1.2. Podstawowe akty normatywne z zakresu bezpieczeństwa

informacyjnego

Ustawa z dnia 5 sierpnia 2010r. o ochronie informacji niejawnej, Dz.U.2010.182.1228;

Ustawa z dn. 29.08.97 o ochronie danych osobowych, Dz. U. z dn. 29.10.97 (znowelizowana ustawą z dn. 25.08.2001, stan prawny 2013r.);

Ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej. Dz.U. 2001 nr 112 poz. 1198;

Ustawa z dnia 4 lutego 1994 r. o prawie autorskim i prawach

pokrewnych, Dz.U. z 2006 nr 90 poz. 631, brzmienie od 21

października 2010;

Ustawa z dn. 18.09.2001 „o podpisie elektronicznym” Dz.U. Nr 130,

poz.1450 (wejście w życie 16.08.2002);

Ustawa z dn. 27.07.2001 „o ochronie baz danych” Dz.U. Nr 128,

poz.1402 (wejście w życie 9.11.2002);

Ustawa z dn.18.07.2002 „o świadczeniu usług drogą elektroniczną”.

Dz.U.Nr 144, poz. 1204.

Zapisy każdej z wymienionych ustaw zostały przytoczone poniżej wraz z krótkim

omówieniem. W opracowaniu pominięto aspekty prawne związane z zagrożeniami

karnymi wynikającymi z nieprzestrzegania postanowień przepisów ustawowych.

1.2.1. Ustawa o ochronie informacji niejawnej1

Ustawa o ochronie informacji niejawnej, określa zasady ochrony informacji,

których nieuprawnione ujawnienie spowodowałoby lub mogłoby spowodować szkody

dla Rzeczypospolitej Polskiej albo byłoby z punktu widzenia jej interesów

niekorzystne, także w trakcie ich opracowywania oraz niezależnie od formy i sposobu

ich wyrażania, zwanych dalej "informacjami niejawnymi", to jest zasady:

klasyfikowania informacji niejawnych;

organizowania ochrony informacji niejawnych;

przetwarzania informacji niejawnych;

postępowania sprawdzającego prowadzonego w celu ustalenia, czy osoba

nim objęta daje rękojmię zachowania tajemnicy, zwanego dalej odpowiednio

"postępowaniem sprawdzającym" lub "kontrolnym postępowaniem

sprawdzającym";

1 Ustawa z dnia 5 sierpnia 2010r. o ochronie informacji niejawnej, Dz.U.2010.182.1228

postępowania prowadzonego w celu ustalenia, czy przedsiębiorca nim objęty

zapewnia warunki do ochrony informacji niejawnych, zwanego dalej

"postępowaniem bezpieczeństwa przemysłowego";

organizacji kontroli stanu zabezpieczenia informacji niejawnych;

ochrony informacji niejawnych w systemach teleinformatycznych;

stosowania środków bezpieczeństwa fizycznego w odniesieniu do informacji

niejawnych.

1.2.1.1. Zastosowanie przepisów ustawy

Przepisy ustawy mają zastosowanie w stosunku do osób których zakres

obowiązków wymaga takiego stanu rzeczy i są pracownikami:

1) organów władzy publicznej, w szczególności:

a) Sejmu i Senatu;

b) Prezydenta Rzeczypospolitej Polskiej;

c) organów administracji rządowej;

d) organów jednostek samorządu terytorialnego, a także innych podległych im jednostek organizacyjnych lub przez nie nadzorowanych;

e) sądów i trybunałów;

f) organów kontroli państwowej i ochrony prawa;

2) jednostek organizacyjnych podległych Ministrowi Obrony Narodowej lub przez niego nadzorowanych;

3) Narodowego Banku Polskiego;

4) państwowych osób prawnych i innych niż wymienione w pkt 1-3 państwowych jednostek organizacyjnych;

5) jednostek organizacyjnych podległych organom władzy publicznej lub nadzorowanych przez te organy;

6) przedsiębiorców zamierzających ubiegać się albo ubiegających się o zawarcie umów związanych z dostępem do informacji niejawnych lub wykonujących takie umowy albo wykonujących na podstawie przepisów prawa zadania związane z dostępem do informacji niejawnych.

Trzeba tu zaznaczyć, że pod wymienionymi podmiotami należy rozumieć całe

zasoby ludzkie, zaangażowane do pracy w tych instytucjach, do czego niezbędny

jest im dostęp do informacji niejawnych. Kwestia liczności i wskazania tychże osób

leży w gestii odpowiedzialnego za funkcjonowanie danego pomiotu.

1.2.1.2. Klasyfikowanie informacji niejawnych

Informacjom niejawnym nadaje się klauzulę "ściśle tajne", jeżeli ich

nieuprawnione ujawnienie spowoduje wyjątkowo poważną szkodę dla

Rzeczypospolitej Polskiej przez to, że:

1) zagrozi niepodległości, suwerenności lub integralności terytorialnej Rzeczypospolitej Polskiej;

2) zagrozi bezpieczeństwu wewnętrznemu lub porządkowi konstytucyjnemu Rzeczypospolitej Polskiej;

3) zagrozi sojuszom lub pozycji międzynarodowej Rzeczypospolitej Polskiej;

4) osłabi gotowość obronną Rzeczypospolitej Polskiej;

5) doprowadzi lub może doprowadzić do identyfikacji funkcjonariuszy, żołnierzy lub pracowników służb odpowiedzialnych za realizację zadań wywiadu lub kontrwywiadu, którzy wykonują czynności operacyjno-rozpoznawcze, jeżeli zagrozi to bezpieczeństwu wykonywanych czynności lub może doprowadzić do identyfikacji osób udzielających im pomocy w tym zakresie;

6) zagrozi lub może zagrozić życiu lub zdrowiu funkcjonariuszy, żołnierzy lub pracowników, którzy wykonują czynności operacyjno-rozpoznawcze, lub osób udzielających im pomocy w tym zakresie;

7) zagrozi lub może zagrozić życiu lub zdrowiu świadków koronnych lub osób dla nich najbliższych albo świadków, o których mowa w art. 184 ustawy z dnia 6 czerwca 1997 r. - Kodeks postępowania karnego (Dz. U. nr 89, poz. 555, z późn. zm.), lub osób dla nich najbliższych.

Informacjom niejawnym nadaje się klauzulę "tajne", jeżeli ich nieuprawnione

ujawnienie spowoduje poważną szkodę dla Rzeczypospolitej Polskiej przez to, że:

1) uniemożliwi realizację zadań związanych z ochroną suwerenności lub porządku konstytucyjnego Rzeczypospolitej Polskiej;

2) pogorszy stosunki Rzeczypospolitej Polskiej z innymi państwami lub organizacjami międzynarodowymi;

3) zakłóci przygotowania obronne państwa lub funkcjonowanie Sił Zbrojnych Rzeczypospolitej Polskiej;

4) utrudni wykonywanie czynności operacyjno-rozpoznawczych prowadzonych w celu zapewnienia bezpieczeństwa państwa lub ścigania sprawców zbrodni przez służby lub instytucje do tego uprawnione;

5) w istotny sposób zakłóci funkcjonowanie organów ścigania i wymiaru sprawiedliwości;

6) przyniesie stratę znacznych rozmiarów w interesach ekonomicznych Rzeczypospolitej Polskiej.

Informacjom niejawnym nadaje się klauzulę "poufne", jeżeli ich nieuprawnione

ujawnienie spowoduje szkodę dla Rzeczypospolitej Polskiej przez to, że:

1) utrudni prowadzenie bieżącej polityki zagranicznej Rzeczypospolitej Polskiej;

2) utrudni realizację przedsięwzięć obronnych lub negatywnie wpłynie na zdolność bojową Sił Zbrojnych Rzeczypospolitej Polskiej;

3) zakłóci porządek publiczny lub zagrozi bezpieczeństwu obywateli;

4) utrudni wykonywanie zadań służbom lub instytucjom odpowiedzialnym za ochronę bezpieczeństwa lub podstawowych interesów Rzeczypospolitej Polskiej;

5) utrudni wykonywanie zadań służbom lub instytucjom odpowiedzialnym za ochronę porządku publicznego, bezpieczeństwa obywateli lub ściganie sprawców przestępstw i przestępstw skarbowych oraz organom wymiaru sprawiedliwości;

6) zagrozi stabilności systemu finansowego Rzeczypospolitej Polskiej;

7) wpłynie niekorzystnie na funkcjonowanie gospodarki narodowej.

Informacjom niejawnym nadaje się klauzulę "zastrzeżone", jeżeli nie nadano im

wyższej klauzuli tajności, a ich nieuprawnione ujawnienie może mieć szkodliwy

wpływ na wykonywanie przez organy władzy publicznej lub inne jednostki

organizacyjne zadań w zakresie obrony narodowej, polityki zagranicznej,

bezpieczeństwa publicznego, przestrzegania praw i wolności obywateli, wymiaru

sprawiedliwości albo interesów ekonomicznych Rzeczypospolitej Polskiej.

Informacje niejawne przekazane przez organizacje międzynarodowe lub inne

państwa na podstawie umów międzynarodowych oznacza się polskim

odpowiednikiem posiadanej klauzuli tajności.

Klauzulę tajności nadaje osoba, która jest uprawniona do podpisania dokumentu

lub oznaczenia innego niż dokument materiału. Oznacza to, że wykonawca

dokumentu może jedynie proponować poziom niejawności jaki należy nadać

wytwarzanemu przez niego dokumentowi i nie może on być wyższy niż przyznany

mu w poświadczeniu bezpieczeństwa.

Zniesienie lub zmiana klauzuli tajności są możliwe wyłącznie po wyrażeniu

pisemnej zgody przez osobę która ją nadała, albo jej przełożonego w przypadku

ustania lub zmiany ustawowych przesłanek ochrony.

Kierownicy jednostek organizacyjnych przeprowadzają nie rzadziej niż raz na 5 lat

przegląd materiałów w celu ustalenia, czy spełniają ustawowe przesłanki ochrony. W

zdecydowanej ilości przypadków wiąże się to z obniżeniem poziomu klauzuli

niejawności i nierzadko z odtajnieniem dokumentów.

Pisemną zgodę na wykonanie powyższych czynności, w przypadku informacji

niejawnych o klauzuli "ściśle tajne", wyraża kierownik jednostki organizacyjnej, w

której materiałowi została nadana ta klauzula tajności.

Po zniesieniu lub zmianie klauzuli tajności podejmuje się czynności polegające na

naniesieniu odpowiednich zmian w oznaczeniu materiału i poinformowaniu o nich

odbiorców. Odbiorcy materiału, którzy przekazali go kolejnym odbiorcom, są

odpowiedzialni za poinformowanie ich o zniesieniu lub zmianie klauzuli tajności.

Uprawnienia w zakresie zniesienia lub zmiany klauzuli tajności materiału

przechodzą, w przypadku rozwiązania, zniesienia, likwidacji, upadłości obejmującej

likwidację majątku upadłego, przekształcenia lub reorganizacji jednostki

organizacyjnej, na jej następcę prawnego. W razie braku następcy prawnego

uprawnienia w tym zakresie przechodzą na Agencję Bezpieczeństwa Wewnętrznego

(ABW), lub Służbę Kontrwywiadu Wojskowego (SKW).

Poszczególne części materiału mogą być oznaczone różnymi klauzulami tajności.

W przypadku kiedy taki zróżnicowany dokument będzie przesyłany, to pismu

przewodniemu nadaje się klauzulę równą z najwyższą klauzulą części zawartej w

tym dokumencie. Po dotarciu do adresata i odłączeniu dokumentu merytorycznego,

pismo przewodnie staje się jawne.

Informacje niejawne, którym nadano określoną klauzulę tajności mogą być

udostępnione wyłącznie osobie uprawnionej, zgodnie z przepisami ustawy

dotyczącymi dostępu do określonej klauzuli tajności. Jest to jednak warunek

podstawowy ale niewystarczający, bowiem oprócz posiadania odpowiedniego

poświadczenia bezpieczeństwa, uprawnienie to wiąże się z koniecznością

korzystania z konkretnego dokumentu w celu realizacji zadań pracowniczych stałych

lub zleconych przez kierownika podmiotu.

Dokumenty te muszą być przetwarzane w warunkach uniemożliwiających ich

nieuprawnione ujawnienie, zgodnie z przepisami określającymi wymagania

dotyczące kancelarii tajnych, bezpieczeństwa systemów teleinformatycznych, obiegu

materiałów i fizycznych środków bezpieczeństwa, odpowiednich do nadanej klauzuli

tajności.

Odbiorca materiału, w przypadku stwierdzenia zawyżenia lub zaniżenia klauzuli

tajności, może zwrócić się do osoby, która ją nadała, albo przełożonego tej osoby z

wnioskiem o dokonanie stosownej zmiany. W przypadku odmowy dokonania zmiany

lub nieudzielenia odpowiedzi w ciągu 30 dni od daty złożenia wniosku odbiorca

materiału może zwrócić się odpowiednio do ABW lub SKW o rozstrzygnięcie sporu,

który powinien być rozstrzygnięty w terminie 30 dni od daty złożenia wniosku.

1.2.1.3. Organizacja ochrony informacji niejawnych

ABW i SKW, nadzorując funkcjonowanie systemu ochrony informacji niejawnych w

jednostkach organizacyjnych pozostających w ich właściwości prowadzą kontrolę

ochrony informacji niejawnych i przestrzegania przepisów obowiązujących w tym

zakresie, realizują zadania w zakresie bezpieczeństwa systemów

teleinformatycznych, prowadzą postępowania sprawdzające, kontrolne postępowania

sprawdzające oraz postępowania bezpieczeństwa przemysłowego, a także

zapewniają ochronę informacji niejawnych wymienianych między RP a innymi

państwami lub organizacjami międzynarodowymi. Ponadto zajmują się

prowadzeniem doradztwa i szkoleniami w zakresie ochrony informacji niejawnych.

SKW realizuje zadania w odniesieniu do:

1) Ministerstwa Obrony Narodowej oraz jednostek organizacyjnych podległych

Ministrowi Obrony Narodowej lub przez niego nadzorowanych;

2) ataszatów obrony w placówkach zagranicznych;

3) żołnierzy w służbie czynnej wyznaczonych na stanowiska służbowe w

innych jednostkach organizacyjnych niż wymienione w pkt 1 i 2.

ABW realizuje zadania w odniesieniu do jednostek organizacyjnych i osób

podlegających ustawie, niewymienionych w ust. 2.

Szef ABW pełni funkcję krajowej władzy bezpieczeństwa. Krajowa władza

bezpieczeństwa jest właściwa do nadzorowania systemu ochrony informacji

niejawnych w stosunkach RP z innymi państwami lub organizacjami

międzynarodowymi i wydawania dokumentów upoważniających do dostępu do

informacji niejawnych Organizacji Traktatu Północnoatlantyckiego, zwanej dalej

"NATO", Unii Europejskiej lub innych organizacji międzynarodowych, zwanych dalej

"informacjami niejawnymi międzynarodowymi".

W zakresie niezbędnym do kontroli stanu zabezpieczenia informacji niejawnych,

upoważnieni pisemnie funkcjonariusze ABW albo funkcjonariusze lub żołnierze SKW

mają prawo do:

1) wstępu do obiektów i pomieszczeń jednostki kontrolowanej, gdzie

informacje takie są przetwarzane;

2) wglądu do dokumentów związanych z organizacją ochrony tych informacji w

kontrolowanej jednostce organizacyjnej;

3) żądania udostępnienia do kontroli systemów teleinformatycznych służących

do przetwarzania tych informacji;

4) przeprowadzania oględzin obiektów, składników majątkowych i

sprawdzania przebiegu określonych czynności związanych z ochroną tych

informacji;

5) żądania od kierowników i pracowników kontrolowanych jednostek

organizacyjnych udzielania ustnych i pisemnych wyjaśnień;

6) zasięgania w związku z przeprowadzaną kontrolą informacji w jednostkach

niekontrolowanych, jeżeli ich działalność pozostaje w związku z

przetwarzaniem lub ochroną informacji niejawnych, oraz żądania wyjaśnień od

kierowników i pracowników tych jednostek;

7) powoływania oraz korzystania z pomocy biegłych i specjalistów, jeżeli

stwierdzenie okoliczności ujawnionych w czasie przeprowadzania kontroli

wymaga wiadomości specjalnych;

8) uczestniczenia w posiedzeniach kierownictwa, organów zarządzających lub

nadzorczych, a także organów opiniodawczo-doradczych w sprawach

dotyczących problematyki ochrony tych informacji w kontrolowanej jednostce

organizacyjnej.

Kierownik jednostki organizacyjnej, w której są przetwarzane informacje niejawne,

odpowiada za ich ochronę, w szczególności za zorganizowanie i zapewnienie

funkcjonowania tej ochrony. Podlega mu zatrudniony przez niego pełnomocnik do

spraw ochrony informacji niejawnych, który odpowiada za zapewnienie

przestrzegania przepisów o ochronie informacji niejawnych.

Pełnomocnikiem ochrony może być osoba, która posiada:

1) obywatelstwo polskie;

2) wykształcenie wyższe;

3) odpowiednie poświadczenie bezpieczeństwa wydane przez ABW albo

SKW, a także przez były Urząd Ochrony Państwa lub byłe Wojskowe Służby

Informacyjne;

4) zaświadczenie o przeszkoleniu w zakresie ochrony informacji niejawnych

przeprowadzonym przez ABW albo SKW, a także przez byłe Wojskowe

Służby Informacyjne.

Do zadań pełnomocnika ochrony należy:

1) zapewnienie ochrony informacji niejawnych, w tym stosowanie środków

bezpieczeństwa fizycznego;

2) zapewnienie ochrony systemów teleinformatycznych, w których są

przetwarzane informacje niejawne;

3) zarządzanie ryzykiem bezpieczeństwa informacji niejawnych, w

szczególności szacowanie ryzyka;

4) kontrola ochrony informacji niejawnych oraz przestrzegania przepisów o

ochronie tych informacji, w szczególności okresowa (co najmniej raz na trzy

lata) kontrola ewidencji, materiałów i obiegu dokumentów;

5) opracowywanie i aktualizowanie, wymagającego akceptacji kierownika

jednostki organizacyjnej, planu ochrony informacji niejawnych w jednostce

organizacyjnej, w tym w razie wprowadzenia stanu nadzwyczajnego, i

nadzorowanie jego realizacji;

6) prowadzenie szkoleń w zakresie ochrony informacji niejawnych;

7) prowadzenie zwykłych postępowań sprawdzających oraz kontrolnych

postępowań sprawdzających;

8) prowadzenie aktualnego wykazu osób zatrudnionych lub pełniących służbę

w jednostce organizacyjnej albo wykonujących czynności zlecone, które

posiadają uprawnienia do dostępu do informacji niejawnych, oraz osób,

którym odmówiono wydania poświadczenia bezpieczeństwa lub je cofnięto,

obejmującego wyłącznie:

a) imię i nazwisko,

b) numer PESEL,

c) imię ojca,

d) datę i miejsce urodzenia,

e) adres miejsca zamieszkania lub pobytu,

f) określenie dokumentu kończącego procedurę, datę jego wydania

oraz numer;

9) przekazywanie odpowiednio ABW lub SKW do ewidencji danych osób

uprawnionych do dostępu do informacji niejawnych, a także osób, którym

odmówiono wydania poświadczenia bezpieczeństwa lub wobec których

podjęto decyzję o cofnięciu poświadczenia bezpieczeństwa.

W przypadku stwierdzenia naruszenia w jednostce organizacyjnej przepisów o

ochronie informacji niejawnych pełnomocnik ochrony zawiadamia o tym kierownika

jednostki organizacyjnej i podejmuje niezwłocznie działania zmierzające do

wyjaśnienia okoliczności tego naruszenia oraz ograniczenia jego negatywnych

skutków.

W przypadku stwierdzenia naruszenia przepisów o ochronie informacji niejawnych

o klauzuli "poufne" lub wyższej pełnomocnik ochrony zawiadamia niezwłocznie

również odpowiednio ABW lub SKW.

1.2.1.4. Szkolenie w zakresie ochrony informacji niejawnych

Szkolenie w zakresie ochrony informacji niejawnych przeprowadza się w celu

zapoznania z:

1) przepisami dotyczącymi ochrony informacji niejawnych oraz

odpowiedzialności karnej, dyscyplinarnej i służbowej za ich naruszenie, w

szczególności za nieuprawnione ujawnienie informacji niejawnych;

2) zasadami ochrony informacji niejawnych w zakresie niezbędnym do

wykonywania pracy lub pełnienia służby, z uwzględnieniem zasad zarządzania

ryzykiem bezpieczeństwa informacji niejawnych, w szczególności szacowania

ryzyka;

3) sposobami ochrony informacji niejawnych oraz postępowania w sytuacjach

zagrożenia dla takich informacji lub w przypadku ich ujawnienia.

Szkolenie, o którym mowa w ust. 1:

1) przeprowadzają odpowiednio ABW lub SKW - dla pełnomocników ochrony i

ich zastępców oraz osób przewidzianych na te stanowiska, przedsiębiorców

wykonujących działalność jednoosobowo, a także dla kierowników

przedsiębiorców, u których nie zatrudniono pełnomocników ochrony;

2) przeprowadzają odpowiednio ABW lub SKW, wspólnie z pełnomocnikiem

ochrony - dla kierownika jednostki organizacyjnej, w której są przetwarzane

informacje niejawne o klauzuli "ściśle tajne" lub "tajne";

3) organizuje pełnomocnik ochrony - dla pozostałych osób zatrudnionych,

pełniących służbę lub wykonujących czynności zlecone w jednostce

organizacyjnej;

4) przeprowadza ABW - dla posłów i senatorów.

Szkolenie przeprowadza się nie rzadziej niż raz na 5 lat. Można odstąpić od

przeprowadzenia szkolenia, jeżeli osoba podejmująca pracę lub rozpoczynająca

pełnienie służby albo wykonywanie czynności zleconych przedstawi pełnomocnikowi

ochrony aktualne zaświadczenie o odbyciu szkolenia.

Szkolenie kończy się wydaniem zaświadczenia. Odbierając zaświadczenie, osoba

przeszkolona składa pisemne oświadczenie o zapoznaniu się z przepisami o

ochronie informacji niejawnych.

1.2.1.5. Bezpieczeństwo osobowe

Dopuszczenie do pracy lub pełnienia służby na stanowiskach albo zlecenie prac

związanych z dostępem do informacji niejawnych o klauzuli "poufne" lub wyższej

może nastąpić po:

1) uzyskaniu poświadczenia bezpieczeństwa;

2) odbyciu szkolenia w zakresie ochrony informacji niejawnych.

Dopuszczenie do pracy lub pełnienia służby na stanowiskach albo zlecenie prac,

związanych z dostępem danej osoby do informacji niejawnych o klauzuli

"zastrzeżone" może nastąpić po:

1) pisemnym upoważnieniu przez kierownika jednostki organizacyjnej, jeżeli

nie posiada ona poświadczenia bezpieczeństwa;

2) odbyciu szkolenia w zakresie ochrony informacji niejawnych.

W zależności od stanowiska lub wykonywania czynności zleconych, o które

ubiega się osoba, zwana dalej "osobą sprawdzaną", przeprowadza się:

1) zwykłe postępowanie sprawdzające - przy stanowiskach i pracach

związanych z dostępem do informacji niejawnych o klauzuli "poufne", z

zastrzeżeniem pkt 2 lit. b-d;

2) poszerzone postępowanie sprawdzające:

a) przy stanowiskach i pracach związanych z dostępem do informacji

niejawnych o klauzuli "tajne" lub "ściśle tajne";

b) wobec pełnomocników ochrony, zastępców pełnomocników ochrony

oraz kandydatów na te stanowiska;

c) wobec kierowników jednostek organizacyjnych, w których są

przetwarzane informacje niejawne o klauzuli "poufne" lub wyższej;

d) wobec osób ubiegających się o dostęp do informacji niejawnych

międzynarodowych lub o dostęp, który ma wynikać z umowy

międzynarodowej zawartej przez Rzeczpospolitą Polską.

Osobom sprawdzonym wydaje się poświadczenia bezpieczeństwa upoważniające

do dostępu do informacji niejawnych o takiej klauzuli, jaka została wskazana we

wniosku lub poleceniu.

Pełnomocnik ochrony przeprowadza zwykłe postępowanie sprawdzające na

pisemne polecenie kierownika jednostki organizacyjnej.

ABW albo SKW przeprowadzają poszerzone postępowania sprawdzające:

1) na pisemny wniosek kierownika jednostki organizacyjnej lub osoby

uprawnionej do obsady stanowiska lub zlecenia prac;

2) wobec funkcjonariuszy, żołnierzy i pracowników oraz osób ubiegających się

o przyjęcie do służby lub pracy w ABW albo SKW;

3) wobec osób wykonujących czynności zlecone lub ubiegających się o

wykonywanie tych czynności na rzecz ABW albo SKW.

ABW przeprowadza poszerzone postępowania sprawdzające wobec:

1) Szefa SKW, Szefa Agencji Wywiadu, zwanej dalej "AW", Szefa CBA, Szefa

Biura Ochrony Rządu, Komendanta Głównego Policji, Dyrektora Generalnego

Służby Więziennej, Komendanta Głównego Straży Granicznej oraz osób

przewidzianych na te stanowiska;

2) pełnomocników ochrony, zastępców pełnomocników ochrony oraz osób

przewidzianych na te stanowiska w SKW, AW, CBA, Biurze Ochrony Rządu,

Policji, Służbie Więziennej oraz Straży Granicznej.

SKW przeprowadza poszerzone postępowania sprawdzające wobec:

1) Szefa ABW, Szefa Służby Wywiadu Wojskowego, zwanej dalej "SWW",

Komendanta Głównego Żandarmerii Wojskowej oraz osób przewidzianych na

te stanowiska;

2) pełnomocników ochrony, zastępców pełnomocników ochrony oraz osób

przewidzianych na te stanowiska w ABW, SWW oraz Żandarmerii Wojskowej.

AW, CBA, Biuro Ochrony Rządu, Policja, Służba Więzienna, SWW, Straż

Graniczna oraz Żandarmeria Wojskowa przeprowadzają samodzielnie

postępowania sprawdzające oraz kontrolne postępowania sprawdzające

odpowiednio wobec:

1) własnych funkcjonariuszy, żołnierzy i pracowników oraz osób ubiegających

się o przyjęcie do służby lub pracy;

2) osób wykonujących na ich rzecz czynności zlecone lub ubiegających się o

wykonywanie tych czynności.

Postępowanie sprawdzające ma na celu ustalenie, czy osoba sprawdzana daje

rękojmię zachowania tajemnicy. W toku postępowania sprawdzającego ustala się,

czy istnieją uzasadnione wątpliwości dotyczące:

1) uczestnictwa, współpracy lub popierania przez osobę sprawdzaną

działalności szpiegowskiej, terrorystycznej, sabotażowej albo innej

wymierzonej przeciwko Rzeczypospolitej Polskiej;

2) zagrożenia osoby sprawdzanej ze strony obcych służb specjalnych w

postaci prób werbunku lub nawiązania z nią kontaktu;

3) przestrzegania porządku konstytucyjnego Rzeczypospolitej Polskiej, a

przede wszystkim, czy osoba sprawdzana uczestniczyła lub uczestniczy w

działalności partii politycznych lub innych organizacji, o których mowa w art.

13 Konstytucji Rzeczypospolitej Polskiej, albo współpracowała lub

współpracuje z takimi partiami lub organizacjami;

4) ukrywania lub świadomego niezgodnego z prawdą podawania w ankiecie

bezpieczeństwa osobowego, zwanej dalej "ankietą", lub postępowaniu

sprawdzającym przez osobę sprawdzaną informacji mających znaczenie dla

ochrony informacji niejawnych;

5) wystąpienia związanych z osobą sprawdzaną okoliczności powodujących

ryzyko jej podatności na szantaż lub wywieranie presji;

6) niewłaściwego postępowania z informacjami niejawnymi, jeżeli:

a) doprowadziło to bezpośrednio do ujawnienia tych informacji osobom

nieuprawnionym;

b) było to wynikiem celowego działania;

c) stwarzało to realne zagrożenie ich nieuprawnionym ujawnieniem i nie

miało charakteru incydentalnego;

d) dopuściła się tego osoba szczególnie zobowiązana na podstawie

ustawy do ochrony informacji niejawnych: pełnomocnik ochrony, jego

zastępca lub kierownik kancelarii tajnej.

W toku poszerzonego postępowania sprawdzającego ustala się ponadto, czy

istnieją wątpliwości dotyczące:

1) poziomu życia osoby sprawdzanej wyraźnie przewyższającego uzyskiwane

przez nią dochody;

2) informacji o chorobie psychicznej lub innych zakłóceniach czynności

psychicznych ograniczających sprawność umysłową i mogących negatywnie

wpłynąć na zdolność osoby sprawdzanej do wykonywania prac, związanych z

dostępem do informacji niejawnych;

3) uzależnienia od alkoholu, środków odurzających lub substancji

psychotropowych.

Zwykłe postępowanie sprawdzające obejmuje:

1) sprawdzenie, w niezbędnym zakresie, w ewidencjach, rejestrach i

kartotekach, w szczególności w Krajowym Rejestrze Karnym, danych

zawartych w wypełnionej i podpisanej przez osobę sprawdzaną ankiecie, a

także sprawdzenie innych informacji uzyskanych w toku postępowania

sprawdzającego, w zakresie niezbędnym do ustalenia, czy osoba sprawdzana

daje rękojmię zachowania tajemnicy;

2) sprawdzenie w ewidencjach i kartotekach niedostępnych powszechnie

danych zawartych w ankiecie oraz innych informacji uzyskanych w toku

postępowania sprawdzającego, w zakresie niezbędnym do ustalenia, czy

osoba sprawdzana daje rękojmię zachowania tajemnicy.

Postępowanie sprawdzające kończy się:

1) wydaniem poświadczenia bezpieczeństwa;

2) odmową wydania poświadczenia bezpieczeństwa;

3) umorzeniem.

Po zakończeniu postępowania sprawdzającego z wynikiem pozytywnym organ

prowadzący postępowanie wydaje poświadczenie bezpieczeństwa i przekazuje

osobie sprawdzanej, zawiadamiając o tym wnioskodawcę.

Poświadczenie bezpieczeństwa powinno zawierać:

1) numer poświadczenia;

2) podstawę prawną;

3) wskazanie wnioskodawcy postępowania sprawdzającego;

4) określenie organu, który przeprowadził postępowanie sprawdzające;

5) datę i miejsce wystawienia;

6) imię, nazwisko i datę urodzenia osoby sprawdzanej;

7) określenie rodzaju przeprowadzonego postępowania sprawdzającego ze

wskazaniem klauzuli tajności informacji niejawnych, do których osoba

sprawdzana może mieć dostęp;

8) stwierdzenie, że osoba sprawdzana daje rękojmię zachowania tajemnicy;

9) termin ważności;

10) imienną pieczęć i podpis upoważnionego funkcjonariusza ABW albo

funkcjonariusza lub żołnierza SKW, albo pełnomocnika ochrony, który

przeprowadził postępowanie sprawdzające.

Poświadczenie bezpieczeństwa wydaje się na okres:

1) 10 lat - w przypadku dostępu do informacji niejawnych o klauzuli "poufne";

2) 7 lat - w przypadku dostępu do informacji niejawnych o klauzuli "tajne";

3) 5 lat - w przypadku dostępu do informacji niejawnych o klauzuli "ściśle

tajne".

Na pisemny wniosek kierownika jednostki organizacyjnej lub osoby uprawnionej

do obsady stanowiska, złożony co najmniej na 6 miesięcy przed upływem terminu

ważności poświadczenia bezpieczeństwa, właściwy organ przeprowadza kolejne

postępowanie sprawdzające.

1.2.1.6. Kancelarie tajne. Środki bezpieczeństwa fizycznego

Kierownik jednostki organizacyjnej, w której są przetwarzane informacje niejawne

o klauzuli "tajne" lub "ściśle tajne", tworzy kancelarię, zwaną dalej "kancelarią tajną", i

zatrudnia jej kierownika. W przypadku uzasadnionym względami organizacyjnymi

kierownik jednostki organizacyjnej może utworzyć więcej niż jedną kancelarię tajną.

Za zgodą odpowiednio ABW lub SKW, można utworzyć kancelarię tajną obsługującą

dwie lub więcej jednostek organizacyjnych.

Kancelaria tajna stanowi wyodrębnioną komórkę organizacyjną, w zakresie

ochrony informacji niejawnych podległą pełnomocnikowi ochrony, obsługiwaną przez

pracowników pionu ochrony, odpowiedzialną za właściwe rejestrowanie,

przechowywanie, obieg i wydawanie materiałów uprawnionym osobom. Kierownik

jednostki organizacyjnej może wyrazić zgodę na przetwarzanie w kancelarii tajnej

informacji niejawnych o klauzuli "poufne" lub "zastrzeżone".

Organizacja pracy kancelarii tajnej zapewnia możliwość ustalenia w każdych

okolicznościach, gdzie znajduje się materiał o klauzuli "tajne" lub "ściśle tajne"

pozostający w dyspozycji jednostki organizacyjnej oraz kto z tym materiałem się

zapoznał i odmawia udostępnienia lub wydania materiału osobie nieuprawnionej.

Jednostki organizacyjne, w których są przetwarzane informacje niejawne, stosują

środki bezpieczeństwa fizycznego odpowiednie do poziomu zagrożeń w celu

uniemożliwienia osobom nieuprawnionym dostępu do takich informacji, w

szczególności chroniące przed:

1) działaniem obcych służb specjalnych;

2) zamachem terrorystycznym lub sabotażem;

3) kradzieżą lub zniszczeniem materiału;

4) próbą wejścia osób nieuprawnionych do pomieszczeń, w których są

przetwarzane informacje niejawne;

5) nieuprawnionym dostępem do informacji o wyższej klauzuli tajności

niewynikającym z posiadanych uprawnień.

Zakres stosowania środków bezpieczeństwa fizycznego uzależnia się od poziomu

zagrożeń związanych z nieuprawnionym dostępem do informacji niejawnych lub ich

utratą. Przy określaniu poziomu zagrożeń uwzględnia się w szczególności

występujące rodzaje zagrożeń, klauzule tajności i liczbę informacji niejawnych.

W celu uniemożliwienia osobom nieuprawnionym dostępu do informacji

niejawnych o klauzuli "poufne" lub wyższej należy w szczególności:

1) zorganizować strefy ochronne;

2) wprowadzić system kontroli wejść i wyjść ze stref ochronnych;

3) określić uprawnienia do przebywania w strefach ochronnych;

4) stosować wyposażenie i urządzenia służące ochronie informacji

niejawnych, którym przyznano certyfikaty.

1.2.1.7. Bezpieczeństwo teleinformatyczne

Systemy teleinformatyczne, w których mają być przetwarzane informacje

niejawne, podlegają akredytacji bezpieczeństwa teleinformatycznego na czas nie

dłuższy niż 5 lat.

ABW albo SKW udziela albo odmawia udzielenia akredytacji bezpieczeństwa

teleinformatycznego dla systemu teleinformatycznego przeznaczonego do

przetwarzania informacji niejawnych o klauzuli "poufne" lub wyższej w terminie 6

miesięcy od otrzymania kompletnej dokumentacji bezpieczeństwa systemu

teleinformatycznego. W uzasadnionych przypadkach, w szczególności wynikających

z rozległości systemu i stopnia jego skomplikowania, termin ten może być

przedłużony o kolejne 6 miesięcy. Od odmowy udzielenia akredytacji nie służy

odwołanie.

Potwierdzeniem udzielenia przez ABW albo SKW akredytacji jest świadectwo

akredytacji bezpieczeństwa systemu teleinformatycznego.

Można odstąpić od przeprowadzenia audytu bezpieczeństwa systemu

teleinformatycznego jeżeli system jest przeznaczony do przetwarzania informacji

niejawnych o klauzuli "poufne".

Kierownik jednostki organizacyjnej udziela akredytacji bezpieczeństwa

teleinformatycznego dla systemu teleinformatycznego przeznaczonego do

przetwarzania informacji niejawnych o klauzuli "zastrzeżone" przez zatwierdzenie

dokumentacji bezpieczeństwa systemu teleinformatycznego.

W ciągu 30 dni od otrzymania dokumentacji bezpieczeństwa systemu

teleinformatycznego ABW albo SKW może przedstawić kierownikowi jednostki

organizacyjnej, który udzielił akredytacji bezpieczeństwa teleinformatycznego,

zalecenia dotyczące konieczności przeprowadzenia dodatkowych czynności

związanych z bezpieczeństwem informacji niejawnych. Kierownik jednostki

organizacyjnej w terminie 30 dni od otrzymania zalecenia informuje odpowiednio

ABW lub SKW o realizacji zaleceń. W szczególnie uzasadnionych przypadkach ABW

albo SKW może nakazać wstrzymanie przetwarzania informacji niejawnych w

systemie teleinformatycznym posiadającym akredytację bezpieczeństwa

teleinformatycznego.

Dokument szczególnych wymagań bezpieczeństwa systemu teleinformatycznego

powinien zawierać w szczególności wyniki procesu szacowania ryzyka dla

bezpieczeństwa informacji niejawnych przetwarzanych w systemie

teleinformatycznym oraz określać przyjęte w ramach zarządzania ryzykiem sposoby

osiągania i utrzymywania odpowiedniego poziomu bezpieczeństwa systemu, a także

opisywać aspekty jego budowy, zasady działania i eksploatacji, które mają związek z

bezpieczeństwem systemu lub wpływają na jego bezpieczeństwo. Przebieg i wyniki

procesu szacowania ryzyka mogą zostać przedstawione w odrębnym dokumencie

niż dokument szczególnych wymagań bezpieczeństwa.

Dokument ten opracowuje się na etapie projektowania, w razie potrzeby

konsultuje z ABW albo SKW, bieżąco uzupełnia na etapie wdrażania i modyfikuje na

etapie eksploatacji przed dokonaniem zmian w systemie teleinformatycznym.

Dokument procedur bezpiecznej eksploatacji opracowuje się na etapie wdrażania

oraz modyfikuje na etapie eksploatacji przed dokonaniem zmian w systemie

teleinformatycznym.

Podstawą dokonywania wszelkich zmian w systemie teleinformatycznym jest

przeprowadzenie procesu szacowania ryzyka dla bezpieczeństwa informacji

niejawnych przetwarzanych w tym systemie.

5. Kierownik jednostki organizacyjnej, w której będzie funkcjonował system

teleinformatyczny, odpowiada za opracowanie oraz przekazanie odpowiednio ABW

lub SKW dokumentacji bezpieczeństwa systemu teleinformatycznego.

W terminie 30 dni od otrzymania dokumentacji bezpieczeństwa systemu

teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych o

klauzuli "poufne" lub wyższej ABW albo SKW przeprowadza na jej podstawie ocenę

bezpieczeństwa tego systemu. Pozytywny wynik oceny stanowi podstawę do

zatwierdzenia przez ABW albo SKW dokumentacji bezpieczeństwa systemu

teleinformatycznego. W uzasadnionych przypadkach, w szczególności wynikających

ze stopnia skomplikowania systemu, termin przeprowadzenia oceny może być

przedłużony o kolejne 30 dni.

Środki ochrony elektromagnetycznej przeznaczone do ochrony informacji

niejawnych o klauzuli "poufne" lub wyższej podlegają badaniom i ocenie

bezpieczeństwa w ramach certyfikacji prowadzonych przez ABW albo SKW.

Urządzenia i narzędzia kryptograficzne przeznaczone do ochrony informacji

niejawnych podlegają badaniom i ocenie bezpieczeństwa w ramach certyfikacji

prowadzonych przez ABW albo SKW. Na wniosek zainteresowanego podmiotu,

przeprowadza się certyfikację urządzenia lub narzędzia służącego do realizacji

zabezpieczenia teleinformatycznego, przeznaczonego do ochrony informacji

niejawnych.

Pozytywne wyniki ocen bezpieczeństwa uzyskane na podstawie wyników badań

prowadzonych w ramach certyfikacji stanowią podstawę do wydania przez ABW albo

SKW certyfikatu ochrony elektromagnetycznej, certyfikatu ochrony kryptograficznej

lub certyfikatu bezpieczeństwa teleinformatycznego. Certyfikaty są wydawane, w

zależności od wyników ocen bezpieczeństwa, na okres nie krótszy niż 3 lata. Od

odmowy wydania certyfikatu nie służy odwołanie.

Szef ABW albo Szef SKW może zlecić podmiotowi zewnętrznemu badanie

urządzenia lub narzędzia służącego do ochrony informacji niejawnych, na zasadach,

warunkach i w zakresie przez siebie określonych. Bez konieczności

przeprowadzania badań i oceny Szef ABW albo Szef SKW może dopuścić do

stosowania w systemie teleinformatycznym przeznaczonym do przetwarzania

informacji niejawnych o klauzuli "zastrzeżone" urządzenia lub narzędzia

kryptograficzne, jeżeli otrzymały stosowny certyfikat wydany przez krajową władzę

bezpieczeństwa państwa będącego członkiem NATO lub Unii Europejskiej lub inny

uprawniony organ w NATO lub w Unii Europejskiej.

Obowiązkowi akredytacji nie podlegają systemy teleinformatyczne znajdujące się

poza strefami ochronnymi oraz służące bezpośrednio do pozyskiwania i

przekazywania w sposób niejawny informacji oraz utrwalania dowodów w trakcie

realizacji czynności operacyjno-rozpoznawczych lub procesowych przez uprawnione

do tego podmioty.

1.2.1.8. Bezpieczeństwo przemysłowe

Warunkiem dostępu przedsiębiorcy do informacji niejawnych w związku z

wykonywaniem umów albo zadań wynikających z przepisów prawa jest zdolność do

ochrony informacji niejawnych. Dokumentem potwierdzającym zdolność do ochrony

informacji niejawnych o klauzuli "poufne" lub wyższej jest świadectwo

bezpieczeństwa przemysłowego wydawane przez ABW albo SKW po

przeprowadzeniu postępowania bezpieczeństwa przemysłowego.

W przypadku przedsiębiorcy wykonującego działalność jednoosobowo i osobiście

zdolność do ochrony informacji niejawnych potwierdza poświadczenie

bezpieczeństwa upoważniające do dostępu do informacji niejawnych o klauzuli

tajności "poufne" lub wyższej, wydawane przez ABW albo SKW i zaświadczenie o

odbytym przeszkoleniu w zakresie ochrony informacji niejawnych wydawane przez

ABW albo SKW.

W przypadku gdy przedsiębiorca zamierza wykonywać umowy związane z

dostępem do informacji niejawnych o klauzuli "zastrzeżone", świadectwo nie jest

wymagane.

W zależności od stopnia zdolności do ochrony informacji niejawnych o klauzuli

"poufne" lub wyższej wydaje się świadectwo odpowiednio:

pierwszego stopnia - potwierdzające pełną zdolność przedsiębiorcy do

ochrony tych informacji;

drugiego stopnia - potwierdzające zdolność przedsiębiorcy do ochrony tych

informacji, z wyłączeniem możliwości ich przetwarzania we własnych

systemach teleinformatycznych;

trzeciego stopnia - potwierdzające zdolność przedsiębiorcy do ochrony tych

informacji, z wyłączeniem możliwości ich przetwarzania w użytkowanych

przez niego obiektach.

Świadectwo potwierdzające zdolność do ochrony informacji niejawnych o klauzuli:

"ściśle tajne" potwierdza zdolność do ochrony informacji niejawnych o

klauzuli:

"ściśle tajne" - przez okres 5 lat od daty wystawienia,

"tajne" - przez okres 7 lat od daty wystawienia,

"poufne" - przez okres 10 lat od daty wystawienia;

"tajne" potwierdza zdolność do ochrony informacji niejawnych o klauzuli:

"tajne" - przez okres 7 lat od daty wystawienia,

"poufne" - przez okres 10 lat od daty wystawienia;

"poufne" potwierdza zdolność do ochrony informacji niejawnych o tej klauzuli

przez okres 10 lat od daty wystawienia.

Postępowanie bezpieczeństwa przemysłowego jest prowadzone na wniosek

przedsiębiorcy. Wniosek nie wymaga uzasadnienia.

We wniosku przedsiębiorca określa stopień świadectwa oraz klauzulę tajności

informacji niejawnych, których zdolność do ochrony ma potwierdzać świadectwo. Do

wniosku przedsiębiorca dołącza kwestionariusz bezpieczeństwa przemysłowego oraz

ankiety lub kopie posiadanych poświadczeń bezpieczeństwa.

Postępowanie bezpieczeństwa przemysłowego obejmuje sprawdzenie

przedsiębiorcy i postępowania sprawdzające wobec wskazanych osób.

Sprawdzenie przedsiębiorcy, w tym na podstawie danych zawartych w rejestrach,

ewidencjach, kartotekach, także niedostępnych powszechnie, obejmuje:

strukturę kapitału oraz powiązania kapitałowe przedsiębiorcy, źródła

pochodzenia środków finansowych i sytuację finansową;

strukturę organizacyjną;

system ochrony informacji niejawnych, w tym środki bezpieczeństwa

fizycznego;

wszystkie osoby wchodzące w skład organów zarządzających, kontrolnych

oraz osoby działające z ich upoważnienia;

w szczególnie uzasadnionych przypadkach osoby posiadające

poświadczenia bezpieczeństwa.

W toku postępowania bezpieczeństwa przemysłowego oraz w okresie ważności

świadectwa przeprowadza się postępowania sprawdzające wobec osób

nieposiadających odpowiednich poświadczeń bezpieczeństwa lub kolejne

postępowania sprawdzające wobec:

kierownika przedsiębiorcy;

pełnomocnika ochrony i jego zastępcy;

osób zatrudnionych w pionie ochrony;

administratora systemu teleinformatycznego;

pozostałych osób wskazanych w kwestionariuszu, które powinny mieć dostęp

do informacji niejawnych.

Postępowanie bezpieczeństwa przemysłowego kończy się wydaniem przez ABW

albo SKW świadectwa zgodnie z wnioskiem przedsiębiorcy albo decyzją o odmowie

wydania świadectwa lub decyzją o umorzeniu postępowania bezpieczeństwa

przemysłowego.

1.2.1.9. Udostępnianie danych oraz akt postępowań sprawdzających,

kontrolnych i bezpieczeństwa przemysłowego

Akta postępowań sprawdzających lub kontrolnych postępowań sprawdzających

przeprowadzonych przez służby i instytucje uprawnione do prowadzenia

poszerzonych postępowań sprawdzających i akta postępowań bezpieczeństwa

przemysłowego są udostępniane do wglądu lub przekazywane wyłącznie na pisemne

żądanie:

sądowi lub prokuratorowi dla celów postępowania karnego;

służbom i organom uprawnionym do prowadzenia poszerzonych postępowań

sprawdzających dla celów postępowania sprawdzającego wobec tej samej

osoby;

właściwemu organowi w celu przeprowadzenia kontroli prawidłowości

postępowania, z wyłączeniem niektórych postępowań;

właściwemu organowi w celu rozpatrzenia odwołania lub zażalenia;

sądowi administracyjnemu w związku z rozpatrywaniem skargi.

Przepisu zawartego w drugim akapicie nie stosuje się w odniesieniu do akt

postępowań sprawdzających lub kontrolnych postępowań sprawdzających

przeprowadzonych przez AW, ABW, SKW lub SWW. Akta tych postępowań mogą

być udostępnione do wglądu wyłącznie dla celów postępowania sprawdzającego

prowadzonego przez tę samą służbę wobec tej samej osoby.

Akta zwykłych postępowań sprawdzających oraz kontrolnych postępowań

sprawdzających, mogą być udostępnione do wglądu i przekazane w przypadkach

określonych w ust. 1 oraz dla celów postępowania sprawdzającego lub kontrolnego

postępowania sprawdzającego wobec tej samej osoby.

Akta zakończonych zwykłych postępowań sprawdzających oraz kontrolnych

postępowań sprawdzających, mogą być udostępnione do wglądu osobie

sprawdzanej, z wyłączeniem danych dotyczących osób trzecich.

Po wykorzystaniu akta są niezwłocznie zwracane.

Po zakończeniu postępowania sprawdzającego, kontrolnego postępowania

sprawdzającego lub postępowania bezpieczeństwa przemysłowego akta tych

postępowań są przechowywane przez co najmniej 20 lat, z uwzględnieniem

przepisów ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i

archiwach (Dz. U. z 2006 r. nr 97, poz. 673, z późn. zm.) oraz aktów wykonawczych

wydanych na jej podstawie:

1) jako wyodrębniona część w archiwach służb i instytucji, które

przeprowadziły te postępowania;

2) przez pełnomocnika ochrony lub w pionie ochrony - w przypadku akt

zwykłych postępowań sprawdzających oraz kontrolnych postępowań

sprawdzających przeprowadzonych przez tego pełnomocnika.

W przypadku rozwiązania, zniesienia, likwidacji, przekształcenia lub reorganizacji

jednostki organizacyjnej akta, o których mowa w ust. 6, przejmuje następca prawny,

a w przypadku jego braku - ABW albo SKW.

1.2.2. Ustawa o ochronie danych osobowych2

Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz

prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w

zbiorach danych.

Przepisy ustawy stosuje się do przetwarzania danych osobowych:

w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach

ewidencyjnych;

w systemach informatycznych, także w przypadku przetwarzania danych

poza zbiorem danych.

Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego

oraz do państwowych i komunalnych jednostek organizacyjnych.

Ma ona zastosowanie także w stosunku do:

podmiotów niepublicznych realizujących zadania publiczne;

osób fizycznych i osób prawnych oraz jednostek organizacyjnych

niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w

związku z działalnością zarobkową, zawodową lub dla realizacji celów

statutowych w przypadku gdy mają siedzibę albo miejsce zamieszkania na

terytorium RP albo w państwie trzecim, o ile przetwarzają dane osobowe

przy wykorzystaniu środków technicznych znajdujących się na terytorium

RP.

Ustawy nie stosuje się do:

osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych

lub domowych;

2 Ustawa z dn. 29.08.97 o ochronie danych osobowych, Dz. U. z dn. 29.10.97 (znowelizowana ustawą

z dn. 25.08.2001, stan prawny 2013r.)

podmiotów mających siedzibę lub miejsce zamieszkania w państwie

trzecim, wykorzystujących środki techniczne znajdujące się na terytorium

RP wyłącznie do przekazywania danych.

Ustawy, z wyjątkiem niektórych przepisów nie stosuje się również do prasowej

działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo

prasowe (Dz.U Nr 5, poz. 24, z późn. zm.2) oraz do działalności literackiej lub

artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania

informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.

W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące

zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą

do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub

pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden

lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne,

umysłowe, ekonomiczne, kulturowe lub społeczne.

Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli

wymagałoby to nadmiernych kosztów, czasu lub działań.

1.2.2.1. Organ ochrony danych osobowych

Organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony

Danych Osobowych, którego powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za

zgodą Senatu.

Do zadań Generalnego Inspektora w szczególności należy:

kontrola zgodności przetwarzania danych z przepisami o ochronie danych

osobowych;

wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach

wykonania przepisów o ochronie danych osobowych;

zapewnienie wykonania przez zobowiązanych obowiązków o charakterze

niepieniężnym wynikających z decyzji, o których mowa w pkt 2, przez

stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17

czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z

2005 r. Nr 229, poz. 1954, z późn. zm.3);

prowadzenie rejestru zbiorów danych oraz udzielanie informacji o

zarejestrowanych zbiorach;

opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych

osobowych;

inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony

danych osobowych;

uczestniczenie w pracach międzynarodowych organizacji i instytucji

zajmujących się problematyką ochrony danych osobowych.

W celu wykonania zadań, o których mowa wyżej, Generalny Inspektor, zastępca

Generalnego Inspektora lub upoważnieni przez niego pracownicy Biura mają prawo:

wstępu, w godzinach od 6.00 do 22.00, za okazaniem imiennego

upoważnienia i legitymacji służbowej, do pomieszczenia, w którym

zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane

są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub

innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z

ustawą;

żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać

osoby w zakresie niezbędnym do ustalenia stanu faktycznego;

wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni

związek z przedmiotem kontroli oraz sporządzania ich kopii;

przeprowadzania oględzin urządzeń, nośników oraz systemów

informatycznych służących do przetwarzania danych;

zlecać sporządzanie ekspertyz i opinii.

W przypadku naruszenia przepisów o ochronie danych osobowych Generalny

Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji

administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w

szczególności:

usunięcie uchybień;

uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie

danych osobowych;

zastosowanie dodatkowych środków zabezpieczających zgromadzone dane

osobowe;

wstrzymanie przekazywania danych osobowych do państwa trzeciego;

zabezpieczenie danych lub przekazanie ich innym podmiotom;

usunięcie danych osobowych.

1.2.2.2. Zasady przetwarzania danych osobowych

W razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki

organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem

danych wyczerpuje znamiona przestępstwa określonego w ustawie, Generalny

Inspektor kieruje do organu powołanego do ścigania przestępstw zawiadomienie o

popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie.

Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie

dotyczących jej danych;

jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku

wynikającego z przepisu prawa;

jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej

stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy

na żądanie osoby, której dane dotyczą;

jest niezbędne do wykonania określonych prawem zadań realizowanych dla

dobra publicznego;

jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów

realizowanych przez administratorów danych albo odbiorców danych, a

przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Zgoda, o której mowa wyżej może obejmować również przetwarzanie danych w

przyszłości, jeżeli nie zmienia się cel przetwarzania. Jeżeli przetwarzanie danych jest

niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a uzyskanie

jej zgody jest niemożliwe, można przetwarzać dane bez zgody tej osoby, do czasu,

gdy uzyskanie zgody będzie możliwe.

Za prawnie usprawiedliwiony cel, o którym mowa wyżej uważa się w

szczególności:

1) marketing bezpośredni własnych produktów lub usług administratora danych,

2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

W przypadku zbierania danych osobowych od osoby, której one dotyczą,

administrator danych jest obowiązany poinformować tę osobę o:

adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem

danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i

nazwisku;

celu zbierania danych, a w szczególności o znanych mu w czasie udzielania

informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,

prawie dostępu do treści swoich danych oraz ich poprawiania;

dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek

istnieje, jego podstawie prawnej.

W przypadku przetwarzania danych osobowych przez podmioty mające siedzibę

albo miejsce zamieszkania w państwie trzecim, administrator danych jest

obowiązany wyznaczyć swojego przedstawiciela w Rzeczypospolitej Polskiej.

1.2.2.3. Prawa osoby, której dane dotyczą

Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej

dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do:

1) uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia

administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy

administratorem danych jest osoba fizyczna – jej miejsca zamieszkania oraz imienia i

nazwiska;

2) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych

w takim zbiorze;

3) uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz

podania w powszechnie zrozumiałej formie treści tych danych;

4) uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że

administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy

informacji niejawnych lub zachowania tajemnicy zawodowej;

5) uzyskania informacji o sposobie udostępniania danych, a w szczególności

informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane;

6) żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych,

czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one

niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy

albo są już zbędne do realizacji celu, dla którego zostały zebrane;

7) wniesienia, w przypadkach wymienionych w pkt. 4 i 5, pisemnego,

umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej

szczególną sytuację;

8) wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach,

wymienionych pkt. 4 i 5, gdy administrator danych zamierza je przetwarzać w celach

marketingowych lub wobec przekazywania jej danych osobowych innemu

administratorowi danych;

9) wniesienia do administratora danych żądania ponownego, indywidualnego

rozpatrzenia sprawy już rozstrzygniętej.

Jeżeli dane są przetwarzane dla celów naukowych, dydaktycznych, historycznych,

statystycznych lub archiwalnych, administrator danych może odstąpić od

informowania osób o przetwarzaniu ich danych w przypadkach, gdy pociągałoby to

za sobą nakłady niewspółmierne z zamierzonym celem.

Administrator danych odmawia osobie, której dane dotyczą, udzielenia informacji

jeżeli spowodowałoby to:

ujawnienie wiadomości zawierających informacje niejawne;

zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi

lub bezpieczeństwa i porządku publicznego;

zagrożenie dla podstawowego interesu gospodarczego lub finansowego

państwa;

istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych

osób.

W razie wykazania przez osobę, której dane osobowe dotyczą, że są one

niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy

albo są zbędne do realizacji celu, dla którego zostały zebrane, administrator danych

jest obowiązany, bez zbędnej zwłoki, do uzupełnienia, uaktualnienia, sprostowania

danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych

danych lub ich usunięcia ze zbioru, chyba że dotyczy to danych osobowych, w

odniesieniu do których tryb ich uzupełnienia, uaktualnienia lub sprostowania

określają odrębne ustawy.

W razie niedopełnienia przez administratora danych tego obowiązku osoba, której

dane dotyczą, może się zwrócić do Generalnego Inspektora z wnioskiem o

nakazanie dopełnienia tego obowiązku.

Administrator danych jest obowiązany poinformować bez zbędnej zwłoki innych

administratorów, którym udostępnił zbiór danych, o dokonanym uaktualnieniu lub

sprostowaniu danych.

1.2.2.4. Zabezpieczenie danych osobowych

Administrator danych jest obowiązany zastosować środki techniczne i

organizacyjne zapewniające ochronę przetwarzanych danych osobowych

odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności

powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym,

zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz

zmianą, utratą, uszkodzeniem lub zniszczeniem. Ponadto prowadzi on dokumentację

opisującą sposób przetwarzania danych oraz używane środki.

Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające

upoważnienie nadane przez administratora danych. Administrator danych jest

obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo

zostały do zbioru wprowadzone oraz komu są przekazywane.

1.2.2.5. Rejestracja zbiorów danych osobowych

Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji

Generalnemu Inspektorowi, z wyjątkiem przypadków:

1) zawierających informacje niejawne;

1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez

funkcjonariuszy organów uprawnionych do tych czynności;

2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz

na podstawie przepisów o Krajowym Rejestrze Karnym;

2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej;

2b) przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej

Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie

Informacyjnym;

2c) przetwarzanych przez właściwie organy na podstawie przepisów o wymianie

informacji z organami ścigania państw członkowskich Unii Europejskiej;

3) dotyczących osób należących do kościoła lub innego związku wyznaniowego, o

uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub

związku wyznaniowego;

4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na

podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub

uczących się;

5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej,

adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub

biegłego rewidenta;

6) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu,

Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów

na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta

miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego;

7) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie

niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia

wolności;

8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia

sprawozdawczości finansowej;

9) powszechnie dostępnych;

10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania

dyplomu ukończenia szkoły wyższej lub stopnia naukowego;

11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

Generalny Inspektor w szczególnych przypadkach może odmówić rejestracji

danych. Administrator danych może zgłosić ponownie zbiór danych do rejestracji po

usunięciu wad, które były powodem odmowy rejestracji zbioru.

Wykreślenie z rejestru zbiorów danych osobowych jest dokonywane, w drodze

decyzji administracyjnej, jeżeli:

1) zaprzestano przetwarzania danych w zarejestrowanym zbiorze;

2) rejestracji dokonano z naruszeniem prawa.

1.2.2.6. Przekazywanie danych osobowych do państwa trzeciego

Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli

państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony

danych osobowych. Przepisu tego nie stosuje się, gdy przesłanie danych osobowych

wynika z obowiązku nałożonego na administratora danych przepisami prawa lub

postanowieniami ratyfikowanej umowy międzynarodowej, gwarantującymi

odpowiedni poziom ochrony tych danych.

Administrator danych może jednak przekazać dane osobowe do państwa

trzeciego, jeżeli:

osoba, której dane dotyczą, udzieliła na to zgody na piśmie;

przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem

danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie;

przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby,

której dane dotyczą, pomiędzy administratorem danych a innym podmiotem;

przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania

zasadności roszczeń prawnych;

przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której

dane dotyczą;

dane są ogólnie dostępne.

1.2.3. Ustawa o dostępie do informacji publicznej3

Każda informacja o sprawach publicznych podlega udostępnieniu i ponownemu

wykorzystywaniu na zasadach i w trybie określonych w niniejszej ustawie. Każdemu

przysługuje prawo dostępu do informacji publicznej, zwane dalej „prawem do

informacji publicznej”, z wyjątkiem:

prawa do informacji publicznej podlegającej na ograniczeniu w zakresie i

na zasadach określonych w przepisach o ochronie informacji niejawnych

oraz o ochronie innych tajemnic ustawowo chronionych;

prawa do informacji publicznej podlegającej ograniczeniu ze względu na

prywatność osoby fizycznej lub tajemnicę przedsiębiorcy. Ograniczenie to

nie dotyczy informacji o osobach pełniących funkcje publiczne, mających

związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i

wykonywania funkcji, oraz przypadku, gdy osoba fizyczna lub

przedsiębiorca rezygnują z przysługującego im prawa;

nie można, z zastrzeżeniem ust. 1 i 2, ograniczać dostępu do informacji o

sprawach rozstrzyganych w postępowaniu przed organami państwa, w

szczególności w postępowaniu administracyjnym, karnym lub cywilnym, ze

względu na ochronę interesu strony, jeżeli postępowanie dotyczy władz

publicznych lub innych podmiotów wykonujących zadania publiczne albo

osób pełniących funkcje publiczne – w zakresie tych zadań lub funkcji;

3 Ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej, Dz.U. 2001 nr 112 poz. 1198, stan

prawny z 10.03.2014r.

ograniczenia dostępu do informacji w sprawach, o których mowa w ust. 3,

nie naruszają prawa do informacji o organizacji i pracy organów

prowadzących po-stępowania, w szczególności o czasie, trybie i miejscu

oraz kolejności rozpatrywania spraw.

Prawo do informacji publicznej obejmuje uprawnienia do:

uzyskania informacji publicznej, w tym uzyskania informacji przetworzonej w

takim zakresie, w jakim jest to szczególnie istotne dla interesu publicznego;

wglądu do dokumentów urzędowych;

dostępu do posiedzeń kolegialnych organów władzy publicznej

pochodzących z powszechnych wyborów.

Prawo do informacji publicznej obejmuje uprawnienie do niezwłocznego uzyskania

informacji publicznej zawierającej aktualną wiedzę o sprawach publicznych.

Obowiązane do udostępniania informacji publicznej są władze publiczne oraz inne

podmioty wykonujące zadania publiczne, w szczególności:

organy władzy publicznej;

organy samorządów gospodarczych i zawodowych;

podmioty reprezentujące zgodnie z odrębnymi przepisami Skarb Państwa;

podmioty reprezentujące państwowe osoby prawne albo osoby prawne

samorządu terytorialnego oraz podmioty reprezentujące inne państwowe

jednostki organizacyjne albo jednostki organizacyjne samorządu

terytorialnego;

podmioty reprezentujące inne osoby lub jednostki organizacyjne, które

wykonują zadania publiczne lub dysponują majątkiem publicznym, oraz

osoby prawne, w których Skarb Państwa, jednostki samorządu terytorialnego

lub samorządu gospodarczego albo zawodowego mają pozycję dominującą

w rozumieniu przepisów o ochronie konkurencji i konsumentów.

Obowiązane do udostępnienia informacji publicznej są także organizacje

związkowe, pracodawcy oraz partie polityczne.

Prawo do informacji publicznej podlega ograniczeniu w zakresie i na zasadach

określonych w przepisach o ochronie informacji niejawnych oraz o ochronie innych

tajemnic ustawowo chronionych.

prawo do informacji publicznej podlega ograniczeniu ze względu na

prywatność osoby fizycznej lub tajemnicę przedsiębiorcy. Ograniczenie to nie

dotyczy informacji o osobach pełniących funkcje publiczne, mających

związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i

wykonywania funkcji, oraz przypadku, gdy osoba fizyczna lub przedsiębiorca

rezygnują z przysługującego im prawa.

nie można, z zastrzeżeniem ust. 1 i 2, ograniczać dostępu do informacji o

sprawach rozstrzyganych w postępowaniu przed organami państwa, w

szczególności w postępowaniu administracyjnym, karnym lub cywilnym, ze

względu na ochronę interesu strony, jeżeli postępowanie dotyczy władz

publicznych lub innych podmiotów wykonujących zadania publiczne albo

osób pełniących funkcje publiczne – w zakresie tych zadań lub funkcji.

ograniczenia dostępu do informacji w sprawach, o których mowa w ust. 3, nie

naruszają prawa do informacji o organizacji i pracy organów prowadzących

po-stępowania, w szczególności o czasie, trybie i miejscu oraz kolejności

rozpatrywania spraw.

Udostępnieniu podlega informacja publiczna, w szczególności o:

polityce wewnętrznej i zagranicznej, w tym o:

zamierzeniach działań władzy ustawodawczej oraz wykonawczej;

projektowaniu aktów normatywnych;

programach w zakresie realizacji zadań publicznych, sposobie ich

realizacji, wykonywaniu i skutkach realizacji tych zadań;

podmiotach będących władzami publicznymi, a w tym o:

statusie prawnym lub formie prawnej;

organizacji;

przedmiocie działalności i kompetencjach;

organach i osobach sprawujących w nich funkcje i ich kompetencjach;

strukturze własnościowej podmiotów;

majątku, którym dysponują;

zasadach funkcjonowania podmiotów, o których mowa w art. 4 ust. 1, w tym o:

trybie działania władz publicznych i ich jednostek organizacyjnych;

trybie działania państwowych osób prawnych i osób prawnych samorządu

terytorialnego w zakresie wykonywania zadań publicznych i ich działalności

w ramach gospodarki budżetowej i pozabudżetowej;

sposobach stanowienia aktów publicznoprawnych;

sposobach przyjmowania i załatwiania spraw;

stanie przyjmowanych spraw, kolejności ich załatwiania lub rozstrzygania,

prowadzonych rejestrach, ewidencjach i archiwach oraz o sposobach i

zasadach udostępniania danych w nich zawartych;

naborze kandydatów do zatrudnienia na wolne stanowiska, w zakresie

określonym w przepisach odrębnych;

konkursie na wyższe stanowisko w służbie cywilnej, w zakresie określonym

w przepisach odrębnych;

danych publicznych, w tym:

treść i postać dokumentów urzędowych, w szczególności treść aktów

administracyjnych i innych rozstrzygnięć;

stanowiska w sprawach publicznych zajęte przez organy władzy publicznej i

przez funkcjonariuszy publicznych w rozumieniu przepisów Kodeksu

karnego;

treść innych wystąpień i ocen dokonywanych przez organy władzy

publicznej;

informacja o stanie państwa, samorządów i ich jednostek organizacyjnych;

majątku publicznym, w tym o:

majątku Skarbu Państwa i państwowych osób prawnych;

innych prawach majątkowych przysługujących państwu i jego długach;

majątku jednostek samorządu terytorialnego oraz samorządów

zawodowych i gospodarczych oraz majątku osób prawnych samorządu

terytorialnego, a także kas chorych;

majątku podmiotów;

dochodach i stratach spółek handlowych, w których podmioty;

długu publicznym;

pomocy publicznej;

ciężarach publicznych.

Udostępnianie informacji publicznych następuje w drodze:

ogłaszania informacji publicznych, w tym dokumentów urzędowych, w

Biuletynie Informacji Publicznej;

udostępniania, w formie ustnej lub pisemnej bez pisemnego wniosku, w

drodze wyłożenia lub wywieszenia w miejscach ogólnie dostępnych, przez

zainstalowane urządzenia umożliwiającego zapoznanie się z tą informacją;

wstępu na posiedzenia organów, o których była mowa i udostępniania

materiałów, w tym audiowizualnych i teleinformatycznych, dokumentujących

te posiedzenia.

Dostęp do informacji publicznej jest bezpłatny, z zastrzeżeniami:

1. Jeżeli w wyniku udostępnienia informacji publicznej podmiot obowiązany do

udostępnienia ma ponieść dodatkowe koszty związane ze wskazanym we wniosku

sposobem udostępnienia lub koniecznością przekształcenia informacji w formę

wskazaną we wniosku, podmiot ten może pobrać od wnioskodawcy opłatę w

wysokości odpowiadającej tym kosztom.

2. Podmiot, o którym mowa w ust. 1, w terminie 14 dni od dnia złożenia wniosku,

powiadomi wnioskodawcę o wysokości opłaty. Udostępnienie informacji zgodnie z

wnioskiem następuje po upływie 14 dni od dnia powiadomienia wnioskodawcy, chyba

że wnioskodawca dokona w tym terminie zmiany wniosku w za-kresie sposobu lub

formy udostępnienia informacji albo wycofa wniosek.

Podmioty udostępniające informacje publiczne w Biuletynie Informacji Publicznej

są obowiązane do:

oznaczenia informacji danymi określającymi podmiot udostępniający

informację;

podania w informacji danych określających tożsamość osoby, która

wytworzyła informację lub odpowiada za treść informacji;

dołączenia do informacji danych określających tożsamość osoby, która

wprowadziła informację do Biuletynu Informacji Publicznej;

oznaczenia czasu wytworzenia informacji i czasu jej udostępnienia;

zabezpieczenia możliwości identyfikacji czasu rzeczywistego udostępnienia

informacji.

Informacja publiczna, która nie została udostępniona w Biuletynie Informacji

Publicznej lub centralnym repozytorium, jest udostępniana na wniosek.

Informacja publiczna, która może być niezwłocznie udostępniona, jest

udostępniana w formie ustnej lub pisemnej bez pisemnego wniosku.

1.2.3. Ustawa o prawie autorskim i prawach pokrewnych4

Przedmiotem prawa autorskiego jest każdy przejaw działalności twórczej o

indywidualnym charakterze, ustalony w jakiejkolwiek postaci, niezależnie od wartości,

przeznaczenia i sposobu wyrażenia (utwór).

W szczególności przedmiotem prawa autorskiego są utwory:

wyrażone słowem, symbolami matematycznymi, znakami graficznymi

(literackie, publicystyczne, naukowe, kartograficzne oraz programy

komputerowe);

plastyczne;

fotograficzne;

lutnicze;

wzornictwa przemysłowego;

architektoniczne, architektoniczno-urbanistyczne i urbanistyczne;

muzyczne i słowno-muzyczne;

sceniczne, sceniczno-muzyczne, choreograficzne i pantomimiczne;

audiowizualne (w tym filmowe).

Ochroną objęty może być wyłącznie sposób wyrażenia. Nie są objęte ochroną

odkrycia, idee, procedury, metody i zasady działania oraz koncepcje matematyczne.

Utwór jest przedmiotem prawa autorskiego od chwili ustalenia, chociażby miał

postać nieukończoną.

Opracowanie cudzego utworu, w szczególności tłumaczenie, przeróbka,

adaptacja, jest przedmiotem prawa autorskiego bez uszczerbku dla prawa do utworu

pierwotnego.

Rozporządzanie i korzystanie z opracowania zależy od zezwolenia twórcy utworu

pierwotnego (prawo zależne), chyba że autorskie prawa majątkowe do utworu

pierwotnego wygasły. W przypadku baz danych spełniających cechy utworu

zezwolenie twórcy jest konieczne także na sporządzenie opracowania.

4 Ustawa z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych, Dz.U. z 2006 nr

90 poz. 631, brzmienie od 21 października 2010

Twórca utworu pierwotnego może cofnąć zezwolenie, jeżeli w ciągu pięciu lat od

jego udzielenia opracowanie nie zostało rozpowszechnione. Wypłacone twórcy

wynagrodzenie nie podlega zwrotowi.

Za opracowanie nie uważa się utworu, który powstał w wyniku inspiracji cudzym

utworem.

Na egzemplarzach opracowania należy wymienić twórcę i tytuł utworu pierwotne-

go.. Ochrona przysługuje twórcy niezależnie od spełnienia jakichkolwiek formalności.

Zbiory, antologie, wybory, bazy danych spełniające cechy utworu są przedmiotem

prawa autorskiego, nawet jeżeli zawierają niechronione materiały, o ile przyjęty w

nich dobór, układ lub zestawienie ma twórczy charakter, bez uszczerbku dla praw do

wykorzystanych utworów.

Nie stanowią przedmiotu prawa autorskiego:

akty normatywne lub ich urzędowe projekty;

urzędowe dokumenty, materiały, znaki i symbole;

opublikowane opisy patentowe lub ochronne;

proste informacje prasowe.

Przepisy ustawy stosuje się do utworów:

których twórca lub współtwórca jest obywatelem polskim lub których twórca

jest obywatelem państwa członkowskiego Unii Europejskiej, lub państw

członkowskich Europejskiego Porozumienia o Wolnym Handlu (EFTA) –

stron umowy o Europejskim Obszarze Gospodarczym, lub

które zostały opublikowane po raz pierwszy na terytorium Rzeczypospolitej

Polskiej albo równocześnie na tym terytorium i za granicą, lub

które zostały opublikowane po raz pierwszy w języku polskim, lub

które są chronione na podstawie umów międzynarodowych, w zakresie, w

jakim ich ochrona wynika z tych umów.

W rozumieniu ustawy:

utworem opublikowanym jest utwór, który za zezwoleniem twórcy został

zwielokrotniony i którego egzemplarze zostały udostępnione publicznie;

opublikowaniem równoczesnym utworu jest opublikowanie utworu na

terytorium Rzeczypospolitej Polskiej i za granicą w okresie trzydziestu dni

od jego pierwszej publikacji;

utworem rozpowszechnionym jest utwór, który za zezwoleniem twórcy

został w jakikolwiek sposób udostępniony publicznie;

nadawaniem utworu jest jego rozpowszechnianie drogą emisji radiowej lub

telewizyjnej, prowadzonej w sposób bezprzewodowy (naziemny lub

satelitarny) lub w sposób przewodowy;

reemitowaniem utworu jest jego rozpowszechnianie przez inny podmiot niż

pierwotnie nadający, drogą przejmowania w całości i bez zmian programu

organizacji radiowej lub telewizyjnej oraz równoczesnego i integralnego

przekazywania tego programu do powszechnego odbioru;

wprowadzeniem utworu do obrotu jest publiczne udostępnienie jego

oryginału albo egzemplarzy drogą przeniesienia ich własności dokonanego

przez uprawnionego lub za jego zgodą;

najmem egzemplarzy utworu jest ich przekazanie do ograniczonego

czasowo korzystania w celu bezpośredniego lub pośredniego uzyskania

korzyści majątkowej;

użyczeniem egzemplarzy utworu jest ich przekazanie do ograniczonego

cza-sowo korzystania, niemające na celu bezpośredniego lub pośredniego

uzyskania korzyści majątkowej;

odtworzeniem utworu jest jego udostępnienie bądź przy pomocy nośników

dźwięku, obrazu lub dźwięku i obrazu, na których utwór został zapisany,

bądź przy pomocy urządzeń służących do odbioru programu radiowego lub

telewizyjnego, w którym utwór jest nadawany;

technicznymi zabezpieczeniami są wszelkie technologie, urządzenia lub

ich elementy, których przeznaczeniem jest zapobieganie działaniom lub

ograniczenie działań umożliwiających korzystanie z utworów lub

artystycznych wykonań z naruszeniem prawa;

skutecznymi technicznymi zabezpieczeniami są techniczne

zabezpieczenia umożliwiające podmiotom uprawnionym kontrolę nad

korzystaniem z chronionego utworu lub artystycznego wykonania poprzez

zastosowanie kodu dostępu lub mechanizmu zabezpieczenia, w

szczególności szyfrowania, zakłócania lub każdej innej transformacji

utworu lub artystycznego wykonania lub mechanizmu kontroli

zwielokrotniania, które spełniają cel ochronny;

informacjami na temat zarządzania prawami są informacje identyfikujące

utwór, twórcę, podmiot praw autorskich lub informacje o warunkach

eksploatacji utworu, o ile zostały one dołączone do egzemplarza utworu

lub są przekazywane w związku z jego rozpowszechnianiem, w tym kody

identyfikacyjne.

Ilekroć w ustawie jest mowa o równowartości danej kwoty wyrażonej w euro,

należy przez to rozumieć jej równowartość wyrażoną w walucie polskiej, ustaloną

przy zastosowaniu średniego kursu euro, lub jej równowartość wyrażoną w innej

walucie, ustaloną przy zastosowaniu średniego kursu euro oraz średniego kursu tej

waluty ogłoszonego przez Narodowy Bank Polski w dniu poprzedzają-cym dokonanie

czynności.

1.2.3.1. Podmiot prawa autorskiego

Prawo autorskie przysługuje twórcy, o ile ustawa nie stanowi inaczej.

Domniemywa się, że twórcą jest osoba, której nazwisko w tym charakterze

uwidoczniono na egzemplarzach utworu lub której autorstwo podano do publicznej

wiadomości w jakikolwiek inny sposób w związku z rozpowszechnianiem utworu.

Dopóki twórca nie ujawnił swojego autorstwa, w wykonywaniu prawa autorskiego

zastępuje go producent lub wydawca, a w razie ich braku – właściwa organizacja

zbiorowego zarządzania prawami autorskimi.

Współtwórcom przysługuje prawo autorskie wspólnie. Domniemywa się, że

wielkości udziałów są równe. Każdy ze współtwórców może żądać określenia

wielkości udziałów przez sąd, na podstawie wkładów pracy twórczej.

Domniemywa się, że producentem lub wydawcą jest osoba, której nazwisko lub

nazwę uwidoczniono w tym charakterze na przedmiotach, na których utwór

utrwalono, albo podano do publicznej wiadomości w jakikolwiek sposób w związku z

rozpowszechnianiem utworu.

Uczelni w rozumieniu przepisów o szkolnictwie wyższym przysługuje

pierwszeństwo w opublikowaniu pracy dyplomowej studenta. Jeżeli uczelnia nie

opublikowała pracy dyplomowej w ciągu 6 miesięcy od jej obrony, student, który ją

przygotował, może ją opublikować, chyba że praca dyplomowa jest częścią utworu

zbiorowego.

1.2.3.2. Dozwolony użytek chronionych utworów

Bez zezwolenia twórcy wolno nieodpłatnie korzystać z już rozpowszechnionego

utworu w zakresie własnego użytku osobistego. Przepis ten nie upoważnia do

budowania według cudzego utworu architektonicznego i architektoniczno-

urbanistycznego oraz do korzystania z elektronicznych baz danych spełniających

cechy utworu, chyba że dotyczy to własnego użytku naukowego niezwiązanego z

celem zarobkowym.

Zakres własnego użytku osobistego obejmuje korzystanie z pojedynczych

egzemplarzy utworów przez krąg osób pozostających w związku osobistym, w

szczególności pokrewieństwa, powinowactwa lub stosunku towarzyskiego.

Nie wymaga zezwolenia twórcy przejściowe lub incydentalne zwielokrotnianie

utworów, niemające samodzielnego znaczenia gospodarczego, a stanowiące

integralną i podstawową część procesu technologicznego oraz mające na celu

wyłącznie umożliwienie:

przekazu utworu w systemie teleinformatycznym pomiędzy osobami

trzecimi przez pośrednika;

zgodnego z prawem korzystania z utworu.

Wolno rozpowszechniać w celach informacyjnych w prasie, radiu i telewizji:

1) już rozpowszechnione:

a) sprawozdania o aktualnych wydarzeniach,

b) aktualne artykuły na tematy polityczne, gospodarcze lub religijne, chyba że zostało

wyraźnie zastrzeżone, że ich dalsze rozpowszechnianie jest zabronione,

c) aktualne wypowiedzi i fotografie reporterskie;

2) krótkie wyciągi ze sprawozdań i artykułów, o których mowa w pkt 1 lit. a i b;

3) przeglądy publikacji i utworów rozpowszechnionych;

4) mowy wygłoszone na publicznych zebraniach i rozprawach; nie upoważnia to

jednak do publikacji zbiorów mów jednej osoby;

5) krótkie streszczenia rozpowszechnionych utworów.

Za korzystanie z utworów, o których mowa w ust. 1 pkt 1 lit. b i c, twórcy

przysługuje prawo do wynagrodzenia.

Rozpowszechnianie utworów na podstawie ust. 1 jest dozwolone zarówno w

oryginale, jak i w tłumaczeniu.

Przepisy ust. 1–3 stosuje się odpowiednio do publicznego udostępniania utworów

w taki sposób, aby każdy mógł mieć do nich dostęp w miejscu i czasie przez siebie

wybranym, z tym że jeżeli wypłata wynagrodzenia, o którym mowa w ust. 2, nie

nastąpiła na podstawie umowy z uprawnionym, wynagrodzenie jest wypłacane za

pośrednictwem właściwej organizacji zbiorowego zarządzania prawami autorskimi

lub prawami pokrewnymi.

Instytucje naukowe i oświatowe mogą, w celach dydaktycznych lub prowadzenia

własnych badań, korzystać z rozpowszechnionych utworów w oryginale i w

tłumaczeniu oraz sporządzać w tym celu egzemplarze fragmentów

rozpowszechnionego utworu.

Biblioteki, archiwa i szkoły mogą:

udostępniać nieodpłatnie, w zakresie swoich zadań statutowych,

egzemplarze utworów rozpowszechnionych;

sporządzać lub zlecać sporządzanie egzemplarzy rozpowszechnionych

utworów w celu uzupełnienia, zachowania lub ochrony własnych zbiorów;

udostępniać zbiory dla celów badawczych lub poznawczych za

pośrednictwem końcówek systemu informatycznego (terminali)

znajdujących się na terenie tych jednostek.

Wolno przytaczać w utworach stanowiących samoistną całość urywki

rozpowszechnionych utworów lub drobne utwory w całości, w zakresie

uzasadnionym wyjaśnianiem, analizą krytyczną, nauczaniem lub prawami gatunku

twórczości.

Wolno w celach dydaktycznych i naukowych zamieszczać rozpowszechnione

drobne utwory lub fragmenty większych utworów w podręcznikach i wypisach.

Wolno w celach dydaktycznych i naukowych zamieszczać rozpowszechnione

drobne utwory lub fragmenty większych utworów w antologiach.

Ośrodki informacji lub dokumentacji mogą sporządzać i rozpowszechniać własne

opracowania dokumentacyjne oraz pojedyncze egzemplarze, nie większych niż jeden

arkusz wydawniczy, fragmentów opublikowanych utworów.

Twórca albo właściwa organizacja zbiorowego zarządzania prawami autorskimi

lub prawami pokrewnymi jest uprawniona do pobierania od ośrodków wynagrodzenia

za odpłatne udostępnianie egzemplarzy fragmentów utworów.

1.2.3.3. Czas trwania autorskich praw majątkowych

Z zastrzeżeniem wyjątków przewidzianych w ustawie, autorskie prawa majątkowe

gasną z upływem lat siedemdziesięciu:

od śmierci twórcy, a do utworów współautorskich – od śmierci współtwórcy,

który przeżył pozostałych;

w odniesieniu do utworu, którego twórca nie jest znany – od daty pierwsze-

go rozpowszechnienia, chyba że pseudonim nie pozostawia wątpliwości co

do tożsamości autora lub jeżeli autor ujawnił swoją tożsamość;

w odniesieniu do utworu, do którego autorskie prawa majątkowe

przysługują z mocy ustawy innej osobie niż twórca – od daty

rozpowszechnienia utworu, a gdy utwór nie został rozpowszechniony – od

daty jego ustalenia;

w odniesieniu do utworu audiowizualnego – od śmierci najpóźniej zmarłej z

wymienionych osób: głównego reżysera, autora scenariusza, autora

dialogów, kompozytora muzyki skomponowanej do utworu

audiowizualnego.

1.2.3.4. Prawa do pierwszych wydań oraz wydań naukowych i krytycznych

Wydawcy, który jako pierwszy w sposób zgodny z prawem opublikował lub w inny

sposób rozpowszechnił utwór, którego czas ochrony już wygasł, a jego egzemplarze

nie były jeszcze publicznie udostępniane, przysługuje wyłączne prawo do

rozporządzania tym utworem i korzystania z niego na wszystkich polach eksploatacji

przez okres dwudziestu pięciu lat od daty pierwszej publikacji lub rozpowszechnienia.

Temu, kto po upływie czasu ochrony prawa autorskiego do utworu przygotował

jego wydanie krytyczne lub naukowe, niebędące utworem, przysługuje wyłączne

prawo do rozporządzania takim wydaniem i korzystania z niego w zakresie przez

okres trzydziestu lat od daty publikacji.

Przepisy te stosuje się odpowiednio do utworów i tekstów, które ze względu na czas

ich powstania lub charakter nigdy nie były objęte ochroną prawa autorskiego.

Przepisy ustawy stosuje się do pierwszych wydań:

których wydawca ma na terytorium Rzeczypospolitej Polskiej miejsce za-

mieszkania lub siedzibę lub

których wydawca ma na terytorium Europejskiego Obszaru

Gospodarczego miejsce zamieszkania lub siedzibę, lub

które są chronione na podstawie umów międzynarodowych, w zakresie, w

jakim ich ochrona wynika z tych umów.

Przepisy ustawy stosuje się do wydań naukowych i krytycznych, które:

zostały dokonane przez obywatela polskiego albo osobę zamieszkałą na

terytorium Rzeczypospolitej Polskiej, lub

zostały ustalone po raz pierwszy na terytorium Rzeczypospolitej Polskiej,

lub

zostały opublikowane po raz pierwszy na terytorium Rzeczypospolitej

Polskiej, lub

są chronione na podstawie umów międzynarodowych, w zakresie, w jakim

ich ochrona wynika z tych umów.

1.2.4. Ustawa o podpisie elektronicznym5

Ustawa określa warunki stosowania podpisu elektronicznego, skutki prawne jego

stosowania, zasady świadczenia usług certyfikacyjnych oraz zasady nadzoru nad

podmiotami świadczącymi te usługi. Przepisy ustawy stosuje się do podmiotów

świadczących usługi certyfikacyjne, mających siedzibę lub świadczących usługi na

terytorium Rzeczypospolitej Polskiej.

Certyfikat wydany przez podmiot świadczący usługi certyfikacyjne, niemający

siedziby na terytorium Rzeczypospolitej Polskiej i nieświadczący usług na jej

terytorium, zrównuje się pod względem prawnym z kwalifikowanymi certyfikatami

wydanymi przez kwalifikowany podmiot świadczący usługi certyfikacyjne, mający

siedzibę lub świadczący usługi na terytorium Rzeczypospolitej Polskiej, jeżeli

zostanie spełniona jedna z poniższych przesłanek:

podmiot świadczący usługi certyfikacyjne, który wydał ten certyfikat, został

wpisany do rejestru kwalifikowanych podmiotów świadczących usługi

certyfikacyjne;

przewiduje to umowa międzynarodowa, której stroną jest Rzeczpospolita

Polska, o wzajemnym uznaniu certyfikatów;

podmiot świadczący usługi certyfikacyjne, który wydał ten certyfikat, spełnia

wymagania ustawy i została mu udzielona akredytacja w państwie

członkowskim Unii Europejskiej;

podmiot świadczący usługi certyfikacyjne, mający siedzibę na terytorium

Wspólnoty Europejskiej, spełniający wymogi ustawy, udzielił gwarancji za ten

certyfikat;

5 Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym, Dz.U. brzmienie od 25 lutego 2013

certyfikat ten został uznany za kwalifikowany w drodze umowy

międzynarodowej zawartej pomiędzy Wspólnotą Europejską a państwami

trzecimi lub organizacjami międzynarodowymi (certyfikat ten został uznany

za kwalifikowany w drodze umowy o Europejskim Obszarze Gospodarczym);

podmiot świadczący usługi certyfikacyjne, który wydał ten certyfikat, został

uznany w drodze umowy międzynarodowej zawartej pomiędzy Wspólnotą

Europejską a państwami trzecimi lub organizacjami międzynarodowymi.

1.2.4.1. Skutki prawne podpisu elektronicznego

Bezpieczny podpis elektroniczny weryfikowany przy pomocy kwalifikowanego

certyfikatu wywołuje skutki prawne określone ustawą, jeżeli został złożony w okresie

ważności tego certyfikatu. Bezpieczny podpis elektroniczny złożony w okresie

zawieszenia kwalifikowanego certyfikatu wykorzystywanego do jego weryfikacji

wywołuje skutki prawne z chwilą uchylenia tego zawieszenia.

Dane w postaci elektronicznej opatrzone bezpiecznym podpisem elektronicznym

weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu są równoważne

pod względem skutków prawnych dokumentom opatrzonym podpisami

własnoręcznymi, chyba że przepisy odrębne stanowią inaczej.

Bezpieczny podpis elektroniczny weryfikowany przy pomocy kwalifikowanego

certyfikatu zapewnia integralność danych opatrzonych tym podpisem i jednoznaczne

wskazanie kwalifikowanego certyfikatu, w ten sposób, że rozpoznawalne są wszelkie

zmiany tych danych oraz zmiany wskazania kwalifikowanego certyfikatu

wykorzystywanego do weryfikacji tego podpisu, dokonane po złożeniu podpisu.

Bezpieczny podpis elektroniczny weryfikowany przy pomocy ważnego

kwalifikowanego certyfikatu stanowi dowód tego, że został on złożony przez osobę

określoną w tym certyfikacie jako składającą podpis elektroniczny.

Podpis elektroniczny może być znakowany czasem.

Znakowanie czasem przez kwalifikowany podmiot świadczący usługi certyfikacyjne

wywołuje w szczególności skutki prawne daty pewnej w rozumieniu przepisów

Kodeksu cywilnego.

Uważa się, że podpis elektroniczny znakowany czasem przez kwalifikowany

podmiot świadczący usługi certyfikacyjne został złożony nie później niż w chwili

dokonywania tej usługi. Domniemanie to istnieje do dnia utraty ważności

zaświadczenia certyfikacyjnego wykorzystywanego do weryfikacji tego znakowania.

Przedłużenie istnienia domniemania wymaga kolejnego znakowania czasem podpisu

elektronicznego wraz z danymi służącymi do poprzedniej weryfikacji przez

kwalifikowany podmiot świadczący tę usługę.

Nie można odmówić ważności i skuteczności podpisowi elektronicznemu tylko na

tej podstawie, że istnieje w postaci elektronicznej lub dane służące do weryfikacji

podpisu nie mają kwalifikowanego certyfikatu, lub nie został złożony za pomocą

bezpiecznego urządzenia służącego do składania podpisu elektronicznego.

1.2.4.2. Obowiązki podmiotów świadczących usługi certyfikacyjne

Prowadzenie działalności w zakresie świadczenia usług certyfikacyjnych nie

wymaga uzyskania zezwolenia ani koncesji. Organy władzy publicznej i Narodowy

Bank Polski mogą świadczyć usługi certyfikacyjne, z zastrzeżeniem (jednostka

samorządu terytorialnego może świadczyć usługi certyfikacyjne na zasadach

niezarobkowych także dla członków wspólnoty samorządowej), wyłącznie na użytek

własny lub innych organów władzy publicznej.

Kwalifikowany podmiot świadczący usługi certyfikacyjne wydający kwalifikowane

certyfikaty jest obowiązany:

zapewnić techniczne i organizacyjne możliwości szybkiego i niezawodnego

wydawania, zawieszania i unieważniania certyfikatów oraz określenia czasu

dokonania tych czynności;

stwierdzić tożsamość osoby ubiegającej się o certyfikat;

zapewnić środki przeciwdziałające fałszerstwom certyfikatów i innych da-

nych poświadczanych elektronicznie przez te podmioty, w szczególności

przez ochronę urządzeń i danych wykorzystywanych przy świadczeniu usług

certyfikacyjnych;

zawrzeć umowę ubezpieczenia odpowiedzialności cywilnej za szkody wy-

rządzone odbiorcom usług certyfikacyjnych;

poinformować osobę ubiegającą się o certyfikat, przed zawarciem z nią

umowy, o warunkach uzyskania i używania certyfikatu, w tym o wszelkich

ograniczeniach jego użycia;

używać systemów do tworzenia i przechowywania certyfikatów w sposób

zapewniający możliwość wprowadzania i zmiany danych jedynie osobom

uprawnionym;

jeżeli podmiot zapewnia publiczny dostęp do certyfikatów, to ich publikacja

wymaga uprzedniej zgody osoby, której wydano ten certyfikat;

udostępniać odbiorcy usług certyfikacyjnych pełny wykaz bezpiecznych

urządzeń do składania i weryfikacji podpisów elektronicznych i warunki

techniczne, jakim te urządzenia powinny odpowiadać;

zapewnić, w razie tworzenia przez niego danych służących do składania

podpisu elektronicznego, poufność procesu ich tworzenia, a także nie

przechowywać i nie kopiować tych danych ani innych danych, które mogłyby

służyć do ich odtworzenia, oraz nie udostępniać ich nikomu innemu poza

osobą, która będzie składała za ich pomocą podpis elektroniczny;

zapewnić, w razie tworzenia przez niego danych służących do składania

podpisu elektronicznego, aby dane te z prawdopodobieństwem graniczącym

z pewnością wystąpiły tylko raz;

publikować dane, które umożliwią weryfikację, w tym również w sposób

elektroniczny, autentyczności i ważności certyfikatów oraz innych danych

poświadczanych elektronicznie przez ten podmiot oraz zapewnić nieodpłatny

dostęp do tych danych odbiorcom usług certyfikacyjnych.

Kwalifikowany podmiot świadczący usługi certyfikacyjne polegające na

znakowaniu czasem jest obowiązany spełnić wymogi, o których była mowa

wcześniej, oraz używać systemów do znakowania czasem, tworzenia i

przechowywania zaświadczeń certyfikacyjnych, w sposób zapewniający możliwość

wprowadzania i zmiany danych jedynie osobom uprawnionym, a także zapewnić, że

czas w nich określony jest czasem z chwili składania poświadczenia elektronicznego

i uniemożliwiają one oznaczenie czasem innym niż w chwili wykonania usługi

znakowania czasem.

Podmiot świadczący usługi certyfikacyjne odpowiada wobec odbiorców usług

certyfikacyjnych za wszelkie szkody spowodowane niewykonaniem lub nienależytym

wykonaniem swych obowiązków w zakresie świadczonych usług, chyba że

niewykonanie lub nienależyte wykonanie tych obowiązków jest następstwem

okoliczności, za które podmiot świadczący usługi certyfikacyjne nie ponosi

odpowiedzialności i którym nie mógł zapobiec mimo dołożenia należytej staranności.

Informacje związane ze świadczeniem usług certyfikacyjnych, których

nieuprawnione ujawnienie mogłoby narazić na szkodę podmiot świadczący usługi

certyfikacyjne lub odbiorcę usług certyfikacyjnych, a w szczególności dane służące

do składania poświadczeń elektronicznych, są objęte tajemnicą. Nie są objęte

tajemnicą informacje o naruszeniach ustawy przez podmiot świadczący usługi

certyfikacyjne.

Obowiązek zachowania tajemnicy, o której była mowa trwa przez okres 10 lat od

ustania stosunków prawnych. Obowiązek zachowania tajemnicy danych służących

do składania poświadczeń elektronicznych trwa bezterminowo.

1.2.4.3. Świadczenie usług certyfikacyjnych

Podmiot świadczący usługi certyfikacyjne wydaje certyfikat na podstawie umowy.

Odbiorca usług certyfikacyjnych jest obowiązany przechowywać dane służące do

składania podpisu elektronicznego w sposób zapewniający ich ochronę przed

nieuprawnionym wykorzystaniem w okresie ważności certyfikatu służącego do

weryfikacji tych podpisów.

Bezpieczne urządzenie służące do składania podpisu elektronicznego powinno co

najmniej:

uniemożliwiać pozyskiwanie danych służących do składania podpisu lub po-

świadczenia elektronicznego;

nie zmieniać danych, które mają zostać podpisane lub poświadczone

elektronicznie, oraz umożliwiać przedstawienie tych danych osobie składającej

podpis elektroniczny przed chwilą jego złożenia;

gwarantować, że złożenie podpisu będzie poprzedzone wyraźnym

ostrzeżeniem, że kontynuacja operacji będzie równoznaczna ze złożeniem

podpisu elektronicznego;

zapewniać łatwe rozpoznawanie istotnych dla bezpieczeństwa zmian w

urządzeniu do składania podpisu lub poświadczenia elektronicznego.

Bezpieczne urządzenie służące do weryfikacji podpisu elektronicznego powinno

spełniać następujące wymagania:

dane używane do weryfikacji podpisu elektronicznego odpowiadają danym,

które są uwidaczniane osobie weryfikującej ten podpis;

podpis elektroniczny jest weryfikowany rzetelnie, a wynik weryfikacji

prawidłowo wykazany;

osoba weryfikująca może w sposób niebudzący wątpliwości ustalić zawartość

podpisanych danych;

autentyczność i ważność certyfikatów lub innych danych poświadczonych

elektronicznie jest rzetelnie weryfikowana;

wynik weryfikacji identyfikacji osoby składającej podpis elektroniczny jest

poprawnie i czytelnie wykazywany;

użycie pseudonimu jest jednoznacznie wskazane;

istotne dla bezpieczeństwa zmiany w urządzeniu służącym do weryfikacji

podpisu elektronicznego są sygnalizowane.

Kwalifikowany certyfikat zawiera co najmniej następujące dane:

numer certyfikatu;

wskazanie, że certyfikat został wydany jako certyfikat kwalifikowany do

stosowania zgodnie z określoną polityką certyfikacji;

określenie podmiotu świadczącego usługi certyfikacyjne wydającego certy-

fikat i państwa, w którym ma on siedzibę, oraz numer pozycji w rejestrze

kwalifikowanych podmiotów świadczących usługi certyfikacyjne;

imię i nazwisko lub pseudonim osoby składającej podpis elektroniczny; użycie

pseudonimu musi być wyraźnie zaznaczone;

dane służące do weryfikacji podpisu elektronicznego;

oznaczenie początku i końca okresu ważności certyfikatu;

poświadczenie elektroniczne podmiotu świadczącego usługi certyfikacyjne,

wydającego dany certyfikat;

ograniczenia zakresu ważności certyfikatu, jeżeli przewiduje to określona

polityka certyfikacji;

ograniczenie najwyższej wartości granicznej transakcji, w której certyfikat

może być wykorzystywany, jeżeli przewiduje to polityka certyfikacji lub umowa.

1.2.4.4. Ważność certyfikatów

Certyfikat jest ważny w okresie w nim wskazanym. Podmiot świadczący usługi

certyfikacyjne unieważnia certyfikat kwalifikowany przed upływem okresu jego

ważności, jeżeli:

certyfikat ten został wydany na podstawie nieprawdziwych lub nieaktualnych

danych;

nie dopełnił obowiązków określonych w ustawie;

osoba składająca podpis elektroniczny weryfikowany na podstawie tego

certyfikatu nie dopełniła obowiązków;

podmiot świadczący usługi certyfikacyjne zaprzestaje świadczenia usług

certyfikacyjnych, a jego praw i obowiązków nie przejmie inny kwalifikowany

podmiot;

zażąda tego osoba składająca podpis elektroniczny lub osoba trzecia

wskazana w certyfikacie;

zażąda tego minister właściwy do spraw gospodarki;

osoba składająca podpis elektroniczny utraciła pełną zdolność do czynności

prawnych.

Unieważnienie certyfikatu nie wyłącza odpowiedzialności podmiotu świadczącego

usługi certyfikacyjne za szkodę względem osoby składającej podpis elektroniczny.

W przypadku istnienia uzasadnionego podejrzenia, że istnieją przesłanki do

unieważnienia kwalifikowanego certyfikatu, podmiot świadczący usługi certyfikacyjne

jest obowiązany niezwłocznie zawiesić certyfikat i podjąć działania nie-zbędne do

wyjaśnienia tych wątpliwości.

Zawieszenie kwalifikowanego certyfikatu nie może trwać dłużej niż 7 dni.

Po upływie tego okresu w przypadku niemożności wyjaśnienia wątpliwości, podmiot

świadczący usługi certyfikacyjne niezwłocznie unieważnia kwalifikowany certyfikat.

Certyfikat, który został zawieszony, może zostać następnie unieważniony lub jego

zawieszenie może zostać uchylone. Certyfikat, który został unieważniony, nie może

być następnie uznany za ważny.

O unieważnieniu lub zawieszeniu certyfikatu podmiot świadczący usługi

certyfikacyjne zawiadamia niezwłocznie osobę składającą podpis elektroniczny

weryfikowany na jego podstawie.

Zawieszenie lub unieważnienie certyfikatu nie może następować z mocą

wsteczną.

Podmiot świadczący usługi certyfikacyjne publikuje listę zawieszonych i

unieważnionych certyfikatów. Informacje o zawieszeniu lub unieważnieniu certyfikatu

umieszcza się na każdej liście zawieszonych i unieważnionych certyfikatów

publikowanej przed dniem upływu okresu ważności certyfikatu oraz na pierwszej

liście publikowanej po upływie tego okresu.

1.2.4.5. Udzielanie akredytacji i dokonywanie wpisu do rejestru

kwalifikowanych podmiotów świadczących usługi certyfikacyjne

Podmiot świadczący usługi certyfikacyjne lub zamierzający podjąć taką

działalność może wystąpić o wpis do rejestru kwalifikowanych podmiotów

świadczących usługi certyfikacyjne.

Świadczenie usług certyfikacyjnych w charakterze kwalifikowanego podmiotu

świadczącego usługi certyfikacyjne wymaga uzyskania wpisu do rejestru

kwalifikowanych podmiotów świadczących usługi certyfikacyjne i uzyskania za-

świadczenia certyfikacyjnego wykorzystywanego do weryfikowania poświadczeń

elektronicznych tego podmiotu, wydanego przez ministra właściwego do spraw

gospodarki,

Wpisu do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne

dokonuje się na wniosek podmiotu, który zamierza świadczyć lub świadczy usługi

certyfikacyjne.

W przypadku braków we wniosku, minister właściwy do spraw gospodarki wzywa

wnioskodawcę do jego uzupełnienia, wyznaczając termin nie krótszy niż 7 dni.

Termin, o którym mowa, może zostać przedłużony na umotywowany wniosek

wnioskodawcy złożony przed upływem tego terminu.

Nieuzupełnienie wniosku w wyznaczonym terminie skutkuje odrzuceniem wniosku.

1.2.4.6. Nadzór nad działalnością kwalifikowanych podmiotów świadczących usługi certyfikacyjne

Minister właściwy do spraw gospodarki sprawuje nadzór nad przestrzeganiem

przepisów ustawy przez kwalifikowane podmioty, zapewniając ochronę interesów

odbiorców usług certyfikacyjnych.

Zadanie to minister właściwy do spraw gospodarki realizuje w szczególności

poprzez:

prowadzenie rejestru kwalifikowanych podmiotów świadczących usługi

certyfikacyjne;

wydawanie i unieważnianie zaświadczeń certyfikacyjnych;

kontrolę działalności podmiotów świadczących usługi certyfikacyjne pod

względem zgodności z ustawą;

nakładanie kar przewidzianych w ustawie.

Minister właściwy do spraw gospodarki przeprowadza kontrolę:

z urzędu;

na żądanie prokuratora lub sądu, albo innych organów państwowych

upoważnionych do tego na podstawie ustaw w związku z prowadzonymi przez

nie postępowaniami w sprawach dotyczących działalności podmiotów

świadczących usługi certyfikacyjne.

1.2.5. Ustawa o ochronie baz danych6

Ochronie określonej w ustawie podlegają bazy danych, z wyłączeniem baz danych

spełniających cechy utworu określone w ustawie o ochronie praw autorskich i

pokrewnych.

W rozumieniu ustawy:

baza danych oznacza zbiór danych lub jakichkolwiek innych materiałów i

elementów zgromadzonych według określonej systematyki lub metody,

indywidualnie dostępnych w jakikolwiek sposób, w tym środkami

elektronicznymi, wymagający istotnego, co do jakości lub ilości, nakładu

inwestycyjnego w celu sporządzenia, weryfikacji lub prezentacji jego

zawartości;

pobieranie danych oznacza stałe lub czasowe przejęcie lub przeniesienie

całości lub istotnej, co do jakości lub ilości, części zawartości bazy danych na

inny nośnik, bez względu na sposób lub formę tego przejęcia lub

przeniesienia, z zastrzeżeniem art. 3 tzn. wypożyczenie baz danych nie

stanowi pobierania danych lub wtórnego ich wykorzystania;

wtórne wykorzystanie oznacza publiczne udostępnienie bazy danych w

dowolnej formie, a w szczególności poprzez rozpowszechnianie, bezpośrednie

przekazywanie lub najem;

producentem bazy danych jest osoba fizyczna, prawna lub jednostka

organizacyjna nieposiadająca osobowości prawnej, która ponosi ryzyko

nakładu inwestycyjnego przy tworzeniu bazy danych.

Ilekroć w ustawie jest mowa o producencie należy przez to rozumieć także jego

następcę prawnego.

Ochrona przyznana bazom danych nie obejmuje programów komputerowych

użytych do sporządzenia baz danych lub korzystania z nich.

Z ochrony korzystają bazy danych, których:

6 Ustawa o ochronie baz danych, z dnia 27 lipca 2001 r., Dz.U. z 2001 r. Nr 128, poz. 1402

producent jest obywatelem Rzeczypospolitej Polskiej albo ma na jej

terytorium swoją siedzibę;

producent jest obywatelem państwa członkowskiego Unii Europejskiej lub ma

miejsce stałego pobytu na terytorium Wspólnoty Europejskiej;

producent jest osobą prawną założoną zgodnie z prawem państwa

członkowskiego Unii Europejskiej, posiadającą siedzibę i zakład główny

wykonywania działalności na terytorium Wspólnoty Europejskiej; jeżeli

producent posiada tylko siedzibę na terytorium Wspólnoty Europejskiej,

jego działalność musi być istotnie i trwale związana z gospodarką państwa

członkowskiego Unii Europejskiej;

ochrona wynika z umów międzynarodowych, na zasadach i w zakresie w nich

określonych;

producent jest podmiotem niewymienionym wyżej i jest przedsiębiorcą w

rozumieniu ustawy z dnia 19 listopada 1999 r. - Prawo działalności

gospodarczej (Dz.U. Nr 101, poz. 1178, z 2000 r. Nr 86, poz. 958 i Nr 114,

poz. 1193 oraz z 2001 r. Nr 49, poz. 509 i Nr 67, poz. 679).

Producentowi bazy danych przysługuje wyłączne i zbywalne prawo pobierania

danych i wtórnego ich wykorzystania w całości lub w istotnej części, co do jakości lub

ilości.

Producent bazy danych udostępnionej publicznie w jakikolwiek sposób nie może

zabronić użytkownikowi korzystającemu zgodnie z prawem z takiej bazy danych,

pobierania lub wtórnego wykorzystania w jakimkolwiek celu nieistotnej, co do jakości

lub ilości, części jej zawartości.

Jeżeli użytkownik korzystający zgodnie z prawem z bazy danych jest uprawniony

do pobierania lub wtórnego wykorzystania jedynie części bazy danych, do której

został uprawniony.

Korzystanie z baz danych nie może naruszać normalnego korzystania z baz

danych lub godzić w słuszne interesy producenta baz danych.

Wolno korzystać z istotnej, co do jakości lub ilości, części rozpowszechnionej

bazy danych:

do własnego użytku osobistego, ale tylko z zawartości nieelektronicznej bazy

danych;

w charakterze ilustracji, w celach dydaktycznych lub badawczych, ze

wskazaniem źródła, jeżeli takie korzystanie jest uzasadnione niekomercyjnym

celem, dla którego wykorzystano bazę;

do celów bezpieczeństwa wewnętrznego, postępowania sądowego lub

administracyjnego.

Nie jest dozwolone powtarzające się i systematyczne pobieranie lub wtórne

wykorzystanie sprzeczne z normalnym korzystaniem i powodujące

nieusprawiedliwione naruszenie słusznych interesów producenta.

Pierwsza sprzedaż kopii bazy danych na terytorium Rzeczypospolitej Polskiej

przez uprawnionego lub za jego zgodą wyczerpuje prawo do kontrolowania

odsprzedaży tej kopii na tym terytorium. Pierwsza sprzedaż kopii bazy danych w

państwach członkowskich Unii Europejskiej przez uprawnionego lub za jego zgodą

wyczerpuje prawo do kontrolowania odsprzedaży tej kopii na ich terytorium.

1. Czas trwania ochrony bazy danych liczy się od jej sporządzenia przez okres

piętnastu lat następujących po roku, w którym baza danych została sporządzona.

2. Jeżeli w okresie, o którym mowa w ust. 1, baza danych została w jakikolwiek

sposób udostępniona publicznie, okres jej ochrony wygasa z upływem piętnastu lat

następujących po roku, w którym doszło do jej udostępnienia po raz pierwszy.

3. W przypadku jakiejkolwiek istotnej, zmiany treści bazy danych, co do jakości lub

ilości, w tym jej uzupełnienia, zmiany lub usunięcia jej części, mających znamiona

nowego istotnego, co do jakości lub ilości, nakładu okres jej ochrony liczy się

odrębnie.

Producent bazy danych może żądać od osoby, która naruszyła jego prawo do

bazy danych, zaniechania naruszeń, przywrócenia stanu zgodnego z prawem i

wydania bezprawnie uzyskanej korzyści majątkowej. Producent bazy danych może

również żądać naprawienia wyrządzonej szkody na zasadach ogólnych.

1.2.6. Ustawa o świadczeniu usług drogą elektroniczną7

Ustawa określa:

obowiązki usługodawcy związane ze świadczeniem usług drogą elektroniczną;

7 Ustawa z dnia 18 lipca 2002 r. O świadczeniu usług drogą elektroniczną, Dz.U. 2002 nr 144 poz.

1204, stan prawny 2013r.

zasady wyłączania odpowiedzialności usługodawcy z tytułu świadczenia usług

drogą elektroniczną;

zasady ochrony danych osobowych osób fizycznych korzystających z usług

świadczonych drogą elektroniczną.

Przepisów ustawy nie stosuje się do:

rozpowszechniania lub rozprowadzania programów radiowych lub programów

telewizyjnych i związanych z nimi przekazów tekstowych w rozumieniu ustawy

z dnia 29 grudnia 1992 r. o radiofonii i telewizji (Dz. U. z 2011 r. Nr 43, poz.

226 i Nr 85, poz. 459), z wyłączeniem programów rozpowszechnianych

wyłącznie w systemie teleinformatycznym;

używania poczty elektronicznej lub innego równorzędnego środka komunikacji

elektronicznej między osobami fizycznymi, w celach osobistych niezwiązanych

z prowadzoną przez te osoby, chociażby ubocznie, działalnością zarobkową

lub wykonywanym przez nie zawodem;

świadczenia przez przedsiębiorcę telekomunikacyjnego usług

telekomunikacyjnych, z niektórymi wyłączeniami;

świadczenia usług drogą elektroniczną, jeżeli odbywa się ono w ramach

struktury organizacyjnej usługodawcy, przy czym usługa świadczona drogą

elektroniczną służy wyłącznie do kierowania pracą lub procesami

gospodarczymi tego podmiotu.

Świadczenie usług drogą elektroniczną podlega prawu państwa członkowskiego

Unii Europejskiej oraz Europejskiego Porozumienia o Wolnym Handlu (EFTA) –

strony umowy o Europejskim Obszarze Gospodarczym, na którego terytorium

usługodawca ma miejsce zamieszkania lub siedzibę.

Przepisu nie stosuje się do:

ochrony praw autorskich i praw pokrewnych w rozumieniu ustawy z dnia 4

lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz. U. z 2006 r. Nr

90, poz. 631, z późn. zm.2)), baz danych w rozumieniu ustawy z dnia 27 lipca

2001 r. o ochronie baz danych (Dz. U. Nr 128, poz. 1402, z 2004 r. Nr 96, poz.

959 oraz z 2007 r. Nr 99, poz. 662 i Nr 176, poz. 1238) oraz własności

przemysłowej w rozumieniu ustawy z dnia 30 czerwca 2000 r. – Prawo

własności przemysłowej (Dz. U. z 2003 r. Nr 119, poz. 1117, z późn. zm.3));

emisji pieniądza elektronicznego przez instytucje, o których mowa w art. 50

ustawy z dnia 12 września 2002 r. o elektronicznych instrumentach

płatniczych (Dz. U. Nr 169, poz. 1385, z późn. zm.4)),

wykonywania na terytorium Rzeczypospolitej Polskiej działalności

ubezpieczeniowej przez zagraniczny zakład ubezpieczeń, o którym mowa w

art. 128 ust. 1 ustawy z dnia 22 maja 2003 r. o działalności ubezpieczeniowej

(Dz. U. Nr 124, poz. 1151, z późn. zm.5));

udostępniania na terytorium Rzeczypospolitej Polskiej informacji reklamowych

przez fundusz zagraniczny, o którym mowa w art. 2 pkt 9 ustawy z dnia 27

maja 2004 r. o funduszach inwestycyjnych (Dz. U. Nr 146, poz. 1546, z późn.

zm.6));

umów z udziałem konsumentów – w zakresie, w jakim ochronę praw

konsumentów zapewniają przepisy odrębne;

warunków dopuszczalności przesyłania niezamówionych informacji

handlowych za pośrednictwem poczty elektronicznej.

Przepis nie skutkuje również wyłączeniem swobody stron w zakresie wyboru

prawa właściwego dla zobowiązań umownych, oraz wyłączeniem stosowania

przepisów o formie czynności prawnych ustanawiających lub przenoszących prawa

rzeczowe na nieruchomościach, które obowiązują w państwie, w którym znajduje się

nieruchomość.

Świadczenie usług drogą elektroniczną w zakresie gier hazardowych podlega

prawu polskiemu, w przypadku gdy gra hazardowa jest urządzana na terytorium

Rzeczypospolitej Polskiej lub usługobiorca uczestniczy na terytorium

Rzeczypospolitej Polskiej w grze hazardowej, lub usługa jest kierowana do

usługobiorców na terytorium Rzeczypospolitej Polskiej, w szczególności dostępne

jest korzystanie z niej w języku polskim lub jest reklamowana na terytorium

Rzeczypospolitej Polskiej.

Na zasadach określonych przez przepisy odrębne swoboda świadczenia usług

drogą elektroniczną może zostać ograniczona, jeżeli jest to niezbędne ze względu na

ochronę zdrowia, obronność, bezpieczeństwo państwa lub bezpieczeństwo

publiczne.

Zadania polegające na współpracy z państwami członkowskimi Unii Europejskiej

oraz Europejskiego Porozumienia o Wolnym Handlu (EFTA) – stronami umowy o

Europejskim Obszarze Gospodarczym w zakresie świadczenia usług drogą

elektroniczną wykonują jednostki organizacyjne – punkty kontaktowe dla

administracji.

Zadania polegające na:

umożliwieniu usługodawcom i usługobiorcom otrzymywania informacji

ogólnych na temat ich praw i obowiązków, jak również na temat procedur

reklamacyjnych oraz naprawiania szkody w przypadku sporów, łącznie z

informacjami na temat praktycznych aspektów związanych z

wykorzystaniem tych procedur,

umożliwieniu usługodawcom i usługobiorcom uzyskiwania danych

szczegó-łowych dotyczących władz, stowarzyszeń lub organizacji, od

których mogą oni otrzymać dalsze informacje lub praktyczną pomoc

– wykonują jednostki organizacyjne – punkty kontaktowe dla usługodawców i

usługobiorców.

Punkty kontaktowe, o których mowa wyżej tworzy, w drodze rozporządzenia,

minister właściwy do spraw gospodarki w porozumieniu z ministrem właściwym do

spraw informatyzacji.

Rozporządzenie, o którym wyżej, określa w szczególności:

liczbę i rodzaj punktów kontaktowych oraz ich szczegółowy zakres zadań,

warunki techniczne i organizacyjne punktu kontaktowego

– uwzględniając potrzebę zapewnienia właściwej realizacji zadań punktów kon-

taktowych.

Jeżeli ustawa wymaga uzyskania zgody usługobiorcy to zgoda ta nie może być

domniemana lub dorozumiana z oświadczenia woli o innej treści,

Usługodawca wykazuje uzyskanie zgody, o której mowa wcześniej, dla celów

dowodowych.

1.2.6.1. Obowiązki usługodawcy świadczącego usługi drogą elektroniczną

1. Usługodawca podaje, w sposób wyraźny, jednoznaczny i bezpośrednio dostępny

poprzez system teleinformatyczny, którym posługuje się usługobiorca, informacje

podstawowe określone wcześniej.

2. Usługodawca podaje:

1. Adresy elektroniczne.

2. Imię, nazwisko, miejsce zamieszkania i adres albo nazwę lub firmę oraz

siedzibę i adres.

3. Jeżeli usługodawcą jest przedsiębiorca, podaje on również informacje

dotyczące właściwego zezwolenia i organu zezwalającego, w razie gdy

świadczenie usługi wymaga, na podstawie odrębnych przepisów, takiego

zezwolenia.

4. Przepis ust. 3 nie narusza obowiązku określonego w art. 21 pkt 2 ustawy z

dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz. U. Nr 173,

poz. 1807).

5. Jeżeli usługodawcą jest osoba fizyczna, której prawo do wykonywania zawodu

jest uzależnione od spełnienia określonych w odrębnych ustawach wymagań,

podaje również:

w przypadku ustanowienia pełnomocnika, jego imię, nazwisko, miejsce

zamieszkania i adres albo jego nazwę lub firmę oraz siedzibę i adres;

samorząd zawodowy, do którego należy;

tytuł zawodowy, którego używa oraz państwo, w którym został on przyznany;

numer w rejestrze publicznym, do którego jest wpisany wraz ze wskazaniem

nazwy rejestru i organu prowadzącego rejestr;

informację o istnieniu właściwych dla danego zawodu zasad etyki zawodowej

oraz o sposobie dostępu do tych zasad.

Usługodawca jest obowiązany zapewnić usługobiorcy dostęp do aktualnej informacji

o:

szczególnych zagrożeniach związanych z korzystaniem z usługi świadczonej

drogą elektroniczną,

funkcji i celu oprogramowania lub danych niebędących składnikiem treści

usługi, wprowadzanych przez usługodawcę do systemu teleinformatycznego,

którym posługuje się usługobiorca.

Usługodawca zapewnia działanie systemu teleinformatycznego, którym się

posługuje, umożliwiając nieodpłatnie usługobiorcy:

1. W razie, gdy wymaga tego właściwość usługi:

korzystanie przez usługobiorcę z usługi świadczonej drogą elektroniczną, w

sposób uniemożliwiający dostęp osób nieuprawnionych do treści przekazu

składającego się na tę usługę, w szczególności przy wykorzystaniu technik

kryptograficznych odpowiednich dla właściwości świadczonej usługi;

jednoznaczną identyfikację stron usługi świadczonej drogą elektroniczną oraz

potwierdzenie faktu złożenia oświadczeń woli i ich treści, niezbędnych do

zawarcia drogą elektroniczną umowy o świadczenie tej usługi, w

szczególności przy wykorzystaniu bezpiecznego podpisu elektronicznego w

rozumieniu ustawy z dnia 18 września 2001 r. o podpisie elektronicznym (Dz.

U. Nr 130, poz. 1450),

zakończenie, w każdej chwili, korzystania z usługi świadczonej drogą

elektroniczną.

Usługodawca:

określa regulamin świadczenia usług drogą elektroniczną, zwany dalej

„regulaminem”;

nieodpłatnie udostępnia usługobiorcy regulamin przed zawarciem umowy o

świadczenie takich usług, a także – na jego żądanie – w taki sposób, który

umożliwia pozyskanie, odtwarzanie i utrwalanie treści regulaminu za pomocą

systemu teleinformatycznego, którym posługuje się usługobiorca.

Usługobiorca nie jest związany tymi postanowieniami regulaminu, które nie zostały

mu udostępnione w sposób, o którym była mowa wcześniej.

Regulamin określa w szczególności:

1. Rodzaje i zakres usług świadczonych drogą elektroniczną.

2. Warunki świadczenia usług drogą elektroniczną, w tym:

wymagania techniczne niezbędne do współpracy z systemem

teleinformatycznym, którym posługuje się usługodawca;

zakaz dostarczania przez usługobiorcę treści o charakterze bezprawnym.

3. Warunki zawierania i rozwiązywania umów o świadczenie usług drogą

elektroniczną.

4. Tryb postępowania reklamacyjnego.

Usługodawca świadczy usługi drogą elektroniczną zgodnie z regulaminem.

1. Informacja handlowa jest wyraźnie wyodrębniana i oznaczana w sposób

niebudzący wątpliwości, że jest to informacja handlowa.

2. Informacja handlowa zawiera:

oznaczenie podmiotu, na którego zlecenie jest ona rozpowszechniana, oraz

jego adresy elektroniczne;

wyraźny opis form działalności promocyjnej, w szczególności obniżek cen,

nieodpłatnych świadczeń pieniężnych lub rzeczowych i innych korzyści;

wszelkie informacje, które mogą mieć wpływ na określenie zakresu

odpowiedzialności stron, w szczególności ostrzeżenia i zastrzeżenia.

Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do

oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji

elektronicznej, w szczególności poczty elektronicznej.

Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na

otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący

go adres elektroniczny.

Działanie, o którym mowa w ust. 1, stanowi czyn nieuczciwej konkurencji w

rozumieniu przepisów ustawy, o której mowa w art. 9 ust. 3 pkt 1.

1.2.6.2. Wyłączenie odpowiedzialności usługodawcy z tytułu świadczenia usług

drogą elektroniczną

Usługodawca, który świadczy usługi drogą elektroniczną obejmujące transmisję w

sieci telekomunikacyjnej danych przekazywanych przez odbiorcę usługi lub

zapewnienie dostępu do sieci telekomunikacyjnej w rozumieniu ustawy z dnia 16

lipca 2004 r. – Prawo telekomunikacyjne, nie ponosi odpowiedzialności za treść tych

danych, jeżeli:

nie jest inicjatorem przekazu danych;

nie wybiera odbiorcy przekazu danych;

nie wybiera oraz nie modyfikuje informacji zawartych w przekazie.

Wyłączenie odpowiedzialności, o którym mowa wyżej, obejmuje także

automatyczne i krótkotrwałe pośrednie przechowywanie transmitowanych danych,

jeżeli działanie to ma wyłącznie na celu przeprowadzenie transmisji, a dane nie są

przechowywane dłużej, niż jest to w zwykłych warunkach konieczne dla

zrealizowania transmisji.

Nie ponosi odpowiedzialności za przechowywane dane ten, kto transmitując dane

oraz zapewniając automatyczne i krótkotrwałe pośrednie przechowywanie tych

danych w celu przyspieszenia ponownego dostępu do nich na żądanie innego

podmiotu:

nie modyfikuje danych;

posługuje się uznanymi i stosowanymi zwykle w tego rodzaju działalności

technikami informatycznymi określającymi parametry techniczne dostępu do

danych i ich aktualizowania;

nie zakłóca posługiwania się technikami informatycznymi uznany-mi i

stosowanymi zwykle w tego rodzaju działalności w zakresie zbierania

informacji o korzystaniu ze zgromadzonych danych.

Nie ponosi odpowiedzialności za przechowywane dane ten, kto niezwłocznie

usunie dane albo uniemożliwi dostęp do przechowywanych danych, gdy uzyska

wiadomość, że dane zostały usunięte z początkowego źródła transmisji lub dostęp do

nich został uniemożliwiony, albo gdy sąd lub inny właściwy organ nakazał usunięcie

danych lub uniemożliwienie do nich dostępu.

Nie ponosi odpowiedzialności za przechowywane dane ten, kto udostępniając

zasoby systemu teleinformatycznego w celu przechowywania danych przez

usługobiorcę, nie wie o bezprawnym charakterze danych lub związanej z nimi

działalności, a w razie otrzymania urzędowego zawiadomienia lub uzyskania wiary-

godnej wiadomości o bezprawnym charakterze danych lub związanej z nimi

działalności niezwłocznie uniemożliwi dostęp do tych danych.

Usługodawca, który otrzymał urzędowe zawiadomienie o bezprawnym charakterze

przechowywanych danych dostarczonych przez usługobiorcę i uniemożliwił dostęp

do tych danych, nie ponosi odpowiedzialności względem tego usługobiorcy za

szkodę powstałą w wyniku uniemożliwienia dostępu do tych danych.

Usługodawca, który uzyskał wiarygodną wiadomość o bezprawnym charakterze

przechowywanych danych dostarczonych przez usługobiorcę i uniemożliwił dostęp

do tych danych, nie odpowiada względem tego usługobiorcy za szkodę powstałą w

wyniku uniemożliwienia dostępu do tych danych, jeżeli niezwłocznie zawiadomił

usługobiorcę o zamiarze uniemożliwienia do nich dostępu.

1.2.6.3. Zasady ochrony danych osobowych w związku ze świadczeniem usług

drogą elektroniczną

1. Do przetwarzania danych osobowych w rozumieniu ustawy z dnia 29 sierpnia

1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926), w związku

ze świadczeniem usług drogą elektroniczną, stosuje się przepisy tej ustawy, o ile

przepisy niniejszego rozdziału nie stanowią inaczej.

2. Dane osobowe podlegają ochronie przewidzianej w niniejszym rozdziale w za-

kresie ich przetwarzania niezależnie od tego, czy jest ono dokonywane w zbiorach

danych.

Dane osobowe usługobiorcy mogą być przetwarzane przez usługodawcę w celu i

zakresie określonym w niniejszej ustawie.

1. Usługodawca może przetwarzać następujące dane osobowe usługobiorcy nie-

zbędne do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku

prawnego między nimi:

nazwisko i imiona usługobiorcy;

numer ewidencyjny PESEL lub – gdy ten numer nie został nadany – numer

paszportu, dowodu osobistego lub innego dokumentu potwierdzającego toż-

samość;

adres zameldowania na pobyt stały;

adres do korespondencji, jeżeli jest inny niż adres zameldowania;

dane służące do weryfikacji podpisu elektronicznego usługobiorcy;

adresy elektroniczne usługobiorcy.

2. W celu realizacji umów lub dokonania innej czynności prawnej z usługobiorcą,

usługodawca może przetwarzać inne dane niezbędne ze względu na właściwość

świadczonej usługi lub sposób jej rozliczenia.

3. Usługodawca wyróżnia i oznacza te spośród danych, o których mowa w ust. 2,

jako dane, których podanie jest niezbędne do świadczenia usługi drogą

elektroniczną.

4. Usługodawca może przetwarzać, za zgodą usługobiorcy, inne dane dotyczące

usługobiorcy, które nie są niezbędne do świadczenia usługi drogą elektroniczną.

5. Usługodawca może przetwarzać następujące dane charakteryzujące sposób

korzystania przez usługobiorcę z usługi świadczonej drogą elektroniczną (dane

eksploatacyjne):

oznaczenia identyfikujące usługobiorcę;

oznaczenia identyfikujące zakończenie sieci telekomunikacyjnej lub

system teleinformatyczny, z którego korzystał usługobiorca;

informacje o rozpoczęciu, zakończeniu oraz zakresie każdorazowego

korzy-stania z usługi świadczonej drogą elektroniczną;

informacje o skorzystaniu przez usługobiorcę z usług świadczonych

drogą elektroniczną.

6. Usługodawca udziela informacji o danych, o których mowa wyżej, organom

państwa na potrzeby prowadzonych przez nie postępowań.

Usługodawca nie może przetwarzać danych osobowych usługobiorcy po

zakończeniu korzystania z usługi świadczonej drogą elektroniczną.

Po zakończeniu korzystania z usługi świadczonej drogą elektroniczną

usługodawca może przetwarzać tylko te które są:

niezbędne do rozliczenia usługi oraz dochodzenia roszczeń z tytułu płatności

za korzystanie z usługi;

niezbędne do celów reklamy, badania rynku oraz zachowań i preferencji

usługobiorców z przeznaczeniem wyników tych badań na potrzeby

polepszenia jakości usług świadczonych przez usługodawcę, za zgodą

usługobiorcy;

niezbędne do wyjaśnienia okoliczności niedozwolonego korzystania z usługi;

dopuszczone do przetwarzania na podstawie odrębnych ustaw lub umowy.

Rozliczenie usługi świadczonej drogą elektroniczną przedstawione usługobiorcy

nie może ujawniać rodzaju, czasu trwania, częstotliwości i innych parametrów

technicznych poszczególnych usług, z których skorzystał usługobiorca, chyba że

zażądał on szczegółowych informacji w tym zakresie.

Dopuszcza się zestawianie danych dotyczących korzystania przez usługobiorcę z

różnych usług świadczonych drogą elektroniczną, pod warunkiem usunięcia

wszelkich oznaczeń identyfikujących usługobiorcę lub zakończenie sieci

telekomunikacyjnej albo system teleinformatyczny, z którego korzystał (anonimizacja

danych), chyba że usługobiorca wyraził uprzednio zgodę na nieusuwanie tych

oznaczeń.

Usługodawca nie może zestawiać danych osobowych usługobiorcy z przybranym

przez niego pseudonimem.

Usługodawca, który przetwarza dane osobowe usługobiorcy, jest obowiązany

zapewnić usługobiorcy dostęp do aktualnej informacji o:

możliwości korzystania z usługi świadczonej drogą elektroniczną anonimowo

lub z wykorzystaniem pseudonimu;

udostępnianych przez usługodawcę środkach technicznych zapobiegających

pozyskiwaniu i modyfikowaniu przez osoby nieuprawnione, danych

osobowych przesyłanych drogą elektroniczną;

podmiocie, któremu powierza przetwarzanie danych, ich zakresie i

zamierzonym terminie przekazania, jeżeli usługodawca zawarł z tym

podmiotem umowę o powierzenie do przetwarzania danych.

Informacje, o których mowa wyżej, powinny być dla usługobiorcy stale i łatwo

dostępne za pomocą systemu teleinformatycznego, którym się posługuje.

W przypadku uzyskania przez usługodawcę wiadomości o korzystaniu przez

usługobiorcę z usługi świadczonej drogą elektroniczną niezgodnie z regulaminem lub

z obowiązującymi przepisami (niedozwolone korzystanie), usługodawca może

przetwarzać dane osobowe usługobiorcy w zakresie niezbędnym do ustalenia

odpowiedzialności usługobiorcy, pod warunkiem że utrwali dla celów dowodowych

fakt uzyskania oraz treść tych wiadomości.

Usługodawca może powiadomić usługobiorcę o jego nieuprawnionych działaniach

z żądaniem ich niezwłocznego zaprzestania.

Odmowa świadczenia usługi drogą elektroniczną z powodu nieudostępnienia

przez usługobiorcę wymaganych danych jest dopuszczalna tylko wtedy, gdy

przetwarzanie tych danych jest niezbędne ze względu na sposób funkcjonowania

systemu teleinformatycznego zapewniającego świadczenie usługi drogą

elektroniczną lub właściwość usługi albo wynika z odrębnych ustaw.

Usługodawca umożliwia usługobiorcy korzystanie z usługi lub uiszczanie opłat za

nią, jeżeli usługa świadczona drogą elektroniczną jest odpłatna, w sposób

anonimowy albo przy użyciu pseudonimu, o ile jest to technicznie możliwe oraz

zwyczajowo przyjęte.

1.3. Dokumenty wykonawcze

Rozporządzenie Prezesa Rady Ministrów:

z dnia 20 lipca 2011 r. w sprawie wzoru świadectwa akredytacji

bezpieczeństwa systemu teleinformatycznego (Dz. U.11.156.926);

z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań

bezpieczeństwa teleinformatycznego (Dz. U.11.159.948);

z dnia 20 lipca 2011 r. w sprawie opłat za przeprowadzenie przez Agencję

Bezpieczeństwa Wewnętrznego albo Służbę Kontrwywiadu Wojskowego

czynności z zakresu bezpieczeństwa teleinformatycznego (Dz. U.

11.159.949);

z dnia 7 grudnia 2011 r. w sprawie nadawania, przyjmowania,

przewożenia, wydawania i ochrony materiałów zawierających informacje

niejawne (Dz. U.11.271.1603);

z dnia 22 grudnia 2011 r. w sprawie sposobu oznaczania materiałów

i umieszczania na nich klauzul tajności (Dz. U. 11.288.1692);

Rozporządzenia MON:

z dnia 19 grudnia 2013 r. w sprawie szczegółowych zadań pełnomocników

ochrony w zakresie ochrony informacji niejawnych w jednostkach

organizacyjnych podległych Ministrowi Obrony Narodowej lub przez niego

nadzorowanych;

Zarządzenia MON:

Nr 57 z dnia 16 grudnia 2011 r. w sprawie szczególnego sposobu

organizacji i funkcjonowania kancelarii tajnych oraz innych niż

kancelaria tajna komórek organizacyjnych odpowiedzialnych za

przetwarzanie informacji niejawnych, sposobu i trybu przetwarzania

informacji niejawnych oraz doboru i stosowania środków

bezpieczeństwa fizycznego;

nr 46 z dnia 24 grudnia 2013 r. w sprawie szczególnego sposobu

organizacji i funkcjonowania kancelarii kryptograficznych;

Decyzje MON:

Nr 153 z dnia 21 kwietnia 2011 r. w sprawie uchylenia decyzji w

sprawie trybu akredytacji bezpieczeństwa fizycznego i technicznego

pomieszczeń specjalnych (Dz. U. MON 11.9.124);

nr 61/MON z dnia 5 marca 2012 r. w sprawie sprawowania nadzoru

nad ochroną informacji niejawnych w jednostkach organizacyjnych

podległych Ministrowi Obrony Narodowej lub przez niego

nadzorowanych oraz w komórkach organizacyjnych Ministerstwa

Obrony Narodowej;

nr 290 z dnia 29 lipca 2011 r. w sprawie przeglądu materiałów

zawierających informacje niejawne;

nr 363 z dnia 28 września 2011 r. w sprawie wprowadzania do użytku

,,Wytycznych MON w sprawie określania zasad postępowania

z materiałami zawierającymi informacje niejawne oznaczone klauzulą

,,poufne’’ i ,,zastrzeżone’’ (Dz. U. MON 11.20.302);

nr 378 z dnia 12 października 2011 r. w sprawie wprowadzenia do

użytku w MON ,, Instrukcji kancelaryjnej MON’’;

nr 381 z dnia 17 października 2011 r. w sprawie ewidencji osób

posiadających uprawnienia do dostępu do informacji niejawnych

w MON (Dz. Urz. MON 11.21.319);

Dokumenty wydane przez Służbę Kontrwywiadu Wojskowego :

Zalecenia w zakresie bezpieczeństwa teleinformatycznego DBBT-801

B;

Przykłady dokumentacji wstępnego szacowania ryzyka DBBT 811.3;

Zalecenia w zakresie ochrony fizycznej i technicznej pomieszczeń

systemów i sieci teleinformatycznych DBBT 301 C;

ustawienia zabezpieczeń Windows NT 4.0 w systemach

przetwarzających informacje niejawne. DBBT-802A;

zalecenia w sprawie instalacji urządzeń przeznaczonych do

przetwarzania informacji niejawnych. DBPO-701B;

zalecenia w zakresie certyfikacji urządzeń i narzędzi kryptograficznych

będących rozwiązaniem sprzętowym (elektronicznym), programowym

lub sprzętowo-programowym oraz urządzeń służącym do składania

i weryfikacji podpisu elektronicznego. DBBT-901A;

wymagania Służb Ochrony Państwa na dokumentację do certyfikacji

urządzeń kryptograficznych przeznaczonych do ochrony informacji

niejawnych;

Normy określające wymagania z zakresu bezpieczeństwa

teleinformatycznego:

PN-ISO/IEC 17799:2007 Technika informatyczna. Techniki

bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem

informacji;

PN-ISO/IEC 15408-1:2002 Technika informatyczna. Techniki

zabezpieczeń. Kryteria oceny zabezpieczeń informatycznych. Część 1:

Wprowadzenie i model ogólny;

PN-ISO/IEC 15408-3:2002 Technika informatyczna. Techniki

zabezpieczeń. Kryteria oceny zabezpieczeń informatycznych. Część 3:

Wymagania uzasadnienia zaufania do zabezpieczeń;

PN-I-13335-1:1999 Technika informatyczna. Wytyczne

do zarządzania bezpieczeństwem systemów informatycznych. Pojęcia

i modele bezpieczeństwa systemów informatycznych;

PN-ISO/IEC 27001:2007 Technika informatyczna. Techniki

bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji.

Wymagania;

PN-T-20001-02:1992 Systemy przetwarzania informacji.

Współdziałanie systemów otwartych (OSI). Podstawowy Model

Odniesienia. Architektura zabezpieczeń.;

Dokumenty NATO:

Procedury w zakresie zabezpieczenia, ewidencji oraz zaopatrywania

w środki i materiały kryptograficzne. Dyrektywa bezpieczeństwa –

AD-90-9 PL;

Zasady rejestracji i dystrybucji w dziedzinie kryptografii –

AMSG-293 PL.