH
WYKŁAD 1
PODSTAWOWE POJĘCIA Z ZAKRESU
OCHRONY DANYCH OSOBOWYCH
POJĘCIE „DANYCH OSOBOWYCH”
Dane osobowe – wszelkie informacje dotyczące
zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Osoba możliwa do zidentyfikowania – osoba, której tożsamość
można określić bezpośrednio lub pośrednio, w szczególności przez
powołanie się na numer identyfikacyjny albo jeden lub kilka
specyficznych czynników określających jej cechy fizyczne,
fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
Informacji nie uważa się za umożliwiającą określenie tożsamości
osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub
działań.
(art. 6 ust. 1-3 ustawy)
Przykłady z orzecznictwa:
Decyzja GIODO z dnia 2 sierpnia 2011 r. DOLiS/DEC- 645/11:
„Informacje o fakcie odwołania od konkretnej decyzji środowiskowej
należy uznać za dane osobowe”.
Wyrok WSA w Warszawie z dnia 25 stycznia 2007 r. II SA/Wa 1526/06
„(...) Nie można przyjąć, iż daty rozpraw, w których ławnik orzekał oraz
sygnatury akt tych spraw są danymi osobowymi w rozumieniu ustawy.
Sygnatur danych spraw i dat rozpraw nie można w żaden sposób
wprost przypisać ławnikowi, jako informacji identyfikujących go, czy
umożliwiających ustalenie jego tożsamości, bowiem informacje
dotyczące dat rozpraw, w których ławnik orzekał oraz sygnatur akt tych
spraw nie są danymi osobowymi w rozumieniu ustawy.”.
Wyrok NSA z dnia 19 maja 2011 r. I OSK 1079/10
„2. Tam gdzie adres IP jest na dłuższy okres czasu lub na stałe przypisany
do konkretnego urządzenia, a urządzenie to przypisane jest konkretnemu
użytkownikowi, należy uznać, że stanowi on daną osobową, jest to bowiem
informacja umożliwiająca identyfikację konkretnej osoby fizycznej.
3. Internet często pozornie, a czasami faktycznie zapewnia anonimowość
jego użytkownikom. Stanowi medialne forum, na którym prezentowane są
treści naruszające ludzką godność, cześć i dobre imię. Dlatego też
wszędzie tam gdzie numer IP pozwala pośrednio na identyfikację
konkretnej osoby fizycznej powinien on być uznany za dane osobowe
w rozumieniu art. 6 ust. 1 i 2 ustawy o ochronie danych osobowych.”.
Wyrok NSA z dnia 18 listopada 2009 r. I OSK 667/09
„1. Osoba, której dane osobowe zostały ujawnione w internecie w postaci
zdjęcia zamieszczonego na portalu społecznościowym, jest możliwa do
zidentyfikowania przez nieokreśloną liczbę osób.
2. Pojęcie "dane osobowe" na gruncie prawa polskiego obejmuje wszelkie
informacje dotyczące osoby fizycznej, jeśli możliwe jest określenie jej
tożsamości i zidentyfikowanie. Dane osobowe to zespół wiadomości
(komunikatów) o konkretnym człowieku na tyle zintegrowany, że pozwala
na jego zindywidualizowanie. Obejmuje co najmniej informacje niezbędne
do identyfikacji (imię, nazwisko, miejsce zamieszkania), jednakże do tego
się nie ogranicza, bowiem mieszczą się w nim również dalsze informacje,
wzmacniające stopień identyfikacji. Do informacji takich należą zdjęcia
osoby fizycznej, chociażby wykonane w przeszłości, umożliwiające jej
identyfikację. W sytuacji gdy zdjęcie takie jest umieszczone wraz z imieniem
i nazwiskiem osoby na nim występującej w miejscu dostępnym dla
nieograniczonej liczby podmiotów, należy uznać, iż stanowi ono dane
osobowe podlegające ochronie na podstawie ustawy (...).
3. Wizerunek jest jednym z bardzo osobistych dóbr człowieka i brak zgody
na jego publikowanie, jeśli nie chodzi o osoby publiczne jest wystarczającym
powodem do uznania, że działają przepisy ustawy o ochronie danych
osobowych, jeśli tylko spełnione zostały przesłanki z art. 6 ust. 2 ustawy
o ochronie danych osobowych.”.
Decyzja GIODO z dnia 25 kwietnia 2005 r. GI-DEC-DS-80/05
„W świetle art. 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych (...) stwierdzić należy, że informacji o tym, jakie przedmioty ma
przy sobie dana osoba, nie można zaliczyć do danych osobowych.
Z przepisu tego wynika bowiem, że nie każda informacja, która „dotyczy
osoby fizycznej", ma taki charakter, a jedynie taka, która „umożliwia
ustalenie tożsamości", a więc np. imię i nazwisko (w powiązaniu
z dodatkowymi wskazówkami) czy numer PESEL.”.
Decyzja GIODO z dnia 2 grudnia 2004 r. GI-DEC-DS-267/04/571
„Wszelkie działania dokonywane na danych przedsiębiorcy, w tym także
udostępnianie tych danych, pozostają poza regulacją ustawy z dnia 29
sierpnia 1997 r. o ochronie danych osobowych (...). W konsekwencji, poza
zakresem przedmiotowym ustawy o ochronie danych osobowych pozostaje
rozważenie legalności przetwarzania informacji o takim charakterze.”.
DEFINICJE LEGALNE WYSTĘPUJĄCE NA GRUNCIE
USTAWY O OCHRONIE DANYCH OSOBOWYCH
Zbiór danych – każdy posiadający strukturę zestaw danych o charakterze
osobowym, dostępnych według określonych kryteriów, niezależnie od tego,
czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
Przetwarzanie danych – jakiekolwiek operacje wykonywane na danych
osobowych, takie jak:
1) zbieranie,
2) utrwalanie,
3) przechowywanie,
4) opracowywanie,
5) zmienianie,
6) udostępnianie i
7) usuwanie,
a zwłaszcza te, które wykonuje się w systemach informatycznych.
System informatyczny – zespół współpracujących ze sobą urządzeń,
programów, procedur przetwarzania informacji i narzędzi programowych
zastosowanych w celu przetwarzania danych.
Zabezpieczenie danych w systemie informatycznym – wdrożenie
i eksploatacja stosownych środków technicznych i organizacyjnych
zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem.
Usuwanie danych – zniszczenie danych osobowych lub taka ich
modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane
dotyczą,
Administrator danych – organ, jednostka organizacyjna, podmiot lub osoba,
o których mowa w art. 3 ustawy, decydujące o celach i środkach
przetwarzania danych osobowych.
Odbiorca danych – każdy, komu udostępnia się dane osobowe,
z wyłączeniem:
a) osoby, której dane dotyczą,
b) osoby upoważnionej do przetwarzania danych,
c) przedstawiciela podmiotu mające siedzibę albo miejsce zamieszkania
w państwie trzecim,
d) podmiotu, któremu administrator danych powierzył w drodze umowy
zawartej na piśmie przetwarzanie danych,
e) organów państwowych lub organów samorządu terytorialnego, którym
dane są udostępniane w związku z prowadzonym postępowaniem.
Zgoda osoby, której dane dotyczą – oświadczenie woli, którego treścią
jest zgoda na przetwarzanie danych osobowych tego, kto składa
oświadczenie, przy czym zgoda:
- nie może być domniemana lub dorozumiana z oświadczenia woli o innej
treści;
- może być odwołana w każdym czasie.
ZAKRES PRZEDMIOTOWY USTAWY O OCHRONIE DANYCH
OSOBOWYCH
Przetwarzanie danych osobowych:
1) w systemie papierowym:
- w kartotekach,
- w skorowidzach,
- w księgach,
- w wykazach i
- w innych zbiorach ewidencyjnych.
2) w systemie informatycznym, także w przypadku
przetwarzania danych poza zbiorem.
Wyłączenia o charakterze przedmiotowym:
a) przetwarzanie danych osobowych w zbiorach doraźnych tworzonych
wyłącznie:
- ze względów technicznych,
- ze względów szkoleniowych lub
- w związku z dydaktyką w szkołach wyższych,
które po wykorzystaniu podlegają obowiązkowi niezwłocznego usunięcia
albo anonimizacji.
Wyjątek:
Przepisy dotyczące zabezpieczenia takich zbiorów przez okres ich
funkcjonowania (rozdział 5 ustawy),
b) działalność dziennikarska w rozumieniu prawa prasowego,
działalność literacka lub artystyczna, chyba że wolność wyrażania
swoich poglądów i rozpowszechniania informacji istotnie narusza prawa
i wolności osoby, której dane dotyczą
Wyjątek:
Przepisy art. 14-19 i art. 36 ust. 1 ustawy.
c) umowa międzynarodowa, której stroną jest Rzeczypospolita – jeżeli
ta umowa stanowi inaczej,
d) istnienie odrębnych ustaw, które odnoszą się do przetwarzania
danych, a przewidują dalej idącą ich ochronę, niż wynika to z ustawy
o ochronie danych osobowych – stosuje się wówczas przepisy tych
ustaw.
ZAKRES PODMIOTOWY USTAWY O OCHRONIE DANYCH
OSOBOWYCH
1) podmioty publiczne:
- organy państwowe,
- organy samorządu terytorialnego,
- państwowe i komunalne jednostki organizacyjne.
2) podmioty prywatne:
- podmioty niepubliczne realizujące zadania publiczne,
- osoby fizyczne,
- osoby prawne oraz
- jednostki organizacyjne niebędące osobami prawnymi.
Wyłączenia o charakterze podmiotowym:
a) osoby nieżyjące – ze względu na ochronę powszechnych dóbr
osobistych (kult pamięci osoby zmarłej),
b) informacje o przedsiębiorcach w zakresie, w jakim identyfikują
podmiot w obrocie gospodarczym i ściśle wiążą się z prowadzeniem
działalności gospodarczej,
c) osoby fizyczne, prawne i jednostki organizacyjne nie mające osobowości
prawnej, o ile nie przetwarzają danych w związku z działalnością zarobkową,
zawodową lub dla realizacji celów statutowych,
d) podmioty mające siedzibę albo miejsca zamieszkania w państwie trzecim
(nienależącym do Europejskiego Obszaru Gospodarczego), wykorzystujące
środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej
wyłącznie do przekazywania danych,
e) osoby fizyczne, które wykorzystują dane wyłącznie w celach osobistych lub
domowych.
ŹRÓDŁA PRAWA W ZAKRESIE OCHRONY DANYCH
OSOBOWYCH
1) Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych (tekst jednolity: Dz. U. z 2002 r. Nr 101, poz 926
z późn. zm.), zwana dalej „u.o.d.o.”.
2) rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia
29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych
osobowych oraz warunków technicznych i organizacyjnych, jakim
powinny odpowiadać urządzenia i systemy informatyczne służące do
przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz.1024)
3) rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia
22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji
służbowej inspektora Biura Generalnego Inspektora Ochrony Danych
Osobowych (Dz. U. z 2004 r. Nr 94, poz. 923 z późn. zm.)
4) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia
11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji
Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. z 2008 r.
Nr 229, poz. 1536).
W prawie międzynarodowym zagadnienie ochrony danych
osobowych po raz pierwszy zostało uregulowane w:
- Konwencji nr 108 Rady Europy z dnia 28 stycznia 1981 r. o ochronie
osób w związku z automatycznym przetwarzaniem danych osobowych,
- dyrektywie Parlamentu Europejskiego i Rady z dnia 24 października
1995 r. (95/46/EC) w sprawie ochrony osób w związku z przetwarzaniem
danych osobowych oraz swobodnego przepływu tych danych.
WYKŁAD 2
ORGANY
OCHRONY DANYCH OSOBOWYCH
GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH
(dalej: „GIODO”)
1) Podstawowe informacje:
a) GIODO powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgodą
Senatu,
b) w zakresie wykonywania swoich zadań GIODO podlega tylko ustawie,
c) GIODO może zostać ten, kto spełnia łącznie następujące warunki:
- jest obywatelem polskim i stale zamieszkuje na terytorium RP,
- wyróżnia się wysokim autorytetem moralnym,
- posiada wyższe wykształcenie prawnicze i odpowiednie doświadczenie
zawodowe,
- nie był karany za przestępstwo,
d) kadencja GIODO trwa 4 lata, przy czym ta sama osoba nie może
pełnić funkcji GIODO dłużej niż przez dwie kadencje,
e) kadencja GIODO wygasa z chwilą jego śmierci, odwołania lub utraty
obywatelstwa polskiego,
f) Sejm, za zgodą Senatu, odwołuje GIODO jeżeli:
- zrzekł się stanowiska,
- stał się trwale niezdolny do pełnienia obowiązków na skutek choroby,
- sprzeniewierzył się złożonemu ślubowaniu,
- został skazany prawomocnym wyrokiem sądu za popełnienie przestępstwa,
g) GIODO nie może być bez uprzedniej zgody Sejmu pociągnięty do
odpowiedzialności karnej ani pozbawiony wolności,
h) GIODO składa Sejmowi, raz w roku, sprawozdanie ze swojej działalności
wraz z wnioskami wynikającymi ze stanu przestrzegania przepisów
o ochronie danych osobowych.
2) Zadania GIODO:
a) kontrola zgodności przetwarzania danych z przepisami o ochronie
danych osobowych,
b) wydawanie decyzji administracyjnych i rozpatrywanie skarg
w sprawach wykonania przepisów o ochronie danych osobowych,
c) zapewnienie wykonania przez zobowiązanych obowiązków
o charakterze niepieniężnym wynikających z decyzji, o których mowa
w pkt 2, przez stosowanie środków egzekucyjnych przewidzianych
w ustawie o postępowaniu egzekucyjnym w administracji,
d) prowadzenie rejestru zbiorów danych oraz udzielanie informacji
o zarejestrowanych zbiorach,
e) opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony
danych osobowych,
f) inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia
ochrony danych osobowych,
g) uczestniczenie w pracach międzynarodowych organizacji i instytucji
zajmujących się problematyką ochrony danych osobowych.
GIODO:
- wykonuje swoje zadania przy pomocy Biura Generalnego Inspektora
Ochrony Danych Osobowych.
- może wykonywać swoje zadania – w przypadkach uzasadnionych
charakterem i liczbą spraw z zakresu ochrony danych osobowych na danym
terenie – przy pomocy jednostek zamiejscowych Biura.
CZYNNOŚCI KONTROLNE
W celu wykonania zadań, o których mowa w art. 12 pkt 1 i 2 ustawy, GIODO,
zastępca GIODO lub upoważnieni przez niego pracownicy Biura, zwani dalej
"inspektorami", mają prawo:
1) wstępu, w godzinach od 600 do 2200, za okazaniem imiennego
upoważnienia i legitymacji służbowej, do pomieszczenia, w którym
zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane
są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub
innych czynności kontrolnych w celu oceny zgodności przetwarzania danych
z ustawą,
2) żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i
przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego,
3) wglądu do wszelkich dokumentów i wszelkich danych mających
bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii,
4) przeprowadzania oględzin urządzeń, nośników oraz systemów
informatycznych służących do przetwarzania danych,
5) zlecać sporządzanie ekspertyz i opinii.
Kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba
fizyczna będąca administratorem danych osobowych są obowiązani
umożliwić inspektorowi przeprowadzenie kontroli, a w szczególności
umożliwić przeprowadzenie czynności oraz spełnić żądania, określonych
w pkt. 1-4.
W toku kontroli zbiorów danych, które zostały uzyskane w wyniku czynności
operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych
do tych czynności, inspektor przeprowadzający kontrolę ma prawo wglądu
do zbioru zawierającego dane osobowe jedynie za pośrednictwem
upoważnionego przedstawiciela kontrolowanej jednostki organizacyjnej.
Kontrolę przeprowadza się po okazaniu:
- imiennego upoważnienia
- wraz z legitymacją służbową.
Z czynności kontrolnych inspektor sporządza protokół, którego jeden
egzemplarz doręcza kontrolowanemu administratorowi danych.
Protokół podpisują:
- inspektor i
- kontrolowany administrator danych,
przy czym kontrolowany może wnieść do protokołu umotywowane
zastrzeżenia i uwagi.
W razie odmowy podpisania protokołu przez kontrolowanego:
- inspektor czyni o tym wzmiankę w protokole, a
- odmawiający podpisu może, w terminie 7 dni, przedstawić GIODO swoje
stanowisko na piśmie.
Jeżeli na podstawie wyników kontroli inspektor stwierdzi naruszenie
przepisów o ochronie danych osobowych, występuje do GIODO
o zastosowanie środków, określonych poniżej.
UPRAWNIENIA GIODO
W przypadku naruszenia przepisów o ochronie danych osobowych
GIODO z urzędu lub na wniosek osoby zainteresowanej, w drodze
decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego
z prawem, a w szczególności:
1) usunięcie uchybień,
2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub
nieudostępnienie danych osobowych,
3) zastosowanie dodatkowych środków zabezpieczających zgromadzone
dane osobowe,
4) wstrzymanie przekazywania danych osobowych do państwa trzeciego,
5) zabezpieczenie danych lub przekazanie ich innym podmiotom,
6) usunięcie danych osobowych.
Ograniczenia decyzji GIODO:
a) nie mogą one ograniczać swobody działania podmiotów
zgłaszających kandydatów lub listy kandydatów w wyborach:
- na urząd Prezydenta Rzeczypospolitej Polskiej,
- do Sejmu,
- do Senatu,
- do organów samorządu terytorialnego,
- do Parlamentu Europejskiego,
pomiędzy dniem zarządzenia wyborów a dniem głosowania.
b) nie mogą one – w odniesieniu do zbiorów danych, które zostały
uzyskane w wyniku czynności operacyjno-rozpoznawczych przez
funkcjonariuszy organów uprawnionych do tych czynności
– nakazywać ich usunięcia.
W celu inicjowania i podejmowania przedsięwzięć w zakresie doskonalenia
ochrony danych osobowych GIODO może kierować do:
- organów państwowych,
- organów samorządu terytorialnego,
- państwowych i komunalnych jednostek organizacyjnych,
- podmiotów niepublicznych realizujących zadania publiczne,
- osób fizycznych i prawnych,
- jednostek organizacyjnych niebędących osobami prawnymi oraz
- innych podmiotów
wystąpienia zmierzające do zapewnienia skutecznej ochrony danych
osobowych.
GIODO może również występować do właściwych organów z wnioskami o:
- podjęcie inicjatywy ustawodawczej albo
- wydanie bądź zmianę aktów prawnych
w sprawach dotyczących ochrony danych osobowych.
Podmiot, do którego zostało skierowane wystąpienie lub wniosek, jest
obowiązany ustosunkować się na piśmie do tego wystąpienia lub
wniosku w terminie 30 dni od daty jego otrzymania.
Strona może zwrócić się do GIODO z wnioskiem o ponowne
rozpatrzenie sprawy, przy czym na decyzję GIODO w przedmiocie
wniosku o ponowne rozpatrzenie sprawy stronie przysługuje skarga do
sądu administracyjnego.
Postępowanie w sprawach uregulowanych w u.o.d.o. prowadzi się
według przepisów Kodeksu postępowania administracyjnego, chyba że
przepisy u.o.d.o. nie stanowią inaczej.
WYKŁAD 3
ZASADY
PRZETWARZANIA
DANYCH OSOBOWYCH
A. Zasada legalności – przetwarzanie danych zgodnie z prawem.
B. Zasada celowości – zbieranie danych dla oznaczonych,
zgodnych z prawem celów i nie poddawanie ich dalszemu
przetwarzaniu niezgodnemu z tymi celami.
C. Zasada merytorycznej poprawności – dbanie o merytoryczną
poprawność danych.
D. Zasada adekwatności danych – dbanie o adekwatność danych
w stosunku do celów, w jakich są przetwarzane.
E. Zasada ograniczenia czasowego – przechowywanie danych
w postaci umożliwiającej identyfikację osób, których dotyczą, nie
dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
Ad A.
Dane osobowe
„zwykłe”
mogą być przetwarzane przy zaistnieniu
przynajmniej jednej z enumeratywnie wymienionych w art. 23
u.o.d.o. przesłanek:
1) zgoda osoby, której dane dotyczą, chyba że chodzi o usunięcie
dotyczących jej danych,
- zgoda może obejmować również przetwarzanie danych w przyszłości,
jeżeli nie zmienia się cel przetwarzania.
- jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych
interesów osoby, której dane dotyczą, a uzyskanie zgody jest niemożliwe,
można przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie
zgody będzie możliwe.
2) niezbędność przetwarzania danych dla zrealizowania
uprawnienia lub spełnienia obowiązku wynikającego z przepisu
prawa,
3) konieczność realizacji umowy, gdy osoba, której dane
dotyczą jest jej stroną lub gdy przetwarzanie jest niezbędne do
podjęcia działań przed zawarciem umowy na żądanie osoby,
której dane dotyczą,
4) przetwarzanie danych jest niezbędne do wykonania
określonych prawem zadań realizowanych dla dobra
publicznego,
5) przetwarzanie danych jest niezbędne dla wypełnienia
prawnie usprawiedliwionych celów realizowanych przez
administratorów danych albo odbiorców danych,
a przetwarzanie danych nie narusza praw i wolności osoby,
której dane dotyczą.
„Prawnie usprawiedliwiony cel”, to w szczególności:
a) marketing bezpośredni własnych produktów lub usług
administratora danych,
b) dochodzenie roszczeń z tytułu prowadzonej działalności
gospodarczej.
Dane osobowe „szczególnie chronione” (zwane także
danymi „wrażliwymi” lub „sensytywnymi”) stanowią dane
ujawniające:
a) pochodzenie rasowe lub etniczne,
b) poglądy polityczne,
c) przekonania religijne lub filozoficzne,
d) przynależność wyznaniową, partyjną lub związkową,
e) stan zdrowia,
f) kod genetyczny,
g) nałogi
h) życie seksualne
i) skazania,
j) orzeczenia o ukaraniu i mandatach karnych,
k) inne orzeczenia wydane w postępowaniu sądowym lub
administracyjnym.
Przetwarzanie danych osobowych
sensytywnych
jest
dopuszczalne, jeżeli:
1) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie,
chyba że chodzi o usunięcie dotyczących jej danych,
2) przepis szczególny innej ustawy zezwala na przetwarzanie
takich danych bez zgody osoby, której dane dotyczą, i
stwarza
pełne gwarancje ich ochrony,
3) przetwarzanie takich danych jest niezbędne do ochrony
żywotnych interesów osoby, której dane dotyczą, lub innej
osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub
prawnie zdolna do wyrażenia zgody, do czasu ustanowienia
opiekuna prawnego lub kuratora,
4) jest to niezbędne do wykonania statutowych zadań kościołów
i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych
niezarobkowych organizacji lub instytucji o celach politycznych,
naukowych, religijnych, filozoficznych lub związkowych, pod
warunkiem, że przetwarzanie danych dotyczy wyłącznie członków
tych organizacji lub instytucji albo osób utrzymujących z nimi stałe
kontakty w związku z ich działalnością i
zapewnione są pełne
gwarancje ochrony przetwarzanych danych,
5) przetwarzanie dotyczy danych, które są niezbędne do
dochodzenia praw przed sądem,
6) przetwarzanie jest niezbędne do wykonania zadań
administratora danych odnoszących się do zatrudnienia
pracowników i innych osób, a
zakres przetwarzanych danych
jest określony w ustawie,
7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia,
świadczenia usług medycznych lub leczenia pacjentów przez osoby
trudniące się zawodowo leczeniem lub świadczeniem innych usług
medycznych, zarządzania udzielaniem usług medycznych i są
stworzone
pełne gwarancje ochrony danych osobowych,
8) przetwarzanie dotyczy danych, które zostały podane do wiadomości
publicznej przez osobę, której dane dotyczą,
9) jest to niezbędne do prowadzenia badań naukowych, w tym do
przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia
szkoły wyższej lub stopnia naukowego;
publikowanie wyników badań
naukowych nie może następować w sposób umożliwiający
identyfikację osób, których dane zostały przetworzone
,
10) przetwarzanie danych jest prowadzone przez stronę w celu realizacji
praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu
sądowym lub administracyjnym.
Zasada legalności:
a) oznacza zgodność także z innymi ustawami niż u.o.d.o.,
a także z aktami wykonawczymi,
b) nie obejmuje postanowień umownych,
c) zabrania (poza wyjątkami wskazanymi w innych ustawach)
zbierania danych:
- w sposób ukryty,
- przez podsłuch,
- wariograf,
- z naruszeniem tajemnicy korespondencji.
Ad B.
Zgodnie z zasadą celowości, zbieranie danych osobowych powinno:
1) być dokonywane dla oznaczonych, zgodnych z prawem celów i
2) nie być poddawane dalszemu przetwarzaniu niezgodnemu z tymi
celami, a w konsekwencji:
a) zbierający dane nie może pominąć, ani zataić tego celu,
b) nie można określać celu przetwarzania danych w sposób
ogólnikowy,
c) cel ten powinien być zakomunikowany zainteresowanemu przed
tym zebraniem danych osobowych,
d) niedopuszczalne jest uzależnianie zawarcia umowy od wyrażenia
zgody na przetwarzanie danych w zupełnie innych celach (np.
marketingu produktów i usług podmiotów trzecich).
Wyjątki od zasady celowości:
Przetwarzanie danych w celu innym niż ten, dla którego zostały
zebrane, jest dopuszczalne, jeżeli:
1) nie narusza praw i wolności osoby, której dane dotyczą oraz
2) następuje w celach badań:
- naukowych,
- dydaktycznych,
- historycznych lub
- statystycznych
3) z zachowaniem przepisów art. 23 i 25 u.o.d.o.
Ad C.
Administrator danych zapewnia poprawność danych osobowych,
a więc aby dane były:
1) zgodne z prawdą,
2) pełne (kompletne) i
3) aktualne.
W tym celu administrator danych powinien:
a) każdorazowo oceniać wiarygodność źródła pozyskania danych,
b) wypracować tryb weryfikowania prawdziwości danych (dane zwykłe/
sensytywne) oraz
c) ustalić zasady postępowania w przypadku stwierdzenia nieprawdziwości
danych (art. 35 ust. 3 ustawy).
Przedmiotową zasadę narusza zbieranie danych osobowych ze źródeł
niewiadomego pochodzenia.
Ad D.
Zgodnie z zasadą adekwatności administrator powinien
przetwarzać tylko takiego rodzaju dane i tylko o takiej treści,
które są niezbędne ze względu na cel zbierania danych.
a) relewantność danych powinna być oceniania najpóźniej w momencie ich
zbierania,
b) adekwatność danych do celu przetwarzania oceniać trzeba każdorazowo
z uwzględnieniem określonego stosunku prawnego, w związku z którym
administrator danych przetwarza dane osobowe,
c) posłużenie się określoną techniką zbierania danych nie przesądza
o naruszeniu zasady adekwatności,
d) dane osobowe nie mogą być zbierane na zapas, „na wszelki wypadek”.
Ad E.
Administrator danych ma obowiązek przechowywania danych
w postaci umożliwiającej identyfikację osób, których dotyczą,
nie dłużej niż to jest niezbędne do osiągnięcia celu przetwarzania.
Po osiągnięciu celu dane powinny zostać:
1) usunięte,
2) zanonimizowane lub
3) przekazane podmiotowi uprawnionemu ustawowo do ich przejęcia od
administratora.
Z powyższych względów administrator danych jest zobowiązany do
stałego nadzorowania zawartości swoich zbiorów pod kątem
konieczności usuwania danych zbędnych, albo do których przetwarzania
przestał być upoważniony ustawowo lub w drodze umowy.
Orzecznictwo dotyczące interpretacji art. 23 u.o.d.o.:
Decyzja GIODO z dnia 30 stycznia 2012 r. DOLiS/DEC-70/12
„Pozyskiwanie informacji o przynależności związkowej pracownika jest
uzasadnione w razie zamiaru wypowiedzenia warunków pracy i płacy
konkretnemu pracownikowi lub rozwiązania umowy o pracę z konkretnym
pracownikiem, natomiast brak jest podstaw do pozyskiwania takich danych
w odniesieniu do wszystkich pracowników, w sytuacji gdy nie są oni objęci
zamiarem pracodawcy wypowiedzenia im warunków zatrudnienia lub
rozwiązania z nimi umów o pracę.”.
Decyzja GIODO z dnia 25 marca 2011 r. DIS/DEC-250/14068/11
„Przetwarzanie przez miejski zakład wodociągów i kanalizacji informacji
dotyczących daty i miejsca urodzenia klientów, jak również informacji
dotyczących imienia, nazwiska i adresu współwłaścicieli nieruchomości,
których dotyczą zawarte z klientami umowy, należy uznać za niezgodne
z przepisami o ochronie danych osobowych.”.
Decyzja GIODO z dnia 23 listopada 2011 r. DOLiS/DEC-998/11
„1. Przetwarzanie danych osobowych w celu windykacji należności jest
na gruncie ustawy (...) dopuszczalne.
2. Udostępnienie przez bank danych osobowych klienta banku spółce
będącej przedsiębiorcą, o którym mowa w art. 104 ust. 2 pkt 2 ustawy
z dnia 29 sierpnia 1997 r. - Prawo bankowe (...), w celu windykacji
należności nie narusza obowiązujących w tym zakresie przepisów
o ochronie danych osobowych.”.
Decyzja GIODO z dnia 21 września 2011 r. DOLiS/DEC-819/11
„Zgoda na przetwarzanie danych osoby, której te dane dotyczą, o której
mowa w przepisie art. 23 ust. 1 pkt 1 ustawy (...), nie jest wyłączną
okolicznością czyniącą proces przetwarzania danych legalnym. Ustawa nie
daje zatem żadnych podstaw ku temu, by taką zgodę traktować w sposób
uprzywilejowany, a jej brak nie skutkuje automatycznie bezprawnością
przetwarzania danych po stronie administratora. Dla legalności procesu
przetwarzania danych wystarczające jest zatem spełnienie jednej
z przesłanek określonych w art. 23 ust. 1 pkt 1-5 ustawy.”.
Decyzja GIODO z dnia 30 września 2010 r. DOLiS/DEC-1143/10
„Po złożeniu rezygnacji abonenta z przeniesienia numeru do sieci
i z zawarcia z operatorem telekomunikacyjnym umowy o świadczenie
usług telekomunikacyjnych, operator mógł przetwarzać jego dane
wyłącznie w ewentualnych celach dowodowych na podstawie art. 23
ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych (...), zgodnie z którym przetwarzanie danych osobowych jest
dopuszczalne, jeśli jest niezbędne dla wypełnienia prawnie
usprawiedliwionych celów realizowanych przez administratorów danych
albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby,
której dane dotyczą.”.
Decyzja GIODO z dnia 22 kwietnia 2010 r. DOLiS/DEC-460/10
„Dopóki nie zostanie wydane prawomocne orzeczenie, z którego
wynikałoby, że to nie skarżący zawarł umowę z bankiem, a inna osoba
posługująca się jego danymi osobowymi, Generalny Inspektor Ochrony
Danych Osobowych nie może nakazać usunięcia danych skarżącego ze
zbioru prowadzonego przez Biuro Informacji Kredytowej w celu oceny
zdolności kredytowej i analizy ryzyka kredytowego. Nakaz taki
prowadziłby w konsekwencji do oceny przez Generalnego Inspektora
ważności umowy zawartej pomiędzy skarżącym i bankiem. Uprawnione
do tego są jedynie sądy powszechne, natomiast takich kompetencji
Generalny Inspektor nie posiada.”.
Wyrok WSA w Warszawie z dnia 27 listopada 2008 r. II SA/Wa 903/08
„Wykorzystywanie, za zgodą pracowników, ich linii papilarnych w systemie
elektronicznej kontroli czasu pracy nie narusza obowiązujących
przepisów.”.
Wyrok WSA w Warszawie z dnia 7 grudnia 2009 r. II SA/Wa 1094/09
„Nawet wykazanie przez administratora danych, że legitymuje się
przynajmniej jedną z przesłanek przewidzianych w art. 23 ust. 1 ustawy z dnia
29 sierpnia 1997 r. o ochronie danych osobowych (...), nie wyłącza oceny
adekwatności danych osoby w stosunku do celów, w jakich są one
przetwarzane. Podkreślić należy, że zasada adekwatności ma charakter
bezwzględnie obowiązujący. Adekwatność danych w stosunku do celu ich
przetwarzania powinna być rozumiana jako równowaga pomiędzy
uprawnieniem osoby do dysponowania swoimi danymi a interesem
administratora danych. Administrator danych nie może w żaden sposób
stawiać swego interesu ponad dobro osoby, której dane przetwarza.”.
Wyrok NSA z dnia 18 kwietnia 2008 r. I OSK 616/07
„Wymienione w art. 23 ust. 1 ustawy o ochronie danych osobowych
materialne przesłanki legalizujące przetwarzanie danych osobowych
mają charakter autonomiczny i niezależny, co oznacza, iż wystąpienie
jednej z nich uprawnia do przetwarzania danych.”.
Wyrok WSA w Warszawie z dnia 10 czerwca 2009 r. II SA/Wa 124/09
„Wyrażenie zgody na przetwarzanie danych osobowych przez osobę,
której te dane dotyczą, stanowiące przesłankę przetwarzania danych
osobowych wymienioną w art. 23 ust. 1 pkt 1 ustawy z dnia 29 sierpnia
1997 r. o ochronie danych osobowych (...), nie może być dorozumiane
ani istnienia takiej zgody nie można też domniemywać. Zgoda na
przetwarzanie danych osobowych stanowi oświadczenie woli osoby,
której dane mają być przetwarzane. Nie jest wystarczające samo
powiadomienie o zamiarze przetwarzania danych osobowych oraz brak
sprzeciwu zainteresowanej osoby. Wprawdzie ustawa o ochronie
danych osobowych nie wymaga, aby taka zgoda udzielona została na
piśmie, jednakże fakt udzielenia takiej zgody nie może budzić
wątpliwości, a co za tym idzie, administrator danych osobowych winien
wykazać, iż została ona faktycznie udzielona.”.
Wyrok WSA w Warszawie z dnia 5 czerwca 2007 r. II SA/Wa 8/07
„1. Zadaniem ustawy 29 sierpnia 1997 r. o ochronie danych osobowych nie
jest jedynie stanie na straży interesów tych, których przetwarzane dane
osobowe dotyczą. Naczelną zasadą ustawy nie jest zakaz przetwarzania
danych osobowych, lecz przestrzeganie zakresu i trybu ich przetwarzania.
Omawiana ustawa w art. 1 stwierdza, że dane osobowe mogą być
przetwarzane, jeżeli służy to
[1] dobru publicznemu, [2] dobru osoby, której
dane dotyczą lub [3] dobru osób trzecich
. Ochrona danych osobowych na
podstawie przepisów niniejszej ustawy nie powinna być zatem
absolutyzowana i oderwana od przepisów służących ochronie innych
wartości.
2. W postępowaniu dotyczącym oceny legalności przetwarzania danych
osobowych, skarżący nie może kwestionować treści swoich akt osobowych,
nie może polemizować z jego zawartością, nie może również odnosić się do
kwestii zasadności lub braku zasadności niezakwalifikowania go na
kandydata do pracy w prowadzonym postępowaniu kwalifikacyjnym,
ponieważ zarzuty w tym zakresie nie mieszczą się w przedmiocie niniejszej
sprawy.”.
Orzecznictwo dotyczące danych wrażliwych „sensytywnych”:
Decyzja GIODO z dnia 25 maja 2011 r. DOLiS/DEC-400/11
„W myśl art. 27 ust. 2 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie
danych osobowych (...) przetwarzanie sensytywnych danych osobowych jest
dopuszczalne, jeżeli przepis szczególny innej ustawy na to zezwala bez
zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony.
Za taki przepis szczególny należy uznać art. 318 KPK, który normuje, w razie
dopuszczenia dowodu z opinii biegłych albo instytucji naukowej lub
specjalistycznej, obligatoryjne doręczenie postanowienia o dopuszczeniu tego
dowodu podejrzanemu i jego obrońcy oraz pokrzywdzonemu i jego
pełnomocnikowi. Konieczne jest stwierdzenie, iż aspekt ochrony
przetwarzanych danych osobowych, o którym mowa w art. 27 ust. 2 pkt 2,
wyraża się w treści przepisu art. 318 KPK w postaci zamkniętego katalogu
podmiotów, którym doręczane jest postanowienie, a w konsekwencji
udostępniane są dane osobowe zawarte w treści przedmiotowego
postanowienia. Doręczenie zatem innym podmiotom niż wymienione w treści
art. 318 KPK skutkuje naruszeniem przepisu.”.
Wyrok NSA z dnia 29 czerwca 2007 r. I OSK 1098/06
„1. Dokumentacja medyczna prowadzona przez zakład opieki
zdrowotnej winna w nim być nadal przechowywana po zakończeniu
procesu leczenia, czy też nawet po zakończeniu korzystania przez
danego pacjenta z usług zakładu.
2. Zakład opieki zdrowotnej może stosownie do art. 18 ust. 1 i 3 ustawy
o zakładach opieki zdrowotnej prowadzić, a więc i przetwarzać
dokumentację lekarską aktualnych i byłych pacjentów. Jest to zgodne
z art. 27 ust. 2 pkt 7 ustawy o ochronie danych osobowych
zezwalającym na przetwarzanie danych osobowych w celu świadczenia
usług medycznych lub leczenia pacjentów przez wykwalifikowane
osoby z zapewnieniem gwarancji ochrony danych osobowych.”.
Decyzja GIODO z dnia 7 kwietnia 2004 r. GI-DEC-DS-87/04
„Niedopuszczalne jest posługiwanie się przez towarzystwo ubezpieczeń na
życie formułą zgody na przetwarzanie danych osobowych, odbieranej od
osoby przystępującej do „umowy ubezpieczenia", która zawiera
postanowienia dotyczące upoważnienia towarzystwa ubezpieczeń na życie
do pozyskiwania danych o stanie zdrowia psychicznego tej osoby.”.
Wyrok WSA w Warszawie z dnia 26 sierpnia 2010 r. II SA/Wa 923/10
„Oczywistym jest, że pracodawca ma prawo do gromadzenia danych
w formie imiennej listy pracowników należących do związków zawodowych,
jeżeli w swoim żądaniu określi wskazany cel, podając np. imienną listę
pracowników, którym zamierza wypowiedzieć umowę o pracę lub też
rozwiązać z nimi umowy o pracę bez wypowiedzenia. Wówczas nie można
pracodawcy zarzucić, że narusza wskazane wyżej przepisy ustawy
o ochronie danych osobowych. Nie ma bowiem żadnej, prawnie
uzasadnionej różnicy, pomiędzy danymi dotyczącymi pojedynczego
pracownika, a danymi grupy pracowników, przy założeniu, że zarówno
w jednej sytuacji, jak i w drugiej, cel tego żądania będzie jasno
sprecyzowany.
Natomiast nie do przyjęcia jest domaganie się przez pracodawcę od
zakładowej organizacji związkowej danych o pracownikach bez podania
wyżej wskazanych celów. Takie gromadzenie przez pracodawcę danych
osobowych, "na zapas" - jak to określa w uzasadnieniu zaskarżonej decyzji
organ - nie jest dopuszczalne.”.
WYKŁAD 4
UPRAWNIENIA PRZYSŁUGUJĄCE
OSOBIE, KTÓREJ DANE OSOBOWE
DOTYCZĄ
Każdej osobie przysługuje prawo do kontroli przetwarzania
danych, które jej dotyczą, zawartych w zbiorach danych,
a zwłaszcza prawo do:
1) uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do
ustalenia administratora danych, adresu jego siedziby i pełnej nazwy,
a w przypadku gdy administratorem danych jest osoba fizyczna - jej
miejsca zamieszkania oraz imienia i nazwiska,
2) uzyskania informacji o celu, zakresie i sposobie przetwarzania
danych zawartych w takim zbiorze,
3) uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej
dotyczące, oraz podania w powszechnie zrozumiałej formie treści
tych danych,
4) uzyskania informacji o źródle, z którego pochodzą dane jej
dotyczące, chyba że administrator danych jest zobowiązany do
zachowania w tym zakresie w tajemnicy informacji niejawnych lub
zachowania tajemnicy zawodowej,
5) uzyskania informacji o sposobie udostępniania danych,
a w szczególności informacji o odbiorcach lub kategoriach odbiorców,
którym dane te są udostępniane,
6) uzyskania informacji o przesłankach podjęcia rozstrzygnięcia,
o którym mowa w art. 26a ust. 2,
7) żądania uzupełnienia, uaktualnienia, sprostowania danych
osobowych, czasowego lub stałego wstrzymania ich przetwarzania
lub ich usunięcia, jeżeli są one niekompletne, nieaktualne,
nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już
zbędne do realizacji celu, dla którego zostały zebrane,
8) wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5,
pisemnego,
umotywowanego żądania zaprzestania przetwarzania
jej danych ze względu na jej szczególną sytuację,
W przypadku wniesienia żądania, administrator danych:
a) zaprzestaje przetwarzania kwestionowanych danych
osobowych albo
b) bez zbędnej zwłoki przekazuje żądanie GIODO, który wydaje
stosowną decyzję.
9)
wniesienia sprzeciwu wobec przetwarzania jej danych
w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy
administrator danych zamierza je przetwarzać w celach
marketingowych lub wobec przekazywania jej danych osobowych
innemu administratorowi danych,
W razie wniesienia sprzeciwu, dalsze przetwarzanie
kwestionowanych danych jest niedopuszczalne. Administrator
danych może jednak pozostawić w zbiorze imię lub imiona i nazwisko
osoby oraz numer PESEL lub adres wyłącznie w celu uniknięcia
ponownego wykorzystania danych tej osoby w celach objętych
sprzeciwem.
10) wniesienia do administratora danych
żądania ponownego,
indywidualnego rozpatrzenia sprawy
rozstrzygniętej
z naruszeniem art. 26a ust. 1.
W razie wniesienia żądania, administrator danych:
a) bez zbędnej zwłoki rozpatruje sprawę albo
b) przekazuje ją wraz z uzasadnieniem swojego stanowiska
GIODO, który wydaje stosowną decyzję.
.
Jeżeli dane są przetwarzane dla celów:
a) naukowych,
b) dydaktycznych,
c) historycznych,
d) statystycznych lub
e) archiwalnych,
administrator danych może odstąpić od informowania osób
o przetwarzaniu ich danych w przypadkach, gdy pociągałoby to
za sobą nakłady niewspółmierne z zamierzonym celem.
OBOWIĄZEK INFORMOWANIA
Na wniosek osoby, której dane dotyczą, administrator danych jest
obowiązany w terminie 30 dni:
poinformować o przysługujących jej prawach
oraz
udzielić
, odnośnie do jej danych osobowych,
informacji określonych
w pkt. 1-6
.
Administrator danych odmawia osobie, której dane dotyczą, udzielenia
informacji, o których mowa w pkt 1-6, jeżeli spowodowałoby to:
1) ujawnienie wiadomości zawierających informacje niejawne,
2) zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia
ludzi lub bezpieczeństwa i porządku publicznego,
3) zagrożenie dla podstawowego interesu gospodarczego lub
finansowego państwa,
4) istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub
innych osób.
UZUPEŁNIENIE I SPROSTOWANIE DANYCH OSOBOWYCH
W razie wykazania przez osobę, której dane osobowe dotyczą, że są one:
- niekompletne,
- nieaktualne,
- nieprawdziwe lub
- zebrane z naruszeniem ustawy albo
- zbędne do realizacji celu, dla którego zostały zebrane,
administrator danych jest obowiązany, bez zbędnej zwłoki do:
a) uzupełnienia danych,
b) uaktualnienia danych,
c) sprostowania danych,
d) czasowego lub stałego wstrzymania przetwarzania kwestionowanych
danych lub
e) ich usunięcia ze zbioru,
chyba że dotyczy to danych osobowych, w odniesieniu do których tryb
ich uzupełnienia, uaktualnienia lub sprostowania określają odrębne ustawy.
W razie niedopełnienia przez administratora danych powyższego
obowiązku, osoba, której dane dotyczą, może się zwrócić do
GIODO z wnioskiem o nakazanie dopełnienia tego obowiązku.
Administrator danych jest obowiązany
poinformować bez zbędnej
zwłoki innych administratorów
, którym udostępnił zbiór danych,
o dokonanym uaktualnieniu lub sprostowaniu danych
.
WYKŁAD 5
ŚRODKI
ZAPEWNIAJĄCE OCHRONĘ
DANYCH OSOBOWYCH
Administrator danych jest obowiązany zastosować:
1) środki techniczne i
2) środki organizacyjne
zapewniające ochronę przetwarzanych danych osobowych
odpowiednią do:
a) zagrożeń i
b) kategorii danych objętych ochroną,
a w szczególności powinien zabezpieczyć dane przed ich:
- udostępnieniem osobom nieupoważnionym,
- zabraniem przez osobę nieuprawnioną,
- przetwarzaniem z naruszeniem ustawy oraz
- zmianą, utratą, uszkodzeniem lub zniszczeniem.
Administrator danych prowadzi dokumentację opisującą:
a) sposób przetwarzania danych i
b) środki techniczne i organizacyjne.
Administrator danych wyznacza administratora bezpieczeństwa
informacji, nadzorującego przestrzeganie zasad ochrony danych
osobowych, chyba że sam wykonuje te czynności.
Do przetwarzania danych mogą być dopuszczone
wyłącznie
osoby posiadające upoważnienie
nadane przez administratora
danych.
Administrator danych jest
obowiązany zapewnić kontrolę
nad tym:
- jakie dane osobowe,
- kiedy i przez kogo zostały do zbioru wprowadzone oraz
- komu są przekazywane.
OSOBY ZATRUDNIONE PRZY PRZETWARZANIU DANYCH
Administrator danych prowadzi
ewidencję osób upoważnionych
do ich przetwarzania
, która powinna zawierać:
1) imię i nazwisko osoby upoważnionej,
2) datę nadania i ustania oraz zakres upoważnienia do
przetwarzania danych osobowych,
3) identyfikator, jeżeli dane są przetwarzane w systemie
informatycznym.
Osoby
, które zostały
upoważnione
do przetwarzania danych,
są obowiązane zachować w tajemnicy
:
a) dane osobowe i
b) sposoby ich zabezpieczenia.
Zgodnie z rozporządzeniem wykonawczym (Dz. U. z 2004 r. Nr 100, poz.
1024), dokumentację tworzą:
polityka bezpieczeństwa i instrukcja zarządzania
systemem informatycznym służącym do przetwarzania danych osobowych.
Uwzględniając kategorie przetwarzanych danych oraz zagrożenia wprowadza
się poziomy bezpieczeństwa przetwarzania danych osobowych
w systemie informatycznym:
1)
podstawowy
(w systemie informatycznym nie są przetwarzane dane,
o których mowa w art. 27 ustawy i żadne z urządzeń systemu informatycznego,
służącego do przetwarzania danych osobowych nie jest połączone z siecią
publiczną);
2)
podwyższony
(w systemie informatycznym przetwarzane są dane
osobowe, o których mowa w art. 27 ustawy i żadne z urządzeń systemu
informatycznego, służącego do przetwarzania danych osobowych nie jest
połączone z siecią publiczną);
3)
wysoki
(przynajmniej jedno urządzenie systemu informatycznego,
służącego do przetwarzania danych osobowych, połączone jest z siecią
publiczną).
WYKŁAD 6
REJESTRACJA ZBIORÓW
DANYCH OSOBOWYCH
Administrator danych jest zobowiązany zgłosić GIODO:
1) zbiór danych do rejestracji (zgłoszenie obejmuje m.in.: cel przetwarzania
danych, opis kategorii osób, których dane dotyczą, oraz zakres
przetwarzanych danych, sposób zbierania oraz udostępniania danych,
informacja o odbiorcach lub kategoriach odbiorców, którym dane mogą być
przekazywane),
2) każdą zmianę informacji zawartych w zgłoszeniu w terminie
30 dni od dnia dokonania zmiany w zbiorze danych
GIODO prowadzi ogólnokrajowy,
jawny rejestr
zbiorów danych osobowych,
który powinien zawierać informacje określone w zgłoszeniu,
poza tymi, które
opisują środki techniczne i organizacyjne przedsięwzięte w celu
ochrony danych osobowych.
Na żądanie administratora danych
może być wydane
zaświadczenie
o zarejestrowaniu zgłoszonego przez niego zbioru danych, przy czym GIODO
wydaje administratorowi danych sensytywnych
zaświadczenie
o zarejestrowaniu zbioru danych
niezwłocznie
po dokonaniu rejestracji.
Zwolnienie z obowiązku rejestracji danych:
1) zawierających informacje niejawne,
2) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych
przez funkcjonariuszy organów uprawnionych do tych czynności,
3) przetwarzanych przez właściwe organy dla potrzeb postępowania
sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,
4) przetwarzanych przez Generalnego Inspektora Informacji Finansowej,
5) przetwarzanych przez właściwe organy na potrzeby udziału
Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz
Wizowym Systemie Informacyjnym,
6) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług
na podstawie umów cywilnoprawnych, a także dotyczących osób u nich
zrzeszonych lub uczących się,
7) dotyczących osób korzystających z ich usług medycznych, obsługi
notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy
podatkowego lub biegłego rewidenta,
8) przetwarzanych przez właściwie organy na podstawie przepisów
o wymianie informacji z organami ścigania państw członkowskich Unii
Europejskiej,
9) dotyczących osób należących do kościoła lub innego związku
wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby
tego kościoła lub związku wyznaniowego,
10) tworzonych na podstawie przepisów dotyczących wyborów do
Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów
i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej
Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących
referendum ogólnokrajowego i referendum lokalnego,
11) dotyczących osób pozbawionych wolności na podstawie ustawy,
w zakresie niezbędnym do wykonania tymczasowego aresztowania lub
kary pozbawienia wolności,
12) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub
prowadzenia sprawozdawczości finansowej,
13) powszechnie dostępnych,
14) przetwarzanych w celu przygotowania rozprawy wymaganej do
uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,
15) przetwarzanych w zakresie drobnych bieżących spraw życia
codziennego.
Przesłanki wydania przez GIODO
decyzji o odmowie
rejestracji
zbioru danych:
1) nie zostały spełnione wymogi zgłoszenia (art. 41 ust. u.o.d.o.),
2) przetwarzanie danych naruszałoby zasady określone w art. 23-28
u.o.d.o.,
3) urządzenia i systemy informatyczne służące do przetwarzania
zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych
warunków technicznych i organizacyjnych, określonych w przepisach
wykonawczych.
GIODO w drodze decyzji administracyjnej, nakazuje:
1) ograniczenie przetwarzania wszystkich albo niektórych kategorii
danych wyłącznie do ich przechowywania lub
2) zastosowanie innych środków, o których mowa w art. 18 ust. 1
u.o.d.o.
Administrator danych
może zgłosić ponownie
zbiór danych do
rejestracji
po usunięciu wad
, które były powodem odmowy rejestracji
zbioru.
W razie ponownego zgłoszenia zbioru do rejestracji administrator
danych
może rozpocząć ich przetwarzanie po zarejestrowaniu zbioru.
Wykreślenie z rejestru zbiorów danych osobowych jest dokonywane, jeżeli:
1) zaprzestano przetwarzania danych w zarejestrowanym zbiorze,
2)
rejestracji dokonano z naruszeniem prawa.
Administrator danych może rozpocząć ich przetwarzanie w zbiorze danych:
a)
po zgłoszeniu
tego zbioru GIODO, chyba że ustawa zwalnia go z tego
obowiązku.
b) w przypadku danych sensytywnych (wrażliwych) –
po zarejestrowaniu
zbioru
, chyba że ustawa zwalnia go z obowiązku zgłoszenia zbioru do
rejestracji.
WYKŁAD 7
KARNOPRAWNA OCHRONA
DANYCH OSOBOWYCH
PRZETWARZANIE DANYCH PRZEZ PODMIOT NIEUPRAWNIONY
Kto przetwarza w zbiorze dane osobowe:
1) choć ich przetwarzanie nie jest dopuszczalne albo
2) do których przetwarzania nie jest uprawniony,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia
wolności do lat 2.
Jeżeli przedmiotowy czyn dotyczy danych ujawniających:
a) pochodzenie rasowe lub etniczne,
b) poglądy polityczne,
c) przekonania religijne lub filozoficzne,
d) przynależność wyznaniową, partyjną lub związkową,
e) dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu
seksualnym,
sprawca podlega grzywnie, karze ograniczenia wolności albo
pozbawienia wolności do lat 3.
UDOSTĘPNIANIE DANYCH OSOBOM NIEUPRAWNIONYM
Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych
osobowych:
1) udostępnia je lub
2) umożliwia dostęp do nich osobom nieupoważnionym,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności
do lat 2 (
do 1 roku w przypadku, gdy sprawca działa nieumyślnie
).
NARUSZENIE OBOWIĄZKU ZABEZPIECZENIA DANYCH
Kto administrując danymi narusza choćby nieumyślnie obowiązek
zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną,
uszkodzeniem lub zniszczeniem,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do
roku.
NIEZGŁOSZENIE DANYCH DO REJESTRU
Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności
do roku.
NIEDOPEŁNIENIE OBOWIĄZKU POINFORMOWANIA
Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania
osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie
informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej
ustawie,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia
wolności do roku.
UDAREMNIENIE WYKONANIA CZYNOŚCI KONTROLNEJ
Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności
do lat 2.
WYKŁAD 8
PODSTAWOWE ZAGADNIENIA
Z ZAKRESU OCHRONY INFORMACJI
NIEJAWNYCH
ŹRÓDŁA PRAWA W ZAKRESIE OCHRONY INFORMACJI
NIEJAWNYCH
I.
Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji
niejawnych (Dz. U. nr 182, poz. 1228)
II.
Ważniejsze akty wykonawcze do ustawy:
1) Rozporządzenie Prezesa Rady Ministrów z dnia 22 grudnia
2011 r. w sprawie sposobu oznaczania materiałów i umieszczania
na nich klauzul tajności (Dz. U. nr 288, poz. 1692),
2) Rozporządzenie Prezesa Rady Ministrów z dnia 27 kwietnia
2011 r. w sprawie przygotowania i przeprowadzania kontroli
stanu zabezpieczenia informacji niejawnych (Dz. U. nr 93, poz.541),
3) Rozporządzenie Prezesa Rady Ministrów z dnia 28 grudnia 2010 r.
w sprawie przekazywania informacji, udostępniania dokumentów
oraz udzielania pomocy służbom i instytucjom uprawnionym do
prowadzenia poszerzonych postępowań sprawdzających,
kontrolnych postępowań sprawdzających oraz postępowań
bezpieczeństwa przemysłowego (Dz. U. Nr 258, poz. 1750),
4) Rozporządzenie Rady Ministrów z dnia 7 grudnia 2011 r.
w sprawie organizacji i funkcjonowania kancelarii tajnych oraz
sposobu i trybu przetwarzania informacji niejawnych (Dz. U. Nr 276,
poz. 1631),
5) Rozporządzenie Prezesa Rady Ministrów z dnia 7 grudnia
2011 r. w sprawie nadawania, przyjmowania, przewożenia,
wydawania i ochrony materiałów zawierających informacje
niejawne (Dz. U. Nr 271, poz. 1603),
6) Rozporządzenie Prezesa Rady Ministrów z dnia 20 lipca 2011 r.
w sprawie podstawowych wymagań bezpieczeństwa
teleinformatycznego (Dz. U. nr 159, poz. 948),
7) Rozporządzenie Prezesa Rady Ministrów z dnia 20 lipca 2011 r.
w sprawie wzoru świadectwa akredytacji bezpieczeństwa systemu
teleinformatycznego (Dz. U. Nr 156, poz. 926),
8) Rozporządzenie Prezesa Rady Ministrów z dnia 28 grudnia
2010 r. w sprawie wzorów poświadczeń bezpieczeństwa (Dz. U.
Nr 258, poz. 1752),
9) Rozporządzenie Prezesa Rady Ministrów z dnia 28 grudnia
2010 r. w sprawie wzoru decyzji o cofnięciu poświadczenia
bezpieczeństwa (Dz. U. Nr 258, poz. 1754),
10) Rozporządzenie Prezesa Rady Ministrów z dnia 28 grudnia
2010 r. w sprawie wzoru decyzji o odmowie wydania
poświadczenia bezpieczeństwa (Dz. U. Nr 258 poz. 1753),
11) Rozporządzenie Rady Ministrów z dnia 5 kwietnia 2011 r.
w sprawie wzorów kwestionariusza bezpieczeństwa
przemysłowego, świadectwa bezpieczeństwa przemysłowego,
decyzji o odmowie wydania świadectwa bezpieczeństwa
przemysłowego oraz decyzji o cofnięciu świadectwa
bezpieczeństwa przemysłowego (Dz. U. Nr 86, poz. 470).
POJĘCIE INFORMACJI NIEJAWNYCH
Informacje niejawne – informacje, których nieuprawnione
ujawnienie spowodowałoby lub mogłoby spowodować
szkody dla Rzeczypospolitej Polskiej albo byłoby z punktu
widzenia jej interesów niekorzystne, także w trakcie ich
opracowywania oraz niezależnie od formy i sposobu ich
wyrażania.
(art. 1 ust. 1 ustawy)
ZAKRES PRZEDMIOTOWY USTAWY:
Określenie zasad:
1) klasyfikowania informacji niejawnych;
2) organizowania ochrony informacji niejawnych;
3) przetwarzania informacji niejawnych;
4) postępowania sprawdzającego prowadzonego w celu ustalenia,
czy osoba nim objęta daje rękojmię zachowania tajemnicy;
5) postępowania prowadzonego w celu ustalenia, czy
przedsiębiorca nim objęty zapewnia warunki do ochrony informacji
niejawnych, (postępowanie bezpieczeństwa przemysłowego);
6) organizacji kontroli stanu zabezpieczenia informacji niejawnych;
7) ochrony informacji niejawnych w systemach teleinformatycznych;
8) stosowania środków bezpieczeństwa fizycznego w odniesieniu
do informacji niejawnych.
ZAKRES PODMIOTOWY USTAWY
Przepisy ustawy mają zastosowanie do:
1) organów władzy publicznej, w szczególności:
a) Sejmu i Senatu,
b) Prezydenta Rzeczypospolitej Polskiej,
c) organów administracji rządowej,
d) organów jednostek samorządu terytorialnego, a także innych
podległych im jednostek organizacyjnych lub przez nie
nadzorowanych,
e) sądów i trybunałów,
f) organów kontroli państwowej i ochrony prawa;
2) jednostek organizacyjnych podległych Ministrowi Obrony
Narodowej lub przez niego nadzorowanych;
3) Narodowego Banku Polskiego;
4) państwowych osób prawnych i innych niż wymienione
w pkt 1-3 państwowych jednostek organizacyjnych;
5) jednostek organizacyjnych podległych organom władzy
publicznej lub nadzorowanych przez te organy;
6) przedsiębiorców:
- zamierzających ubiegać się albo ubiegających się o zawarcie
umów związanych z dostępem do informacji niejawnych lub
- wykonujących takie umowy albo
- wykonujących na podstawie przepisów prawa zadania
związane z dostępem do informacji niejawnych.
DEFINICJE LEGALNE
Dokument – każda utrwalona informacja niejawna.
Materiał – dokument lub przedmiot albo dowolna ich część,
chronione jako informacja niejawna, a zwłaszcza urządzenie,
wyposażenie lub broń wyprodukowane albo będące w trakcie
produkcji, a także składnik użyty do ich wytworzenia.
Akredytacja bezpieczeństwa teleinformatycznego – dopuszczenie
systemu teleinformatycznego do przetwarzania informacji
niejawnych.
Certyfikacja – proces potwierdzania zdolności urządzenia, narzędzia
lub innego środka do ochrony informacji niejawnych.
Audyt bezpieczeństwa systemu teleinformatycznego –
weryfikacja poprawności realizacji wymagań i procedur, określonych
w dokumentacji bezpieczeństwa systemu teleinformatycznego.
Przetwarzanie informacji niejawnych – wszelkie operacje
wykonywane w odniesieniu do informacji niejawnych i na tych
informacjach, w szczególności ich:
1) wytwarzanie,
2) modyfikowanie,
3) kopiowanie,
4) klasyfikowanie,
5) gromadzenie,
6) przechowywanie,
7) przekazywanie lub
8) udostępnianie.
Rękojmia zachowania tajemnicy – zdolność osoby do spełnienia
ustawowych wymogów dla zapewnienia ochrony informacji
niejawnych przed ich nieuprawnionym ujawnieniem, stwierdzona
w wyniku przeprowadzenia postępowania sprawdzającego.
Przedsiębiorca:
1) przedsiębiorca w rozumieniu art. 4 ustawy z dnia 2 lipca 2004 r.
o swobodzie działalności gospodarczej (Dz. U. z 2007 r. Nr 155,
poz. 1095, z późn. zm.) lub
2) każda inna jednostka organizacyjna, niezależnie od formy
własności,
którzy w ramach prowadzonej działalności gospodarczej
zamierzają realizować lub realizują związane z dostępem do
informacji niejawnych umowy lub zadania wynikające z przepisów
prawa.
Kierownik przedsiębiorcy – członek jednoosobowego zarządu
lub innego jednoosobowego organu zarządzającego, a jeżeli
organ jest wieloosobowy - cały organ albo członek lub
członkowie tego organu wyznaczeni co najmniej uchwałą
zarządu do pełnienia funkcji kierownika przedsiębiorcy,
z wyłączeniem pełnomocników ustanowionych przez ten organ
lub jednostkę.
Rozwiązania szczegółowe:
a) spółka jawna i spółka cywilna – wspólnicy prowadzący sprawy spółki,
b) spółka partnerska – wspólnicy prowadzący sprawy spółki albo zarząd,
c) spółka komandytowa i spółka komandytowo-akcyjnej –
komplementariusze prowadzący sprawy spółki;
d) osoba fizyczna prowadząca działalność gospodarczą – ta osoba.
Do:
a) postępowań sprawdzających,
b) kontrolnych postępowań sprawdzających oraz
c) postępowań bezpieczeństwa przemysłowego,
w zakresie nieuregulowanym w ustawie, mają zastosowanie
wybrane przepisy ustawy z dnia 14 czerwca 1960 r. - Kodeks
postępowania administracyjnego.
(art. 6-8, art. 12, art. 14-16, art. 24 § 1 pkt 1-6 i § 2-4, art. 26 § 1,
art. 28, art. 29, art. 30 § 1-3, art. 35 § 1, art. 39, art. 41-47, art. 50,
art. 55, art. 57-60, art. 61 § 3 i 4, art. 63 § 4, art. 64, art. 65, art. 72,
art. 75 § 1, art. 77 § 1, art. 97 § 1 pkt 4 i § 2, art. 98, art. 101, art. 103,
art. 104, art. 105 § 2, art. 107, art. 109 § 1, art. 112, art. 113 § 1,
art. 125 § 1, art. 156-158 oraz art. 217)
UDOSTĘPNIANIE INFORMACJI – ZASADY OGÓLNE
Informacje niejawne mogą być udostępnione wyłącznie osobie
dającej rękojmię zachowania tajemnicy i tylko w zakresie
niezbędnym do wykonywania przez nią pracy lub pełnienia
służby na zajmowanym stanowisku albo wykonywania
czynności zleconych.
Przepisy odrębnych ustaw określają:
1) zasady zwalniania od obowiązku zachowania w tajemnicy
informacji niejawnych oraz
2) sposób postępowania z aktami spraw zawierającymi
informacje niejawne w postępowaniu przed sądami i innymi
organami.
Jeżeli przepisy odrębnych ustaw uprawniają organy, służby lub
instytucje albo ich upoważnionych pracowników do dokonywania
kontroli, w szczególności do swobodnego dostępu do pomieszczeń
i materiałów, a jej zakres dotyczy informacji niejawnych,
uprawnienia te są realizowane z zachowaniem przepisów
niniejszej ustawy.
Przepisy ustawy o ochronie informacji niejawnych nie naruszają
przepisów:
- innych ustaw o ochronie tajemnicy zawodowej lub
- innych tajemnic prawnie chronionych,
z zastrzeżeniem przepisów ustawy w zakresie rodzajów klauzul
tajności i zasad ich nadawania.
WYKŁAD 9
RODZAJE KLAUZUL TAJNOŚCI
I ZASADY ICH NADAWANIA
Informacjom niejawnym nadaje się
klauzulę "ściśle tajne"
,
jeżeli ich nieuprawnione ujawnienie spowoduje
wyjątkowo poważną szkodę dla Rzeczypospolitej Polskiej
przez to, że:
1) zagrozi niepodległości, suwerenności lub integralności
terytorialnej Rzeczypospolitej Polskiej;
2) zagrozi bezpieczeństwu wewnętrznemu lub porządkowi
konstytucyjnemu Rzeczypospolitej Polskiej;
3) zagrozi sojuszom lub pozycji międzynarodowej
Rzeczypospolitej Polskiej;
4) osłabi gotowość obronną Rzeczypospolitej Polskiej.
5) doprowadzi lub może doprowadzić do identyfikacji
funkcjonariuszy, żołnierzy lub pracowników służb odpowiedzialnych
za realizację zadań wywiadu lub kontrwywiadu, którzy wykonują
czynności operacyjno-rozpoznawcze, jeżeli zagrozi to
bezpieczeństwu wykonywanych czynności lub może doprowadzić
do identyfikacji osób udzielających im pomocy w tym zakresie;
6) zagrozi lub może zagrozić życiu lub zdrowiu funkcjonariuszy,
żołnierzy lub pracowników, którzy wykonują czynności
operacyjno-rozpoznawcze, lub osób udzielających im pomocy
w tym zakresie;
7) zagrozi lub może zagrozić życiu lub zdrowiu świadków
koronnych lub osób dla nich najbliższych albo świadków, o których
mowa w art. 184 ustawy z dnia 6 czerwca 1997 r. - Kodeks
postępowania karnego lub osób dla nich najbliższych.
Informacjom niejawnym nadaje się
klauzulę "tajne"
, jeżeli ich
nieuprawnione ujawnienie spowoduje poważną szkodę
dla Rzeczypospolitej Polskiej przez to, że:
1) uniemożliwi realizację zadań związanych z ochroną
suwerenności lub porządku konstytucyjnego Rzeczypospolitej
Polskiej;
2) pogorszy stosunki Rzeczypospolitej Polskiej z innymi
państwami lub organizacjami międzynarodowymi;
3) zakłóci przygotowania obronne państwa lub
funkcjonowanie Sił Zbrojnych Rzeczypospolitej Polskiej;
4) utrudni wykonywanie czynności operacyjno-
rozpoznawczych prowadzonych w celu zapewnienia
bezpieczeństwa państwa lub ścigania sprawców zbrodni
przez służby lub instytucje do tego uprawnione;
5) w istotny sposób zakłóci funkcjonowanie organów ścigania
i wymiaru sprawiedliwości;
6) przyniesie stratę znacznych rozmiarów w interesach
ekonomicznych Rzeczypospolitej Polskiej.
Informacjom niejawnym nadaje się
klauzulę "poufne"
, jeżeli
ich nieuprawnione ujawnienie spowoduje szkodę dla
Rzeczypospolitej Polskiej przez to, że:
1) utrudni prowadzenie bieżącej polityki zagranicznej
Rzeczypospolitej Polskiej;
2) utrudni realizację przedsięwzięć obronnych lub negatywnie
wpłynie na zdolność bojową Sił Zbrojnych Rzeczypospolitej
Polskiej;
3) zakłóci porządek publiczny lub zagrozi bezpieczeństwu
obywateli;
4) utrudni wykonywanie zadań służbom lub instytucjom
odpowiedzialnym za ochronę bezpieczeństwa lub
podstawowych interesów Rzeczypospolitej Polskiej;
5) utrudni wykonywanie zadań służbom lub instytucjom
odpowiedzialnym za ochronę porządku publicznego,
bezpieczeństwa obywateli lub ściganie sprawców
przestępstw i przestępstw skarbowych oraz organom
wymiaru sprawiedliwości;
6) zagrozi stabilności systemu finansowego Rzeczypospolitej
Polskiej;
7) wpłynie niekorzystnie na funkcjonowanie gospodarki
narodowej.
Informacjom niejawnym nadaje się
klauzulę "zastrzeżone"
,
jeżeli nie nadano im wyższej klauzuli tajności, a ich
nieuprawnione ujawnienie może mieć szkodliwy wpływ na
wykonywanie przez organy władzy publicznej lub inne
jednostki organizacyjne zadań w zakresie:
1) obrony narodowej,
2) polityki zagranicznej,
3) bezpieczeństwa publicznego,
4) przestrzegania praw i wolności obywateli,
5) wymiaru sprawiedliwości albo
6) interesów ekonomicznych Rzeczypospolitej Polskiej.
Klauzulę tajności nadaje osoba uprawniona do podpisania
dokumentu lub oznaczenia innego niż dokument materiału.
Informacje niejawne podlegają ochronie w sposób określony
w ustawie do czasu zniesienia lub zmiany klauzuli tajności. Osoba
nadająca klauzulę tajności może określić datę lub wydarzenie,
po których nastąpi zniesienie lub zmiana klauzuli tajności.
Zniesienie lub zmiana klauzuli tajności są możliwe wyłącznie
po wyrażeniu pisemnej zgody przez:
a) osobę, która nadała klauzulę tajności albo
b) jej przełożonego
w przypadku ustania lub zmiany ustawowych przesłanek ochrony,
jednakże
w przypadku informacji niejawnych o klauzuli "ściśle tajne"
zgodę wyraża kierownik jednostki organizacyjnej, w której
materiałowi została nadana klauzula tajności.
Bez względu na upływ czasu chronione są:
1) dane mogące doprowadzić do identyfikacji funkcjonariuszy,
żołnierzy lub pracowników służb i instytucji, uprawnionych do
wykonywania na podstawie ustawy czynności operacyjno-
rozpoznawczych jako funkcjonariuszy, żołnierzy lub
pracowników wykonujących te czynności;
2) dane mogące doprowadzić do identyfikacji osób, które
udzieliły pomocy w zakresie czynności operacyjno-
rozpoznawczych służbom i instytucjom uprawnionym do ich
wykonywania na podstawie ustawy;
3) informacje niejawne uzyskane od organów innych państw lub
organizacji międzynarodowych, jeżeli taki był warunek ich
udostępnienia.
Ochronie nie podlegają dane, o których mowa w pkt. 1 i 2
, zawarte
w dokumentach, zbiorach danych, rejestrach i kartotekach, a także
w aktach funkcjonariuszy i żołnierzy organów bezpieczeństwa
państwa, podlegających obowiązkowi przekazania do Instytutu
Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi
Polskiemu na podstawie przepisów:
1) ustawy z dnia 18 grudnia 1998 r. o Instytucie Pamięci Narodowej
- Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu,
2) ustawy z dnia 18 października 2006 r. o ujawnianiu informacji
o dokumentach organów bezpieczeństwa państwa z lat 1944-1990
oraz treści tych dokumentów
chyba że dostęp do określonych dokumentów został zastrzeżony
w trybie art. 39 ustawy wymienionej w pkt 1.
Informacje niejawne, którym nadano określoną klauzulę tajności:
1) mogą być
udostępnione wyłącznie osobie uprawnionej
, zgodnie
z przepisami ustawy dotyczącymi dostępu do określonej klauzuli
tajności;
2) muszą być
przetwarzane w warunkach uniemożliwiających ich
nieuprawnione ujawnienie
, zgodnie z przepisami określającymi
wymagania dotyczące kancelarii tajnych, bezpieczeństwa
systemów teleinformatycznych, obiegu materiałów i środków
bezpieczeństwa fizycznego, odpowiednich do nadanej klauzuli
tajności;
3)
muszą być chronione, odpowiednio do nadanej klauzuli tajności
,
z zastosowaniem środków bezpieczeństwa określonych w ustawie i
przepisach wykonawczych wydanych na jej podstawie.
WYKŁAD 10
ORGANIZACJA OCHRONY
INFORMACJI NIEJAWNYCH
Nadzór nad funkcjonowaniem systemu ochrony informacji
niejawnych w jednostkach organizacyjnych pozostających w ich
właściwości sprawują:
1) Służba Kontrwywiadu Wojskowego (SKW) wobec:
- Ministerstwa Obrony Narodowej oraz jednostek organizacyjnych
podległych Ministrowi Obrony Narodowej lub przez niego
nadzorowanych;
- ataszatów obrony w placówkach zagranicznych;
- żołnierzy w służbie czynnej wyznaczonych na stanowiska
służbowe w innych jednostkach organizacyjnych niż wymienione
powyżej,
2) Agencja Bezpieczeństwa Wewnętrznego (ABW) wobec:
- jednostek organizacyjnych i osób podlegających ustawie,
niewymienionych w pkt. 1).
Szef ABW pełni funkcję krajowej władzy bezpieczeństwa.
Krajowa władza bezpieczeństwa jest właściwa do
nadzorowania systemu ochrony informacji niejawnych
w stosunkach Rzeczypospolitej Polskiej z innymi państwami lub
organizacjami międzynarodowymi i wydawania dokumentów
upoważniających do dostępu do informacji niejawnych:
a) Organizacji Traktatu Północnoatlantyckiego, ("NATO"),
b) Unii Europejskiej lub
c) innych organizacji międzynarodowych.
Szef ABW pełni funkcję krajowej władzy bezpieczeństwa
w odniesieniu do podmiotów, wobec których kontrolę sprawuje
SKW, za pośrednictwem Szefa SKW.
W zakresie niezbędnym do kontroli stanu zabezpieczenia informacji
niejawnych, upoważnieni pisemnie funkcjonariusze ABW albo
funkcjonariusze lub żołnierze SKW mają prawo do:
1) wstępu do obiektów i pomieszczeń jednostki kontrolowanej, gdzie
informacje takie są przetwarzane;
2) wglądu do dokumentów związanych z organizacją ochrony tych
informacji w kontrolowanej jednostce organizacyjnej;
3) żądania udostępnienia do kontroli systemów teleinformatycznych
służących do przetwarzania tych informacji;
4) przeprowadzania oględzin obiektów, składników majątkowych
i sprawdzania przebiegu określonych czynności związanych z ochroną tych
informacji;
5) żądania od kierowników i pracowników kontrolowanych jednostek
organizacyjnych udzielania ustnych i pisemnych wyjaśnień;
6) zasięgania w związku z przeprowadzaną kontrolą informacji
w jednostkach niekontrolowanych, jeżeli ich działalność pozostaje
w związku z przetwarzaniem lub ochroną informacji niejawnych, oraz
żądania wyjaśnień od kierowników i pracowników tych jednostek;
7) powoływania oraz korzystania z pomocy biegłych i specjalistów, jeżeli
stwierdzenie okoliczności ujawnionych w czasie przeprowadzania kontroli
wymaga wiadomości specjalnych;
8) uczestniczenia w posiedzeniach kierownictwa, organów zarządzających
lub nadzorczych, a także organów opiniodawczo-doradczych w sprawach
dotyczących problematyki ochrony tych informacji w kontrolowanej
jednostce organizacyjnej.
Kierownicy jednostek organizacyjnych współdziałają ze służbami
i instytucjami uprawnionymi do prowadzenia poszerzonych
postępowań sprawdzających, kontrolnych postępowań sprawdzających
oraz postępowań bezpieczeństwa przemysłowego, w szczególności
udostępniają funkcjonariuszom, pracownikom albo żołnierzom tych
służb i instytucji, po przedstawieniu przez nich pisemnego
upoważnienia, pozostające w ich dyspozycji informacje i dokumenty
niezbędne do realizacji czynności w ramach tych postępowań.
Służby i instytucje uprawnione do prowadzenia poszerzonych
postępowań sprawdzających, w zakresie koniecznym do wykonywania
swoich zadań, w celu ochrony informacji niejawnych mogą zwracać się
do innych instytucji, służb i organów o udzielenie niezbędnej pomocy
przy wykonywaniu czynności w ramach prowadzonych postępowań
sprawdzających, kontrolnych postępowań sprawdzających oraz
postępowań bezpieczeństwa przemysłowego.
PEŁNOMOCNIK OCHRONY
Kierownik jednostki organizacyjnej, w której są przetwarzane
informacje niejawne,
odpowiada za ich ochronę,
w szczególności za zorganizowanie i zapewnienie
funkcjonowania tej ochrony
.
Kierownikowi jednostki organizacyjnej bezpośrednio podlega
zatrudniony przez niego pełnomocnik do spraw ochrony
informacji niejawnych, który odpowiada za zapewnienie
przestrzegania przepisów o ochronie informacji niejawnych.
Pełnomocnikiem ochrony może być osoba, która posiada:
a) obywatelstwo polskie,
b) wykształcenie wyższe,
c) odpowiednie poświadczenie bezpieczeństwa wydane przez
ABW albo SKW, a także przez były Urząd Ochrony Państwa lub
byłe Wojskowe Służby Informacyjne,
d) zaświadczenie o przeszkoleniu w zakresie ochrony informacji
niejawnych przeprowadzonym przez ABW albo SKW, a także
przez byłe Wojskowe Służby Informacyjne.
Kierownik jednostki organizacyjnej może zatrudnić zastępcę lub
zastępców pełnomocnika ochrony, z zastrzeżeniem spełnienia
przez te osoby powyższych warunków.
Zadania pełnomocnika ochrony:
1) zapewnienie ochrony informacji niejawnych, w tym stosowanie
środków bezpieczeństwa fizycznego;
2) zapewnienie ochrony systemów teleinformatycznych, w których
są przetwarzane informacje niejawne;
3) zarządzanie ryzykiem bezpieczeństwa informacji niejawnych,
w szczególności szacowanie ryzyka;
4) kontrola ochrony informacji niejawnych oraz przestrzegania
przepisów o ochronie tych informacji, w szczególności okresowa
(co najmniej raz na trzy lata) kontrola ewidencji, materiałów i obiegu
dokumentów;
5) opracowywanie i aktualizowanie, wymagającego akceptacji
kierownika jednostki organizacyjnej, planu ochrony informacji
niejawnych w jednostce organizacyjnej, w tym w razie wprowadzenia
stanu nadzwyczajnego, i nadzorowanie jego realizacji;
6) prowadzenie szkoleń w zakresie ochrony informacji
niejawnych;
7) prowadzenie zwykłych postępowań sprawdzających oraz
kontrolnych postępowań sprawdzających;
8) prowadzenie aktualnego wykazu osób zatrudnionych lub
pełniących służbę w jednostce organizacyjnej albo
wykonujących czynności zlecone, które posiadają uprawnienia
do dostępu do informacji niejawnych, oraz osób, którym
odmówiono wydania poświadczenia bezpieczeństwa lub je
cofnięto,
9) przekazywanie odpowiednio ABW lub SKW do ewidencji
danych osób uprawnionych do dostępu do informacji
niejawnych, a także osób, którym odmówiono wydania
poświadczenia bezpieczeństwa lub wobec których podjęto
decyzję o cofnięciu poświadczenia bezpieczeństwa, na
podstawie wykazu.
Swoje zadania pełnomocnik ochrony realizuje przy pomocy
wyodrębnionej i podległej mu komórki organizacyjnej do
spraw ochrony informacji niejawnych, zwanej "pionem
ochrony", jeżeli jest ona utworzona w jednostce organizacyjnej.
Kierownik jednostki organizacyjnej może powierzyć
pełnomocnikowi ochrony oraz pracownikom pionu ochrony
wykonywanie innych zadań, jeżeli ich realizacja nie naruszy
prawidłowego wykonywania zadań pełnomocnika ochrony.
W przypadku stwierdzenia naruszenia w jednostce
organizacyjnej przepisów o ochronie informacji niejawnych
pełnomocnik ochrony:
a) zawiadamia o tym kierownika jednostki organizacyjnej i
b) podejmuje niezwłocznie działania zmierzające do wyjaśnienia
okoliczności tego naruszenia oraz ograniczenia jego negatywnych
skutków,
c)
w przypadku stwierdzenia naruszenia przepisów o ochronie
informacji niejawnych o klauzuli "poufne" lub wyższej
– zawiadamia niezwłocznie również odpowiednio ABW lub SKW.
WYKŁAD 11
BEZPIECZEŃSTWO OSOBOWE
Dopuszczenie do pracy lub pełnienia służby na stanowiskach
albo zlecenie prac związanych z dostępem do
informacji
niejawnych o klauzuli "poufne" lub wyższej
może nastąpić, po:
1) uzyskaniu poświadczenia bezpieczeństwa oraz
2) odbyciu szkolenia w zakresie ochrony informacji niejawnych.
Dopuszczenie do pracy lub pełnienia służby na stanowiskach albo
zlecenie prac, związanych z dostępem danej osoby do
informacji
niejawnych o klauzuli "zastrzeżone"
może nastąpić po:
1) pisemnym upoważnieniu przez kierownika jednostki
organizacyjnej, jeżeli nie posiada ona poświadczenia
bezpieczeństwa,
2) odbyciu szkolenia w zakresie ochrony informacji niejawnych.
W zależności od stanowiska lub wykonywania czynności
zleconych, o które ubiega się osoba sprawdzana,
przeprowadza się:
1)
zwykłe postępowanie sprawdzające
- przy stanowiskach
i pracach związanych z dostępem do informacji niejawnych
o klauzuli "poufne", z zastrzeżeniem pkt 2 lit. b)-d);
2)
poszerzone postępowanie sprawdzające
:
a) przy stanowiskach i pracach związanych z dostępem do
informacji niejawnych o klauzuli "tajne" lub "ściśle tajne",
b) wobec pełnomocników ochrony, zastępców
pełnomocników ochrony oraz kandydatów na te stanowiska,
c) wobec kierowników jednostek organizacyjnych,
w których są przetwarzane informacje niejawne o klauzuli
"poufne" lub wyższej,
d) wobec osób ubiegających się o dostęp do informacji
niejawnych międzynarodowych lub o dostęp, który ma
wynikać z umowy międzynarodowej zawartej przez
Rzeczpospolitą Polską.
Osobom wskazanym w pkt 2 lit. b-d wydaje się poświadczenia
bezpieczeństwa upoważniające do dostępu do informacji
niejawnych o takiej klauzuli, jaka została wskazana we wniosku
lub poleceniu.
Pełnomocnik ochrony przeprowadza
zwykłe postępowanie
sprawdzające
na pisemne polecenie kierownika jednostki
organizacyjnej.
ABW albo SKW przeprowadzają
poszerzone postępowania
sprawdzające
:
1) na pisemny wniosek kierownika jednostki organizacyjnej lub
osoby uprawnionej do obsady stanowiska lub zlecenia prac;
2) wobec funkcjonariuszy, żołnierzy i pracowników oraz osób
ubiegających się o przyjęcie do służby lub pracy w ABW albo SKW;
3) wobec osób wykonujących czynności zlecone lub ubiegających
się o wykonywanie tych czynności na rzecz ABW albo SKW.
Cel postępowania sprawdzającego
: ustalenie, czy osoba
sprawdzana daje rękojmię zachowania tajemnicy.
W toku postępowania sprawdzającego ustala się, czy istnieją
uzasadnione wątpliwości dotyczące:
1) uczestnictwa, współpracy lub popierania przez osobę sprawdzaną
działalności szpiegowskiej, terrorystycznej, sabotażowej albo innej
wymierzonej przeciwko Rzeczypospolitej Polskiej;
2) zagrożenia osoby sprawdzanej ze strony obcych służb specjalnych
w postaci prób werbunku lub nawiązania z nią kontaktu;
3) przestrzegania porządku konstytucyjnego Rzeczypospolitej Polskiej,
a przede wszystkim, czy osoba sprawdzana uczestniczyła lub
uczestniczy w działalności partii politycznych lub innych organizacji,
o których mowa w art. 13 Konstytucji Rzeczypospolitej Polskiej, albo
współpracowała lub współpracuje z takimi partiami lub organizacjami;
4) ukrywania lub świadomego niezgodnego z prawdą podawania w ankiecie
bezpieczeństwa osobowego, zwanej dalej "ankietą", lub postępowaniu
sprawdzającym przez osobę sprawdzaną informacji mających znaczenie dla
ochrony informacji niejawnych;
5) wystąpienia związanych z osobą sprawdzaną okoliczności
powodujących ryzyko jej podatności na szantaż lub wywieranie
presji;
6) niewłaściwego postępowania z informacjami niejawnymi, jeżeli:
a) doprowadziło to bezpośrednio do ujawnienia tych informacji osobom
nieuprawnionym,
b) było to wynikiem celowego działania,
c) stwarzało to realne zagrożenie ich nieuprawnionym ujawnieniem i nie miało
charakteru incydentalnego,
d) dopuściła się tego osoba szczególnie zobowiązana na podstawie ustawy
do ochrony informacji niejawnych: pełnomocnik ochrony, jego zastępca lub
kierownik kancelarii tajnej.
W toku poszerzonego postępowania sprawdzającego
ustala się
ponadto
, czy istnieją wątpliwości dotyczące:
1) poziomu życia osoby sprawdzanej wyraźnie przewyższającego
uzyskiwane przez nią dochody;
2) informacji o chorobie psychicznej lub innych zakłóceniach
czynności psychicznych ograniczających sprawność umysłową
i mogących negatywnie wpłynąć na zdolność osoby sprawdzanej
do wykonywania prac, związanych z dostępem do informacji
niejawnych;
3) uzależnienia od alkoholu, środków odurzających lub substancji
psychotropowych.
Zasady postępowania sprawdzającego:
W razie niedających się usunąć wątpliwości,
interes ochrony
informacji niejawnych ma pierwszeństwo przed innymi prawnie
chronionymi interesami
.
Organ prowadzący postępowanie sprawdzające, kierując się
zasadami
bezstronności i obiektywizmu
, jest obowiązany do
wykazania
najwyższej staranności
w toku prowadzonego postępowania
sprawdzającego co do jego zgodności z przepisami ustawy.
Wszystkie czynności przeprowadzone w toku postępowań
sprawdzających muszą być
rzetelnie udokumentowane
i
powinny
być zakończone przed upływem 3 miesięcy
od dnia:
1) złożenia do pełnomocnika ochrony wypełnionej ankiety, lub
2) złożenia wniosku o przeprowadzenie postępowania sprawdzającego
wraz z wypełnioną ankietą.
Postępowanie sprawdzające kończy się:
1) wydaniem poświadczenia bezpieczeństwa;
2) odmową wydania poświadczenia bezpieczeństwa;
3) umorzeniem.
Po zakończeniu postępowania sprawdzającego
z wynikiem pozytywnym
organ prowadzący
postępowanie wydaje poświadczenie bezpieczeństwa
i przekazuje osobie sprawdzanej, zawiadamiając o tym
wnioskodawcę.
Poświadczenie bezpieczeństwa wydaje się na okres:
1) 10 lat - w przypadku dostępu do informacji niejawnych o
klauzuli
"poufne"
;
2) 7 lat - w przypadku dostępu do informacji niejawnych o
klauzuli
"tajne"
;
3) 5 lat - w przypadku dostępu do informacji niejawnych o
klauzuli
"ściśle tajne"
.
Poświadczenie bezpieczeństwa upoważniające do dostępu do
informacji niejawnych o wyższej klauzuli tajności uprawnia do
dostępu do informacji niejawnych o niższej klauzuli tajności,
odpowiednio przez okresy dla nich właściwe, także w odniesieniu
do poświadczeń bezpieczeństwa organizacji międzynarodowych.
Organ prowadzący postępowanie sprawdzające
odmawia wydania
poświadczenia bezpieczeństwa
, jeżeli:
1) nie zostaną usunięte wątpliwości, o których mowa w art. 24 ust. 2,
2) w trakcie poszerzonego postępowania sprawdzającego nie
zostaną usunięte wątpliwości, o których mowa w art. 24 ust. 3,
3) osoba sprawdzana została skazana prawomocnym wyrokiem na
karę pozbawienia wolności za przestępstwo umyślne ścigane
z oskarżenia publicznego, także popełnione za granicą, lub
umyślne przestępstwo skarbowe, jeżeli czyn, za który nastąpiło
skazanie, wywołuje wątpliwości, o których mowa w art. 24 ust. 2 i 3.
Umorzenie postępowania sprawdzającego
następuje
w przypadku:
1) śmierci osoby sprawdzanej;
2) rezygnacji osoby sprawdzanej z ubiegania się o stanowisko
albo zajmowania stanowiska lub wykonywania prac,
związanych z dostępem do informacji niejawnych;
3) odstąpienia przez kierownika jednostki organizacyjnej od
zamiaru obsadzenia osoby sprawdzanej na stanowisku lub
zlecenia jej prac, związanych z dostępem do informacji
niejawnych;
4) gdy postępowanie z innej przyczyny stało się
bezprzedmiotowe.
WYKŁAD 12
KANCELARIE TAJNE
Kierownik jednostki organizacyjnej,
w której są przetwarzane
informacje niejawne o klauzuli "tajne" lub "ściśle tajne"
,
tworzy kancelarię tajną i zatrudnia jej kierownika.
W przypadku uzasadnionym względami organizacyjnymi
kierownik jednostki organizacyjnej może utworzyć więcej niż
jedną kancelarię tajną.
W uzasadnionych przypadkach, za zgodą odpowiednio ABW
lub SKW, można utworzyć kancelarię tajną obsługującą dwie
lub więcej jednostek organizacyjnych. Podległość, obsada
i zasady finansowania takiej kancelarii zostaną określone przez
właściwych kierowników jednostek organizacyjnych.
Kancelaria tajna:
a) stanowi wyodrębnioną komórkę organizacyjną,
w zakresie ochrony informacji niejawnych,
b) podległą pełnomocnikowi ochrony,
c) obsługiwaną przez pracowników pionu ochrony,
d) odpowiedzialną za właściwe:
- rejestrowanie,
- przechowywanie,
- obieg i
- wydawanie materiałów uprawnionym osobom.
Kierownik jednostki organizacyjnej
może wyrazić zgodę na
przetwarzanie w kancelarii tajnej informacji niejawnych o klauzuli
"poufne" lub "zastrzeżone"
.
Kierownik jednostki organizacyjnej informuje odpowiednio ABW lub
SKW o utworzeniu lub likwidacji kancelarii tajnej, z określeniem
klauzuli tajności przetwarzanych w niej informacji niejawnych.
Jednostki organizacyjne, w których są przetwarzane informacje
niejawne, stosują środki bezpieczeństwa fizycznego
odpowiednie do poziomu zagrożeń w celu uniemożliwienia osobom
nieuprawnionym dostępu do takich informacji
, w szczególności
chroniące przed:
1) działaniem obcych służb specjalnych;
2) zamachem terrorystycznym lub sabotażem;
3) kradzieżą lub zniszczeniem materiału;
4) próbą wejścia osób nieuprawnionych do pomieszczeń, w których
są przetwarzane informacje niejawne;
5) nieuprawnionym dostępem do informacji o wyższej klauzuli
tajności niewynikającym z posiadanych uprawnień.
Zakres stosowania środków bezpieczeństwa fizycznego uzależnia
się od poziomu zagrożeń związanych z nieuprawnionym dostępem
do informacji niejawnych lub ich utratą.
W celu
uniemożliwienia
osobom nieuprawnionym
dostępu do
informacji niejawnych o klauzuli "poufne" lub wyższej
należy
w szczególności:
1) zorganizować strefy ochronne;
2) wprowadzić system kontroli wejść i wyjść ze stref ochronnych;
3) określić uprawnienia do przebywania w strefach ochronnych;
4) stosować wyposażenie i urządzenia służące ochronie informacji
niejawnych, którym przyznano certyfikaty.
Organizacja pracy:
a) kancelarii tajnej lub
b) innych niż kancelaria tajna komórek, w których są rejestrowane
materiały o klauzuli "poufne"
zapewnia możliwość ustalenia w każdych okolicznościach, gdzie
znajduje się materiał o klauzuli:
-”poufne”,
- "tajne" lub
- "ściśle tajne"
pozostający w dyspozycji jednostki organizacyjnej oraz kto z tym
materiałem się zapoznał.
Kancelaria tajna lub komórka, określona w lit. b),
odmawia
udostępnienia lub wydania materiału osobie nieuprawnionej
.
Kierownik jednostki organizacyjnej zatwierdza:
1) opracowany przez pełnomocnika ochrony sposób i tryb
przetwarzania informacji niejawnych o klauzuli "poufne"
w podległych komórkach organizacyjnych.
2) opracowaną przez pełnomocnika ochrony dokumentację
określającą poziom zagrożeń związanych z nieuprawnionym
dostępem do informacji niejawnych lub ich utratą (
dotyczy
jednostki organizacyjnej, w której są przetwarzane informacje
niejawne o klauzuli "poufne" lub wyższej
),
3) opracowaną przez pełnomocnika ochrony, instrukcję dotyczącą
sposobu i trybu przetwarzania informacji niejawnych o klauzuli
"zastrzeżone" w podległych komórkach organizacyjnych oraz
zakres i warunki stosowania środków bezpieczeństwa
fizycznego w celu ich ochrony.
WYKŁAD 13
BEZPIECZEŃSTWO TELEINFORMATYCZNE
Systemy teleinformatyczne, w których mają być przetwarzane
informacje niejawne,
podlegają akredytacji bezpieczeństwa
teleinformatycznego
udzielanej na czas określony do 5 lat.
ABW albo SKW udziela akredytacji bezpieczeństwa
teleinformatycznego dla systemu teleinformatycznego
przeznaczonego do przetwarzania informacji niejawnych
o klauzuli "poufne" lub wyższej
w terminie 6 miesięcy od otrzymania
kompletnej dokumentacji bezpieczeństwa systemu
teleinformatycznego. Od odmowy udzielenia akredytacji nie służy
odwołanie.
Potwierdzeniem udzielenia przez ABW albo SKW akredytacji,
jest świadectwo akredytacji bezpieczeństwa systemu
teleinformatycznego.
Świadectwo akredytacji bezpieczeństwa systemu
teleinformatycznego, wydaje się na podstawie:
1) zatwierdzonej przez ABW albo SKW dokumentacji
bezpieczeństwa systemu teleinformatycznego;
2) wyników audytu bezpieczeństwa systemu
teleinformatycznego przeprowadzonego przez ABW albo SKW,
przy czym właściwy organ może odstąpić od przeprowadzenia
audytu, jeżeli system jest przeznaczony do przetwarzania informacji
niejawnych o klauzuli "poufne".
Kierownik jednostki organizacyjnej udziela akredytacji
bezpieczeństwa teleinformatycznego dla systemu
teleinformatycznego przeznaczonego do przetwarzania
informacji
niejawnych o klauzuli "zastrzeżone"
przez zatwierdzenie
dokumentacji bezpieczeństwa systemu teleinformatycznego.
ABW lub SKW przeprowadza certyfikację:
1)
środków ochrony elektromagnetyczne
j przeznaczonych do
ochrony informacji niejawnych o klauzuli "poufne" lub wyższej,
2)
urządzeń i narzędzi kryptograficznych
przeznaczonych do
ochrony informacji niejawnych,
3) na wniosek zainteresowanego podmiotu –
urządzenia lub
narzędzia służącego do realizacji zabezpieczenia
teleinformatycznego
, przeznaczonego do ochrony informacji niejawnych.
Pozytywne wyniki ocen bezpieczeństwa uzyskane na podstawie
wyników badań prowadzonych w ramach certyfikacji określonych
powyżej, stanowią podstawę do wydania przez ABW albo SKW
certyfikatu ochrony elektromagnetycznej, certyfikatu ochrony
kryptograficznej
lub
certyfikatu bezpieczeństwa
teleinformatycznego
, na okres nie krótszy niż 3 lata. Od odmowy
wydania certyfikatu nie służy odwołanie.
Kierownik jednostki organizacyjnej wyznacza:
1) pracownika lub pracowników pionu ochrony pełniących funkcję
inspektora bezpieczeństwa teleinformatycznego, odpowiedzialnych
za weryfikację i bieżącą kontrolę zgodności funkcjonowania systemu
teleinformatycznego ze szczególnymi wymaganiami bezpieczeństwa
oraz przestrzegania procedur bezpiecznej eksploatacji;
2) osobę lub zespół osób, niepełniących funkcji inspektora bezpieczeństwa
teleinformatycznego, odpowiedzialnych za funkcjonowanie systemu
teleinformatycznego oraz za przestrzeganie zasad i wymagań
bezpieczeństwa przewidzianych dla systemu teleinformatycznego,
("administratora systemu").
Przedmiotowe stanowiska lub funkcje, mogą zajmować lub pełnić osoby:
a) spełniające wymagania właściwe dla pracowników pionu ochrony
(art. 16 ustawy),
b) po odbyciu specjalistycznych szkoleń z zakresu bezpieczeństwa
teleinformatycznego prowadzonych przez ABW albo SKW.
WYKŁAD 14
BEZPIECZENSTWO PRZEMYSŁOWE
Warunkiem dostępu przedsiębiorcy (i podwykonawców umów, jeżeli
ich wykonywanie wiąże się z dostępem do informacji niejawnych) do
informacji niejawnych
w związku z wykonywaniem umów albo zadań
wynikających z przepisów prawa
, jest zdolność do ochrony informacji
niejawnych.
Dokumentem potwierdzającym
zdolność do ochrony informacji
niejawnych o klauzuli "poufne" lub wyższej
jest
świadectwo
bezpieczeństwa przemysłowego
, wydawane przez ABW albo SKW
po przeprowadzeniu postępowania bezpieczeństwa przemysłowego.
W przypadku przedsiębiorcy wykonującego działalność jednoosobowo
i osobiście zdolność do ochrony informacji niejawnych potwierdza:
a) poświadczenie bezpieczeństwa upoważniające do dostępu do
informacji niejawnych o klauzuli tajności "poufne" lub wyższej,
wydawane przez ABW albo SKW i
b) zaświadczenie o odbytym przeszkoleniu w zakresie ochrony informacji
niejawnych wydawane przez ABW albo SKW.
W zależności od stopnia zdolności do ochrony informacji
niejawnych o klauzuli "poufne" lub wyższej wydaje się
świadectwo odpowiednio:
1)
pierwszego stopnia
- potwierdzające pełną zdolność
przedsiębiorcy do ochrony tych informacji;
2)
drugiego stopnia
- potwierdzające zdolność przedsiębiorcy do
ochrony tych informacji, z wyłączeniem możliwości ich
przetwarzania we własnych systemach teleinformatycznych;
3)
trzeciego stopnia
- potwierdzające zdolność przedsiębiorcy do
ochrony tych informacji, z wyłączeniem możliwości ich
przetwarzania w użytkowanych przez niego obiektach.
Świadectwo potwierdzające zdolność do ochrony informacji
niejawnych o klauzuli:
1)
"ściśle tajne"
potwierdza zdolność do ochrony informacji
niejawnych o klauzuli:
a) "ściśle tajne" - przez okres 5 lat od daty wystawienia,
b) "tajne" - przez okres 7 lat od daty wystawienia,
c) "poufne" - przez okres 10 lat od daty wystawienia;
2)
"tajne"
potwierdza zdolność do ochrony informacji niejawnych
o klauzuli:
a) "tajne" - przez okres 7 lat od daty wystawienia,
b) "poufne" - przez okres 10 lat od daty wystawienia;
3)
"poufne"
potwierdza zdolność do ochrony informacji
niejawnych o tej klauzuli przez okres 10 lat od daty wystawienia.
Postępowanie bezpieczeństwa przemysłowego:
a) jest prowadzone na wniosek przedsiębiorcy, który nie wymaga
uzasadnienia.
b) we wniosku przedsiębiorca określa stopień świadectwa oraz
klauzulę tajności informacji niejawnych, których zdolność do
ochrony ma potwierdzać świadectwo.
c) do wniosku przedsiębiorca dołącza kwestionariusz
bezpieczeństwa przemysłowego oraz ankiety lub kopie
poświadczeń bezpieczeństwa osób określonych w art. 57 ust. 3
ustawy,
d) powinno być zakończone w terminie nie dłuższym niż 6 miesięcy,
licząc od dnia przedłożenia wszystkich dokumentów niezbędnych
do jego przeprowadzenia.
e) sprawdzenie przedsiębiorcy, w tym na podstawie danych
zawartych w rejestrach, ewidencjach, kartotekach, także
niedostępnych powszechnie, obejmuje:
- strukturę kapitału oraz powiązania kapitałowe przedsiębiorcy,
źródła pochodzenia środków finansowych i sytuację finansową;
- strukturę organizacyjną;
- system ochrony informacji niejawnych, w tym środki
bezpieczeństwa fizycznego;
- wszystkie osoby wchodzące w skład organów zarządzających,
kontrolnych oraz osoby działające z ich upoważnienia;
- w szczególnie uzasadnionych przypadkach osoby posiadające
poświadczenia bezpieczeństwa.
f) w toku postępowania bezpieczeństwa przemysłowego oraz
w okresie ważności świadectwa przeprowadza się postępowania
sprawdzające wobec osób nieposiadających odpowiednich
poświadczeń bezpieczeństwa lub kolejne postępowania
sprawdzające wobec:
- kierownika przedsiębiorcy;
- pełnomocnika ochrony i jego zastępcy;
- osób zatrudnionych w pionie ochrony;
- administratora systemu teleinformatycznego;
- pozostałych osób wskazanych w kwestionariuszu, które powinny
mieć dostęp do informacji niejawnych.
g) postępowanie bezpieczeństwa przemysłowego kończy się:
- wydaniem przez ABW albo SKW świadectwa zgodnie
z wnioskiem przedsiębiorcy albo
- decyzją o odmowie wydania świadectwa lub
- decyzją o umorzeniu postępowania bezpieczeństwa
przemysłowego w przypadku:
•
wycofania przez przedsiębiorcę wniosku o wydanie
świadectwa;
•
wydania orzeczenia o zakazie prowadzenia przez
przedsiębiorcę działalności gospodarczej;
•
przejęcia lub likwidacji przedsiębiorcy.
Jednostka organizacyjna zawierająca umowę związaną z dostępem
do informacji niejawnych o klauzuli "poufne" lub wyższej jest
odpowiedzialna za wprowadzenie do umowy instrukcji
bezpieczeństwa przemysłowego, określającej:
1) szczegółowe wymagania dotyczące ochrony informacji niejawnych o klauzuli
"poufne" lub wyższej, które zostaną przekazane przedsiębiorcy w związku
z wykonywaniem umowy, odpowiednie do liczby tych informacji, klauzuli tajności oraz
liczby osób mających do nich dostęp;
2) skutki oraz zakres odpowiedzialności wykonawcy umowy z tytułu niewykonania lub
nienależytego wykonania obowiązków wynikających z niniejszej ustawy, a także
nieprzestrzegania wymagań określonych w instrukcji bezpieczeństwa przemysłowego.
Kierownik jednostki organizacyjnej zawierającej umowę związaną
z dostępem do informacji niejawnych o klauzuli "poufne" lub wyższej
wyznacza osobę odpowiedzialną za nadzorowanie, kontrolę i doradztwo
w zakresie wykonywania przez przedsiębiorcę obowiązku ochrony
wytworzonych w związku z realizacją umowy lub przekazanych mu
informacji niejawnych
.
WYKŁAD 15
KARNOPRAWNA OCHRONA
INFORMACJI NIEJAWNYCH
UJAWNIENIE LUB WYKORZYSTANIE INFORMACJI
NIEJAWNEJ O KLAUZULI „TAJNE” LUB „ŚCIŚLE TAJNE”
„Art. 265.§ 1. Kto ujawnia lub wbrew przepisom ustawy wykorzystuje
informacje niejawne o klauzuli "tajne" lub "ściśle tajne",
podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 2. Jeżeli informację określoną w § 1
ujawniono osobie działającej
w imieniu lub na rzecz podmiotu zagranicznego
, sprawca
podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
§ 3. Kto
nieumyślnie ujawnia
informację określoną w § 1, z którą
zapoznał się w związku z pełnieniem funkcji publicznej lub otrzymanym
upoważnieniem,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia
wolności do roku.”.
UJAWNIENIE LUB WYKORZYSTANIE TAJEMNICY
ZAWODOWEJ LUB FUNKCYJNEJ
„Art. 266. § 1. Kto, wbrew przepisom ustawy lub przyjętemu na
siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą
zapoznał się w związku z pełnioną funkcją, wykonywaną pracą,
działalnością publiczną, społeczną, gospodarczą lub naukową,
podlega grzywnie, karze ograniczenia wolności albo
pozbawienia wolności do lat 2.”
(…)
„§ 3. Ściganie przestępstwa określonego w § 1 następuje na wniosek
pokrzywdzonego.”.
UJAWNIENIE LUB WYKORZYSTANIE INFORMACJI
NIEJAWNEJ O KLAUZULI „ZASTRZEŻONE” LUB „POUFNE”
§ 2. Funkcjonariusz publiczny, który ujawnia osobie
nieuprawnionej informację niejawną o klauzuli "zastrzeżone"
lub "poufne" lub informację, którą uzyskał w związku
z wykonywaniem czynności służbowych, a której ujawnienie
może narazić na szkodę prawnie chroniony interes,
podlega karze pozbawienia wolności do lat 3.
Dziękuję za uwagę
Opracowanie:
Wojciech Gliniecki, WSAiB Gdynia, 2012