Ochrona danych
osobowych i
informacji
niejawnych
Bezpieczeństwo Wewnętrzne
II ROK Studia stacjonarne
sem. zimowy 2012/2013
dr Katarzyna Ciućkowska-
Leszczewicz
Ochrona danych
osobowych i
informacji
niejawnych
Bezpieczeństwo Wewnętrzne
II ROK Studia stacjonarne
sem. zimowy 2012/2013
dr Katarzyna Ciućkowska-
Leszczewicz
Szkolenie w zakresie ochrony
informacji niejawnych
Szkolenie w zakresie ochrony
informacji niejawnych
Warunkiem niezbędnym dostępu do informacji niejawnych jest
odbycie szkolenia w zakresie ochrony informacji niejawnych.
Podczas szkolenia zdobywa się wiedzę na temat
zasad oraz
podstaw prawnych systemu
ochrony informacji niejawnych,
stosowanych
procedur
oraz
sposobów ochrony
informacji
niejawnych oraz postępowania w sytuacjach ich zagrożenia lub
nieuprawnionego ujawnienia.
W zależności od rodzaju przeprowadzonego postępowania
sprawdzającego szkolenie może być:
-przeprowadzane odpowiednio przez
Agencję Bezpieczeństwa
Wewnętrznego lub Służbę Kontrwywiadu Wojskowego
,
-przeprowadzane odpowiednio przez Agencję Bezpieczeństwa
Wewnętrznego lub Służbę Kontrwywiadu Wojskowego
wspólnie z
pełnomocnikiem ochrony
-
organizowane przez pełnomocnika ochrony w jednostce
organizacyjnej.
Agencja Bezpieczeństwa
Wewnętrznego
Zgodnie z art. 19 ust. 2 pkt 1 i 4 ustawy
Agencja Bezpieczeństwa Wewnętrznego
przeprowadza szkolenia wobec:
pełnomocników ochrony i ich zastępców
oraz
kandydatów na pełnomocników ochrony lub
ich zastępców,
przedsiębiorców
wykonujących działalność
jednoosobowo i osobiście,
kierowników przedsiębiorców
, u których nie
zatrudniono pełnomocników ochrony,
posłów i senatorów
.
ABW i pełnomocnik
ochrony
Zgodnie z art. 19 ust. 2 pkt 2 ustawy
Agencja Bezpieczeństwa Wewnętrznego
przeprowadza szkolenia wspólnie z
pełnomocnikiem ochrony
wobec
kierownika jednostki organizacyjnej,
w
której są przetwarzane informacje
niejawne o klauzuli „ściśle tajne” lub
„tajne”.
Pełnomocnik ochrony
Zgodnie z art. 19 ust. 2 pkt 3 ustawy
pełnomocnik ochrony
organizuje
szkolenie dla
osób zatrudnionych w
jednostce organizacyjnej, pełniących w
niej służbę lub wykonujących czynności
zlecone w jednostce organizacyjnej
.
Zgodnie z art. 20 ust. 1 ustawy szkolenie
kończy się wydaniem
zaświadczenia o
przeszkoleniu.
Bezpieczeństwo fizyczne
Bezpieczeństwo fizyczne
Aby informacje niejawne mogły być
prawidłowo przetwarzane należy
stosować środki bezpieczeństwa
fizycznego odpowiednie do poziomu
zagrożeń w celu uniemożliwienia
osobom nieuprawnionym dostępu do
tych informacji lub ich utraty.
Czym są środki
bezpieczeństwa
fizycznego ?
Bezpieczeństwo fizyczne informacji niejawnych to system
powiązanych ze sobą przedsięwzięć organizacyjnych, osobowych,
technicznych i fizycznych służących ochronie tych informacji przed
nieuprawnionym dostępem lub utratą.
Kompleksowe podejście do bezpieczeństwa fizycznego informacji
niejawnych wymaga wzajemnego uzupełniania się przyjętych
rozwiązań.
Na elementy składowe systemu służącego ochronie informacji
niejawnych w szczególności składają się:
działania organizacyjne
– opracowanie planów, instrukcji,
regulaminów i procedur;
ochrona osobowa
(ochrona czynna) - zorganizowanie wewnętrznej
służby ochrony lub skorzystanie z usług koncesjonowanej agencji
ochrony;
ochrona bierna
– wydzielenie, zorganizowanie i wdrożenie
zabezpieczeń architektoniczno-budowlanych w postaci: ogrodzeń,
zapór, bram, przegród, a w szczególności ścian i stropów stref
chronionych, przed nieuprawnionym wtargnięciem;
Czym są środki
bezpieczeństwa
fizycznego?
strefy ochronne
- wyznaczenie, zorganizowanie i
zabezpieczenie obszarów podlegających kontroli wejścia,
wyjścia oraz kontroli przebywania (obustronna kontrola
dostępu);
elektroniczne
– zabezpieczenie i nadzór nad odpowiednimi
strefami ochronnymi przy wykorzystaniu systemów
włamania i napadu, systemów kontroli dostępu, systemów
telewizji dozorowej CCTV, systemów sygnalizacji pożaru,
systemów zasilania awaryjnego i innych zintegrowanych
elektronicznych systemów bezpieczeństwa;
mechaniczne
– zastosowanie do zabezpieczenia
odpowiednich stref ochronnych technicznych środków
ochrony w postaci: tripodów, śluz, bramek magnetycznych,
certyfikowanych: drzwi, krat, żaluzji, zamków, kłódek, szaf
stalowych.
Kancelaria tajna
Nie w każdej jednostce organizacyjnej, w
której występują informacje niejawne
musi być kancelaria tajna.
Kancelaria tajna
Zgodnie z art. 42 ust. 4 ustawy
kancelaria tajna to
wyodrębniona komórka organizacyjna
, w zakresie
ochrony informacji niejawnych podległa pełnomocnikowi
ochrony, obsługiwana przez pracowników pionu
odpowiedzialna za właściwe rejestrowanie,
przechowywanie, obieg i wydawanie materiałów
uprawnionym osobom.
Zgodnie z art. 43 ust. 1 ustawy organizacja pracy
kancelarii tajnej
zapewnia możliwość ustalenia w
każdych okolicznościach, gdzie znajduje się materiał o
klauzuli "tajne" lub "ściśle tajne"
pozostający w
dyspozycji jednostki organizacyjnej oraz kto z tym
materiałem się zapoznał.
Jakie informacje niejawne są
przetwarzane w kancelariach
tajnych?
Zgodnie z art. 42 ust. 1 ustawy obowiązek
utworzenia kancelarii tajnej, spoczywa jedynie na
kierownikach jednostek organizacyjnych, w
których są lub będą przetwarzane informacje
niejawne oznaczone klauzulami
„tajne”
bądź
„ściśle tajne”.
Zgodnie jednak z art. 42 ust. 5 ustawy
kierownik
jednostki organizacyjnej może wyrazić zgodę na
przetwarzanie w kancelarii tajnej informacji
niejawnych o klauzuli
„poufne” lub „zastrzeżone”.
Gdzie powinny być
przetwarzane informacje
niejawne o klauzuli „poufne”
lub „zastrzeżone”?
Zgodnie z art. 43 ust. 2 i art. 44 ustawy, jeśli jednostka organizacyjna
przetwarza lub będzie przetwarzała materiały niejawne oznaczone
maksymalnie klauzulą „poufne”, to funkcję kancelarii tajnej może spełniać
inna komórka organizacyjna, pod warunkiem, że jej organizacja zapewni
możliwość ustalenia w każdych okolicznościach, gdzie znajduje się
materiał niejawny pozostający w dyspozycji jednostki organizacyjnej.
Zgodnie z art. 43 ust. 3 ustawy o sposobie i trybie przetwarzania
informacji niejawnych o klauzuli „poufne” w podległej jednostce
(jednostkach) zadecyduje kierownik jednostki organizacyjnej,
zatwierdzając sporządzone przez pełnomocnika ochrony stosowne
procedury.
Zgodnie z art. 43 ust. 5 ustawy kierownik jednostki organizacyjnej
zatwierdza,
opracowaną przez pełnomocnika ochrony, instrukcję
dotyczącą sposobu i trybu przetwarzania informacji niejawnych o klauzuli
„zastrzeżone” w podległych komórkach organizacyjnych oraz zakres i
warunki stosowania środków bezpieczeństwa fizycznego.
Bezpieczeństwo
przemysłowe
Bezpieczeństwo przemysłowe to wszelkie działania związane
z
zapewnieniem ochrony informacji niejawnych
udostępnianych przedsiębiorcy w związku z umową
lub zadaniem wykonywanym na podstawie przepisów
prawa.
Przedmiotem bezpieczeństwa przemysłowego są informacje
niejawne o różnych klauzulach, łącznie z systemem
organizacyjno-technicznym ich ochrony.
Natomiast podmiotami są przedsiębiorcy zamierzający
uzyskać dostęp do informacji niejawnych w związku z
realizacją umów lub zadań wynikających z przepisów prawa
oraz jednostki organizacyjne zlecające ich wykonanie
(jednostki zlecające).
Świadectwo bezpieczeństwa
przemysłowego
W przypadku, gdy z wykonaniem umowy wiąże się dostęp do
informacji niejawnych oznaczonych klauzulą „poufne”, „tajne”
lub „ściśle tajne”, przedsiębiorca jest obowiązany posiadać
odpowiednie
świadectwo bezpieczeństwa
przemysłowego.
Powyższa zasada nie dotyczy osób fizycznych prowadzących
działalność gospodarczą jednoosobowo i osobiście, które
obowiązane są posiadać odpowiednie poświadczenie
bezpieczeństwa.
Świadectwo bezpieczeństwa przemysłowego jest dokumentem
potwierdzającym zdolność przedsiębiorcy do zapewnienia
ochrony informacji niejawnych, przed nieuprawnionym
ujawnieniem w związku z realizacją umów lub zadań.
Postępowanie
bezpieczeństwa
przemysłowego
Świadectwo
wydaje Agencja
Bezpieczeństwa Wewnętrznego
lub
Służba Kontrwywiadu Wojskowego po
przeprowadzeniu
postępowania
sprawdzającego zwanego
postępowaniem bezpieczeństwa
przemysłowego
.
Postępowanie
bezpieczeństwa
przemysłowego
Postępowanie bezpieczeństwa przemysłowego ma na celu
ustalenie, czy przedsiębiorca posiada zdolność do
ochrony informacji niejawnych o określonej klauzuli
tajności i określonym stopniu w różnych aspektach, jak
np.: finansowym, organizacyjnym czy też kadrowym.
W ramach tego postępowania przeprowadzane są
postępowania sprawdzające wobec osób mających uzyskać
dostęp do informacji niejawnych.
Podstawowym obowiązkiem jednostki zlecającej jest
wprowadzenie do umowy lub zlecenia zadania instrukcji
bezpieczeństwa przemysłowego, w której zawarte są
szczegółowe wymagania dotyczące ochrony informacji
niejawnych, skutki oraz zakres odpowiedzialności z tytułu
niewykonania lub nienależytego wykonania obowiązków
wynikających z ustawy oraz instrukcji.
Czy przedsiębiorca zawsze
musi posiadać świadectwo
bezpieczeństwa
przemysłowego?
Sytuacje, kiedy przedsiębiorca
nie musi legitymować się
poświadczeniem bezpieczeństwa
przemysłowego
1) Zgodnie z art. 54 ust. 3 i ust. 4 ustawy, jeżeli przedsiębiorca
wykonuje działalność jednoosobowo i osobiście i zamierza
wykonywać umowy lub zadania związane z dostępem do
informacji niejawnych o klauzuli „poufne”, „tajne” lub „ściśle
tajne”, to nie musi posiadać świadectwa bezpieczeństwa
przemysłowego.
Dokumentem potwierdzającym jego zdolność do ochrony
informacji niejawnych będzie posiadane przez niego ważne
poświadczenie bezpieczeństwa, o ile przepisy międzynarodowe
w tym zakresie nie stanowią inaczej.
2) Zgodnie z art. 54 ust. 9 ustawy, jeżeli przedsiębiorca zamierza
wykonywać umowy związane z dostępem do informacji
niejawnych o klauzuli „zastrzeżone”, to świadectwo
bezpieczeństwa przemysłowego nie jest wymagane.
Rodzaje świadectw
bezpieczeństwa
przemysłowego
Zgodnie z art. 55 ust. 1 ustawy w zależności od stopnia
zdolności do ochrony informacji niejawnych o klauzuli
„poufne” lub wyższej wydaje się świadectwo
odpowiednio:
pierwszego stopnia – potwierdzające pełną zdolność
przedsiębiorcy do ochrony tych informacji,
drugiego stopnia – potwierdzające zdolność
przedsiębiorcy do ochrony tych informacji, z
wyłączeniem możliwości ich przetwarzania we własnych
systemach teleinformatycznych,
trzeciego stopnia – potwierdzające zdolność
przedsiębiorcy do ochrony tych informacji, z
wyłączeniem możliwości ich przetwarzania w
użytkowanych przez niego obiektach.
Świadectwo
bezpieczeństwa
przemysłowego
Stopień zdolności świadectwa bezpieczeństwa nie jest
powiązany z klauzulą tajności, co oznacza, iż nie trzeba mieć
np. świadectwa bezpieczeństwa przemysłowego pierwszego
stopnia , aby móc przetwarzać informacje niejawne
oznaczone klauzulą „ściśle tajne”, a np. tylko świadectwa
trzeciego stopnia, aby móc przetwarzać informacje niejawne
oznaczone klauzulą „poufne”.
Przedsiębiorca, po zapoznaniu się z warunkami umowy albo
zadań wynikających z przepisów prawa, wskazuje we
wniosku o wydanie świadectwa bezpieczeństwa
przemysłowego, do jakiej klauzuli tajności powinien mieć
dostęp i w jakim stopniu musi on zapewnić ochronę
informacji niejawnych.
Trzeba jednak podkreślić, iż w przypadku ubiegania się o
potwierdzenie pełniejszej zdolności do ochrony informacji
niejawnych wzrastają koszty przeprowadzenia postępowania
bezpieczeństwa przemysłowego.
Okres ważności świadectwa
bezpieczeństwa
przemysłowego
Zgodnie z art. 55 ust. 2 ustawy świadectwo
potwierdzające zdolność do ochrony informacji
niejawnych o klauzuli:
„ściśle tajne” potwierdza zdolność do ochrony
informacji niejawnych przez okres 5 lat od daty
wystawienia,
„tajne” potwierdza zdolność do ochrony informacji
niejawnych przez okres 7 lat od daty wystawienia,
„poufne” potwierdza zdolność do ochrony
informacji niejawnych przez okres 10 lat od daty
wystawienia.
Kaskada ważności
uprawnień
W odniesieniu do świadectw bezpieczeństwa
przemysłowego obowiązuje kaskada ważności
uprawnień w zakresie ochrony informacji
niejawnych.
Należy przez to rozumieć, że ważność tego
samego świadectwa potwierdzającego zdolność
do ochrony informacji niejawnych oznaczonych
wyższą klauzulą jest odpowiednio dłuższa dla
klauzul niższych. (art. 55 ust. 2 ustawy)
Kaskada ważności
uprawnień
W praktyce oznacza to, że przedsiębiorca uzyskujący świadectwo do
klauzuli „ściśle tajne” nie będzie musiał występować z kolejnym
wnioskiem o wydanie świadectwa do klauzuli „tajne” czy „poufne”,
bowiem świadectwo potwierdzające zdolność do ochrony informacji
niejawnych o klauzuli:
1. „ściśle tajne” potwierdza zdolność do ochrony informacji niejawnych
o klauzuli:
a) „ściśle tajne” – przez okres 5 lat od daty wystawienia,
b) „tajne” – przez okres 7 lat od daty wystawienia,
c) „poufne” – przez okres 10 lat od daty wystawienia;
2. „tajne” potwierdza zdolność do ochrony informacji niejawnych o
klauzuli:
a) „tajne” – przez okres 7 lat od daty wystawienia,
b) „poufne” – przez okres 10 lat od daty wystawienia;
3. „poufne” potwierdza zdolność do ochrony informacji niejawnych o
tej klauzuli przez okres 10 lat od daty wystawienia.
Wszczęcie postępowania
bezpieczeństwa
przemysłowego
Postępowanie wszczyna się na wniosek
We wniosku przedsiębiorca określa stopień świadectwa oraz klauzulę
tajności informacji niejawnych, których zdolność do ochrony ma ono
potwierdzać.
Do wniosku dołącza się:
- kwestionariusz bezpieczeństwa przemysłowego
- oraz ankiety bezpieczeństwa osobowego lub kopie poświadczeń
bezpieczeństwa osób pracowników przedsiębiorcy.
Co ważne do wniosku przedsiębiorca nie dołącza ankiet bezpieczeństwa
osobowego pracowników ubiegających się o dostęp do informacji
niejawnych o klauzuli „poufne”, wobec których postępowanie sprawdzające
- zgodnie z przepisami ustawy - przeprowadza pełnomocnik ochrony.
Zgodnie z art. 56 ust. 4 ustawy stwierdzenie braków formalnych we
wniosku lub jego załącznikach powoduje, że ABW wzywa przedsiębiorcę do
uzupełnienia uchybień w terminie 30 dni od daty otrzymania wezwania,
pod rygorem pozostawienia wniosku bez rozpatrzenia.
Czynności sprawdzeniowe
realizowane w toku postępowania
bezpieczeństwa przemysłowego
Zgodnie art. 57 ust. 1 ustawy postępowanie bezpieczeństwa
przemysłowego obejmuje sprawdzenie przedsiębiorcy oraz
postępowania sprawdzające wobec osób wskazanych w art. 57
ust. 3 ustawy.
Zgodnie art. 57 ust. 2 i art. 58 ust. 1 ustawy do czynności
sprawdzeniowych realizowanych w toku postępowania
bezpieczeństwa przemysłowego zalicza się:
sprawdzenie, w niezbędnym zakresie danych przedsiębiorcy
zawartych w rejestrach, ewidencjach i kartotekach,
sprawdzenie, w niezbędnym zakresie danych przedsiębiorcy
zawartych w ewidencjach i kartotekach niedostępnych
powszechnie,
sprawdzenie innych informacji uzyskanych w trakcie
postępowania bezpieczeństwa przemysłowego.
Dane sprawdzane w toku
postępowania bezpieczeństwa
przemysłowego
Zgodnie art. 57 ust. 2 ustawy w toku postępowania
bezpieczeństwa przemysłowego sprawdza się:
strukturę kapitału oraz powiązania kapitałowe
przedsiębiorcy, źródła pochodzenia środków finansowych
i sytuację finansową,
strukturę organizacyjną,
system ochrony informacji niejawnych, w tym środki
bezpieczeństwa fizycznego,
wszystkie osoby wchodzące w skład organów
zarządzających, kontrolnych oraz osoby działające z ich
upoważnienia,
w szczególnie uzasadnionych przypadkach osoby
posiadające poświadczenia bezpieczeństwa.
Pracownicy przedsiębiorcy,
wobec których
przeprowadzane jest
postępowanie sprawdzające
Zgodnie art. 57 ust. 3 ustawy w ramach postępowania
bezpieczeństwa przemysłowego oraz w okresie ważności
świadectwa bezpieczeństwa przemysłowego postępowania
sprawdzające przeprowadza się wobec osób nieposiadających
odpowiednich poświadczeń bezpieczeństwa lub którym upływa
termin ważności posiadanych poświadczeń bezpieczeństwa,
czyli wobec:
kierownika przedsiębiorcy,
pełnomocnika ochrony i jego zastępcy,
osób zatrudnionych w pionie ochrony,
administratora systemu teleinformatycznego,
innych osób wskazanych w kwestionariuszu bezpieczeństwa
przemysłowego.
ABW lub SKW zawsze prowadzi poszerzone postępowania
sprawdzające wobec kierownika przedsiębiorcy i
pełnomocnika ochrony i jego zastępcy oraz wszystkich
osób zatrudnionych u przedsiębiorcy, jeżeli te osoby
powinny mieć dostęp do informacji niejawnych
oznaczonych klauzulą „tajne” lub „ściśle tajne” oraz do
informacji niejawnych organizacji międzynarodowych.
W pozostałych przypadkach postępowania sprawdzające
prowadzi pełnomocnik ochrony u przedsiębiorcy lub w
przypadku jego niepowołania – pełnomocnik ochrony
jednostki organizacyjnej zlecającej wykonanie umowy lub
zadania z dostępem do informacji niejawnych.
Wygaśnięcie świadectwa
bezpieczeństwa
przemysłowego
Świadectwo bezpieczeństwo
przemysłowego wygasa, jeżeli:
upłynął okres ważności świadectwa,
przedsiębiorca zrzekł się uprawnień
określonych w świadectwie,
przedsiębiorca został przejęty przez
inny podmiot lub został zlikwidowany.
Art. 55 ust. 4 ustawy
Jakie warunki musi spełniać
przedsiębiorca zamierzający
wykonywać umowę związaną z
dostępem do informacji
niejawnych o klauzuli
„zastrzeżone”?
Dostęp do informacji
niejawnej o klauzuli
„zastrzeżone”
Zgodnie z art. 54 ust. 9 ustawy, przedsiębiorca zamierzający wykonywać
umowy lub zadania związane z dostępem do informacji niejawnych o
klauzuli
„zastrzeżone” nie ma obowiązku posiadania świadectwa
bezpieczeństwa przemysłowego.
Zgodnie z art. 54 ust. 10 ustawy, jest on jednak zobowiązany spełnić
wymagania ustawy w zakresie ochrony informacji niejawnych
oznaczonych klauzulą „zastrzeżone”, z wyjątkiem wymogu powoływania
pełnomocnika ochrony, jeżeli będzie uzyskiwał dostęp do informacji
niejawnych na terenie obiektów jednostki zlecającej wykonanie umowy
lub zadania.
Zgodnie z art. 21 ust. 4 ustawy, osoby mające wykonywać prace
związane z dostępem do informacji niejawnych o klauzuli „zastrzeżone”
powinny się legitymować:
- pisemnym upoważnieniem wydanym przez kierownika jednostki
organizacyjnej,
w sytuacji, gdy nie posiadają poświadczenia
bezpieczeństwa
- zaświadczeniem o odbyciu szkolenia w zakresie ochrony informacji
niejawnych.
Jakie warunki musi spełnić
przedsiębiorca prowadzący
działalność jednoosobowo, aby
uzyskać dostęp do informacji
niejawnych?
Zgodnie z art. 54 ust. 3 ustawy przedsiębiorca wykonujący działalność
jednoosobowo (tzn. niezatrudniający pracowników) i osobiście (tzn. nieprowadzący
działalności poprzez ustanowionych pełnomocników) nie ma obowiązku posiadania
świadectwa bezpieczeństwa przemysłowego.
Zobowiązany jest natomiast do poddania się - w przypadku dostępu do informacji
niejawnych o klauzuli „poufne” i wyższej - postępowaniu sprawdzającemu
prowadzonemu odpowiednio przez ABW albo SKW oraz do udziału w prowadzonym
przez te organy szkoleniu w zakresie ochrony informacji niejawnych.
Zdolność do ochrony informacji niejawnych w przypadku takiego przedsiębiorcy
potwierdza poświadczenie bezpieczeństwa upoważniające do dostępu do
informacji niejawnych o klauzuli „poufne” lub wyższej oraz zaświadczenie
o przeszkoleniu w zakresie ochrony informacji niejawnych.
Zakończenie postępowania
bezpieczeństwa
przemysłowego
Zgodnie z art. 64 ust. 1 ustawy
postępowanie bezpieczeństwa
przemysłowego może się zakończyć:
wydaniem świadectwa zgodnie z
wnioskiem przedsiębiorcy,
decyzją o odmowie wydania świadectwa,
decyzją o umorzeniu postępowania
bezpieczeństwa przemysłowego.
Obligatoryjna decyzja o odmowie
wydanie świadectwa
bezpieczeństwa przemysłowego
Zgodnie z art. 64 ust. 2 ustawy ABW odmawia wydania świadectwa,
stwierdzając brak zdolności do ochrony informacji niejawnych, na
podstawie następujących przesłanek:
odmowa wydania lub cofnięcie poświadczenia bezpieczeństwa
osobie lub osobom, które zajmują stanowisko kierownika
przedsiębiorcy;
brak możliwości ustalenia struktury kapitałowej i źródeł
pochodzenia środków finansowych pozostających w dyspozycji
przedsiębiorcy;
niezorganizowanie, w terminie 6 miesięcy od daty wszczęcia
postępowania, kompleksowego systemu ochrony informacji
niejawnych w przypadku ubiegania się o świadectwo pierwszego
lub drugiego stopnia;
zatajenie danych w kwestionariuszu lub podanie w nim danych
nieprawdziwych;
podanie nieprawdziwych informacji o zmianach danych
zawartych w kwestionariuszu.
Fakultatywna decyzja o
odmowie wydania
świadectwa bezpieczeństwa
przemysłowego
Zgodnie z art. 64 ust. 3 ustawy ABW może odmówić
wydania świadectwa, stwierdzając brak zdolności do
ochrony informacji niejawnych, na podstawie
następujących przesłanek:
ujawnienie, w wyniku sprawdzenia osób wymienionych w
art. 57 ust. 2 pkt 4 ustawy, w toku postępowania
bezpieczeństwa przemysłowego niedających się usunąć
wątpliwości określonych w art. 24 ust. 2 pkt 1–3 lub 5 lub
w art. 24 ust. 3 ustawy;
niepowiadomienie w terminie 30 dni o zmianie danych
zawartych w kwestionariuszu w trakcie postępowania
bezpieczeństwa przemysłowego.
Decyzja o umorzeniu
postępowania
Zgodnie z art. 62 ustawy ABW wydaje decyzję o
umorzeniu postępowania bezpieczeństwa
przemysłowego, w tym postępowania
sprawdzające wobec osób wymienionych w art.
57 ust. 3 ustawy, w przypadku:
wycofania przez przedsiębiorcę wniosku o
wydanie świadectwa,
wydania orzeczenia o zakazie prowadzenia
przez przedsiębiorcę działalności gospodarczej,
przejęcia lub likwidacji przedsiębiorcy.
Termin w jakim
postępowanie
bezpieczeństwa
przemysłowego winno zostać
zakończone
Zgodnie z art. 59 ustawy postępowanie
bezpieczeństwa przemysłowego powinno
być zakończone w terminie nie dłuższym
niż 6 miesięcy, licząc od dnia
przedłożenia wszystkich dokumentów
niezbędnych do jego przeprowadzenia.
Odwołanie od decyzji
Zgodnie z art. 69 ust. 1 i ust. 2 ustawy od
niekorzystnej decyzji kończącej postępowanie
bezpieczeństwa przemysłowego
przedsiębiorcy przysługuje odwołanie,
niewymagające uzasadnienia, do Prezesa
Rady Ministrów.
Termin na wniesienie odwołania wnosi 14 dni
od dnia doręczenia decyzji, za pośrednictwem
organu, który prowadził postępowanie.
Zaskarżenie decyzji do
sądu administracyjnego
Skarga do Wojewódzkiego Sądu Administracyjnego
Zgodnie z art. 69 ust. 1 ustawy na niekorzystną decyzję
lub postanowienie organu odwoławczego przedsiębiorcy
przysługuje prawo wniesienia skargi do Wojewódzkiego
Sądu Administracyjnego w Warszawie w terminie 30 dni
od dnia doręczenia decyzji lub postanowienia, za
pośrednictwem organu odwoławczego.
Skarga kasacyjna do Naczelnego Sądu Administracyjnego
Od wydanego wyroku lub postanowienia kończącego
postępowanie w sprawie, przedsiębiorcy przysługuje
skarga kasacyjna do Naczelnego Sądu
Administracyjnego, za pośrednictwem sądu, który wydał
zaskarżony wyrok lub postanowienie, w terminie 30 dni
od dnia doręczenia stronie odpisu orzeczenia.
Bezpieczeństwo
teleinformatyczne
Organizacja ochrony systemów
teleinformatycznych przeznaczonych
do przetwarzania krajowych informacji
niejawnych
Kierownik jednostki organizacyjnej,
w której są przetwarzane informacje
niejawne, odpowiada za ich ochronę, w
szczególności za zorganizowanie i
zapewnienie funkcjonowania tej
ochrony.
Kierownik jednostki
organizacyjnej wyznacza
- Pełnomocnika do spraw ochrony informacji
niejawnych, zwanego „pełnomocnikiem ochrony”, który
odpowiada za zapewnienie przestrzegania przepisów o
ochronie informacji niejawnych. Do zadań pełnomocnika
ochrony należy m.in. zapewnienie ochrony systemów
teleinformatycznych, w których są przetwarzane
informacje niejawne oraz zarządzanie ryzykiem
bezpieczeństwa informacji niejawnych, w szczególności
szacowanie ryzyka. W przypadku stwierdzenia naruszenia
w jednostce organizacyjnej przepisów o ochronie
informacji niejawnych pełnomocnik ochrony zawiadamia
o tym kierownika jednostki organizacyjnej i podejmuje
niezwłocznie działania zmierzające do wyjaśnienia
okoliczności tego naruszenia oraz ograniczenia jego
negatywnych skutków, przy czym w przypadku
stwierdzenia naruszenia przepisów o ochronie informacji
niejawnych o klauzuli „poufne” lub wyższej pełnomocnik
ochrony zawiadamia niezwłocznie również odpowiednio
ABW lub SKW.
-
Inspektora bezpieczeństwa teleinformatycznego -
pracownika lub pracowników pionu ochrony,
odpowiedzialnych za weryfikację i bieżącą kontrolę
zgodności funkcjonowania systemu teleinformatycznego
zeszczególnymi wymaganiami bezpieczeństwa oraz
przestrzegania procedur bezpiecznej eksploatacji.
- Administratora systemu - osobę lub zespół osób,
niepełniacych funkcji inspektora bezpieczeństwa
teleinformatycznego, odpowiedzialnych za
funkcjonowanie systemu teleinformatycznego oraz za
przestrzeganie zasad i wymagań bezpieczeństwa
przewidzianych dla systemu teleinformatycznego.
Akredytacja
bezpieczeństwa
teleinformatycznego
Systemy teleinformatyczne, w których
mają być przetwarzane krajowe
informacje niejawne, podlegają
akredytacji bezpieczeństwa
teleinformatycznego, której udziela się
na czas określony, nie dłuższy niż 5 lat.
Akredytacja systemów
Systemy teleinformatyczne
przeznaczone do przetwarzania
krajowych informacji niejawnych o
klauzuli „zastrzeżone” są akredytowane
przez kierownika jednostki
organizacyjnej przez zatwierdzenie
dokumentacji bezpieczeństwa systemu
teleinformatycznego.
Akredytacja systemów
Proces udzielania przez ABW akredytacji bezpieczeństwa
teleinformatycznego systemowi teleinformatycznemu
przeznaczonemu do przetwarzania informacji niejawnych o
klauzuli „poufne” lub wyższej składa się z następujących
etapów:
1) dokonanie przez ABW oceny dokumentacji
bezpieczeństwa systemu teleinformatycznego,
2) złożenie do ABW wniosku
audytu bezpieczeństwa systemu teleinformatycznego oraz
wydanie świadectwa akredytacji bezpieczeństwa systemu
teleinformatycznego,
3) przeprowadzenie przez ABW audytu bezpieczeństwa
systemu teleinformatycznego.
Proces udzielania przez ABW akredytacji
bezpieczeństwa teleinformatycznego
kończy się wydaniem świadectwa
akredytacji bezpieczeństwa
systemu teleinformatycznego.
Ewidencja, sprawdzanie i
udostępnianie postępowań
sprawdzających
Podmioty przeprowadzające postępowania sprawdzające,
kontrolne postępowania sprawdzające oraz postępowania
bezpieczeństwa przemysłowego są zobowiązane do
rzetelnego udokumentowania wszystkich
przeprowadzonych czynności. W tym celu sporządzane są
akta konkretnego postępowania, które podlegają
zaostrzonym zasadom udostępniania i przechowywania.
Agencja Bezpieczeństwa Wewnętrznego jest zobligowana
do prowadzenia ewidencji osób uprawnionych do dostępu
do informacji niejawnych o klauzuli „poufne”, „tajne” lub
„ściśle tajne” oraz ewidencji osób, wobec których podjęto
decyzję o odmowie wydania poświadczenia
bezpieczeństwa lub jego cofnięciu. Podobną ewidencję w
odniesieniu do osób zatrudnionych lub wykonujących
prace zlecone w danej jednostce organizacyjnej
zobowiązany jest prowadzić pełnomocnik ochrony.
Ewidencja pełnomocnika
ochrony
Zgodnie z art. 15 ust. 1 pkt 8 ustawy pełnomocnik
ochrony zobowiązany jest prowadzenia aktualnego
wykazu osób zatrudnionych lub pełniących służbę w
jednostce organizacyjnej albo wykonujących czynności
zlecone, które posiadają – na podstawie ustawy -
uprawnienia do dostępu do informacji niejawnych oraz
osób, którym odmówiono wydania poświadczenia
bezpieczeństwa lub je cofnięto.
W przedmiotowym wykazie będą uwzględniane także
osoby, wobec których kierownik jednostki organizacyjnej
na podstawie art. 34 ust. 5 i ust. 9 ustawy wyda zgodę na
udostępnienie informacji niejawnych o klauzuli „poufne”.
Udostępnienie danych z
wykazu prowadzonego przez
pełnomocnika ochrony
Zgodnie z art. 73 ust. 3 ustawy dostęp do danych z wykazu
prowadzonego przez pełnomocnika ochrony jest ograniczony.
Dane te są udostępniane na pisemne żądanie wyłącznie w określonych
ustawowo przypadkach
i tylko określonym ustawowo podmiotom, a mianowicie:
a) dla celów postępowania sprawdzającego, kontrolnego
postępowania sprawdzającego oraz postępowania bezpieczeństwa
przemysłowego:
służbom i instytucjom uprawnionym do prowadzenia poszerzonych
postępowań sprawdzających
b) dla celów kontroli, o której mowa w art. 12 ust. 3 pkt 2 ustawy:
właściwemu organowi w celu przeprowadzenia kontroli prawidłowości
postępowania, z wyłączeniem postępowań, o których mowa w art. 23
ust. 5 ustawy
c) dla celów postępowania odwoławczego
i zażaleniowego:
Szefowi ABW
d) dla celów postępowania skargowego:
sądowi administracyjnemu
e) dla celów postępowania karnego:
sądowi,
prokuratorowi.
Przez jaki okres
przechowywane są akta
zakończonych postępowań
sprawdzających?
Zgodnie z art. 72 ust. 6 ustawy pełnomocnik
ochrony przechowuje akta zakończonych zwykłych
postępowań sprawdzających oraz kontrolnych
postępowań sprawdzających przez co najmniej 20
lat, z uwzględnieniem przepisów ustawy z dnia 14
lipca 1983 r. o narodowym zasobie archiwalnym i
archiwach (Dz. U. z 2011 r., Nr 123, poz. 698 z
późn. zm.) oraz aktów wykonawczych wydanych
na jej podstawie.
Pełnomocnik ochrony może przechowywać akta
zakończonych postępowań także w pionie
ochrony.
Dziękuję za uwagę