INFORMACJE NIEJAWNE
informacje , których nieuprawnione ujawnienie spowodowałoby lub mogłoby spowodować szkody dla Rzeczpospolitej Polskiej albo byłoby z punktu widzenia jej interesów niekorzystne, także w trakcie ich opracowywania oraz niezależnie od formy i sposobu ich wyrażania.
Rękojmia zachowania tajemnicy
jest zdolność osoby do spełnienia ustawowych wymogów dla zapewnienia ochrony informacji niejawnych przed ich nieuprawnionym ujawnieniem, stwierdzona w wyniku przeprowadzenia postępowania sprawdzającego.
Dokumentem
jest każda utrwalona informacja niejawna.
Materiałem
jest dokument lub przedmiot albo dowolna ich część, chronione jako informacja niejawna, a zwłaszcza urządzenie, wyposażenie lub broń wyprodukowane albo będące w trakcie produkcji, a także składnik użyty do ich wytworzenia.
Przetwarzaniem informacji niejawnych
są wszelkie operacje wykonywane w odniesieniu do informacji niejawnych i na tych informacjach, w szczególności ich wytwarzanie, modyfikowanie, kopiowanie, klasyfikowanie, gromadzenie, przechowywanie, przekazywanie lub udostępnianie
Systemem teleinformatycznym
jest system teleinformatyczny w rozumieniu art. 2 pkt 3 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204, z późn. zm.).
Dokumentem szczególnych wymagań bezpieczeństwa
jest systematyczny opis sposobu zarządzania bezpieczeństwem systemu teleinformatycznego.
Dokumentem procedur bezpiecznej eksploatacji systemu teleinformatycznego
jest opis sposobu i trybu postępowania w sprawach związanych z bezpieczeństwem informacji niejawnych przetwarzanych w systemie teleinformatycznym oraz zakres odpowiedzialności użytkowników systemu teleinformatycznego i pracowników mających do niego dostęp.
Dokumentacją bezpieczeństwa systemu teleinformatycznego
jest dokument szczególnych wymagań bezpieczeństwa oraz dokument procedur bezpiecznej eksploatacji systemu teleinformatycznego, opracowane zgodnie z zasadami określonymi w ustawie.
Akredytacją bezpieczeństwa teleinformatycznego
jest dopuszczenie systemu teleinformatycznego do przetwarzania informacji niejawnych
Certyfikacją
jest proces potwierdzania zdolności urządzenia, narzędzia lub innego środka do ochrony informacji niejawnych.
Audytem bezpieczeństwa systemu teleinformatycznego
jest weryfikacja poprawności realizacji wymagań i procedur, określonych w dokumentacji bezpieczeństwa systemu teleinformatycznego.
Przedsiębiorcą
jest przedsiębiorca w rozumieniu art. 4 ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz. U. z 2007 r. Nr 155, poz. 1095, z późn. zm.) lub każda inna jednostka organizacyjna, niezależnie od formy własności, którzy w ramach prowadzonej działalności gospodarczej zamierzają realizować lub realizują związane z dostępem do informacji niejawnych umowy lub zadania wynikające z przepisów prawa
Kierownikiem przedsiębiorcy
jest członek jednoosobowego zarządu lub innego jednoosobowego organu zarządzającego, a jeżeli organ jest wieloosobowy - cały organ albo członek lub członkowie tego organu wyznaczeni co najmniej uchwałą zarządu do pełnienia funkcji kierownika przedsiębiorcy, z wyłączeniem pełnomocników ustanowionych przez ten organ lub jednostkę; w przypadku spółki jawnej i spółki cywilnej kierownikiem przedsiębiorcy są wspólnicy prowadzący sprawy spółki, w przypadku spółki partnerskiej - wspólnicy prowadzący sprawy spółki albo zarząd, a w odniesieniu do spółki komandytowej i spółki komandytowo-akcyjnej - komplementariusze prowadzący sprawy spółki; w przypadku osoby fizycznej prowadzącej działalność gospodarczą kierownikiem przedsiębiorcy jest ta osoba; za kierownika przedsiębiorcy uważa się również likwidatora, a także syndyka lub zarządcę ustanowionego w postępowaniu upadłościowym; kierownik przedsiębiorcy jest kierownikiem jednostki organizacyjnej w rozumieniu przepisów ustawy.
Ryzykiem
jest kombinacja prawdopodobieństwa wystąpienia zdarzenia niepożądanego i jego konsekwencji.
Szacowaniem ryzyka
jest całościowy proces analizy i oceny ryzyka.
Zarządzaniem ryzykiem
są skoordynowane działania w zakresie zarządzania bezpieczeństwem informacji, z uwzględnieniem ryzyka.
Zatrudnieniem
jest również odpowiednio powołanie, mianowanie lub wyznaczenie.
„ściśle tajne”, jeżeli nieuprawnione ujawnienie informacji spowoduje wyjątkowo poważną szkodę dla Rzeczypospolitej Polskiej, a które dotyczą polityki międzynarodowej, obronności państwa, czynności operacyjno-rozpoznawczych służb wywiadu i kontrwywiadu, bądź też mają bezpośrednie znaczenie dla niepodległości i porządku konstytucyjnego RP. Ujawnienie takie:
|
zagrozi niepodległości, suwerenności lub integralności terytorialnej Rzeczypospolitej Polskiej; |
|
zagrozi bezpieczeństwu wewnętrznemu lub porządkowi konstytucyjnemu Rzeczypospolitej Polskiej; |
|
zagrozi sojuszom lub pozycji międzynarodowej Rzeczypospolitej Polskiej; |
|
osłabi gotowość obronną Rzeczypospolitej Polskiej; |
|
doprowadzi lub może doprowadzić do identyfikacji funkcjonariuszy, żołnierzy lub pracowników służb odpowiedzialnych za realizację zadań wywiadu lub kontrwywiadu, którzy wykonują czynności operacyjno-rozpoznawcze, jeżeli zagrozi to bezpieczeństwu wykonywanych czynności lub może doprowadzić do identyfikacji osób udzielających im pomocy w tym zakresie; |
|
zagrozi lub może zagrozić życiu lub zdrowiu funkcjonariuszy, żołnierzy lub pracowników, którzy wykonują czynności operacyjno-rozpoznawcze, lub osób udzielających im pomocy w tym zakresie; |
|
zagrozi lub może zagrozić życiu lub zdrowiu świadków koronnych lub osób dla nich najbliższych albo świadków, o których mowa w art. 184 ustawy z dnia 6 czerwca 1997 r. - Kodeks postępowania karnego (Dz. U. Nr 89, poz. 555, z późn. zm.), lub osób dla nich najbliższych. |
„tajne”, jeżeli nieuprawnione ujawnienie informacji spowoduje poważne szkody dla Polski w obszarze polityki międzynarodowej, obronności, ochrony suwerenności i porządku konstytucyjnego, interesów gospodarczych państwa, a także działań operacyjno-rozpoznawczych służb do tego uprawnionych. Ujawnienie takie:
|
uniemożliwi realizację zadań związanych z ochroną suwerenności lub porządku konstytucyjnego Rzeczypospolitej Polskiej; |
|
pogorszy stosunki Rzeczypospolitej Polskiej z innymi państwami lub organizacjami międzynarodowymi; |
|
zakłóci przygotowania obronne państwa lub funkcjonowanie Sił Zbrojnych Rzeczypospolitej Polskiej; |
|
utrudni wykonywanie czynności operacyjno-rozpoznawczych prowadzonych w celu zapewnienia bezpieczeństwa państwa lub ścigania sprawców zbrodni przez służby lub instytucje do tego uprawnione; |
|
w istotny sposób zakłóci funkcjonowanie organów ścigania i wymiaru sprawiedliwości; |
|
przyniesie stratę znacznych rozmiarów w interesach ekonomicznych Rzeczypospolitej Polskiej. |
„poufne”, jeżeli nieuprawnione ujawnienie informacji spowoduje szkodę Rzeczypospolitej Polskiej w obszarze polityki międzynarodowej, obronności, porządku publicznego lub bezpieczeństwa obywateli, utrudniłoby wykonywanie ustawowych zadań przez organy, służby lub instytucje odpowiedzialne za ochronę bezpieczeństwa, osłabiłoby system finansowy Polski lub naraziłoby na szkodę interesy ekonomiczne lub funkcjonowanie gospodarki narodowej. Ujawnienie takie:
|
utrudni prowadzenie bieżącej polityki zagranicznej Rzeczypospolitej Polskiej; |
|
utrudni realizację przedsięwzięć obronnych lub negatywnie wpłynie na zdolność bojową Sił Zbrojnych Rzeczypospolitej Polskiej; |
|
zakłóci porządek publiczny lub zagrozi bezpieczeństwu obywateli; |
|
utrudni wykonywanie zadań służbom lub instytucjom odpowiedzialnym za ochronę bezpieczeństwa lub podstawowych interesów Rzeczypospolitej Polskiej; |
|
utrudni wykonywanie zadań służbom lub instytucjom odpowiedzialnym za ochronę porządku publicznego, bezpieczeństwa obywateli lub ściganie sprawców przestępstw i przestępstw skarbowych oraz organom wymiaru sprawiedliwości; |
|
zagrozi stabilności systemu finansowego Rzeczypospolitej Polskiej; |
|
wpłynie niekorzystnie na funkcjonowanie gospodarki narodowej. |
„zastrzeżone”, jeżeli nie nadano informacjom wyższej klauzuli tajności, a ich nieuprawnione ujawnienie może mieć szkodliwy wpływ na wykonywanie przez organy władzy publicznej lub inne jednostki organizacyjne zadań w zakresie obrony narodowej, polityki zagranicznej, bezpieczeństwa publicznego, przestrzegania praw i wolności obywateli, wymiaru sprawiedliwości albo interesów ekonomicznych Rzeczypospolitej Polskiej.
O tym , czy dana informacja należy do kategorii chronionych, decyduje treść oraz skutek, jaki może spowodować jej nieuprawnione ujawnienie.
Organizacja ochrony informacji niejawnych.
Szef ABW pełni funkcję krajowej władzy bezpieczeństwa.
Krajowa władza bezpieczeństwa jest właściwa do nadzorowania systemu ochrony informacji niejawnych w stosunkach Rzeczypospolitej Polskiej z innymi państwami lub organizacjami międzynarodowymi i wydawania dokumentów upoważniających do dostępu do informacji niejawnych Organizacji Traktatu Północnoatlantyckiego, zwanej dalej „NATO”, Unii Europejskiej lub innych organizacji międzynarodowych, zwanych dalej „informacjami niejawnymi międzynarodowymi”.
Szef ABW pełni funkcję krajowej władzy bezpieczeństwa w odniesieniu do podmiotów, w których zadania realizuje SKW, za pośrednictwem Szefa SKW.
W zakresie niezbędnym do wykonywania funkcji krajowej władzy bezpieczeństwa odpowiednio Szef ABW lub upoważnieni przez niego funkcjonariusze ABW oraz Szef SKW lub upoważnieni przez niego żołnierze lub funkcjonariusze SKW mają prawo do:
|
- wglądu do dokumentów związanych z ochroną informacji niejawnych międzynarodowych; |
|
- wstępu do obiektów i pomieszczeń przeznaczonych do przetwarzania informacji niejawnych międzynarodowych; |
|
- dostępu do systemów teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych międzynarodowych; |
|
- uzyskiwania wyjaśnień i informacji dotyczących ochrony informacji niejawnych międzynarodowych. |
Szef ABW organizuje współdziałanie z Szefem SKW w zakresie wykonywania funkcji krajowej władzy bezpieczeństwa. Kierownik jednostki organizacyjnej, w której są przetwarzane informacje niejawne, odpowiada za ich ochronę, w szczególności za zorganizowanie i zapewnienie funkcjonowania tej ochrony.
Kierownikowi jednostki organizacyjnej bezpośrednio podlega zatrudniony przez niego pełnomocnik do spraw ochrony informacji niejawnych, zwany dalej „pełnomocnikiem ochrony”, który odpowiada za zapewnienie przestrzegania przepisów o ochronie informacji niejawnych.
Pełnomocnikiem ochrony może być osoba, która posiada:
|
- obywatelstwo polskie; |
|
- wykształcenie wyższe; |
|
- odpowiednie poświadczenie bezpieczeństwa wydane przez ABW albo SKW, a także przez były Urząd Ochrony Państwa lub byłe Wojskowe Służby Informacyjne; |
|
zaświadczenie o przeszkoleniu w zakresie ochrony informacji niejawnych przeprowadzonym przez ABW albo SKW, a także przez byłe Wojskowe Służby Informacyjne. |
Kierownik jednostki organizacyjnej może zatrudnić zastępcę lub zastępców pełnomocnika ochrony, z zastrzeżeniem spełnienia przez te osoby warunków wymienionych wyżej.
Szczegółowy zakres czynności zastępcy pełnomocnika ochrony określa kierownik jednostki organizacyjnej.
Do zadań pełnomocnika ochrony należy:
|
- zapewnienie ochrony informacji niejawnych, w tym stosowanie środków bezpieczeństwa fizycznego; |
|
- zapewnienie ochrony systemów teleinformatycznych, w których są przetwarzane informacje niejawne; |
|
- zarządzanie ryzykiem bezpieczeństwa informacji niejawnych, w szczególności szacowanie ryzyka; |
|
- kontrola ochrony informacji niejawnych oraz przestrzegania przepisów o ochronie tych informacji, w szczególności okresowa (co najmniej raz na trzy lata) kontrola ewidencji, materiałów i obiegu dokumentów; |
|
- opracowywanie i aktualizowanie, wymagającego akceptacji kierownika jednostki organizacyjnej, planu ochrony informacji niejawnych w jednostce organizacyjnej, w tym w razie wprowadzenia stanu nadzwyczajnego, i nadzorowanie jego realizacji; |
|
- prowadzenie szkoleń w zakresie ochrony informacji niejawnych; |
|
- prowadzenie zwykłych postępowań sprawdzających oraz kontrolnych postępowań sprawdzających; |
|
- prowadzenie aktualnego wykazu osób zatrudnionych lub pełniących służbę w jednostce organizacyjnej albo wykonujących czynności zlecone, które posiadają uprawnienia do dostępu do informacji niejawnych, oraz osób, którym odmówiono wydania poświadczenia bezpieczeństwa lub je cofnięto |
|
przekazywanie odpowiednio ABW lub SKW do ewidencji danych osób uprawnionych do dostępu do informacji niejawnych, a także osób, którym odmówiono wydania poświadczenia bezpieczeństwa lub wobec których podjęto decyzję o cofnięciu poświadczenia bezpieczeństwa. |
Zadania pełnomocnik ochrony realizuje przy pomocy wyodrębnionej i podległej mu komórki organizacyjnej do spraw ochrony informacji niejawnych, zwanej dalej „pionem ochrony”, jeżeli jest ona utworzona w jednostce organizacyjnej.
Pracownikiem pionu ochrony w jednostce organizacyjnej może być osoba, która posiada:
|
obywatelstwo polskie, z wyjątkiem pracowników pionu ochrony zatrudnionych u przedsiębiorców; |
|
odpowiednie poświadczenie bezpieczeństwa lub upoważnienie; |
|
zaświadczenie o odbytym przeszkoleniu w zakresie ochrony informacji niejawnych. |
W przypadku stwierdzenia naruszenia w jednostce organizacyjnej przepisów o ochronie informacji niejawnych pełnomocnik ochrony zawiadamia o tym kierownika jednostki organizacyjnej i podejmuje niezwłocznie działania zmierzające do wyjaśnienia okoliczności tego naruszenia oraz ograniczenia jego negatywnych skutków.
W przypadku stwierdzenia naruszenia przepisów o ochronie informacji niejawnych o klauzuli „poufne” lub wyższej pełnomocnik ochrony zawiadamia niezwłocznie również odpowiednio ABW lub SKW.
Dostęp do informacji niejawnych.
Dopuszczenie do pracy lub pełnienia służby na stanowiskach albo zlecenie prac związanych z dostępem do informacji niejawnych o klauzuli „poufne” lub wyższej może nastąpić, po:
|
- uzyskaniu poświadczenia bezpieczeństwa oraz |
|
- odbyciu szkolenia w zakresie ochrony informacji niejawnych. |
Osoby nieposiadające obywatelstwa polskiego nie mogą być dopuszczone do pracy lub pełnienia służby na stanowiskach albo wykonywania czynności zleconych, z którymi łączy się dostęp do informacji niejawnych o klauzuli „tajne” lub „ściśle tajne”, z zastrzeżeniem do osób:
|
zajmujących stanowiska związane z kierowaniem wykonywania przez przedsiębiorcę umowy związanej z dostępem do informacji niejawnych lub związane z bezpośrednim wykonywaniem takiej umowy albo wykonujących zadania na rzecz obronności lub bezpieczeństwa państwa, związane z dostępem do informacji niejawnych u przedsiębiorcy; |
|
które w imieniu przedsiębiorcy wyżej wymienionego uczestniczą w czynnościach zmierzających do zawarcia umowy, jeżeli czynności te są związane z dostępem do informacji niejawnych; |
|
zatrudnionych w pionie ochrony przedsiębiorcy wyżej wymienionego z wyjątkiem osoby zajmującej stanowisko pełnomocnika ochrony oraz zastępcy pełnomocnika ochrony. |
Dopuszczenie do pracy lub pełnienia służby na stanowiskach albo zlecenie prac, związanych z dostępem danej osoby do informacji niejawnych o klauzuli „zastrzeżone” może nastąpić po:
|
- pisemnym upoważnieniu przez kierownika jednostki organizacyjnej, jeżeli nie posiada ona poświadczenia bezpieczeństwa; |
|
- odbyciu szkolenia w zakresie ochrony informacji niejawnych. |
Postępowania sprawdzające.
|
zwykłe postępowanie sprawdzające - przy stanowiskach i pracach związanych z dostępem do informacji niejawnych o klauzuli „poufne”, z zastrzeżeniem lit. b- d (wydaje się poświadczenia bezpieczeństwa upoważniające do dostępu do informacji niejawnych o takiej klauzuli, jaka została wskazana we wniosku lub poleceniu); |
|
poszerzone postępowanie sprawdzające: |
Pełnomocnik ochrony przeprowadza zwykłe postępowanie sprawdzające na pisemne polecenie kierownika jednostki organizacyjnej.
ABW albo SKW przeprowadzają poszerzone postępowania sprawdzające:
|
na pisemny wniosek kierownika jednostki organizacyjnej lub osoby uprawnionej do obsady stanowiska lub zlecenia prac; |
|
wobec funkcjonariuszy, żołnierzy i pracowników oraz osób ubiegających się o przyjęcie do służby lub pracy w ABW albo SKW; |
|
wobec osób wykonujących czynności zlecone lub ubiegających się o wykonywanie tych czynności na rzecz ABW albo SKW. |
ABW przeprowadza poszerzone postępowania sprawdzające wobec:
|
Szefa SKW, Szefa Agencji Wywiadu, zwanej dalej „AW”, Szefa CBA, Szefa Biura Ochrony Rządu, Komendanta Głównego Policji, Dyrektora Generalnego Służby Więziennej, Komendanta Głównego Straży Granicznej oraz osób przewidzianych na te stanowiska; |
|
pełnomocników ochrony, zastępców pełnomocników ochrony oraz osób przewidzianych na te stanowiska w SKW, AW, CBA, Biurze Ochrony Rządu, Policji, Służbie Więziennej oraz Straży Granicznej. |
SKW przeprowadza poszerzone postępowania sprawdzające wobec:
|
Szefa ABW, Szefa Służby Wywiadu Wojskowego, zwanej dalej „SWW”, Komendanta Głównego Żandarmerii Wojskowej oraz osób przewidzianych na te stanowiska; |
|
pełnomocników ochrony, zastępców pełnomocników ochrony oraz osób przewidzianych na te stanowiska w ABW, SWW oraz Żandarmerii Wojskowej. |
AW, CBA, Biuro Ochrony Rządu, Policja, Służba Więzienna, SWW, Straż Graniczna oraz Żandarmeria Wojskowa przeprowadzają samodzielnie postępowania sprawdzające oraz kontrolne postępowania sprawdzające odpowiednio wobec:
|
własnych funkcjonariuszy, żołnierzy i pracowników oraz osób ubiegających się o przyjęcie do służby lub pracy, |
|
osób wykonujących na ich rzecz czynności zlecone lub ubiegających się o wykonywanie tych czynności. |
W zakresie postępowań sprawdzających oraz kontrolnych postępowań sprawdzających przeprowadzanych przez AW, CBA, Biuro Ochrony Rządu, Policja, Służba Więzienna, SWW, Straż Graniczna oraz Żandarmeria Wojskowa, przysługują tym służbom i instytucjom uprawnienia ABW oraz SKW.
Postępowanie sprawdzające ma na celu ustalenie, czy osoba sprawdzana daje rękojmię zachowania tajemnicy.
W toku postępowania sprawdzającego ustala się, czy istnieją uzasadnione wątpliwości dotyczące:
|
uczestnictwa, współpracy lub popierania przez osobę sprawdzaną działalności |
|
zagrożenia osoby sprawdzanej ze strony obcych służb specjalnych w postaci prób |
|
przestrzegania porządku konstytucyjnego Rzeczypospolitej Polskiej, a przede wszystkim, czy osoba sprawdzana uczestniczyła lub uczestniczy w działalności partii politycznych lub innych organizacji, o których mowa w art. 13 Konstytucji Rzeczypospolitej Polskiej, albo współpracowała lub współpracuje z takimi partiami lub organizacjami; |
|
ukrywania lub świadomego niezgodnego z prawdą podawania w ankiecie bezpieczeństwa osobowego, zwanej dalej „ankietą”, lub postępowaniu sprawdzającym przez osobę sprawdzaną informacji mających znaczenie dla ochrony informacji niejawnych; |
|
wystąpienia związanych z osobą sprawdzaną okoliczności powodujących ryzyko jej podatności na szantaż lub wywieranie presji; |
|
niewłaściwego postępowania z informacjami niejawnymi, jeżeli: |
W toku poszerzonego postępowania sprawdzającego ustala się ponadto, czy istnieją wątpliwości dotyczące:
|
poziomu życia osoby sprawdzanej wyraźnie przewyższającego uzyskiwane przez nią dochody; |
|
informacji o chorobie psychicznej lub innych zakłóceniach czynności psychicznych ograniczających sprawność umysłową i mogących negatywnie wpłynąć na zdolność osoby sprawdzanej do wykonywania prac, związanych z dostępem do informacji niejawnych; |
|
uzależnienia od alkoholu, środków odurzających lub substancji psychotropowych. |
W razie niedających się usunąć wątpliwości, interes ochrony informacji niejawnych ma pierwszeństwo przed innymi prawnie chronionymi interesami.
Organ prowadzący postępowanie sprawdzające, kierując się zasadami bezstronności i obiektywizmu, jest obowiązany do wykazania najwyższej staranności w toku prowadzonego postępowania sprawdzającego co do jego zgodności z przepisami ustawy.
Wszystkie czynności przeprowadzone w toku postępowań sprawdzających muszą być
rzetelnie udokumentowane i powinny być zakończone przed upływem 3 miesięcy od dnia:
|
złożenia do pełnomocnika ochrony wypełnionej ankiety, lub |
|
złożenia wniosku o przeprowadzenie postępowania sprawdzającego wraz z wypełnioną ankietą. |
W przypadku niedotrzymania terminu organ prowadzący postępowanie informuje, na wniosek osoby sprawdzanej, o przewidywanym terminie zakończenia postępowania oraz - jeżeli nie naruszy to zasad ochrony informacji niejawnych - o powodach przedłużania się postępowania.
Przeprowadzenie postępowania sprawdzającego wymaga pisemnej zgody osoby, której ma dotyczyć.
Zbieranie i przetwarzanie informacji o osobach trzecich, określonych w ankiecie, może odbywać się bez wiedzy i zgody tych osób, w zakresie niezbędnym do ustalenia, czy osoba sprawdzana daje rękojmię zachowania tajemnicy.
Ankieta po wypełnieniu stanowi tajemnicę prawnie chronioną i podlega ochronie przewidzianej dla informacji niejawnych o klauzuli tajności „poufne” w przypadku poszerzonego postępowania sprawdzającego lub „zastrzeżone” w przypadku zwykłego postępowania sprawdzającego.
Zwykłe postępowanie sprawdzające obejmuje:
|
sprawdzenie, w niezbędnym zakresie, w ewidencjach, rejestrach i kartotekach, w szczególności w Krajowym Rejestrze Karnym, danych zawartych w wypełnionej i podpisanej przez osobę sprawdzaną ankiecie, a także sprawdzenie innych informacji uzyskanych w toku postępowania sprawdzającego, w zakresie niezbędnym do ustalenia, czy osoba sprawdzana daje rękojmię zachowania tajemnicy; |
|
sprawdzenie w ewidencjach i kartotekach niedostępnych powszechnie danych zawartych w ankiecie oraz innych informacji uzyskanych w toku postępowania sprawdzającego, w zakresie niezbędnym do ustalenia, czy osoba sprawdzana daje rękojmię zachowania tajemnicy. |
Sprawdzenie powyższe jest prowadzone na pisemny wniosek pełnomocnika ochrony przez ABW albo SKW. W toku sprawdzenia ABW albo SKW ma prawo przeprowadzić rozmowę z osobą sprawdzaną w celu usunięcia nieścisłości lub sprzeczności zawartych w uzyskanych informacjach. ABW albo SKW przekazuje pełnomocnikowi ochrony pisemną informację o wynikach czynności (sprawdzeń).
Jeżeli jest to konieczne w wyniku uzyskanych informacji, zwykłe postępowanie sprawdzające obejmuje ponadto rozmowę z osobą sprawdzaną.
Jeżeli w toku zwykłego postępowania sprawdzającego wystąpią wątpliwości niepozwalające na ustalenie, czy osoba sprawdzana daje rękojmię zachowania tajemnicy, organ prowadzący postępowanie sprawdzające zapewnia osobie sprawdzanej w trakcie wysłuchania możliwość osobistego ustosunkowania się do informacji wywołujących te wątpliwości. Osoba ta może stawić się na wysłuchanie ze swoim pełnomocnikiem. Z przebiegu wysłuchania sporządza się protokół, który podpisują osoba prowadząca wysłuchanie, osoba wysłuchana oraz pełnomocnik, jeżeli w nim uczestniczył. Organ prowadzący zwykłe postępowanie sprawdzające odstępuje od przeprowadzenia tej czynności jeżeli:
|
jej przeprowadzenie wiązałoby się z ujawnieniem informacji niejawnych; |
|
postępowanie sprawdzające doprowadziło do niebudzącego wątpliwości ustalenia, że osoba sprawdzana nie daje rękojmi zachowania tajemnicy. |
Poszerzone postępowanie sprawdzające obejmuje te same czynności, co zwykłe postępowanie sprawdzające, a ponadto, jeżeli jest to konieczne w wyniku uzyskanych informacji, postępowanie to dodatkowo obejmuje:
|
rozmowę z przełożonymi osoby sprawdzanej oraz z innymi osobami; |
|
przeprowadzenie wywiadu w miejscu zamieszkania osoby sprawdzanej; |
|
sprawdzenie stanu i obrotów na rachunku bankowym oraz zadłużenia osoby sprawdzanej, w szczególności wobec Skarbu Państwa. |
W przypadku osób ubiegających się o uzyskanie dostępu do informacji o klauzuli „ściśle tajne” poszerzone postępowanie sprawdzające obejmuje także, jeżeli jest to konieczne w wyniku uzyskanych wcześniej informacji, rozmowę z trzema osobami wskazanymi przez osobę sprawdzaną w celu uzyskania innych informacji mogących mieć znaczenie dla oceny dawania rękojmi zachowania tajemnicy.
W celu dokonania ustaleń, organ prowadzący poszerzone postępowanie sprawdzające może zobowiązać osobę sprawdzaną do poddania się specjalistycznym badaniom oraz udostępnienia wyników tych badań. Lekarzowi przeprowadzającemu to badanie udostępnia się dokumentację medyczną osoby sprawdzanej w zakresie dotyczącym wątpliwości.
Postępowanie sprawdzające może zostać zawieszone w przypadku:
|
trwającej powyżej 30 dni choroby osoby sprawdzanej, uniemożliwiającej skuteczne przeprowadzenie postępowania sprawdzającego; |
|
wyjazdu za granicę osoby sprawdzanej na okres przekraczający 30 dni; |
|
gdy ocena dawania rękojmi zachowania tajemnicy zależy od uprzedniego rozstrzygnięcia zagadnienia przez inny organ, w szczególności w przypadku wszczęcia przeciwko osobie sprawdzanej postępowania karnego w sprawie o przestępstwo umyślne ścigane z oskarżenia publicznego lub umyślne przestępstwo skarbowe; |
|
gdy przeprowadzenie skutecznego postępowania sprawdzającego nie jest możliwe z innych przyczyn niezależnych od organu je prowadzącego. |
Postępowanie sprawdzające kończy się:
|
- wydaniem poświadczenia bezpieczeństwa; |
|
- odmową wydania poświadczenia bezpieczeństwa; |
|
- umorzeniem. |
Po zakończeniu postępowania sprawdzającego z wynikiem pozytywnym organ prowadzący postępowanie wydaje poświadczenie bezpieczeństwa i przekazuje osobie sprawdzanej, zawiadamiając o tym wnioskodawcę.
Poświadczenie bezpieczeństwa wydaje się na okres:
|
10 lat - w przypadku dostępu do informacji niejawnych o klauzuli „poufne”; |
|
7 lat - w przypadku dostępu do informacji niejawnych o klauzuli „tajne”; |
|
5 lat - w przypadku dostępu do informacji niejawnych o klauzuli „ściśle tajne”. |
Poświadczenie bezpieczeństwa upoważniające do dostępu do informacji niejawnych
o wyższej klauzuli tajności uprawnia do dostępu do informacji niejawnych o niższej klauzuli
tajności, odpowiednio przez okresy także w odniesieniu do poświadczeń bezpieczeństwa organizacji międzynarodowych.
Poświadczenia bezpieczeństwa wydane w wyniku przeprowadzenia postępowań
sprawdzających przez AW, CBA, Biuro Ochrony Rządu, Policję, Służbę Więzienną, SWW, Straż Graniczną oraz Żandarmerię Wojskową, zachowują ważność wyłącznie w okresie pracy lub służby w organie, który przeprowadził postępowanie sprawdzające.
Organ prowadzący postępowanie sprawdzające odmawia wydania poświadczenia
bezpieczeństwa, jeżeli nie zostaną usunięte wątpliwości podlegające sprawdzeniu.
Organ prowadzący postępowanie sprawdzające odmawia wydania poświadczenia
bezpieczeństwa, jeżeli osoba sprawdzana została skazana prawomocnym wyrokiem na karę pozbawienia wolności za przestępstwo umyślne ścigane z oskarżenia publicznego, także popełnione za granicą, lub umyślne przestępstwo skarbowe, jeżeli czyn, za który nastąpiło skazanie, wywołuje wątpliwości podlegające sprawdzeniu.
Po zakończeniu postępowania sprawdzającego z wynikiem negatywnym organ prowadzący postępowanie wydaje decyzję o odmowie wydania poświadczenia bezpieczeństwa i doręcza ją osobie sprawdzanej, zawiadamiając o tym wnioskodawcę oraz pełnomocnika ochrony.
Osoba uprawniona do obsady stanowiska jest obowiązana, niezwłocznie po otrzymaniu zawiadomienia o odmowie wydania poświadczenia bezpieczeństwa w zakresie dostępu do informacji niejawnych, uniemożliwić dostęp do informacji niejawnych osobie, której odmowa dotyczy.
Postępowanie sprawdzające wobec osoby, której odmówiono wydania poświadczenia bezpieczeństwa, można przeprowadzić najwcześniej po roku od daty doręczenia decyzji o odmowie wydania poświadczenia bezpieczeństwa.
Umorzenie postępowania sprawdzającego następuje w przypadku:
|
śmierci osoby sprawdzanej; |
|
rezygnacji osoby sprawdzanej z ubiegania się o stanowisko albo zajmowania stanowiska lub wykonywania prac, związanych z dostępem do informacji niejawnych; |
|
odstąpienia przez kierownika jednostki organizacyjnej od zamiaru obsadzenia osoby sprawdzanej na stanowisku lub zlecenia jej prac, związanych z dostępem do informacji niejawnych; |
|
gdy postępowanie z innej przyczyny stało się bezprzedmiotowe. |
O umorzeniu postępowania sprawdzającego organ je prowadzący zawiadamia wnioskodawcę, pełnomocnika ochrony oraz osobę sprawdzaną.
Na pisemny wniosek kierownika jednostki organizacyjnej lub osoby uprawnionej do obsady stanowiska, złożony co najmniej na 6 miesięcy przed upływem terminu ważności poświadczenia bezpieczeństwa, właściwy organ przeprowadza kolejne postępowanie sprawdzające.
Do kolejnego postępowania sprawdzającego stosuje się przepisy ustawy odnoszące się do właściwego postępowania sprawdzającego.
Kolejne postępowanie sprawdzające powinno być zakończone przed upływem terminu ważności poświadczenia bezpieczeństwa.
Jeżeli wobec osoby posiadającej ważne poświadczenie bezpieczeństwa, wydane przez ABW, SKW, AW lub SWW, zostanie skierowany wniosek o przeprowadzenie postępowania sprawdzającego w celu wydania poświadczenia bezpieczeństwa organizacji międzynarodowej, wypełnienie ankiety nie jest wymagane, a poświadczenie bezpieczeństwa organizacji międzynarodowej jest wydawane jedynie na okres ważności posiadanego przez tę osobę poświadczenia bezpieczeństwa.
W przypadku gdy o osobie, której wydano poświadczenie bezpieczeństwa, zostaną ujawnione nowe informacje wskazujące, że nie daje ona rękojmi zachowania tajemnicy, przeprowadza się kontrolne postępowanie sprawdzające. Osoba sprawdzana nie wypełnia nowej ankiety dla celów tego postępowania. Postępowanie przeprowadza organ właściwy do przeprowadzenia kolejnego postępowania sprawdzającego.
W przypadkach uzasadnionych względami bezpieczeństwa państwa kontrolne postępowanie sprawdzające może zostać przeprowadzone przez ABW albo SKW.
O wszczęciu kontrolnego postępowania sprawdzającego zawiadamia się:
|
kierownika jednostki organizacyjnej lub osobę uprawnioną do obsady stanowiska; |
|
pełnomocnika ochrony w jednostce organizacyjnej; |
|
osobę sprawdzaną. |
Po otrzymaniu zawiadomienia kierownik jednostki organizacyjnej lub osoba uprawniona do obsady stanowiska uniemożliwia osobie sprawdzanej dostęp do informacji niejawnych.
Wszystkie czynności przeprowadzone w toku kontrolnych postępowań sprawdzających muszą być rzetelnie udokumentowane i powinny być zakończone przed upływem 6 miesięcy od dnia wszczęcia postępowania.
W szczególnie uzasadnionych przypadkach niezakończenia kontrolnego postępowania
sprawdzającego w terminie, o którym mowa w ust. 9, organ prowadzący postępowanie
jednorazowo przedłuża je o kolejne 6 miesięcy, zawiadamiając o tym osoby wymienione wyżej.
Nie przeprowadza się postępowania sprawdzającego, jeżeli osoba, której ma ono dotyczyć, przedstawi poświadczenie bezpieczeństwa odpowiednie do wymaganej klauzuli tajności (za wyjątkiem - poświadczenia bezpieczeństwa wydane w wyniku przeprowadzenia postępowań sprawdzających przez AW, CBA, Biuro Ochrony Rządu, Policję, Służbę Więzienną, SWW, Straż Graniczną oraz Żandarmerię Wojskową, zachowują ważność wyłącznie w okresie pracy lub służby w organie, który przeprowadził postępowanie sprawdzające).
O zatrudnieniu na stanowisku, z którym może łączyć się dostęp do informacji niejawnych osoby przedstawiającej odpowiednie poświadczenie bezpieczeństwa, kierownik jednostki organizacyjnej informuje w terminie 7 dni organ, który wydał poświadczenie bezpieczeństwa, oraz odpowiednio ABW lub SKW.
Jeżeli z ratyfikowanych przez Rzeczpospolitą Polską umów międzynarodowych wynika obowiązek dopuszczenia do informacji niejawnych obywateli obcych państw mających wykonywać w Rzeczypospolitej Polskiej pracę w interesie innego państwa lub organizacji międzynarodowej, postępowania sprawdzającego nie przeprowadza się.
Postępowania sprawdzającego nie przeprowadza się wobec:
1) Prezydenta Rzeczypospolitej Polskiej oraz osoby wybranej na ten urząd;
2) Marszałka Sejmu;
3) Marszałka Senatu;
4) Prezesa Rady Ministrów;
5) członka Rady Ministrów;
6) Prezesa Narodowego Banku Polskiego;
7) Prezesa Najwyższej Izby Kontroli;
8) Rzecznika Praw Obywatelskich;
9) Generalnego Inspektora Ochrony Danych Osobowych;
10) członka Rady Polityki Pieniężnej;
11) członka Krajowej Rady Radiofonii i Telewizji;
12) Prezesa Instytutu Pamięci Narodowej - Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu;
13) Szefa Kancelarii: Prezydenta Rzeczypospolitej Polskiej, Sejmu, Senatu i Prezesa Rady Ministrów;
14) posła i senatora;
15) sędziego sądu powszechnego i sądu wojskowego, Sądu Najwyższego, sądów administracyjnych i Naczelnego Sądu Administracyjnego, a także Trybunału Stanu i Trybunału Konstytucyjnego, ławnika sądu powszechnego i ławnika sądu wojskowego oraz prokuratora i asesora prokuratury pełniącego czynności prokuratorskie.
W stosunku do osób zajmujących lub kandydujących na stanowiska albo pełniących funkcje, o których mowa w pkt 5-15, ubiegających się o dostęp do informacji niejawnych organizacji międzynarodowych lub o dostęp, który ma wynikać z umowy międzynarodowej zawartej przez Rzeczpospolitą Polską, ABW albo SKW, przeprowadzają poszerzone postępowanie sprawdzające. Z wnioskiem o przeprowadzenie tego postępowania występuje osoba uprawniona do powołania na to stanowisko lub Marszałek Sejmu w stosunku do posłów lub jeżeli do powołania jest uprawniony Sejm albo Marszałek Senatu w stosunku do senatorów lub jeżeli do powołania jest uprawniony Senat.
W stosunku do kandydatów na stanowiska, o których mowa w pkt 6-13, oraz wobec posłów lub senatorów, których obowiązki poselskie bądź senatorskie wymagają dostępu do informacji niejawnych o klauzuli „ściśle tajne”, ABW przeprowadza poszerzone postępowanie sprawdzające. Z wnioskiem o przeprowadzenie tego postępowania występuje osoba uprawniona do powołania na to stanowisko lub Marszałek Sejmu w stosunku do posłów lub jeżeli do powołania jest uprawniony Sejm albo Marszałek Senatu w stosunku do senatorów lub jeżeli do powołania jest uprawniony Senat.
W przypadku zakończenia postępowania sprawdzającego prowadzonego na wniosek Marszałka Sejmu albo Marszałka Senatu decyzją o odmowie wydania poświadczenia bezpieczeństwa, Prezes Rady Ministrów przedstawia informację o powodach tej decyzji odpowiednio Marszałkowi Sejmu lub Marszałkowi Senatu.
Prezydent Rzeczypospolitej Polskiej, Prezes Rady Ministrów oraz Marszałek Sejmu i Marszałek Senatu zapoznają się z przepisami o ochronie informacji niejawnych i składają oświadczenie o znajomości tych przepisów. Oświadczenie przechowuje się odpowiednio w Kancelariach Prezydenta Rzeczypospolitej Polskiej, Prezesa Rady Ministrów, Sejmu albo Senatu.
Udostępnianie informacji niejawnych.
Informacje niejawne mogą być udostępnione wyłącznie osobie dającej rękojmię zachowania tajemnicy i tylko w zakresie niezbędnym do wykonywania przez nią pracy lub pełnienia służby na zajmowanym stanowisku albo wykonywania czynności zleconych (art. 4 ust.1 ustawy).
Szefowie Kancelarii Prezydenta Rzeczypospolitej Polskiej, Kancelarii Sejmu, Kancelarii Senatu lub Kancelarii Prezesa Rady Ministrów albo minister właściwy dla określonego działu administracji rządowej, Prezes Narodowego Banku Polskiego, Prezes Najwyższej Izby Kontroli lub kierownik urzędu centralnego, a w przypadku ich braku ABW albo SKW, mogą:
|
- szczególnie uzasadnionych przypadkach wyrazić pisemną zgodę na jednorazowe udostępnienie określonych informacji niejawnych osobie nieposiadającej odpowiedniego poświadczenia bezpieczeństwa; |
|
- wyrazić pisemną zgodę na udostępnienie informacji niejawnych o klauzuli „tajne” lub „ściśle tajne” osobie, wobec której wszczęto poszerzone postępowanie sprawdzające. |
W stanach nadzwyczajnych Prezydent Rzeczypospolitej Polskiej lub Prezes Rady Ministrów, każdy w swoim zakresie, może wyrazić zgodę na odstąpienie od przeprowadzenia postępowania sprawdzającego.
W przypadkach wymienionych powyżej kopię zgody na udostępnienie informacji niejawnych lub odstąpienie od przeprowadzenia postępowania sprawdzającego przekazuje się odpowiednio do ABW lub SKW. Obowiązek ten nie dotyczy służb i instytucji uprawnionych do przeprowadzania poszerzonych postępowań sprawdzających.
Zgodę na udostępnienie informacji niejawnych o klauzuli „poufne” osobie, wobec której wszczęto postępowanie sprawdzające, może wyrazić, w formie pisemnej, kierownik jednostki organizacyjnej, w której ta osoba jest zatrudniona, pełni służbę lub wykonuje czynności zlecone.
1.System kancelaryjny.
Konstrukcja wykazu akt opiera się na:
jednolitości klasyfikowania dokumentacji w oparciu o kryteria rzeczowe;
systemie klasyfikacji dziesiętnej;
ustaleniu kwalifikacji archiwalnej dla klas na końcowym etapie podziału w wykazie akt.
Każda klasa otrzymuje symbol klasyfikacyjny stanowiący kombinację cyfr:
dla klas pierwszego rzędu to symbole jednocyfrowe od „0” do „9”;
dla klas drugiego rzędu to symbole dwucyfrowe od „00” do „99”;
dla klas trzeciego rzędu to symbole trzycyfrowe od „000” do „999”;
dla klas czwartego rzędu to symbole czterocyfrowe od „0000” do „9999”.
Dokumentacja nadsyłana i składana w podmiocie oraz w nim powstająca dzieli się ze względu na sposób jej rejestrowania i przechowywania na:
tworzącą akta spraw;
nietworzącą akt spraw.
Dokumentacja tworząca akta spraw to dokumentacja, która została przyporządkowana do sprawy i otrzymała znak sprawy. Znak sprawy jest stałą cechą rozpoznawczą całości akt danej sprawy.
Znak sprawy zawiera następujące elementy:
oznaczenie komórki organizacyjnej;
symbol klasyfikacyjny z wykazu akt;
kolejny numer sprawy, wynikający ze spisu spraw;
cztery cyfry roku kalendarzowego, w którym sprawa się rozpoczęła.
Poszczególne elementy znaku sprawy umieszcza się w kolejności i oddziela kropką w następujący sposób: ABC.123.77.2011, gdzie:
ABC to oznaczenie komórki organizacyjnej;
123 to symbol klasyfikacyjny z wykazu akt;
77 to liczba określająca siedemdziesiątą siódmą sprawę rozpoczętą w 2011 r. w komórce organizacyjnej oznaczonej ABC, w ramach symbolu klasyfikacyjnego 123;
2011 to oznaczenie roku, w którym sprawa się rozpoczęła.
Poszczególne elementy znaku sprawy, oddziela się kropką w następujący sposób:
ABC.123.78.2.2011, gdzie:
ABC to oznaczenie komórki organizacyjnej;
123 to symbol klasyfikacyjny z wykazu akt;
78 to liczba określająca siedemdziesiątą ósmą sprawę będącą podstawą wydzielenia grupy spraw w 2011 r. w komórce organizacyjnej oznaczonej ABC, w ramach symbolu klasyfikacyjnego 123;
2 to liczba określająca drugą sprawę w ramach grupy spraw oznaczonej liczbą siedemdziesiąt osiem;
2011 to oznaczenie roku, w którym sprawa się rozpoczęła.
Oznaczając pismo znakiem sprawy, można po znaku sprawy umieścić symbol prowadzącego sprawę, oddzielając go od znaku sprawy kropką w następujący sposób: ABC.123.78.2011.JK2, gdzie „JK2” jest symbolem prowadzącego sprawę, dodanym do znaku sprawy.
Dopuszcza się stosowanie w oznaczeniu komórki organizacyjnej znaku rozdzielającego minus w następujący
sposób:AB-C-V.123.78.2011.JK2, gdzie „AB-C-V” jest oznaczeniem komórki organizacyjnej.
akta - dokumentacja twórcy zespołu powstała w wyniku jego działalności, utrwalona za pomocą pisma niezależnie od techniki wykonania i formy zewnętrznej;
akta sprawy - całokształt lub wybór akt dotyczących określonej sprawy;
akta sprawy zakończonej - akta sprawy zakończonej prawomocnym orzeczeniem lub akta sprawy, w której wykonano wszystkie czynności niezbędne do załatwienia sprawy i nie przewiduje się wykonania dalszych czynności;
brakowanie - wydzielanie dokumentacji niearchiwalnej do zniszczenia po upływie okresu jej przechowywania;
dokument - zapis, bez względu na jego postać, będący świadectwem jakiegoś faktu lub zjawiska, opatrzony data, pieczęcią i podpisem;
wykaz akt - wykaz haseł wyrażający rzeczowa klasyfikacje akt twórcy zespołu niezależnie od jego struktury organizacyjnej;
Podział dokumentacji na kategorie archiwalne
Kategoria „A” to dokumentacja posiadająca historyczne znaczenie polityczne, społeczne, gospodarcze, kulturalne i naukowe. Stanowi ona część składową narodowego zasobu archiwalnego i nosi nazwę materiałów archiwalnych. Dokumentacja taka przechowywana jest trwale i nie podlega brakowaniu.
Kategoria „B” to dokumentacja niearchiwalna o czasowym znaczeniu praktycznym, która po upływie obowiązującego okresu przechowywania podlega brakowaniu, przy czym:
- symbolem „BE” oznacza się dokumentację, która po upływie obowiązującego okresu jej
przechowywania podlega ekspertyzie, w wyniku której można dokonać zmiany oceny
wartości archiwalnej tej dokumentacji, uznając ją za materiały archiwalne (kategoria A) lub
przedłużając jej okres przechowywania;
- symbolem „B” z dodaniem cyfry arabskiej oznacza się dokumentację, która po okresie
przechowywania wynikającym z oznaczenia cyfrowego ulega brakowaniu;
- symbolem „BC” oznacza się materiały manipulacyjne o krótkotrwałym znaczeniu
praktycznym, które po ich wykorzystaniu mogą być brakowane w komórkach
organizacyjnych za zgodą właściwych archiwów lub składnic akt.
W wyniku uzasadnionej konieczności materiały kategorii „B” mogą być przekwalifikowane na kategorię „A” lub może być wydłużony okres ich przechowywania. Decyzję w tej materii podejmują kierujący pracą archiwów lub kierownicy jednostek, w których akta zostały wytworzone.
Zabronione jest przekwalifikowanie akt kategorii „A” na „B” oraz obniżanie okresu przechowywania akt kategorii „B”. Występujące przy symbolach „B” i „BE” cyfry arabskie oznaczają okresy obowiązkowego przechowywania akt.
Kwalifikacji akt na kategorie oraz określenie okresu przechowywania dokumentacji kategorii „B” dokonuje się w komórce organizacyjnej, w której materiały powstały. Według instrukcji kwalifikacja akt powinna odbywać się z chwilą założenia teczki lub niezwłocznie po zakończeniu sprawy.
Ze względu na sposób postępowania na wypadek zagrożenia bezpieczeństwa państwa lub wojny akta dzieli się na:
- podlegające zniszczeniu we własnym zakresie i oznacza symbolem „Z”;
- podlegające ewakuacji i oznacza symbolem „E”;
- przewidziane do pozostawienia w dotychczasowym miejscu i oznacza symbolem „P”.
Powyższe symbole nadaje się w momencie zakładania teczki lub nanosi na teczki już istniejące, bez względu na miejsce przechowywania. Zasady i tryb ewakuacji oraz niszczenia dokumentacji na wypadek zagrożenia bezpieczeństwa państwa lub wojny regulują odrębne przepisy.
Akta oznaczone klauzulą „ściśle tajne”, „tajne” i „poufne” przekazuje się do archiwum /składnicy akt zapewniającym im ochronę odpowiednią do przyznanej klauzuli tajności. Dokumenty, materiały lub aktowe zbiory dokumentów, dotyczące spraw ostatecznie zakończonych, po upływie 2 lat przekazuje się je do archiwum/składnicy akt, na podstawie spisów zdawczo-odbiorczych.
Przekazanie akt do archiwum
W odniesieniu do organów i jednostek organizacyjnych podległych i nadzorowanych przez ministra właściwego do spraw wewnętrznych sprawy dotyczące zasad klasyfikowania i kwalifikowania dokumentacji ze względu na okresy jej przechowywania oraz zasady i tryb przekazywania materiałów archiwalnych do archiwów państwowych, a także zasady i tryb brakowania innej dokumentacji reguluje minister spraw wewnętrznych i administracji.
Akta - to wszelkiego rodzaju dokumentacja (pisana, techniczna, kartograficzna, audiowizualna, elektroniczna), stanowiąca utrwalony na nośnikach informacji wynik działalności Ministerstwa Spraw Wewnętrznych i Administracji i resortowych jednostek organizacyjnych, niezależnie od techniki wykonania i formy zewnętrznej tych nośników. Do resortowych jednostek organizacyjnych zalicza się m.in. Straż Graniczną, Państwową Straż Pożarną, Biuro Ochrony Rządu oraz Policję.
W resorcie spraw wewnętrznych i administracji wyróżnia się następujące rodzaje akt:
- akta sprawy,
- akta operacyjne,
- akta osobowe,
- akta osobowe cudzoziemców,
- akta o charakterze obronnym.
Do zakresu działania archiwów i składnic akt należy:
- przejmowanie akt z komórek i jednostek organizacyjnych;
- opracowanie (ewidencjonowanie i porządkowanie) akt zgodnie z zasadami archiwistyki;
- mikrofilmowanie i skanowanie akt;
- udostępnianie akt upoważnionym osobom i komórkom (jednostkom) organizacyjnym;
- udzielanie informacji na podstawie posiadanych akt, wykonywanie kserokopii
dokumentów oraz wydawanie zaświadczeń;
- brakowanie dokumentacji niearchiwalnej;
- zabezpieczanie przed zniszczeniem i konserwacja posiadanych akt;
- prowadzenie prac naukowo-badawczych, wydawniczych i problemowych prac
analitycznych na podstawie posiadanych zasobów archiwalnych;
- prowadzenie innych prac zgodnych z zakresem zadań jednostki organizacyjnej.
Każdego roku do archiwum przejęciu podlegają wszystkie akta spraw zakończonych najpóźniej po dwóch latach od zakończenia sprawy przez komórkę organizacyjną. Oznacza to, iż sprawy ostatecznie załatwione mające praktyczne znaczenie dla pracy danej jednostki (komórki) organizacyjnej mogą być przechowywane przez okres maksymalnie do dwóch lat przez referenta lub kancelarię.
Klasyfikowanie informacji niejawnych, klauzule tajności i okres ochrony.
Aktem prawnym regulującym sposób oznaczania materiałów, umieszczania na nich klauzul tajności, a także zmiany nadanej klauzuli jest rozporządzenie Prezesa Rady Ministrów z dnia 22 grudnia 2011 r. w sprawie sposobu oznaczania materiałów i umieszczania na nich klauzul tajności. (Dz. U. Nr 288, poz. 1692).
O tym, czy dana informacja należy do kategorii chronionych, decyduje treść oraz skutek, jaki może spowodować jej nieuprawnione ujawnienie.
W myśl ustawy, wszystkie informacje niejawne bez względu na formę i sposób ich wyrażania oraz stadium ich opracowywania, podlegają ochronie na takich samych zasadach.
Wyrazem formalnej ochrony danego dokumentu jest nadana odpowiednia klauzula tajności. Rodzaj klauzuli tajności wskazuje komu daną informację można udostępnić, a jednocześnie jak należy dokument przyjmować, przewozić, wydawać i chronić. Zgodnie z postanowieniami ustawy stosuje się cztery rodzaje klauzul :
ściśle tajne,
tajne,
poufne,
zastrzeżone.
Materiały wysyłane za granicę, zgodnie z międzynarodowymi umowami, oznacza się odpowiednio do ich treści klauzulą tajności określoną w ustawie oraz jej zagranicznym odpowiednikiem. Np. TOP SECRET - :ściśle tajne”, SECRET - „tajne”, CONFIDENTIAL - „poufne”, RESTRICTED - „zastrzeżone”.
Nadaną klauzulę należy nanieść w sposób wyraźny i w pełnym brzmieniu.
Przyznanie informacji niejawnej klauzuli tajności określa więc sposób jej ochrony wynikający z przynależnych przepisów ustawy.
Informacjom niejawnym, materiałom, a zwłaszcza dokumentom lub ich zbiorom przyznaje się klauzulę tajności co najmniej równą najwyżej zaklasyfikowanej informacji lub najwyższej klauzuli w zbiorze. Dopuszcza się również przyznawanie różnych klauzul tajności częściom dokumentu (rozdziałom, załącznikom, aneksom) lub poszczególnym dokumentom, ale pod warunkiem wyraźnego ich oznaczenia i wskazania klauzuli tajności po odłączeniu dokumentu bądź jego części.
Klauzulę tajności przyznaje osoba, która jest upoważniona do podpisania dokumentu lub oznaczenia innego niż dokument materiału. Uprawnienia do przyznawania, zmiany i znoszenia klauzuli tajności przysługuje wyłącznie w zakresie posiadanego prawa dostępu do informacji niejawnych. Osoba, o której wyżej mowa, ponosi odpowiedzialność za przyznanie klauzuli tajności i bez jej zgody albo zgody jej przełożonego klauzula nie może być zmieniona lub zniesiona.
Jeśli zachodzi konieczność zmiany klauzuli tajności lub jej zniesienia należy ją skreślić i wpisać obok nową klauzulę z podaniem daty, imienia i nazwiska oraz podpisem dokonującego zmiany lub jej zniesienia. Skreślenia oraz pozostałe wpisy wykonuje się kolorem czerwonym. Niedozwolone jest wycieranie, wywabianie lub zamazywanie klauzuli podlegającej zmianie lub zniesieniu. Zmianę lub zniesienie klauzuli dokumentu lub przedmiotu należy odnotować w odpowiednich dziennikach ewidencyjnych lub rejestrach materiałów niejawnych z podaniem podstawy zmiany lub zniesienia klauzuli .
Zmiany lub zniesienia klauzuli dokumentu lub przedmiotu dokonują odpowiednio:
kierownik kancelarii tajnej,
kierownik archiwum,
inne upoważnione osoby.
Wskazane wyżej osoby dokonują zmiany lub zniesienia klauzul na pisemne polecenie osoby upoważnionej do podpisania dokumentu lub oznaczenia innego niż dokument materiału, a także po upływie ustawowych okresów ochrony.
Oznaczanie materiałów klauzulami tajności.
Niezależnie od rodzaju klauzuli tajności, ważny jest także sposób jej umieszczenia na materiałach.
Sposób oznaczania materiałów, w tym klauzulami tajności, jest zróżnicowany w zależności od ich rodzaju i określa ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 13 sierpnia 2010 r. w sprawie sposobu oznaczania materiałów, umieszczania na nich klauzul tajności, a także zmiany nadanej klauzuli tajności (Dz. U. Nr 159 poz.1069) - stare
Rozporządzenie Prezesa Rady Ministrów z dnia 22 grudnia 2011 r. w sprawie sposobu oznaczania materiałów i umieszczania na nich klauzul tajności. (Dz. U. Nr 288, poz. 1692).
Wykonywanie dokumentów niejawnych.
Ważnym elementem zabezpieczenia jest podział obszarów chronionych na strefy bezpieczeństwa. Ze względu na powszechność stanowisk komputerowych, a jednocześnie występujące zagrożenia sieci teleinformatycznych, niezbędne są szczególne wymagania w zakresie bezpieczeństwa systemu opracowywania dokumentów niejawnych.
Zgodnie z obowiązującymi w tym względzie wytycznymi opracowywanie dokumentów niejawnych (ODN) musi odbywać się w wyznaczonych pomieszczeniach z zainstalowanymi stanowiskami komputerowymi. Dostęp do pomieszczeń i uprawnienia do sporządzania dokumentów niejawnych mają jedynie osoby dysponujące odpowiednim poświadczeniem bezpieczeństwa. Dodatkowo osoby te muszą znajdować się na liście osób uprawnionych, zatwierdzonej przez kierownika komórki organizacyjnej jednostki .
W celu właściwego zabezpieczenia pomieszczeń ze stanowiskami komputerowymi do opracowywania dokumentów niejawnych należy uwzględnić m.in. następujące czynniki :
- klauzule tajności materiałów niejawnych,
- ilość i rodzaj przechowywanych materiałów (wydruki, komputerowe nośniki danych itp.),
- liczba osób mających dostęp do informacji niejawnych,
- dane dotyczące potencjalnych zagrożeń.
Organizując pomieszczenia przeznaczone do opracowywania dokumentów niejawnych szczególnej uwagi wymagają elementy systemów i sieci teleinformatycznych a zwłaszcza: główne serwery i macierze dyskowe, lokalne centrale telefoniczne, urządzenia kryptograficzne, główne przełączniki, stacje zarządzania sieciami, urządzenia zasilania podstawowego i awaryjnego itp.
Ponadto należy przestrzegać aby komputery były włączone tylko w czasie opracowywania dokumentów niejawnych. Po zakończeniu pracy użytkownik zabezpiecza wyniki swojej pracy na nośniku komputerowym lub drukuje gotowy dokument.
Bezpieczeństwo teleinformatyczne.
Bezpieczeństwo teleinformatyczne to zapewnienie ochrony informacjom niejawnym w czasie wytwarzania, przetwarzania, przechowywania i przesyłania tych informacji za pomocą systemu lub sieci teleinformatycznej. Podstawowe wymagania bezpieczeństwa systemów i sieci teleinformatycznych w zakresie ochrony fizycznej, elektromagnetycznej, kryptograficznej oraz bezpieczeństwa transmisji informacji niejawnych określa rozporządzenie Prezesa Rady Ministrów z dnia 25 sierpnia 2005 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego ( Dz. U. Nr 171, poz. 1433). - stare.
Rozporządzenie Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz. U. Nr 159, poz. 948.) - nowe
Szczegółowe wymagania bezpieczeństwa systemu lub sieci teleinformatycznej opracowuje kierownik jednostki organizacyjnej. Powinny one być kompletnym i wyczerpującym opisem ich budowy, zasad działania i eksploatacji wraz z procedurami bezpieczeństwa, które muszą być spełnione w czasie projektowania, wdrażania i funkcjonowania systemu lub sieci.
Procedury bezpieczeństwa eksploatacji obejmują zasady i tryb postępowania w sprawach związanych z bezpieczeństwem informacji niejawnych. Określają one również zakres odpowiedzialności użytkowników systemu lub sieci.
Procedury związane z uzyskaniem certyfikatu dla systemu lub sieci teleinformatycznej oraz związane z uzyskaniem zgody służby ochrony państwa na korzystanie z systemu lub sieci w celu przetwarzania, wytwarzania, przechowywania i przesyłania informacji niejawnych regulują przepisy ustawy i ww. rozporządzenia.
Przesyłanie i przewożenie materiałów.
Przewoźnikami upoważnionymi do przewozu materiałów niejawnych są:
poczty specjalnej podlegającej ministrowi właściwemu do spraw wewnętrznych, działającej w jednostkach organizacyjnych Policji przy przesyłaniu materiałów zawierających informacje niejawne, stanowiące tajemnicę państwową, do adresatów zamiejscowych na terenie kraju;
właściwej komórki organizacyjnej Ministerstwa Spraw Zagranicznych zapewniającej przewóz materiałów zawierających informacje niejawne poza granicami Rzeczypospolitej Polskiej;
właściwych jednostek organizacyjnych podległych Ministrowi Obrony Narodowej, zapewniających przewożenie materiałów zawierających informacje niejawne;
państwowego przedsiębiorstwa użyteczności publicznej "Poczta Polska" oraz innych podmiotów prowadzących działalność w zakresie usług pocztowych;
przedsiębiorców prowadzących działalność w zakresie ochrony osób i mienia.
Materiały zawierające informacje niejawne stanowiące tajemnicę państwową, nadawane jako przesyłki listowe za pośrednictwem przewoźników, powinny być opakowane w dwie nieprzezroczyste i mocne koperty, przy czym na kopertach muszą być umieszczone:
na wewnętrznej:
klauzula tajności i ewentualne dodatkowe oznaczenie,
imienne określenie adresata,imię, nazwisko i podpis osoby pakującej,
numer, pod którym dokument został zarejestrowany w dzienniku rejestracji dokumentów;
na zewnętrznej:
nazwa jednostki organizacyjnej adresata,
adres siedziby adresata,numer wykazu i pozycji w wykazie przesyłek nadanych,
nazwa jednostki organizacyjnej nadawcy.
Miejsca sklejenia każdej koperty zabezpiecza się przez odciśnięcie pieczęci "do pakietów" i za pomocą przezroczystej taśmy samoprzylepnej. Na kopercie zewnętrznej, zamiast taśmy samoprzylepnej może być stosowana pieczęć z laku.
Ochrona danych osobowych w Europie.
Jednym z pierwszych a zarazem podstawowych aktów prawnych stających w obronie praw i wolności człowieka jest Europejska Konwencja o Ochronie Praw Człowieka i Podstawowych Wolności (Europejska Konwencja Praw Człowieka) z 1950 roku. Przedstawia ona i reguluje stosunek państwa do ochrony praw, jednostki prawa, jakie tej jednostce przysługują jak również środki, które służą dochodzenia tych praw. 28 stycznia 1981 roku w Strasburgu został wydany przez Radę Europy dokument: Konwencja nr 108 o ochronie osób fizycznych w związku z automatycznym przetwarzaniem danych osobowych. Jest to jeden z najważniejszych aktów prawa międzynarodowego, a głównym z dziedziny ochrony danych osobowych.
Istotnym, dla Polski wydarzeniem było wydanie 29 sierpnia 1997 roku ustawy o ochronie danych osobowych. Były to uregulowania zupełnie nieznane w naszym systemie prawnym. Zderzenie z czymś nowym i dosyć skomplikowanym spowodowało, że do dzisiaj analizowanie tej materii sprawia prawnikom wiele kłopotów. Obecnie obowiązuje Ustawa z dnia 22 stycznia 2004r. o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe.
Każdy ma prawo do poszanowania prywatności życia prywatnego i rodzinnego, domu oraz korespondencji. - Europejska Konwencja o ochronie praw człowieka i podstawowych wolności
W wielu aspektach życia codziennego gromadzone są i stosowane informacje dotyczące osób fizycznych - zwane „danymi osobowymi”. Osoba udziela danych osobowych, gdy przykładowo składa wniosek o kartę biblioteczną, zapisuje się na siłownię, otwiera rachunek bankowy itd. Dane osobowe mogą być pobierane bezpośrednio od osób lub z istniejącej bazy danych. Dane te mogą być następnie stosowane do innych celów i/lub mogą być wymieniane z innymi stronami. Danymi osobowymi mogą być dowolne dane identyfikujące osobę, jak np. jej imię i nazwisko, numer telefonu czy zdjęcie.
Postęp w technologii komputerowej wraz z rozwojem nowych sieci telekomunikacyjnych przyczynia się do swobodniejszego przepływu danych osobowych przez granice. W efekcie dane dotyczące obywateli jednego Państwa Członkowskiego są niekiedy przetwarzane w innych Państwach Członkowskich UE. Z tego względu, ponieważ dane osobowe są coraz częściej gromadzone i wymieniane między podmiotami, wystąpiła konieczność wprowadzenia przepisów regulujących transfer danych.
Przepisy unijne dotyczące ochrony danych
W celu wyeliminowania przeszkód dla swobodnego przepływu danych bez równoczesnego zmniejszania ochrony danych osobowych opracowano dyrektywę 95/46/WE (dyrektywa o ochronie danych) harmonizującą przepisy krajowe w tym zakresie.
W rezultacie dane osobowe wszystkich obywateli mają zapewnioną identyczną ochronę w całej Unii. Do dnia 24 października 1998 r. 15 Państw Członkowskich UE musiało dostosować przepisy krajowe do przepisów dyrektywy.
Dyrektywa jest europejskim aktem prawnym adresowanym do Państw Członkowskich. Po jej przyjęciu na szczeblu europejskim każde Państwo Członkowskie musi zapewnić jej skuteczne stosowanie w swoim systemie prawnym. Dyrektywa określa wynik końcowy. Decyzja dotycząca formy i metod jej zastosowania leży w gestii poszczególnych Państw Członkowskich. W zasadzie dyrektywa staje się skuteczna za pośrednictwem krajowych środków wykonawczych (przepisy krajowe). Istnieje jednak możliwość, że nawet jeśli Państwo Członkowskie nie wdrożyło jeszcze dyrektywy, niektóre jej postanowienia mogą mieć bezpośredni skutek. Oznacza to, że jeżeli dyrektywa przyznaje bezpośrednie prawa osobom fizycznym, osoby te mogą w sądzie powołać się na taką dyrektywę bez konieczności czekania na wdrożenie jej przez przepisy krajowe. Ponadto jeżeli osoba fizyczna ma poczucie, że poniosła szkody na skutek niewdrożenia dyrektywy przez władze krajowe w prawidłowy sposób, może w takiej sytuacji być uprawniona do dochodzenia odszkodowania. Odszkodowania te można uzyskać wyłącznie w sądach krajowych.
Dyrektywa o ochronie danych ma zastosowanie do „wszelkich operacji lub zestawu operacji dokonywanych na danych osobowych”, zwanych „przetwarzaniem danych”. Operacje obejmują gromadzenie danych osobowych, ich przechowywanie, ujawnianie itd. Dyrektywa dotyczy danych przetwarzanych automatycznie (np.: komputerowa baza danych konsumentów) oraz danych będących częścią lub mających być częścią nieautomatycznych „zbiorów danych”, w których są dostępne w oparciu o określone kryteria (przykładowo tradycyjne akta papierowe takie jak kartoteki z informacjami o klientach uporządkowane w kolejności alfabetycznej według nazwisk).
Dyrektywa o ochronie danych nie dotyczy danych przetwarzanych wyłącznie dla celów osobistych lub dla celów gospodarstwa domowego (np.: elektroniczny pamiętnik lub plik z informacjami o rodzinie i przyjaciołach). Ponadto nie dotyczy ona takich dziedzin jak bezpieczeństwo publiczne, obronność lub egzekwowanie prawa karnego, które nie wchodzą w zakres kompetencji WE oraz pozostają w gestii Państw Członkowskich. W tych dziedzinach ochronę obywateli zapewniają na ogół przepisy krajowe.
Ponadto istnieje odrębna dyrektywa - dyrektywa 2002/58/WE, która w szczególności zajmuje się ochroną prywatności danych w sektorze łączności elektronicznej. Dyrektywa zawiera postanowienia dotyczące bezpieczeństwa sieci i usług, poufności komunikacji, dostępu do informacji przechowywanych w urządzeniach terminala, przetwarzania danych o ruchu i danych lokalizacji, identyfikacji rozmów przychodzących, publicznych spisów abonamentów oraz niezamówionych komunikatów handlowych. Dyrektywa stanowi, że Państwa Członkowskie muszą gwarantować poufność komunikacji poprzez przepisy krajowe. Oznacza to, że każde słuchanie, nagrywanie, przechowywanie lub innego rodzaju przejęcia nadzoru nad komunikatem przez osoby nieuprawnione jest niezgodne z prawem. W przypadku, gdy oferowane jest wyświetlanie identyfikacji rozmów przychodzących użytkownik musi mieć możliwość nieprzystępowania do usługi lub zablokowania wyświetlania swojego numeru podczas wykonywania rozmów wychodzących. Z kolei użytkownicy korzystający z tej usługi muszą mieć możliwość odrzucenia rozmów przychodzących od osób, które mają zablokowaną identyfikację rozmów wychodzących. Ponadto dyrektywa określa, że w przypadku istnienia spisów abonentów wydawanych w formie druku lub w formie elektronicznej osoby fizyczne mają prawo być pomijane - z zasady nieodpłatnie - w takich spisach.
Dane mogą dotyczyć każdego.
Swoje dane osobowe ujawniamy przy rezerwowaniu lotu, ubiegania się o pracę, korzystania z karty kredytowej lub z Internetu.
Kto może być administratorem danych?
Administratorami danych są osoby lub organ, „który ustala cele i środki przetwarzania” zarówno w sektorze publicznym, jak i prywatnym. Przykładowo lekarz jest na ogół administratorem danych o swoich pacjentach, spółka może być administratorem danych o swoich klientach i pracownikach, klub sportowy administruje danymi swoich członków, a biblioteka publiczna administruje danymi użytkownika.
Administratorzy danych muszą przestrzegać określonych zasad. Zasady te mają na celu nie tylko ochronę osób będących przedmiotem danych, ale także określenie dobrych praktyk branżowych wpływających na niezawodne i skuteczne przetwarzanie danych.
Każdy administrator danych musi przestrzegać zasad przetwarzania danych obowiązujących w Państwie Członkowskim, w którym ma siedzibę, nawet jeśli przetwarzane dane należą do osoby fizycznej mieszkającej w innym Państwie. Jeżeli administrator danych nie ma siedziby na terenie Wspólnoty (np.: spółka zagraniczna), musi przestrzegać przepisów Państw Członkowskich, jeżeli urządzenia przetwarzające dane (np. centrum komputerowe) mieści się na terenie Wspólnoty Europejskiej.
Zasady opisano poniżej.
Dane muszą być przetwarzane uczciwie i zgodnie z prawem.
Dane muszą być gromadzone dla jasno sprecyzowanych i uzasadnionych celów oraz muszą być w taki sposób wykorzystywane.
Dane muszą być istotne i nie mogą być zbędne z punktu widzenia celu, dla którego są przetwarzane.
Dane muszą być dokładne i, jeśli jest to konieczne, aktualne.
Administratorzy danych mają obowiązek zapewnienia osobom, których dane dotyczą odpowiednich środków do sprostowania, usunięcia lub zablokowania danych na swój temat.
Danych identyfikujących osoby fizyczne nie należy przechowywać dłużej niż jest to konieczne.
Dyrektywa stanowi, że każde Państwo Członkowskie musi zapewnić przynajmniej jeden organ nadzorczy monitorujący wykonanie dyrektywy. Jednym z obowiązków organu nadzorczego jest prowadzenie uaktualnianego rejestru publicznego umożliwiającego ogółowi społeczeństwa dostęp do imion i nazwisk lub nazw wszystkich administratorów danych i rodzaju wykonywanego przez nich przetwarzania danych.
Z reguły wszyscy administratorzy danych muszą zawiadamiać organ nadzoru, gdy przetwarzają dane. Państwa Członkowskie mogą wprowadzić przepisy upraszczające lub zwalniające z obowiązku zawiadamiania przy określonych typach przetwarzania, które nie wiążą się ze szczególnym ryzykiem. Ponadto istnieje możliwość wprowadzenia zwolnień i uproszczeń procedury zawiadamiania, jeśli zgodnie z przepisami prawa krajowego administrator wyznaczy niezależnego urzędnika ds. ochrony danych. Państwa Członkowskie mogą wymagać przeprowadzenia uprzedniej kontroli przez organ nadzoru przed podjęciem operacji przetwarzania danych obejmujących szczególne ryzyka. Ustalenie, jakiego rodzaju operacje przetwarzania danych wiążą się z określonymi ryzykami leży w gestii Państw Członkowskich.
Kiedy można przetwarzać dane osobowe?
Dane osobowe mogą być przetwarzane (tzn. gromadzone i dalej używane) wyłącznie w następujących okolicznościach:
jeżeli osoba, której dane dotyczą jednoznacznie wyraziła na to zgodę, tzn. zgodziła się dobrowolnie i wyraźnie po otrzymaniu odpowiedniego zawiadomienia,
jeżeli przetwarzanie danych jest konieczne dla realizacji umowy, której stroną jest osoba, której dane dotyczą lub w celu podjęcia działań na życzenie osoby, której dane dotyczą, przed zawarciem umowy, np.: przetwarzanie danych dla celów billingowych lub przetwarzanie danych osób ubiegających się o pracę lub kredyt,
jeżeli przetwarzanie danych jest konieczne dla wykonania zobowiązania prawnego,
jeżeli przetwarzanie danych jest konieczne dla ochrony żywotnych interesów osób, których dane dotyczą. Przykładowo w razie wypadku samochodowego, którego ofiara jest nieprzytomna pracownicy pogotowia ratunkowego mogą przeprowadzić badanie krwi, jeżeli uznają, że jest to konieczne dla ocalenia życia takiej osoby,
jeżeli przetwarzanie danych jest konieczne dla realizacji zadania wykonywanego w interesie publicznym lub zadania wykonywanego przez władze publiczne (jak np.: rząd, władze podatkowe, policja itd.),
a ponadto dane mogą być przetwarzane za każdym razem, gdy administrator lub strona trzecia mają uzasadniony interes w takim przetwarzaniu. Interesy takie nie mogą nachodzić na interesy lub podstawowe prawa osób, których dane dotyczą, a zwłaszcza prawa do prywatności. Postanowienie to wprowadza konieczność uzyskania w praktyce równowagi pomiędzy interesami gospodarczymi administratorów danych a prywatnością osób, których dane dotyczą. Równowaga ta jest w pierwszej kolejności oceniana przez administratorów danych pod nadzorem władz zajmujących się ochroną danych, jednakże w razie konieczności ostateczna decyzja należy do sądów.
Dane sensytywne
Przetwarzanie danych sensytywnych podlega bardzo rygorystycznym zasadom - są to dane dotyczące pochodzenia rasowego lub etnicznego, opinii politycznych, przekonań religijnych lub filozoficznych, przynależności do związków zawodowych, jak również dane dotyczące zdrowia i życia seksualnego. Takich danych z zasady nie można przetwarzać. Derogacje dopuszczalne są w wyjątkowych okolicznościach. Okoliczności te zachodzą między innymi, gdy osoba, której dane dotyczą, udzieliła wyraźnej zgodny na przetwarzanie danych sensytywnych, gdy przetwarzane są dane dozwolone przez prawo pracy, gdy uzyskanie zgody od osoby, której dane dotyczą nie jest możliwe (np.: badanie krwi u ofiary wypadku drogowego), gdy przetwarzanie dotyczy danych, które są podawane do wiadomości publicznej przez osobę, której dane dotyczą lub w przypadku danych o członkach związków zawodowych, partii politycznych lub kościołów. Państwa Członkowskie mogą wprowadzić dodatkowe wyjątki ze względu na istotny interes publiczny.
Prawa osób, których dotyczą przetwarzane dane
Każdy ma prawo do bycia informowanym o przetwarzaniu danych, które go dotyczą.
Administratorzy danych mają obowiązek informowania osób o gromadzeniu ich danych osobowych, chyba że zostały one o tym fakcie poinformowane wcześniej. Osoby mają prawo otrzymywać informacje o: tożsamości administratora, celach przetwarzania danych oraz wszelkich dalszych informacjach, jak np.: o odbiorcach danych oraz specjalnych praw przysługujących osobom, których dane dotyczą. Prawo do otrzymywania powyższych informacji przysługuje bez względu na fakt, czy dane zostały uzyskane bezpośrednio czy pośrednio od stron trzecich. W drugim przypadku dopuszcza się możliwość derogacji, jeżeli udzielenie informacji jest niemożliwe lub niezwykle trudne lub jeżeli wymaga tego prawo.
Każdy ma prawo wglądu w dane, które go dotyczą.
Każdy ma prawo zwrócić się do dowolnego administratora danych z zapytaniem, czy przetwarza jego dane osobowe, w celu otrzymania kopii danych w zrozumiałej formie oraz w celu uzyskania dostępnych informacji o ich źródłach. Jeżeli dane osobowe są niedokładne lub jeżeli były przetwarzane niezgodnie z prawem, można zażądać ich skorygowania, zablokowania lub usunięcia. W takich przypadkach osoby, których dane dotyczą mogą zażądać od kontrolera danych zawiadomienia stron trzecich, które wcześniej widziały nieprawidłowe dane, chyba że jest to niemożliwe. W niektórych przypadkach można nałożyć umiarkowaną opłatę za zapewnienie dostępu.
Każdy musi mieć ponadto dostęp do logiki, na podstawie której podejmowane są automatyczne decyzje.
Decyzje mające istoty wpływ na osobę, której dane dotyczą, jak np.: decyzje o przyznaniu kredytu lub zawarciu umowy ubezpieczenia, mogą być podejmowane wyłącznie w oparciu o automatyczne przetwarzanie danych. Administrator danych musi zatem przyjąć odpowiednie zabezpieczenia, jak np.: zapewnienie osobom, których dotyczą dane możliwości omówienia przesłanek gromadzenia danych lub zakwestionowania decyzji opartych na niedokładnych danych.
Co można zrobić w razie naruszenia przysługujących praw?
Osoby obawiające się, że ich prawa są naruszane powinny w pierwszej kolejności skontaktować się z osobą będącą źródłem naruszenia w celu stwierdzenia, kto jest administratorem danych. Jeżeli nie uzyska satysfakcjonującej odpowiedzi, może skontaktować się z krajowym organem ds. ochrony danych. Zgodnie z dyrektywą każde Państwo Członkowskie ma obowiązek wyznaczenia przynajmniej jednego organu publicznego w celu zapewnienia prawidłowego stosowania prawa o ochronie danych. Organ taki - zwany często organem nadzorczym - jest uprawniony do rozpatrywania skarg zgłaszanych przez osoby fizyczne lub prawne. Organ nadzoru musi zbadać zażalenie i może okresowo zakazać przetwarzania. Jeżeli organ nadzoru stwierdzi naruszenie prawa o ochronie danych, może wtedy między innymi zażądać usunięcia lub zniszczenia danych i/lub zakazania dalszego ich przetwarzania.
Aby skontaktować się z organem nadzoru, należy opisać (najlepiej na piśmie) problem i złożyć informacje w ilości zapewniającej dobry opis problemu. W niektórych Państwach Członkowskich organy nadzoru mają standardowe formularze do składania skarg. Jeżeli formularze są dostępne, to należy z nich korzystać, ponieważ przyspieszy to rozpatrzenie sprawy i wpłynie na szybsze otrzymanie odpowiedzi. W niektórych Państwach Członkowskich skargi można składać za pośrednictwem poczty elektronicznej. W pozostałych krajach nie jest to jeszcze możliwe.
Jeżeli powyższe procedury nie przyniosą zadowalającego rezultatu, można skierować sprawę do sądu.
Każda osoba fizyczna i prawna może zgłosić Komisji skargę w sprawie domniemanego naruszenia prawa wspólnotowego przez Państwo Członkowskie.
Komisja Europejska odpowiada za zapewnienie, że prawo wspólnotowe jest należycie stosowane w Państwach Członkowskich. W razie konieczności Komisja przypomina Państwom Członkowskim o obowiązku w zakresie terminowego wdrażania prawa wspólnotowego i jego należytego egzekwowania. W niektórych przypadkach jeżeli Państwo Członkowskie nie wywiąże się z tych obowiązków, Komisja może wszcząć postępowanie przed Europejskim Trybunałem Sprawiedliwości, który orzeka, czy prawo wspólnotowe zostało naruszone.
Jednakże spory pomiędzy stronami prywatnymi nie mogą być rozstrzygane przez Komisję w tym kontekście.
Skarżący nie ponosi żadnych opłat za wniesienie skargi i nie musi szukać pomocy prawnika. Podczas składania skargi należy pamiętać o zawarciu odpowiednich informacji i dokumentacji (np.: właściwych przepisów krajowych).
Skargę do Komisji Europejskiej należy złożyć w formie pisemnej na adres:
European Commission (Attn: Secretary-General) , Rue de la Loi 200, B-1049 Brussels; lub
korzystając ze standardowego formularza zgłaszania skarg dostępnego w Internecie na stronie http://ec.europa.eu/secretariat_general/sgb/lexcomm/index_en.htm.
Przesyłanie danych do krajów nieunijnych
W razie przesyłania danych do krajów niebędących członkami Unii Europejskiej może wystąpić konieczność podjęcia specjalnych zabezpieczeń, jeżeli poziom ochrony danych w kraju trzecim jest nieadekwatny do poziomu zapewnianego przez prawo unijne. Bez takich zasad wysokie standardy ochrony danych wprowadzone przez dyrektywę zostałyby szybko naruszone, mając na uwadze łatwość, z jaką dane mogą się przemieszczać w międzynarodowych sieciach.
Zasada określona w dyrektywie stanowi, że dane osobowe mogą być przesyłane wyłącznie do tych krajów poza UE, które gwarantują odpowiedni poziom ochrony. Obecnie prowadzona jest analiza przepisów o ochronie danych oraz dialog z ważniejszymi partnerami handlowymi UE w celu ustalenia, które kraje oferują odpowiednią ochronę.
W razie gdy kraj nieunijny nie gwarantuje odpowiedniego poziomu ochrony dyrektywa wymaga zablokowania określonych transferów. Państwa Członkowskie muszą każdorazowo informować Komisję o wprowadzeniu środków blokujących, co uruchamia procedurę wspólnotową zapewniającą, że każda decyzja Państwa Członkowskiego o zablokowaniu konkretnego transferu zostaje albo rozszerzona na całą UE, albo anulowana.
Konstytucja RP a ochrona danych osobowych.
Związane z ochroną danych osobowych unormowania zawarte są w Konstytucji RP w art. 47, który mówi, że „Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym”. Art. 51, ust.1 „Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawnienia informacji dotyczących jego osoby (ust.2). Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów zbiorów danych. Ograniczenie tego prawa może określić ustawa. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.
Ustawę stosuje się do przetwarzania danych osobowych w:
w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych,
w systemach informatycznych (art.2 ust.2).
Ustawa ma zastosowanie do:
- organów państwowych,
- organów samorządu terytorialnego
- państwowych i komunalnych jednostek organizacyjnych.
- podmiotów niepublicznych realizujących zadania publiczne,
- osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli
przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych
które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.
Ustawy nie stosuje się do:
- osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych,
- podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki
techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych.
- prasowej działalności dziennikarskiej
- działalności literackiej lub artystycznej
- jeżeli umowa międzynarodowa stanowi inaczej, a stroną jest RP.
Podstawowe pojęcia.
W ustawodawstwach poszczególnych krajów nie ma sprecyzowanej jednej stałej definicji. Przyjmuje się, że dane osobowe to każda informacja dotycząca konkretnej osoby lub osoby, którą można zidentyfikować. Wynika z tego fakt., że podstawową i wyróżniającą je cechą jest brak anonimowości. Dane wynikowe przetwarzane dla celów statystycznych nie będą więc uznawane jako informacje o charakterze osobowym, ponieważ nie są już powiązane z konkretną osobą, której tożsamość na ich podstawie można by ustalić, a ujawnienie ich nie stanowi żadnego zagrożenia dla prywatności tej osoby. (A.Mednis 1995, str.14)
W uproszczeniu można przyjąć, że dane osobowe stanowi połączenie imienia i nazwiska z innymi danymi osoby, np. numerem PESEL, NIP, datą urodzenia, ocenami studenta z ćwiczeń, itp.
Zgodnie z ustawą dane osobowe (art. 6 i 7 ustawy) to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Ustawa dotyczy danych osób fizycznych. Wyłącznie żyjących.
Inaczej ujmując dane osobowe to wszystkie informacje o konkretnej osobie (oznaczonej co do tożsamości), które zwyczajowe pozwalają tę osobę identyfikować (np. adres zamieszkania, data urodzenia, PESEL, NIP itp.), i te które dotyczą sfery życia prywatnego lub publicznego. Muszą wystąpić obie przesłanki łącznie, a więc identyfikacji konkretnej osoby i informacji jej dotyczących.
Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
Zbiór danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów
Przetwarzaniu danych - to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie , utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
System informatyczny - rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,
Administrator danych - rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, decydującą o celach
i środkach przetwarzania danych osobowych.
Zgodzie osoby, której dane dotyczą - rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie.
Organ ochrony danych osobowych i jego kompetencje.
Organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych (GIODO), który powoływany jest przez Sejm za zgodą Senatu i który w zakresie wykonywania swoich zadań podlega tylko ustawie. (art.8 ust.1,2,4 i 5).Ewa Kulesza.
Na stanowisko Generalnego Inspektora może być powołany ten, kto łącznie spełnia następujące warunki:
jest obywatelem polskim i stale zamieszkuje na terytorium Rzeczypospolitej Polskiej,
wyróżnia się wysokim autorytetem moralnym,
posiada wyższe wykształcenie prawnicze oraz odpowiednie doświadczenie zawodowe,
4) nie był karany za przestępstwo.
Generalny Inspektor w zakresie wykonywania swoich zadań podlega tylko ustawie.
Do jego zadań należy w szczególności:
kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych,
zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji, o których mowa w pkt 2, przez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2005 r. Nr 229, poz. 1954, z późn. zm.),
prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach,
opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych.
inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych,
uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.
W celu realizacji zadań art. 12 pkt 6 :
Generalny Inspektor może kierować do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych.
Generalny Inspektor może również występować do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych.
Podmiot, do którego zostało skierowane wystąpienie lub wniosek jest obowiązany ustosunkować się do tego wystąpienia lub wniosku na piśmie w terminie 30 dni od daty jego otrzymania.
Generalny Inspektor wykonuje swoje zadania przy pomocy Biura Generalnego Inspektora Ochrony Danych Osobowych.
W razie stwierdzenia nieprawidłowości Generalny Inspektor uprawniony jest nakazać - w drodze decyzji administracyjnej - administratorowi danych osobowych przywrócenie stanu zgodnego z prawem (art.18).- zlikwidowanie nieprawidłowości.
GIODO władny jest rozstrzygać kwestie sporne pomiędzy administratorem danych osobowych a osobą fizyczną, której dane taki administrator przetwarza (por. art. 12 pkt.2) stanowiący m.in. o rozpatrywaniu skarg w sprawach wykonania przepisów o ochronie danych osobowych (por. art. 32 ust.2).
Samo postępowanie przed GIODO toczy się według przepisów kodeksu postępowania administracyjnego (art.22). Strona może zwrócić do GIODO wnioskiem ponowne rozpatrzenie sprawy a na decyzję GIODO w przedmiocie takiego wniosku stronie przysługuje skarga do Naczelnego Sądu Administracyjnego(art.21).
GIODO prowadzi ogólnokrajowy rejestr zbiór danych osobowych zgłoszonych do rejestracji (art.42). Rejestr ten jest jawny i każdy ma prawo go przeglądać (art.42).
Zbiory danych podlegają obowiązkowemu zgłoszeniu przez administratorów danych do GIODO celem ich zarejestrowania (art.40), z tym , że ustawa przewiduje zwolnienia od tego obowiązku. (art.43).
Zasady przetwarzania danych osobowych
ZASADY POSTĘPOWANIA PRZY PRZETWARZANIU DANYCH OSOBOWYCH
zasady legalności - przetwarzać dane zgodnie z prawem, przez prawo dozwolone
zasady celowości - zbieranie danych dla oznaczonych, zgodnych z prawem celów, cel musi mieścić się w zakresie działalności prowadzonej przez administratora
zasady merytorycznej poprawności - dane powinny być zgodne z prawdą i aktualne,
zasady adekwatności - dane swoim rodzajem, treścią i stopniem szczegółowości nie powinny wykraczać poza cel ich przetwarzania,
zasady ograniczenia czasowego - przechowywać dane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
Przetwarzanie danych osobowych jest dopuszczalne gdy: (art. 23)
Osoba wyrazi zgodę, chyba, że chodzi o usunięcie danych.
Zezwalają na to przepisy prawa.
Jest niezbędne osobie, której dane dotyczą celem wywiązywania się z umowy , której jest stroną, lub przed zawarciem umowy .
Przetwarzanie danych w związku z realizacją zadań publicznych.
Jest niezbędna do wypełnienia usprawiedliwionych celów administratorów danych, a przetwarzanie danych nie narusza praw i wolności osób (osoby fizyczne nie mające osobowości prawnej, które przetwarzają dane w związku z działalnością zarobkową.
Jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, można przetwarzać je bez jej zgody do czasu gdy uzyskanie zgody będzie możliwe.
W momencie rozpoczęcia pracy gromadzenia danych (w przypadku osoby) administrator musi osobę zainteresowaną poinformować o jej prawach zgodnie z ustawą, czyli o:
adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,
celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych
odbiorcach lub kategoriach odbiorców danych,
prawie dostępu (wglądu) do treści swoich danych oraz ich poprawiania,
dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
Administrator nie podaje tych danych jeżeli:
osoba, której dane dotyczą, posiada już te informacje(danych administratora).
Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były: (art. 26)
przetwarzane zgodnie z prawem,
zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,
merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
4) przechowywane zgodne z celem.
2. Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą.(art. 26)
Zabrania się przetwarzania danych wrażliwych (sensytywnych) zawierające :
- pochodzenie rasowe lub etniczne,
- poglądy polityczne,
- przekonania religijne lub filozoficzne,
- przynależność wyznaniową, partyjną lub związkową,
- danych o stanie zdrowia,
- kodzie genetycznym,
- nałogach lub życiu seksualnym oraz
- danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń
wydanych w postępowaniu sądowym lub administracyjnym.
Te dane można udostępnić min.: (art. 27 ust. 2)
- za zgodą osoby gdy
- przepisy pozwalają, ale gwarantują ich ochronę
- przy dochodzeniu praw w sądzie,
- ochrony stanu zdrowia,
- podane przez osobę , której dane dotyczą.
Administrator danych odmawia udostępnienia danych osobowych ze zbioru danych podmiotom i osobom jeżeli spowodowałoby to:
ujawnienie wiadomości zawierających informacje niejawne,
zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego
zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa
istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób. (Art.34)
2. Prawa osoby, której dane dotyczą.
Każda osoba fizyczna ma prawo kontroli czy konkretny, znany jej administrator Danych osobowych (por.art.7pkt. 4), przetwarza dane osobowe jej dotyczące i czy robi to zgodnie z prawem. Ma ona prawo m.in. do tego, aby :
- zasięgać informacji co do przetwarzania takich danych,
- żądać ich aktualizacji, sprostowania,
- w pewnych sytuacjach ma prawo żądać zaprzestania przetwarzania takich danych (zob.art.24, art.25, art.32 i
art.42)
Jeżeli dane są przetwarzane dla celów naukowych, dydaktycznych, historycznych, statystycznych lub archiwalnych, administrator danych może odstąpić od informowania osób o przetwarzaniu ich danych w przypadkach, gdy pociągałoby to za sobą nakłady niewspółmierne z zamierzonym celem.
Osoba zainteresowana może skorzystać z prawa do informacji częściej niż raz na 6 miesięcy.
Jeżeli przepisy odrębnych ustaw (ust. o ochr. inf. niej. i ust. o Policji), które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw.(art.5)
Na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie jej danych osobowych, informacji (na piśmie).
W razie wykazania przez osobę, której dane osobowe dotyczą, że są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, dla którego zostały zebrane, administrator danych jest obowiązany, bez zbędnej zwłoki, do uzupełnienia, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, chyba że dotyczy to danych osobowych, w odniesieniu do których tryb ich uzupełnienia, uaktualnienia lub sprostowania określają odrębne ustawy.
W razie niedopełnienia przez administratora danych obowiązku osoba, której dane dotyczą, może się zwrócić do Generalnego Inspektora z wnioskiem o nakazanie dopełnienia tego obowiązku.
Administrator danych jest obowiązany poinformować bez zbędnej zwłoki innych administratorów, którym udostępnił zbiór danych, o dokonanym uaktualnieniu lub sprostowaniu danych.(art. 35)
3. Zabezpieczenie danych osobowych.
Każdy administrator danych osobowych, zobowiązany jest przestrzegać przepisów prawa w zakresie przetwarzania danych osobowych.
Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych . art. 39 a
Administrator danych , w celu zapewnienia ochrony przetwarzania danych, ma obowiązek opracowania i prowadzenia dokumentacji bezpieczeństwa, w skład której wchodzą:
polityka bezpieczeństwa
instrukcja zarządzania systemem informatycznym - „instrukcja”
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024)
POLITYKA BEZPIECZEŃSTWA zawiera m. in.:
wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe,
wykaz zbiorów danych oraz wykaz programów zastosowanych do przetwarzania danych osobowych,
określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych,
INSTRUKCJA ZARZĄDZANIA SYSTEMEM
INFORMATYCZNYM zawiera m. in.:
procedury nadawania uprawnień do przetwarzania danych oraz wskazanie osoby odpowiedzialnej za te czynności,
stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
procedury rozpoczęcia, zawieszenia i zakończenia pracy dla użytkowników systemu,
procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
sposób, miejsce i okres przechowywania nośników z danymi oraz kopii zapasowych.
Uwzględniając kategorie przetwarzanych danych oraz zagrożenia wprowadza się poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym:
podstawowy;
podwyższony;
wysoki.
Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, chyba że sam wykonuje te czynności.(art. 36)
Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania.
Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.
4. Rejestracja zbiorów.
Zgodnie z regulacją przepisu art. 40 ustawy administrator danych jest zobowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi , z wyjątkiem przypadków, które zostały wskazane w innych przepisach ustawy. (art. 43 ust. 1).
Zgłoszenie zbioru danych do rejestracji powinno zawierać:
wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,
oznaczenie podmiotu prowadzącego zbiór i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli zostałmu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru,
cel przetwarzania danych,
opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,
sposób zbierania oraz udostępniania danych,
informację o odbiorcach lub kategoriach odbiorca, którym dane nogą być przekazywane,
opis środków technicznych i organizacyjnych zastosowanych związanych z zabezpieczeniem danych,
informację o sposobie wypełniania warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a (informacja o sporządzeniu dokumentacji - polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych),
informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.
Zarejestrowaniu nie podlegają (art.43).
Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:
zawierających informacje niejawne,
które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,
przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,
przetwarzanych przez Generalnego Inspektora Informacji Finansowej,
przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Systemie Informacji Wizowej,
dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,
przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,
dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,
dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,
przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
powszechnie dostępnych,
przetwarzanych w celun przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,
przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.
Przekazywanie danych za granicę.
Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe daje gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowiązują na terytorium Rzeczypospolitej Polskiej.
Powyżej nie stosuje się gdy przesłanie danych osobowych wynika z obowiązku nałożonego na administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej.
Administrator danych może jednak przekazać dane osobowe do państwa trzeciego, jeżeli:
osoba, której dane dotyczą, udzieliła na to zgody na piśmie,
przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie,
przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem,
przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych,
przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,
dane są ogólnie dostępne.
W przypadkach innych przekazanie danych osobowych do państwa trzeciego, które nie daje gwarancji ochrony danych osobowych przynajmniej takich, jakie obowiązują na terytorium Rzeczypospolitej Polskiej, może nastąpić po uzyskaniu zgody Generalnego Inspektora, pod warunkiem że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.
Odpowiedzialność za naruszenie przepisów o ochronie danych osobowych.
Odpowiedzialność służbowa.
ADMINISTRACYJNA
Sankcje administracyjne są szczególnie dotkliwe dla działalności przedsiębiorstwa, ponieważ Generalny Inspektor Ochrony Danych Osobowych może w swej decyzji zgodnie z art. 18 ustawy, w razie stwierdzenia naruszenia przepisów o ochronie danych osobowych, nakazać: usunięcie uchybień, uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, zastosowanie dodatkowych środków zabezpieczających zgromadzone dane, wstrzymanie przekazywania danych osobowych za granicę, zabezpieczenie danych lub przekazanie ich innym podmiotom, usunięcie danych osobowych PRACOWNICZA
"na podstawie ustaleń kontroli inspektor BGIODO może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym dopuszczenia do uchybień i poinformowania go, w określonym terminie, o wynikach tego postępowania i podjętych działaniach"
KARY DYSCYPLINARNE
nagana, ostrzeżenie o niepełnej przydatności do służby na zajmowanym stanowisku, wyznaczenie na niższe stanowisko służbowe, wydalenie ze służby.
1