Ochrona informacji niejawnych

Jakie są wymagania wobec przedsiębiorcy ubiegającego się o zawarcie umów, z wykonaniem których wiąże się dostęp do informacji niejawnych?

[Zastosowane skróty:

1. Ustawa – ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych, t.j. Dz. U. z 2024 r. poz. 632, 1222

2. ABW - Agencja Bezpieczeństwa Wewnętrznego

3. SKW - Służba Kontrwywiadu Wojskowego]

I. Wymagania:

Prowadzenie przez przedsiębiorcę działalności, w szczególności – koncesjonowanej, niejednokrotnie wymaga dostępu do informacji niejawnych udostępnianych temu przedsiębiorcy w związku z realizacją określonej umowy lub innych zadań przewidzianych prawem.

W takich przypadkach jest on zobowiązany zapewnić odpowiedni, zgodny z właściwymi przepisami, poziom ochrony informacji niejawnych, włącznie z posiadaniem i funkcjonowaniem niezbędnego systemu organizacyjnego i technicznego.

W przeciwnym razie nie będzie on mógł ubiegać się o zawarcie wspomnianej umowy. Jeżeli bowiem z wykonaniem umowy wiąże się dostęp do informacji niejawnych oznaczonych klauzulą wyższą niż „zastrzeżone”, a mianowicie jedną z następujących klauzul: „poufne”, „tajne” lub „ściśle tajne”, od przedsiębiorcy wymagane jest posiadanie odpowiedniego świadectwa bezpieczeństwa przemysłowego. Potwierdza ono zdolność przedsiębiorcy do ochrony informacji niejawnych przed ich nieuprawnionym ujawnieniem w związku z realizacją przezeń umów lub zadań przewidzianych prawem.

Uczestniczący w ich realizacji pracownicy przedsiębiorcy również powinni spełniać określone wymagania, w szczególności – legitymować się odpowiednim poświadczeniem bezpieczeństwa i zaświadczeniem o przeszkoleniu w zakresie ochrony informacji niejawnych, wydanymi przez ABW lub SKW i stwierdzającymi ich zdolność do ochrony informacji niejawnych o klauzuli wyższej niż „zastrzeżone”.

W przypadku, gdy osoba fizyczna posiadająca ww. dokumenty prowadzi działalność gospodarczą, którą wykonuje jednoosbowo i osobiście, wówczas nie podlega obowiązkowi posiadania świadectwa bezpieczeństwa przemysłowego.

Mamy zatem do czynienia z dwoma trybami weryfikacji przez ABW lub SKW zdolności przedsiębiorcy zobowiązanego do zapewnienia ochrony informacji niejawnych udostępnianych jemu w związku z realizacją określonej umowy lub innych zadań przewidzianych prawem, a mianowicie:

1) osoba fizyczna, która jest pracownikiem ww. przedsiębiorcy lub prowadzi działalność gospodarczą, wykonywaną jednoosobowo i osobiście, podlega postępowaniu sprawdzającemu, zmierzającemu do ustalenia zdolności tej osoby do ochrony informacji niejawnych o klauzuli wyższej niż „zastrzeżone” oraz potwierdzenia jej w takim przypadku odpowiednim poświadczeniem bezpieczeństwa i zaświadczeniem o przeszkoleniu w zakresie ochrony informacji niejawnych;

2) inny przedsiębiorca, niezależnie od formy prawnej prowadzonej działalności, podlega postępowaniu bezpieczeństwa przemysłowego, które ma na celu ustalenie, czy posiada on zdolność do ochrony informacji niejawnych w różnych aspektach, jak np.: finansowym, organizacyjnym, kadrowym, przy czym postępowanie to obejmuje postępowania sprawdzające prowadzone wobec:

a) przedsiębiorcy;

b) osób mających uzyskać w przedsiębiorstwie dostęp do informacji niejawnych.

Jednostka organizacyjna zlecająca wykonanie umowy związanej z dostępem do informacji niejawnych o klauzuli wyższej niż „zastrzeżone” ma obowiązek wprowadzenia do umowy instrukcji bezpieczeństwa przemysłowego, która określa:

1) szczegółowe wymagania dotyczące ochrony informacji niejawnych,

2) skutki oraz zakres odpowiedzialności z tytułu:

a) niewykonania lub nienależytego wykonania obowiązków wynikających z ustawy,

b) nieprzestrzegania wymagań wskazanych w instrukcji.

Należy też określić:

1) klauzule tajności materiałów wytworzonych przez przedsiębiorcę w związku z wykonywaniem umowy,

2) sposób postępowania z materiałami niejawnymi, które zostaną przedsiębiorcy przekazane i przez niego wytworzone w związku z wykonywaniem umowy.

„Zgodnie z art. 54 ust. 9 Ustawy, przedsiębiorca zamierzający wykonywać umowy lub zadania związane z dostępem do informacji niejawnych o klauzuli „zastrzeżone” nie ma obowiązku posiadania świadectwa bezpieczeństwa przemysłowego. Jest on jednak, zgodnie z art. 54 ust. 10 Ustawy obowiązany spełnić wymagania ustawy w zakresie ochrony informacji niejawnych o klauzuli „zastrzeżone”, z wyjątkiem wymogu zatrudnienia pełnomocnika ochrony, jeżeli w ramach wykonywania umowy związanej z dostępem do tych informacji niejawnych, nie przetwarza ich w użytkowanych przez siebie obiektach tylko na terenie obiektów jednostki organizacyjnej zlecającej wykonanie umowy.

Ustawa określa wymagania, które powinni spełniać zarówno przedsiębiorcy wykonujący umowy/zadania związane z dostępem do informacji niejawnych o klauzuli „zastrzeżone”, ale nieprzetwarzający tych informacji w użytkowanych prze siebie obiektach, a mianowicie:

kierownik jednostki organizacyjnej (kierownik przedsiębiorcy) – aktualne przeszkolenie w zakresie ochrony informacji niejawnych;
pracownicy przedsiębiorcy realizujący umowę/zadanie związane z dostępem do informacji niejawnych o klauzuli „zastrzeżone” - pisemne upoważnienie kierownika jednostki organizacyjnej (w przypadku braku poświadczenia bezpieczeństwa), aktualne przeszkolenie w zakresie ochrony informacji niejawnych , stosowanie zasady „need-to-know”;

jak również przedsiębiorcy, którzy w ramach wykonywania ww. umowy/zadania przetwarzają informacje niejawne w użytkowanych obiektach, którzy oprócz spełniania ww. wymogów powinni:

zatrudnić pełnomocnika ochrony posiadającego poświadczenie bezpieczeństwa wydane przez ABW albo SKW i szkolenie w zakresie ochrony informacji niejawnych przeprowadzone nierzadkiej niż raz na 5 lat przez ABW albo SKW;
opracować i zatwierdzić dokumenty, o których mowa w art. 15 ust. 1 pkt 5 i art. 43 ust. 5 Ustawy oraz § 3 ust. 3 rozporządzenia Rady Ministrów z dnia 29 maja 2012 r. w sprawie środków bezpieczeństwa fizycznego stosowanych do zabezpieczania informacji niejawnych (Dz. U. z 2012 r. poz. 683 z późn. zm.);
posiadać akredytowany system teleinformatyczny w przypadku zamiaru przetwarzania tych informacji we własnych systemach teleinformatycznych, co m. in. wiąże się z koniecznością wyznaczenia przez kierownika przedsiębiorcy, posiadającego odpowiednie uprawnienia inspektora bezpieczeństwa teleinformatycznego i administratora systemu.”

(https://bip.abw.gov.pl/bip/informacje-niejawne-1/nadzor-nad-systemem-oc/bezpieczenstwo-przemys/148,BEZPIECZENSTWO-PRZEMYSLOWE.html#1a).

Wykaz podmiotów posiadających świadectwo bezpieczeństwa przemysłowego publikowany jest pod adresem: https://bip.abw.gov.pl/bip/informacje-niejawne-1/nadzor-nad-systemem-oc/bezpieczenstwo-przemys/148,BEZPIECZENSTWO-PRZEMYSLOWE.html#1a .