Akty normatywne dotyczące bezpieczeństwa informacyjnego

1.2. Podstawowe akty normatywne z zakresu bezpieczeństwa
informacyjnego

Ustawa z dnia 5 sierpnia 2010r. o ochronie informacji niejawnej,
Dz.U.2010.182.1228;
 Ustawa z dn. 29.08.97 o ochronie danych osobowych, Dz. U. z dn.
29.10.97 (znowelizowana ustawą z dn. 25.08.2001, stan prawny
2013r.);
 Ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej.
Dz.U. 2001 nr 112 poz. 1198;
 Ustawa z dnia 4 lutego 1994 r. o prawie autorskim i prawach
pokrewnych, Dz.U. z 2006 nr 90 poz. 631, brzmienie od 21
października 2010;
 Ustawa z dn. 18.09.2001 „o podpisie elektronicznym” Dz.U. Nr 130,
poz.1450 (wejście w życie 16.08.2002);
 Ustawa z dn. 27.07.2001 „o ochronie baz danych” Dz.U. Nr 128,
poz.1402 (wejście w życie 9.11.2002);
 Ustawa z dn.18.07.2002 „o świadczeniu usług drogą elektroniczną”.
Dz.U.Nr 144, poz. 1204.
Zapisy każdej z wymienionych ustaw zostały przytoczone poniżej wraz z krótkim
omówieniem. W opracowaniu pominięto aspekty prawne związane z zagrożeniami
karnymi wynikającymi z nieprzestrzegania postanowień przepisów ustawowych.
1.2.1. Ustawa o ochronie informacji niejawnej1
Ustawa o ochronie informacji niejawnej, określa zasady ochrony informacji,
których nieuprawnione ujawnienie spowodowałoby lub mogłoby spowodować szkody
dla Rzeczypospolitej Polskiej albo byłoby z punktu widzenia jej interesów
niekorzystne, także w trakcie ich opracowywania oraz niezależnie od formy i sposobu
ich wyrażania, zwanych dalej "informacjami niejawnymi", to jest zasady:

klasyfikowania informacji niejawnych;

organizowania ochrony informacji niejawnych;

przetwarzania informacji niejawnych;

postępowania sprawdzającego prowadzonego w celu ustalenia, czy osoba
nim objęta daje rękojmię zachowania tajemnicy, zwanego dalej odpowiednio
"postępowaniem
sprawdzającym"
lub
"kontrolnym
postępowaniem
sprawdzającym";
1
Ustawa z dnia 5 sierpnia 2010r. o ochronie informacji niejawnej, Dz.U.2010.182.1228

postępowania prowadzonego w celu ustalenia, czy przedsiębiorca nim objęty
zapewnia warunki do ochrony informacji niejawnych, zwanego dalej
"postępowaniem bezpieczeństwa przemysłowego";

organizacji kontroli stanu zabezpieczenia informacji niejawnych;

ochrony informacji niejawnych w systemach teleinformatycznych;

stosowania środków bezpieczeństwa fizycznego w odniesieniu do informacji
niejawnych.
1.2.1.1. Zastosowanie przepisów ustawy
Przepisy ustawy mają zastosowanie w stosunku do osób których zakres
obowiązków wymaga takiego stanu rzeczy i są pracownikami:
1) organów władzy publicznej, w szczególności:
a) Sejmu i Senatu;
b) Prezydenta Rzeczypospolitej Polskiej;
c) organów administracji rządowej;
d) organów jednostek samorządu terytorialnego, a także innych podległych im
jednostek organizacyjnych lub przez nie nadzorowanych;
e) sądów i trybunałów;
f) organów kontroli państwowej i ochrony prawa;
2) jednostek organizacyjnych podległych Ministrowi Obrony Narodowej lub przez
niego nadzorowanych;
3) Narodowego Banku Polskiego;
4) państwowych osób prawnych i innych niż wymienione w pkt 1-3 państwowych
jednostek organizacyjnych;
5) jednostek organizacyjnych podległych organom władzy publicznej lub
nadzorowanych przez te organy;
6) przedsiębiorców zamierzających ubiegać się albo ubiegających się o zawarcie
umów związanych z dostępem do informacji niejawnych lub wykonujących takie
umowy albo wykonujących na podstawie przepisów prawa zadania związane z
dostępem do informacji niejawnych.
Trzeba tu zaznaczyć, że pod wymienionymi podmiotami należy rozumieć całe
zasoby ludzkie, zaangażowane do pracy w tych instytucjach, do czego niezbędny
jest im dostęp do informacji niejawnych. Kwestia liczności i wskazania tychże osób
leży w gestii odpowiedzialnego za funkcjonowanie danego pomiotu.
1.2.1.2. Klasyfikowanie informacji niejawnych
Informacjom
niejawnym
nieuprawnione
ujawnienie
nadaje
się
spowoduje
klauzulę
"ściśle
wyjątkowo
tajne",
poważną
jeżeli
szkodę
ich
dla
Rzeczypospolitej Polskiej przez to, że:
1) zagrozi niepodległości, suwerenności lub integralności terytorialnej
Rzeczypospolitej Polskiej;
2) zagrozi bezpieczeństwu wewnętrznemu lub porządkowi konstytucyjnemu
Rzeczypospolitej Polskiej;
3) zagrozi sojuszom lub pozycji międzynarodowej Rzeczypospolitej Polskiej;
4) osłabi gotowość obronną Rzeczypospolitej Polskiej;
5) doprowadzi lub może doprowadzić do identyfikacji funkcjonariuszy,
żołnierzy lub pracowników służb odpowiedzialnych za realizację zadań
wywiadu lub kontrwywiadu, którzy wykonują czynności operacyjnorozpoznawcze, jeżeli zagrozi to bezpieczeństwu wykonywanych czynności lub
może doprowadzić do identyfikacji osób udzielających im pomocy w tym
zakresie;
6) zagrozi lub może zagrozić życiu lub zdrowiu funkcjonariuszy, żołnierzy lub
pracowników, którzy wykonują czynności operacyjno-rozpoznawcze, lub osób
udzielających im pomocy w tym zakresie;
7) zagrozi lub może zagrozić życiu lub zdrowiu świadków koronnych lub osób
dla nich najbliższych albo świadków, o których mowa w art. 184 ustawy z dnia
6 czerwca 1997 r. - Kodeks postępowania karnego (Dz. U. nr 89, poz. 555,
z późn. zm.), lub osób dla nich najbliższych.
Informacjom niejawnym nadaje się klauzulę "tajne", jeżeli ich nieuprawnione
ujawnienie spowoduje poważną szkodę dla Rzeczypospolitej Polskiej przez to, że:
1) uniemożliwi realizację zadań związanych z ochroną suwerenności lub
porządku konstytucyjnego Rzeczypospolitej Polskiej;
2) pogorszy stosunki Rzeczypospolitej Polskiej z innymi państwami lub
organizacjami międzynarodowymi;
3) zakłóci przygotowania obronne państwa lub funkcjonowanie Sił Zbrojnych
Rzeczypospolitej Polskiej;
4) utrudni wykonywanie czynności operacyjno-rozpoznawczych prowadzonych
w celu zapewnienia bezpieczeństwa państwa lub ścigania sprawców zbrodni
przez służby lub instytucje do tego uprawnione;
5) w istotny sposób zakłóci funkcjonowanie organów ścigania i wymiaru
sprawiedliwości;
6) przyniesie stratę znacznych rozmiarów w interesach ekonomicznych
Rzeczypospolitej Polskiej.
Informacjom niejawnym nadaje się klauzulę "poufne", jeżeli ich nieuprawnione
ujawnienie spowoduje szkodę dla Rzeczypospolitej Polskiej przez to, że:
1) utrudni prowadzenie bieżącej polityki zagranicznej Rzeczypospolitej
Polskiej;
2) utrudni realizację przedsięwzięć obronnych lub negatywnie wpłynie na
zdolność bojową Sił Zbrojnych Rzeczypospolitej Polskiej;
3) zakłóci porządek publiczny lub zagrozi bezpieczeństwu obywateli;
4) utrudni wykonywanie zadań służbom lub instytucjom odpowiedzialnym za
ochronę bezpieczeństwa lub podstawowych interesów Rzeczypospolitej
Polskiej;
5) utrudni wykonywanie zadań służbom lub instytucjom odpowiedzialnym za
ochronę porządku publicznego, bezpieczeństwa obywateli lub ściganie
sprawców przestępstw i przestępstw skarbowych oraz organom wymiaru
sprawiedliwości;
6) zagrozi stabilności systemu finansowego Rzeczypospolitej Polskiej;
7) wpłynie niekorzystnie na funkcjonowanie gospodarki narodowej.
Informacjom niejawnym nadaje się klauzulę "zastrzeżone", jeżeli nie nadano im
wyższej klauzuli tajności, a ich nieuprawnione ujawnienie może mieć szkodliwy
wpływ na wykonywanie przez organy władzy publicznej lub inne jednostki
organizacyjne
zadań
w
zakresie
obrony
narodowej,
polityki
zagranicznej,
bezpieczeństwa publicznego, przestrzegania praw i wolności obywateli, wymiaru
sprawiedliwości albo interesów ekonomicznych Rzeczypospolitej Polskiej.
Informacje niejawne przekazane przez organizacje międzynarodowe lub inne
państwa
na
podstawie
umów
międzynarodowych
oznacza
się
polskim
odpowiednikiem posiadanej klauzuli tajności.
Klauzulę tajności nadaje osoba, która jest uprawniona do podpisania dokumentu
lub oznaczenia innego niż dokument materiału. Oznacza to, że wykonawca
dokumentu może jedynie proponować poziom niejawności jaki należy nadać
wytwarzanemu przez niego dokumentowi i nie może on być wyższy niż przyznany
mu w poświadczeniu bezpieczeństwa.
Zniesienie lub zmiana klauzuli tajności są możliwe wyłącznie po wyrażeniu
pisemnej zgody przez osobę która ją nadała, albo jej przełożonego w przypadku
ustania lub zmiany ustawowych przesłanek ochrony.
Kierownicy jednostek organizacyjnych przeprowadzają nie rzadziej niż raz na 5 lat
przegląd materiałów w celu ustalenia, czy spełniają ustawowe przesłanki ochrony. W
zdecydowanej ilości przypadków wiąże się to z obniżeniem poziomu klauzuli
niejawności i nierzadko z odtajnieniem dokumentów.
Pisemną zgodę na wykonanie powyższych czynności, w przypadku informacji
niejawnych o klauzuli "ściśle tajne", wyraża kierownik jednostki organizacyjnej, w
której materiałowi została nadana ta klauzula tajności.
Po zniesieniu lub zmianie klauzuli tajności podejmuje się czynności polegające na
naniesieniu odpowiednich zmian w oznaczeniu materiału i poinformowaniu o nich
odbiorców. Odbiorcy materiału, którzy przekazali go kolejnym odbiorcom, są
odpowiedzialni za poinformowanie ich o zniesieniu lub zmianie klauzuli tajności.
Uprawnienia w zakresie zniesienia lub zmiany klauzuli tajności materiału
przechodzą, w przypadku rozwiązania, zniesienia, likwidacji, upadłości obejmującej
likwidację
majątku
upadłego,
przekształcenia
lub
reorganizacji
jednostki
organizacyjnej, na jej następcę prawnego. W razie braku następcy prawnego
uprawnienia w tym zakresie przechodzą na Agencję Bezpieczeństwa Wewnętrznego
(ABW), lub Służbę Kontrwywiadu Wojskowego (SKW).
Poszczególne części materiału mogą być oznaczone różnymi klauzulami tajności.
W przypadku kiedy taki zróżnicowany dokument będzie przesyłany, to pismu
przewodniemu nadaje się klauzulę równą z najwyższą klauzulą części zawartej w
tym dokumencie. Po dotarciu do adresata i odłączeniu dokumentu merytorycznego,
pismo przewodnie staje się jawne.
Informacje niejawne, którym nadano określoną klauzulę tajności mogą być
udostępnione wyłącznie osobie uprawnionej, zgodnie z przepisami ustawy
dotyczącymi dostępu do określonej klauzuli tajności. Jest to jednak warunek
podstawowy ale niewystarczający, bowiem oprócz posiadania odpowiedniego
poświadczenia
bezpieczeństwa,
uprawnienie
to
wiąże
się
z koniecznością
korzystania z konkretnego dokumentu w celu realizacji zadań pracowniczych stałych
lub zleconych przez kierownika podmiotu.
Dokumenty te muszą być przetwarzane w warunkach uniemożliwiających ich
nieuprawnione
ujawnienie,
zgodnie
z
przepisami
określającymi
wymagania
dotyczące kancelarii tajnych, bezpieczeństwa systemów teleinformatycznych, obiegu
materiałów i fizycznych środków bezpieczeństwa, odpowiednich do nadanej klauzuli
tajności.
Odbiorca materiału, w przypadku stwierdzenia zawyżenia lub zaniżenia klauzuli
tajności, może zwrócić się do osoby, która ją nadała, albo przełożonego tej osoby z
wnioskiem o dokonanie stosownej zmiany. W przypadku odmowy dokonania zmiany
lub nieudzielenia odpowiedzi w ciągu 30 dni od daty złożenia wniosku odbiorca
materiału może zwrócić się odpowiednio do ABW lub SKW o rozstrzygnięcie sporu,
który powinien być rozstrzygnięty w terminie 30 dni od daty złożenia wniosku.
1.2.1.3. Organizacja ochrony informacji niejawnych
ABW i SKW, nadzorując funkcjonowanie systemu ochrony informacji niejawnych w
jednostkach organizacyjnych pozostających w ich właściwości prowadzą kontrolę
ochrony informacji niejawnych i przestrzegania przepisów obowiązujących w tym
realizują
zakresie,
zadania
w
zakresie
bezpieczeństwa
systemów
teleinformatycznych, prowadzą postępowania sprawdzające, kontrolne postępowania
sprawdzające
oraz
postępowania
bezpieczeństwa
przemysłowego,
a
także
zapewniają ochronę informacji niejawnych wymienianych między RP a innymi
państwami
lub
organizacjami
międzynarodowymi.
Ponadto
zajmują
się
prowadzeniem doradztwa i szkoleniami w zakresie ochrony informacji niejawnych.
SKW realizuje zadania w odniesieniu do:
1) Ministerstwa Obrony Narodowej oraz jednostek organizacyjnych podległych
Ministrowi Obrony Narodowej lub przez niego nadzorowanych;
2) ataszatów obrony w placówkach zagranicznych;
3) żołnierzy w służbie czynnej wyznaczonych na stanowiska służbowe w
innych jednostkach organizacyjnych niż wymienione w pkt 1 i 2.
ABW realizuje zadania w odniesieniu do jednostek organizacyjnych i osób
podlegających ustawie, niewymienionych w ust. 2.
Szef ABW pełni funkcję krajowej władzy bezpieczeństwa. Krajowa władza
bezpieczeństwa jest właściwa do nadzorowania systemu ochrony informacji
niejawnych
w
stosunkach
RP
z
innymi
państwami
lub
organizacjami
międzynarodowymi i wydawania dokumentów upoważniających do dostępu do
informacji niejawnych Organizacji Traktatu Północnoatlantyckiego, zwanej dalej
"NATO", Unii Europejskiej lub innych organizacji międzynarodowych, zwanych dalej
"informacjami niejawnymi międzynarodowymi".
W zakresie niezbędnym do kontroli stanu zabezpieczenia informacji niejawnych,
upoważnieni pisemnie funkcjonariusze ABW albo funkcjonariusze lub żołnierze SKW
mają prawo do:
1) wstępu do obiektów i pomieszczeń jednostki kontrolowanej, gdzie
informacje takie są przetwarzane;
2) wglądu do dokumentów związanych z organizacją ochrony tych informacji w
kontrolowanej jednostce organizacyjnej;
3) żądania udostępnienia do kontroli systemów teleinformatycznych służących
do przetwarzania tych informacji;
4)
przeprowadzania
oględzin
obiektów,
składników
majątkowych
i
sprawdzania przebiegu określonych czynności związanych z ochroną tych
informacji;
5) żądania od kierowników i pracowników kontrolowanych jednostek
organizacyjnych udzielania ustnych i pisemnych wyjaśnień;
6) zasięgania w związku z przeprowadzaną kontrolą informacji w jednostkach
niekontrolowanych,
jeżeli
ich
działalność
pozostaje
w
związku
z
przetwarzaniem lub ochroną informacji niejawnych, oraz żądania wyjaśnień od
kierowników i pracowników tych jednostek;
7) powoływania oraz korzystania z pomocy biegłych i specjalistów, jeżeli
stwierdzenie okoliczności ujawnionych w czasie przeprowadzania kontroli
wymaga wiadomości specjalnych;
8) uczestniczenia w posiedzeniach kierownictwa, organów zarządzających lub
nadzorczych, a także organów opiniodawczo-doradczych w sprawach
dotyczących problematyki ochrony tych informacji w kontrolowanej jednostce
organizacyjnej.
Kierownik jednostki organizacyjnej, w której są przetwarzane informacje niejawne,
odpowiada za ich ochronę, w szczególności za zorganizowanie i zapewnienie
funkcjonowania tej ochrony. Podlega mu zatrudniony przez niego pełnomocnik do
spraw
ochrony
informacji
niejawnych,
który
odpowiada
przestrzegania przepisów o ochronie informacji niejawnych.
Pełnomocnikiem ochrony może być osoba, która posiada:
1) obywatelstwo polskie;
za
zapewnienie
2) wykształcenie wyższe;
3) odpowiednie poświadczenie bezpieczeństwa wydane przez ABW albo
SKW, a także przez były Urząd Ochrony Państwa lub byłe Wojskowe Służby
Informacyjne;
4) zaświadczenie o przeszkoleniu w zakresie ochrony informacji niejawnych
przeprowadzonym przez ABW albo SKW, a także przez byłe Wojskowe
Służby Informacyjne.
Do zadań pełnomocnika ochrony należy:
1) zapewnienie ochrony informacji niejawnych, w tym stosowanie środków
bezpieczeństwa fizycznego;
2) zapewnienie ochrony systemów teleinformatycznych, w których są
przetwarzane informacje niejawne;
3) zarządzanie ryzykiem bezpieczeństwa informacji niejawnych, w
szczególności szacowanie ryzyka;
4) kontrola ochrony informacji niejawnych oraz przestrzegania przepisów o
ochronie tych informacji, w szczególności okresowa (co najmniej raz na trzy
lata) kontrola ewidencji, materiałów i obiegu dokumentów;
5) opracowywanie i aktualizowanie, wymagającego akceptacji kierownika
jednostki organizacyjnej, planu ochrony informacji niejawnych w jednostce
organizacyjnej, w tym w razie wprowadzenia stanu nadzwyczajnego, i
nadzorowanie jego realizacji;
6) prowadzenie szkoleń w zakresie ochrony informacji niejawnych;
7) prowadzenie zwykłych postępowań sprawdzających oraz kontrolnych
postępowań sprawdzających;
8) prowadzenie aktualnego wykazu osób zatrudnionych lub pełniących służbę
w jednostce organizacyjnej albo wykonujących czynności zlecone, które
posiadają uprawnienia do dostępu do informacji niejawnych, oraz osób,
którym odmówiono wydania poświadczenia bezpieczeństwa lub je cofnięto,
obejmującego wyłącznie:
a) imię i nazwisko,
b) numer PESEL,
c) imię ojca,
d) datę i miejsce urodzenia,
e) adres miejsca zamieszkania lub pobytu,
f) określenie dokumentu kończącego procedurę, datę jego wydania
oraz numer;
9) przekazywanie odpowiednio ABW lub SKW do ewidencji danych osób
uprawnionych do dostępu do informacji niejawnych, a także osób, którym
odmówiono wydania poświadczenia bezpieczeństwa lub wobec których
podjęto decyzję o cofnięciu poświadczenia bezpieczeństwa.
W przypadku stwierdzenia naruszenia w jednostce organizacyjnej przepisów o
ochronie informacji niejawnych pełnomocnik ochrony zawiadamia o tym kierownika
jednostki organizacyjnej i podejmuje niezwłocznie działania zmierzające do
wyjaśnienia okoliczności tego naruszenia oraz ograniczenia jego negatywnych
skutków.
W przypadku stwierdzenia naruszenia przepisów o ochronie informacji niejawnych
o klauzuli "poufne" lub wyższej pełnomocnik ochrony zawiadamia niezwłocznie
również odpowiednio ABW lub SKW.
1.2.1.4. Szkolenie w zakresie ochrony informacji niejawnych
Szkolenie w zakresie ochrony informacji niejawnych przeprowadza się w celu
zapoznania z:
1)
przepisami
dotyczącymi
ochrony
informacji
niejawnych
oraz
odpowiedzialności karnej, dyscyplinarnej i służbowej za ich naruszenie, w
szczególności za nieuprawnione ujawnienie informacji niejawnych;
2) zasadami ochrony informacji niejawnych w zakresie niezbędnym do
wykonywania pracy lub pełnienia służby, z uwzględnieniem zasad zarządzania
ryzykiem bezpieczeństwa informacji niejawnych, w szczególności szacowania
ryzyka;
3) sposobami ochrony informacji niejawnych oraz postępowania w sytuacjach
zagrożenia dla takich informacji lub w przypadku ich ujawnienia.
Szkolenie, o którym mowa w ust. 1:
1) przeprowadzają odpowiednio ABW lub SKW - dla pełnomocników ochrony i
ich zastępców oraz osób przewidzianych na te stanowiska, przedsiębiorców
wykonujących
działalność
jednoosobowo,
a
także
dla
kierowników
przedsiębiorców, u których nie zatrudniono pełnomocników ochrony;
2) przeprowadzają odpowiednio ABW lub SKW, wspólnie z pełnomocnikiem
ochrony - dla kierownika jednostki organizacyjnej, w której są przetwarzane
informacje niejawne o klauzuli "ściśle tajne" lub "tajne";
3) organizuje pełnomocnik ochrony - dla pozostałych osób zatrudnionych,
pełniących służbę lub wykonujących czynności zlecone w jednostce
organizacyjnej;
4) przeprowadza ABW - dla posłów i senatorów.
Szkolenie przeprowadza się nie rzadziej niż raz na 5 lat. Można odstąpić od
przeprowadzenia szkolenia, jeżeli osoba podejmująca pracę lub rozpoczynająca
pełnienie służby albo wykonywanie czynności zleconych przedstawi pełnomocnikowi
ochrony aktualne zaświadczenie o odbyciu szkolenia.
Szkolenie kończy się wydaniem zaświadczenia. Odbierając zaświadczenie, osoba
przeszkolona składa pisemne oświadczenie o zapoznaniu się z przepisami o
ochronie informacji niejawnych.
1.2.1.5. Bezpieczeństwo osobowe
Dopuszczenie do pracy lub pełnienia służby na stanowiskach albo zlecenie prac
związanych z dostępem do informacji niejawnych o klauzuli "poufne" lub wyższej
może nastąpić po:
1) uzyskaniu poświadczenia bezpieczeństwa;
2) odbyciu szkolenia w zakresie ochrony informacji niejawnych.
Dopuszczenie do pracy lub pełnienia służby na stanowiskach albo zlecenie prac,
związanych z dostępem danej osoby do informacji niejawnych o klauzuli
"zastrzeżone" może nastąpić po:
1) pisemnym upoważnieniu przez kierownika jednostki organizacyjnej, jeżeli
nie posiada ona poświadczenia bezpieczeństwa;
2) odbyciu szkolenia w zakresie ochrony informacji niejawnych.
W zależności od stanowiska lub wykonywania czynności zleconych, o które
ubiega się osoba, zwana dalej "osobą sprawdzaną", przeprowadza się:
1) zwykłe postępowanie sprawdzające - przy stanowiskach i pracach
związanych z dostępem do informacji niejawnych o klauzuli "poufne", z
zastrzeżeniem pkt 2 lit. b-d;
2) poszerzone postępowanie sprawdzające:
a) przy stanowiskach i pracach związanych z dostępem do informacji
niejawnych o klauzuli "tajne" lub "ściśle tajne";
b) wobec pełnomocników ochrony, zastępców pełnomocników ochrony
oraz kandydatów na te stanowiska;
c) wobec kierowników jednostek organizacyjnych, w których są
przetwarzane informacje niejawne o klauzuli "poufne" lub wyższej;
d) wobec osób ubiegających się o dostęp do informacji niejawnych
międzynarodowych lub o dostęp, który ma wynikać z umowy
międzynarodowej zawartej przez Rzeczpospolitą Polską.
Osobom sprawdzonym wydaje się poświadczenia bezpieczeństwa upoważniające
do dostępu do informacji niejawnych o takiej klauzuli, jaka została wskazana we
wniosku lub poleceniu.
Pełnomocnik ochrony przeprowadza zwykłe postępowanie sprawdzające na
pisemne polecenie kierownika jednostki organizacyjnej.
ABW albo SKW przeprowadzają poszerzone postępowania sprawdzające:
1) na pisemny wniosek kierownika jednostki organizacyjnej lub osoby
uprawnionej do obsady stanowiska lub zlecenia prac;
2) wobec funkcjonariuszy, żołnierzy i pracowników oraz osób ubiegających się
o przyjęcie do służby lub pracy w ABW albo SKW;
3) wobec osób wykonujących czynności zlecone lub ubiegających się o
wykonywanie tych czynności na rzecz ABW albo SKW.
ABW przeprowadza poszerzone postępowania sprawdzające wobec:
1) Szefa SKW, Szefa Agencji Wywiadu, zwanej dalej "AW", Szefa CBA, Szefa
Biura Ochrony Rządu, Komendanta Głównego Policji, Dyrektora Generalnego
Służby Więziennej, Komendanta Głównego Straży Granicznej oraz osób
przewidzianych na te stanowiska;
2) pełnomocników ochrony, zastępców pełnomocników ochrony oraz osób
przewidzianych na te stanowiska w SKW, AW, CBA, Biurze Ochrony Rządu,
Policji, Służbie Więziennej oraz Straży Granicznej.
SKW przeprowadza poszerzone postępowania sprawdzające wobec:
1) Szefa ABW, Szefa Służby Wywiadu Wojskowego, zwanej dalej "SWW",
Komendanta Głównego Żandarmerii Wojskowej oraz osób przewidzianych na
te stanowiska;
2) pełnomocników ochrony, zastępców pełnomocników ochrony oraz osób
przewidzianych na te stanowiska w ABW, SWW oraz Żandarmerii Wojskowej.
AW, CBA, Biuro Ochrony Rządu, Policja, Służba Więzienna, SWW, Straż
Graniczna
oraz
Żandarmeria
Wojskowa
przeprowadzają
samodzielnie
postępowania sprawdzające oraz kontrolne postępowania sprawdzające
odpowiednio wobec:
1) własnych funkcjonariuszy, żołnierzy i pracowników oraz osób ubiegających
się o przyjęcie do służby lub pracy;
2) osób wykonujących na ich rzecz czynności zlecone lub ubiegających się o
wykonywanie tych czynności.
Postępowanie sprawdzające ma na celu ustalenie, czy osoba sprawdzana daje
rękojmię zachowania tajemnicy. W toku postępowania sprawdzającego ustala się,
czy istnieją uzasadnione wątpliwości dotyczące:
1) uczestnictwa, współpracy lub popierania przez osobę sprawdzaną
działalności
szpiegowskiej,
terrorystycznej,
sabotażowej
albo
innej
wymierzonej przeciwko Rzeczypospolitej Polskiej;
2) zagrożenia osoby sprawdzanej ze strony obcych służb specjalnych w
postaci prób werbunku lub nawiązania z nią kontaktu;
3) przestrzegania porządku konstytucyjnego Rzeczypospolitej Polskiej, a
przede wszystkim, czy osoba sprawdzana uczestniczyła lub uczestniczy w
działalności partii politycznych lub innych organizacji, o których mowa w art.
13
Konstytucji
Rzeczypospolitej
Polskiej,
albo
współpracowała
lub
współpracuje z takimi partiami lub organizacjami;
4) ukrywania lub świadomego niezgodnego z prawdą podawania w ankiecie
bezpieczeństwa osobowego, zwanej dalej "ankietą", lub postępowaniu
sprawdzającym przez osobę sprawdzaną informacji mających znaczenie dla
ochrony informacji niejawnych;
5) wystąpienia związanych z osobą sprawdzaną okoliczności powodujących
ryzyko jej podatności na szantaż lub wywieranie presji;
6) niewłaściwego postępowania z informacjami niejawnymi, jeżeli:
a) doprowadziło to bezpośrednio do ujawnienia tych informacji osobom
nieuprawnionym;
b) było to wynikiem celowego działania;
c) stwarzało to realne zagrożenie ich nieuprawnionym ujawnieniem i nie
miało charakteru incydentalnego;
d) dopuściła się tego osoba szczególnie zobowiązana na podstawie
ustawy do ochrony informacji niejawnych: pełnomocnik ochrony, jego
zastępca lub kierownik kancelarii tajnej.
W toku poszerzonego postępowania sprawdzającego ustala się ponadto, czy
istnieją wątpliwości dotyczące:
1) poziomu życia osoby sprawdzanej wyraźnie przewyższającego uzyskiwane
przez nią dochody;
2) informacji o chorobie psychicznej lub innych zakłóceniach czynności
psychicznych ograniczających sprawność umysłową i mogących negatywnie
wpłynąć na zdolność osoby sprawdzanej do wykonywania prac, związanych z
dostępem do informacji niejawnych;
3)
uzależnienia
od
alkoholu,
środków
odurzających
lub
substancji
psychotropowych.
Zwykłe postępowanie sprawdzające obejmuje:
1) sprawdzenie, w niezbędnym zakresie, w ewidencjach, rejestrach i
kartotekach, w szczególności w Krajowym Rejestrze Karnym, danych
zawartych w wypełnionej i podpisanej przez osobę sprawdzaną ankiecie, a
także sprawdzenie innych informacji uzyskanych w toku postępowania
sprawdzającego, w zakresie niezbędnym do ustalenia, czy osoba sprawdzana
daje rękojmię zachowania tajemnicy;
2) sprawdzenie w ewidencjach i kartotekach niedostępnych powszechnie
danych zawartych w ankiecie oraz innych informacji uzyskanych w toku
postępowania sprawdzającego, w zakresie niezbędnym do ustalenia, czy
osoba sprawdzana daje rękojmię zachowania tajemnicy.
Postępowanie sprawdzające kończy się:
1) wydaniem poświadczenia bezpieczeństwa;
2) odmową wydania poświadczenia bezpieczeństwa;
3) umorzeniem.
Po zakończeniu postępowania sprawdzającego z wynikiem pozytywnym organ
prowadzący postępowanie wydaje poświadczenie bezpieczeństwa i przekazuje
osobie sprawdzanej, zawiadamiając o tym wnioskodawcę.
Poświadczenie bezpieczeństwa powinno zawierać:
1) numer poświadczenia;
2) podstawę prawną;
3) wskazanie wnioskodawcy postępowania sprawdzającego;
4) określenie organu, który przeprowadził postępowanie sprawdzające;
5) datę i miejsce wystawienia;
6) imię, nazwisko i datę urodzenia osoby sprawdzanej;
7) określenie rodzaju przeprowadzonego postępowania sprawdzającego ze
wskazaniem klauzuli tajności informacji niejawnych, do których osoba
sprawdzana może mieć dostęp;
8) stwierdzenie, że osoba sprawdzana daje rękojmię zachowania tajemnicy;
9) termin ważności;
10) imienną pieczęć i podpis upoważnionego funkcjonariusza ABW albo
funkcjonariusza lub żołnierza SKW, albo pełnomocnika ochrony, który
przeprowadził postępowanie sprawdzające.
Poświadczenie bezpieczeństwa wydaje się na okres:
1) 10 lat - w przypadku dostępu do informacji niejawnych o klauzuli "poufne";
2) 7 lat - w przypadku dostępu do informacji niejawnych o klauzuli "tajne";
3) 5 lat - w przypadku dostępu do informacji niejawnych o klauzuli "ściśle
tajne".
Na pisemny wniosek kierownika jednostki organizacyjnej lub osoby uprawnionej
do obsady stanowiska, złożony co najmniej na 6 miesięcy przed upływem terminu
ważności poświadczenia bezpieczeństwa, właściwy organ przeprowadza kolejne
postępowanie sprawdzające.
1.2.1.6. Kancelarie tajne. Środki bezpieczeństwa fizycznego
Kierownik jednostki organizacyjnej, w której są przetwarzane informacje niejawne
o klauzuli "tajne" lub "ściśle tajne", tworzy kancelarię, zwaną dalej "kancelarią tajną", i
zatrudnia jej kierownika. W przypadku uzasadnionym względami organizacyjnymi
kierownik jednostki organizacyjnej może utworzyć więcej niż jedną kancelarię tajną.
Za zgodą odpowiednio ABW lub SKW, można utworzyć kancelarię tajną obsługującą
dwie lub więcej jednostek organizacyjnych.
Kancelaria tajna stanowi wyodrębnioną komórkę organizacyjną, w zakresie
ochrony informacji niejawnych podległą pełnomocnikowi ochrony, obsługiwaną przez
pracowników
pionu
ochrony,
odpowiedzialną
za
właściwe
rejestrowanie,
przechowywanie, obieg i wydawanie materiałów uprawnionym osobom. Kierownik
jednostki organizacyjnej może wyrazić zgodę na przetwarzanie w kancelarii tajnej
informacji niejawnych o klauzuli "poufne" lub "zastrzeżone".
Organizacja pracy kancelarii tajnej zapewnia możliwość ustalenia w każdych
okolicznościach, gdzie znajduje się materiał o klauzuli "tajne" lub "ściśle tajne"
pozostający w dyspozycji jednostki organizacyjnej oraz kto z tym materiałem się
zapoznał i odmawia udostępnienia lub wydania materiału osobie nieuprawnionej.
Jednostki organizacyjne, w których są przetwarzane informacje niejawne, stosują
środki bezpieczeństwa fizycznego odpowiednie do poziomu zagrożeń w celu
uniemożliwienia
osobom
nieuprawnionym
dostępu
do
takich
informacji,
w
szczególności chroniące przed:
1) działaniem obcych służb specjalnych;
2) zamachem terrorystycznym lub sabotażem;
3) kradzieżą lub zniszczeniem materiału;
4) próbą wejścia osób nieuprawnionych do pomieszczeń, w których są
przetwarzane informacje niejawne;
5) nieuprawnionym dostępem do informacji o wyższej klauzuli tajności
niewynikającym z posiadanych uprawnień.
Zakres stosowania środków bezpieczeństwa fizycznego uzależnia się od poziomu
zagrożeń związanych z nieuprawnionym dostępem do informacji niejawnych lub ich
utratą. Przy określaniu poziomu zagrożeń uwzględnia się w szczególności
występujące rodzaje zagrożeń, klauzule tajności i liczbę informacji niejawnych.
W
celu uniemożliwienia
osobom nieuprawnionym
dostępu do
informacji
niejawnych o klauzuli "poufne" lub wyższej należy w szczególności:
1) zorganizować strefy ochronne;
2) wprowadzić system kontroli wejść i wyjść ze stref ochronnych;
3) określić uprawnienia do przebywania w strefach ochronnych;
4)
stosować
wyposażenie
i
urządzenia
niejawnych, którym przyznano certyfikaty.
służące
ochronie
informacji
1.2.1.7. Bezpieczeństwo teleinformatyczne
Systemy teleinformatyczne, w których mają być przetwarzane informacje
niejawne, podlegają akredytacji bezpieczeństwa teleinformatycznego na czas nie
dłuższy niż 5 lat.
ABW albo SKW udziela albo odmawia udzielenia akredytacji bezpieczeństwa
teleinformatycznego
dla
systemu
teleinformatycznego
przeznaczonego
do
przetwarzania informacji niejawnych o klauzuli "poufne" lub wyższej w terminie 6
miesięcy
od
otrzymania
kompletnej
dokumentacji
bezpieczeństwa
systemu
teleinformatycznego. W uzasadnionych przypadkach, w szczególności wynikających
z rozległości systemu i stopnia jego skomplikowania, termin ten może być
przedłużony o kolejne 6 miesięcy. Od odmowy udzielenia akredytacji nie służy
odwołanie.
Potwierdzeniem udzielenia przez ABW albo SKW akredytacji jest świadectwo
akredytacji bezpieczeństwa systemu teleinformatycznego.
Można
odstąpić
od
przeprowadzenia
audytu
bezpieczeństwa
systemu
teleinformatycznego jeżeli system jest przeznaczony do przetwarzania informacji
niejawnych o klauzuli "poufne".
Kierownik
jednostki
teleinformatycznego
organizacyjnej
dla
systemu
udziela
akredytacji
teleinformatycznego
bezpieczeństwa
przeznaczonego
do
przetwarzania informacji niejawnych o klauzuli "zastrzeżone" przez zatwierdzenie
dokumentacji bezpieczeństwa systemu teleinformatycznego.
W
ciągu
30
dni od
otrzymania
dokumentacji
bezpieczeństwa
systemu
teleinformatycznego ABW albo SKW może przedstawić kierownikowi jednostki
organizacyjnej, który udzielił akredytacji bezpieczeństwa teleinformatycznego,
zalecenia
związanych
dotyczące
z
konieczności
bezpieczeństwem
przeprowadzenia
informacji
dodatkowych
niejawnych.
Kierownik
czynności
jednostki
organizacyjnej w terminie 30 dni od otrzymania zalecenia informuje odpowiednio
ABW lub SKW o realizacji zaleceń. W szczególnie uzasadnionych przypadkach ABW
albo SKW może nakazać wstrzymanie przetwarzania informacji niejawnych w
systemie
teleinformatycznym
posiadającym
akredytację
bezpieczeństwa
teleinformatycznego.
Dokument szczególnych wymagań bezpieczeństwa systemu teleinformatycznego
powinien zawierać w szczególności wyniki procesu szacowania ryzyka dla
bezpieczeństwa
informacji
niejawnych
przetwarzanych
w
systemie
teleinformatycznym oraz określać przyjęte w ramach zarządzania ryzykiem sposoby
osiągania i utrzymywania odpowiedniego poziomu bezpieczeństwa systemu, a także
opisywać aspekty jego budowy, zasady działania i eksploatacji, które mają związek z
bezpieczeństwem systemu lub wpływają na jego bezpieczeństwo. Przebieg i wyniki
procesu szacowania ryzyka mogą zostać przedstawione w odrębnym dokumencie
niż dokument szczególnych wymagań bezpieczeństwa.
Dokument ten opracowuje się na etapie projektowania, w razie potrzeby
konsultuje z ABW albo SKW, bieżąco uzupełnia na etapie wdrażania i modyfikuje na
etapie eksploatacji przed dokonaniem zmian w systemie teleinformatycznym.
Dokument procedur bezpiecznej eksploatacji opracowuje się na etapie wdrażania
oraz modyfikuje na etapie eksploatacji przed dokonaniem zmian w systemie
teleinformatycznym.
Podstawą dokonywania wszelkich zmian w systemie teleinformatycznym jest
przeprowadzenie procesu szacowania ryzyka dla bezpieczeństwa informacji
niejawnych przetwarzanych w tym systemie.
5. Kierownik jednostki organizacyjnej, w której będzie funkcjonował system
teleinformatyczny, odpowiada za opracowanie oraz przekazanie odpowiednio ABW
lub SKW dokumentacji bezpieczeństwa systemu teleinformatycznego.
W
terminie
30
dni od
otrzymania
dokumentacji
bezpieczeństwa
systemu
teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych o
klauzuli "poufne" lub wyższej ABW albo SKW przeprowadza na jej podstawie ocenę
bezpieczeństwa tego systemu. Pozytywny wynik oceny stanowi podstawę do
zatwierdzenia przez ABW albo SKW dokumentacji bezpieczeństwa systemu
teleinformatycznego. W uzasadnionych przypadkach, w szczególności wynikających
ze stopnia skomplikowania systemu, termin przeprowadzenia oceny może być
przedłużony o kolejne 30 dni.
Środki ochrony elektromagnetycznej przeznaczone do ochrony informacji
niejawnych o klauzuli "poufne" lub wyższej podlegają badaniom i ocenie
bezpieczeństwa w ramach certyfikacji prowadzonych przez ABW albo SKW.
Urządzenia i narzędzia kryptograficzne przeznaczone do ochrony informacji
niejawnych podlegają badaniom i ocenie bezpieczeństwa w ramach certyfikacji
prowadzonych przez ABW albo SKW. Na wniosek zainteresowanego podmiotu,
przeprowadza się certyfikację urządzenia lub narzędzia służącego do realizacji
zabezpieczenia
teleinformatycznego,
przeznaczonego
do
ochrony
informacji
niejawnych.
Pozytywne wyniki ocen bezpieczeństwa uzyskane na podstawie wyników badań
prowadzonych w ramach certyfikacji stanowią podstawę do wydania przez ABW albo
SKW certyfikatu ochrony elektromagnetycznej, certyfikatu ochrony kryptograficznej
lub certyfikatu bezpieczeństwa teleinformatycznego. Certyfikaty są wydawane, w
zależności od wyników ocen bezpieczeństwa, na okres nie krótszy niż 3 lata. Od
odmowy wydania certyfikatu nie służy odwołanie.
Szef ABW albo Szef SKW może zlecić podmiotowi zewnętrznemu badanie
urządzenia lub narzędzia służącego do ochrony informacji niejawnych, na zasadach,
warunkach
i
w
zakresie
przez
siebie
określonych.
Bez
konieczności
przeprowadzania badań i oceny Szef ABW albo Szef SKW może dopuścić do
stosowania w systemie teleinformatycznym przeznaczonym do przetwarzania
informacji
niejawnych
o
klauzuli
"zastrzeżone"
urządzenia
lub
narzędzia
kryptograficzne, jeżeli otrzymały stosowny certyfikat wydany przez krajową władzę
bezpieczeństwa państwa będącego członkiem NATO lub Unii Europejskiej lub inny
uprawniony organ w NATO lub w Unii Europejskiej.
Obowiązkowi akredytacji nie podlegają systemy teleinformatyczne znajdujące się
poza
strefami
ochronnymi
oraz
służące
bezpośrednio
do
pozyskiwania
i
przekazywania w sposób niejawny informacji oraz utrwalania dowodów w trakcie
realizacji czynności operacyjno-rozpoznawczych lub procesowych przez uprawnione
do tego podmioty.
1.2.1.8. Bezpieczeństwo przemysłowe
Warunkiem dostępu przedsiębiorcy do informacji niejawnych w związku z
wykonywaniem umów albo zadań wynikających z przepisów prawa jest zdolność do
ochrony informacji niejawnych. Dokumentem potwierdzającym zdolność do ochrony
informacji
niejawnych
bezpieczeństwa
o
klauzuli
przemysłowego
"poufne"
wydawane
lub
wyższej
przez
ABW
jest
albo
świadectwo
SKW
po
przeprowadzeniu postępowania bezpieczeństwa przemysłowego.
W przypadku przedsiębiorcy wykonującego działalność jednoosobowo i osobiście
zdolność
do
ochrony
informacji
niejawnych
potwierdza
poświadczenie
bezpieczeństwa upoważniające do dostępu do informacji niejawnych o klauzuli
tajności "poufne" lub wyższej, wydawane przez ABW albo SKW i zaświadczenie o
odbytym przeszkoleniu w zakresie ochrony informacji niejawnych wydawane przez
ABW albo SKW.
W przypadku gdy przedsiębiorca zamierza wykonywać umowy związane z
dostępem do informacji niejawnych o klauzuli "zastrzeżone", świadectwo nie jest
wymagane.
W zależności od stopnia zdolności do ochrony informacji niejawnych o klauzuli
"poufne" lub wyższej wydaje się świadectwo odpowiednio:

pierwszego stopnia - potwierdzające pełną zdolność przedsiębiorcy do
ochrony tych informacji;

drugiego stopnia - potwierdzające zdolność przedsiębiorcy do ochrony tych
informacji, z wyłączeniem możliwości ich przetwarzania we własnych
systemach teleinformatycznych;

trzeciego stopnia - potwierdzające zdolność przedsiębiorcy do ochrony tych
informacji, z wyłączeniem możliwości ich przetwarzania w użytkowanych
przez niego obiektach.
Świadectwo potwierdzające zdolność do ochrony informacji niejawnych o klauzuli:

"ściśle tajne" potwierdza zdolność do ochrony informacji niejawnych o
klauzuli:
 "ściśle tajne" - przez okres 5 lat od daty wystawienia,
 "tajne" - przez okres 7 lat od daty wystawienia,
 "poufne" - przez okres 10 lat od daty wystawienia;

"tajne" potwierdza zdolność do ochrony informacji niejawnych o klauzuli:
 "tajne" - przez okres 7 lat od daty wystawienia,
 "poufne" - przez okres 10 lat od daty wystawienia;

"poufne" potwierdza zdolność do ochrony informacji niejawnych o tej klauzuli
przez okres 10 lat od daty wystawienia.
Postępowanie bezpieczeństwa przemysłowego jest prowadzone na wniosek
przedsiębiorcy. Wniosek nie wymaga uzasadnienia.
We wniosku przedsiębiorca określa stopień świadectwa oraz klauzulę tajności
informacji niejawnych, których zdolność do ochrony ma potwierdzać świadectwo. Do
wniosku przedsiębiorca dołącza kwestionariusz bezpieczeństwa przemysłowego oraz
ankiety lub kopie posiadanych poświadczeń bezpieczeństwa.
Postępowanie
bezpieczeństwa
przemysłowego
obejmuje
sprawdzenie
przedsiębiorcy i postępowania sprawdzające wobec wskazanych osób.
Sprawdzenie przedsiębiorcy, w tym na podstawie danych zawartych w rejestrach,
ewidencjach, kartotekach, także niedostępnych powszechnie, obejmuje:

strukturę kapitału oraz powiązania kapitałowe przedsiębiorcy, źródła
pochodzenia środków finansowych i sytuację finansową;

strukturę organizacyjną;

system ochrony informacji niejawnych, w tym środki bezpieczeństwa
fizycznego;

wszystkie osoby wchodzące w skład organów zarządzających, kontrolnych
oraz osoby działające z ich upoważnienia;

w
szczególnie
uzasadnionych
przypadkach
osoby
posiadające
poświadczenia bezpieczeństwa.
W toku postępowania bezpieczeństwa przemysłowego oraz w okresie ważności
świadectwa
przeprowadza
nieposiadających
się
odpowiednich
postępowania
poświadczeń
sprawdzające
wobec
bezpieczeństwa
lub
osób
kolejne
postępowania sprawdzające wobec:

kierownika przedsiębiorcy;

pełnomocnika ochrony i jego zastępcy;

osób zatrudnionych w pionie ochrony;

administratora systemu teleinformatycznego;

pozostałych osób wskazanych w kwestionariuszu, które powinny mieć dostęp
do informacji niejawnych.
Postępowanie bezpieczeństwa przemysłowego kończy się wydaniem przez ABW
albo SKW świadectwa zgodnie z wnioskiem przedsiębiorcy albo decyzją o odmowie
wydania świadectwa lub decyzją o umorzeniu postępowania bezpieczeństwa
przemysłowego.
1.2.1.9. Udostępnianie danych oraz akt postępowań sprawdzających,
kontrolnych i bezpieczeństwa przemysłowego
Akta postępowań sprawdzających lub kontrolnych postępowań sprawdzających
przeprowadzonych
przez
służby
i
instytucje
uprawnione
do
prowadzenia
poszerzonych postępowań sprawdzających i akta postępowań bezpieczeństwa
przemysłowego są udostępniane do wglądu lub przekazywane wyłącznie na pisemne
żądanie:

sądowi lub prokuratorowi dla celów postępowania karnego;

służbom i organom uprawnionym do prowadzenia poszerzonych postępowań
sprawdzających dla celów postępowania sprawdzającego wobec tej samej
osoby;

właściwemu organowi w celu przeprowadzenia kontroli prawidłowości
postępowania, z wyłączeniem niektórych postępowań;

właściwemu organowi w celu rozpatrzenia odwołania lub zażalenia;

sądowi administracyjnemu w związku z rozpatrywaniem skargi.
Przepisu zawartego w drugim akapicie nie stosuje się w odniesieniu do akt
postępowań
sprawdzających
lub
kontrolnych
postępowań
sprawdzających
przeprowadzonych przez AW, ABW, SKW lub SWW. Akta tych postępowań mogą
być udostępnione do wglądu wyłącznie dla celów postępowania sprawdzającego
prowadzonego przez tę samą służbę wobec tej samej osoby.
Akta zwykłych postępowań sprawdzających oraz kontrolnych postępowań
sprawdzających, mogą być udostępnione do wglądu i przekazane w przypadkach
określonych w ust. 1 oraz dla celów postępowania sprawdzającego lub kontrolnego
postępowania sprawdzającego wobec tej samej osoby.
Akta zakończonych zwykłych postępowań sprawdzających oraz kontrolnych
postępowań
sprawdzających,
mogą
być
udostępnione
do
wglądu
osobie
sprawdzanej, z wyłączeniem danych dotyczących osób trzecich.
Po wykorzystaniu akta są niezwłocznie zwracane.
Po zakończeniu postępowania sprawdzającego, kontrolnego postępowania
sprawdzającego lub postępowania bezpieczeństwa przemysłowego akta tych
postępowań są przechowywane przez co najmniej 20 lat, z uwzględnieniem
przepisów ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i
archiwach (Dz. U. z 2006 r. nr 97, poz. 673, z późn. zm.) oraz aktów wykonawczych
wydanych na jej podstawie:
1)
jako
wyodrębniona
część
przeprowadziły te postępowania;
w
archiwach
służb
i
instytucji,
które
2) przez pełnomocnika ochrony lub w pionie ochrony - w przypadku akt
zwykłych
postępowań
sprawdzających
oraz
kontrolnych
postępowań
sprawdzających przeprowadzonych przez tego pełnomocnika.
W przypadku rozwiązania, zniesienia, likwidacji, przekształcenia lub reorganizacji
jednostki organizacyjnej akta, o których mowa w ust. 6, przejmuje następca prawny,
a w przypadku jego braku - ABW albo SKW.
1.2.2. Ustawa o ochronie danych osobowych2
Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz
prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w
zbiorach danych.
Przepisy ustawy stosuje się do przetwarzania danych osobowych:

w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach
ewidencyjnych;

w systemach informatycznych, także w przypadku przetwarzania danych
poza zbiorem danych.
Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego
oraz do państwowych i komunalnych jednostek organizacyjnych.
Ma ona zastosowanie także w stosunku do:

podmiotów niepublicznych realizujących zadania publiczne;

osób fizycznych i osób prawnych oraz jednostek organizacyjnych
niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w
związku z działalnością zarobkową, zawodową lub dla realizacji celów
statutowych w przypadku gdy mają siedzibę albo miejsce zamieszkania na
terytorium RP albo w państwie trzecim, o ile przetwarzają dane osobowe
przy wykorzystaniu środków technicznych znajdujących się na terytorium
RP.
Ustawy nie stosuje się do:

osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych
lub domowych;
2
Ustawa z dn. 29.08.97 o ochronie danych osobowych, Dz. U. z dn. 29.10.97 (znowelizowana ustawą
z dn. 25.08.2001, stan prawny 2013r.)

podmiotów mających siedzibę lub miejsce zamieszkania w państwie
trzecim, wykorzystujących środki techniczne znajdujące się na terytorium
RP wyłącznie do przekazywania danych.
Ustawy, z wyjątkiem niektórych przepisów nie stosuje się również do prasowej
działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo
prasowe (Dz.U Nr 5, poz. 24, z późn. zm.2) oraz do działalności literackiej lub
artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania
informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.
W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące
zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą
do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub
pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden
lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne,
umysłowe, ekonomiczne, kulturowe lub społeczne.
Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli
wymagałoby to nadmiernych kosztów, czasu lub działań.
1.2.2.1. Organ ochrony danych osobowych
Organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony
Danych Osobowych, którego powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za
zgodą Senatu.
Do zadań Generalnego Inspektora w szczególności należy:

kontrola zgodności przetwarzania danych z przepisami o ochronie danych
osobowych;

wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach
wykonania przepisów o ochronie danych osobowych;

zapewnienie wykonania przez zobowiązanych obowiązków o charakterze
niepieniężnym wynikających z decyzji, o których mowa w pkt 2, przez
stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17
czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z
2005 r. Nr 229, poz. 1954, z późn. zm.3);

prowadzenie
rejestru
zbiorów
zarejestrowanych zbiorach;
danych
oraz
udzielanie
informacji
o

opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych
osobowych;

inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony
danych osobowych;

uczestniczenie
w pracach międzynarodowych
organizacji
i
instytucji
zajmujących się problematyką ochrony danych osobowych.
W celu wykonania zadań, o których mowa wyżej, Generalny Inspektor, zastępca
Generalnego Inspektora lub upoważnieni przez niego pracownicy Biura mają prawo:

wstępu, w godzinach od 6.00 do 22.00, za okazaniem imiennego
upoważnienia
i
legitymacji
służbowej,
do
pomieszczenia,
w
którym
zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane
są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub
innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z
ustawą;

żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać
osoby w zakresie niezbędnym do ustalenia stanu faktycznego;

wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni
związek z przedmiotem kontroli oraz sporządzania ich kopii;

przeprowadzania
oględzin
urządzeń,
nośników
oraz
systemów
informatycznych służących do przetwarzania danych;

zlecać sporządzanie ekspertyz i opinii.
W przypadku naruszenia przepisów o ochronie danych osobowych Generalny
Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji
administracyjnej,
nakazuje
przywrócenie stanu
zgodnego z prawem,
a
w
szczególności:

usunięcie uchybień;

uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie

danych osobowych;

zastosowanie dodatkowych środków zabezpieczających zgromadzone dane

osobowe;

wstrzymanie przekazywania danych osobowych do państwa trzeciego;

zabezpieczenie danych lub przekazanie ich innym podmiotom;

usunięcie danych osobowych.
1.2.2.2. Zasady przetwarzania danych osobowych
W razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki
organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem
danych wyczerpuje znamiona przestępstwa określonego w ustawie, Generalny
Inspektor kieruje do organu powołanego do ścigania przestępstw zawiadomienie o
popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie.
Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie
dotyczących jej danych;

jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku
wynikającego z przepisu prawa;

jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej
stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy
na żądanie osoby, której dane dotyczą;

jest niezbędne do wykonania określonych prawem zadań realizowanych dla
dobra publicznego;

jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów
realizowanych przez administratorów danych albo odbiorców danych, a
przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Zgoda, o której mowa wyżej może obejmować również przetwarzanie danych w
przyszłości, jeżeli nie zmienia się cel przetwarzania. Jeżeli przetwarzanie danych jest
niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a uzyskanie
jej zgody jest niemożliwe, można przetwarzać dane bez zgody tej osoby, do czasu,
gdy uzyskanie zgody będzie możliwe.
Za prawnie usprawiedliwiony cel, o którym mowa wyżej uważa się w
szczególności:
1) marketing bezpośredni własnych produktów lub usług administratora danych,
2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
W przypadku zbierania danych osobowych od osoby, której one dotyczą,
administrator danych jest obowiązany poinformować tę osobę o:

adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem
danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i
nazwisku;

celu zbierania danych, a w szczególności o znanych mu w czasie udzielania
informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,

prawie dostępu do treści swoich danych oraz ich poprawiania;

dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek
istnieje, jego podstawie prawnej.
W przypadku przetwarzania danych osobowych przez podmioty mające siedzibę
albo miejsce zamieszkania w państwie trzecim, administrator danych jest
obowiązany wyznaczyć swojego przedstawiciela w Rzeczypospolitej Polskiej.
1.2.2.3. Prawa osoby, której dane dotyczą
Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej
dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do:
1) uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia
administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy
administratorem danych jest osoba fizyczna – jej miejsca zamieszkania oraz imienia i
nazwiska;
2) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych
w takim zbiorze;
3) uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz
podania w powszechnie zrozumiałej formie treści tych danych;
4) uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że
administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy
informacji niejawnych lub zachowania tajemnicy zawodowej;
5) uzyskania informacji o sposobie udostępniania danych, a w szczególności
informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane;
6)
żądania
uzupełnienia,
uaktualnienia,
sprostowania
danych
osobowych,
czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one
niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy
albo są już zbędne do realizacji celu, dla którego zostały zebrane;
7)
wniesienia,
w
przypadkach
wymienionych
w
pkt.
4
i
5,
pisemnego,
umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej
szczególną sytuację;
8) wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach,
wymienionych pkt. 4 i 5, gdy administrator danych zamierza je przetwarzać w celach
marketingowych
lub
wobec
przekazywania
jej
danych
osobowych
innemu
administratorowi danych;
9) wniesienia do administratora danych żądania ponownego, indywidualnego
rozpatrzenia sprawy już rozstrzygniętej.
Jeżeli dane są przetwarzane dla celów naukowych, dydaktycznych, historycznych,
statystycznych
lub
archiwalnych,
administrator
danych
może
odstąpić
od
informowania osób o przetwarzaniu ich danych w przypadkach, gdy pociągałoby to
za sobą nakłady niewspółmierne z zamierzonym celem.
Administrator danych odmawia osobie, której dane dotyczą, udzielenia informacji
jeżeli spowodowałoby to:

ujawnienie wiadomości zawierających informacje niejawne;

zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi
lub bezpieczeństwa i porządku publicznego;

zagrożenie dla podstawowego interesu gospodarczego lub finansowego
państwa;

istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych

osób.
W razie wykazania przez osobę, której dane osobowe dotyczą, że są one
niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy
albo są zbędne do realizacji celu, dla którego zostały zebrane, administrator danych
jest obowiązany, bez zbędnej zwłoki, do uzupełnienia, uaktualnienia, sprostowania
danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych
danych lub ich usunięcia ze zbioru, chyba że dotyczy to danych osobowych, w
odniesieniu do których tryb ich uzupełnienia, uaktualnienia lub sprostowania
określają odrębne ustawy.
W razie niedopełnienia przez administratora danych tego obowiązku osoba, której
dane dotyczą, może się zwrócić do Generalnego Inspektora z wnioskiem o
nakazanie dopełnienia tego obowiązku.
Administrator danych jest obowiązany poinformować bez zbędnej zwłoki innych
administratorów, którym udostępnił zbiór danych, o dokonanym uaktualnieniu lub
sprostowaniu danych.
1.2.2.4. Zabezpieczenie danych osobowych
Administrator
danych
jest
zapewniające
organizacyjne
obowiązany
ochronę
zastosować
przetwarzanych
środki
techniczne
danych
i
osobowych
odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności
powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym,
zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz
zmianą, utratą, uszkodzeniem lub zniszczeniem. Ponadto prowadzi on dokumentację
opisującą sposób przetwarzania danych oraz używane środki.
Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające
upoważnienie nadane przez administratora danych. Administrator danych jest
obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo
zostały do zbioru wprowadzone oraz komu są przekazywane.
1.2.2.5. Rejestracja zbiorów danych osobowych
Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji
Generalnemu Inspektorowi, z wyjątkiem przypadków:
1) zawierających informacje niejawne;
1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez
funkcjonariuszy organów uprawnionych do tych czynności;
2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz
na podstawie przepisów o Krajowym Rejestrze Karnym;
2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej;
2b) przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej
Polskiej
w
Systemie
Informacyjnym
Schengen
oraz
Wizowym
Systemie
Informacyjnym;
2c) przetwarzanych przez właściwie organy na podstawie przepisów o wymianie
informacji z organami ścigania państw członkowskich Unii Europejskiej;
3) dotyczących osób należących do kościoła lub innego związku wyznaniowego, o
uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub
związku wyznaniowego;
4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na
podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub
uczących się;
5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej,
adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub
biegłego rewidenta;
6) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu,
Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów
na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta
miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego;
7) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie
niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia
wolności;
8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia
sprawozdawczości finansowej;
9) powszechnie dostępnych;
10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania
dyplomu ukończenia szkoły wyższej lub stopnia naukowego;
11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.
Generalny Inspektor w szczególnych przypadkach może odmówić rejestracji
danych. Administrator danych może zgłosić ponownie zbiór danych do rejestracji po
usunięciu wad, które były powodem odmowy rejestracji zbioru.
Wykreślenie z rejestru zbiorów danych osobowych jest dokonywane, w drodze
decyzji administracyjnej, jeżeli:
1) zaprzestano przetwarzania danych w zarejestrowanym zbiorze;
2) rejestracji dokonano z naruszeniem prawa.
1.2.2.6. Przekazywanie danych osobowych do państwa trzeciego
Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli
państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony
danych osobowych. Przepisu tego nie stosuje się, gdy przesłanie danych osobowych
wynika z obowiązku nałożonego na administratora danych przepisami prawa lub
postanowieniami
ratyfikowanej
umowy
międzynarodowej,
gwarantującymi
odpowiedni poziom ochrony tych danych.
Administrator danych może jednak przekazać dane osobowe do państwa
trzeciego, jeżeli:

osoba, której dane dotyczą, udzieliła na to zgody na piśmie;

przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem

danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie;

przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby,

której dane dotyczą, pomiędzy administratorem danych a innym podmiotem;

przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania

zasadności roszczeń prawnych;

przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której

dane dotyczą;

dane są ogólnie dostępne.
1.2.3. Ustawa o dostępie do informacji publicznej3
Każda informacja o sprawach publicznych podlega udostępnieniu i ponownemu
wykorzystywaniu na zasadach i w trybie określonych w niniejszej ustawie. Każdemu
przysługuje prawo dostępu do informacji publicznej, zwane dalej „prawem do
informacji publicznej”, z wyjątkiem:

prawa do informacji publicznej podlegającej na ograniczeniu w zakresie i
na zasadach określonych w przepisach o ochronie informacji niejawnych
oraz o ochronie innych tajemnic ustawowo chronionych;

prawa do informacji publicznej podlegającej ograniczeniu ze względu na
prywatność osoby fizycznej lub tajemnicę przedsiębiorcy. Ograniczenie to
nie dotyczy informacji o osobach pełniących funkcje publiczne, mających
związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i
wykonywania
funkcji,
oraz
przypadku,
gdy
osoba
fizyczna
lub
przedsiębiorca rezygnują z przysługującego im prawa;

nie można, z zastrzeżeniem ust. 1 i 2, ograniczać dostępu do informacji o
sprawach rozstrzyganych w postępowaniu przed organami państwa, w
szczególności w postępowaniu administracyjnym, karnym lub cywilnym, ze
względu na ochronę interesu strony, jeżeli postępowanie dotyczy władz
publicznych lub innych podmiotów wykonujących zadania publiczne albo
osób pełniących funkcje publiczne – w zakresie tych zadań lub funkcji;
3
Ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej, Dz.U. 2001 nr 112 poz. 1198, stan
prawny z 10.03.2014r.

ograniczenia dostępu do informacji w sprawach, o których mowa w ust. 3,
nie naruszają prawa do informacji o organizacji i pracy organów
prowadzących po-stępowania, w szczególności o czasie, trybie i miejscu
oraz kolejności rozpatrywania spraw.
Prawo do informacji publicznej obejmuje uprawnienia do:

uzyskania informacji publicznej, w tym uzyskania informacji przetworzonej w
takim zakresie, w jakim jest to szczególnie istotne dla interesu publicznego;

wglądu do dokumentów urzędowych;

dostępu
do
posiedzeń
kolegialnych
organów
władzy
publicznej
pochodzących z powszechnych wyborów.
Prawo do informacji publicznej obejmuje uprawnienie do niezwłocznego uzyskania
informacji publicznej zawierającej aktualną wiedzę o sprawach publicznych.
Obowiązane do udostępniania informacji publicznej są władze publiczne oraz inne
podmioty wykonujące zadania publiczne, w szczególności:

organy władzy publicznej;

organy samorządów gospodarczych i zawodowych;

podmioty reprezentujące zgodnie z odrębnymi przepisami Skarb Państwa;

podmioty reprezentujące państwowe osoby prawne albo osoby prawne
samorządu terytorialnego oraz podmioty reprezentujące inne państwowe
jednostki
organizacyjne
albo
jednostki
organizacyjne
samorządu
terytorialnego;

podmioty reprezentujące inne osoby lub jednostki organizacyjne, które
wykonują zadania publiczne lub dysponują majątkiem publicznym, oraz
osoby prawne, w których Skarb Państwa, jednostki samorządu terytorialnego
lub samorządu gospodarczego albo zawodowego mają pozycję dominującą
w rozumieniu przepisów o ochronie konkurencji i konsumentów.
Obowiązane do udostępnienia informacji publicznej są także organizacje
związkowe, pracodawcy oraz partie polityczne.
Prawo do informacji publicznej podlega ograniczeniu w zakresie i na zasadach
określonych w przepisach o ochronie informacji niejawnych oraz o ochronie innych
tajemnic ustawowo chronionych.

prawo do informacji publicznej podlega ograniczeniu ze względu na
prywatność osoby fizycznej lub tajemnicę przedsiębiorcy. Ograniczenie to nie
dotyczy informacji o osobach pełniących funkcje publiczne, mających
związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i
wykonywania funkcji, oraz przypadku, gdy osoba fizyczna lub przedsiębiorca
rezygnują z przysługującego im prawa.

nie można, z zastrzeżeniem ust. 1 i 2, ograniczać dostępu do informacji o
sprawach rozstrzyganych w postępowaniu przed organami państwa, w
szczególności w postępowaniu administracyjnym, karnym lub cywilnym, ze
względu na ochronę interesu strony, jeżeli postępowanie dotyczy władz
publicznych lub innych podmiotów wykonujących zadania publiczne albo
osób pełniących funkcje publiczne – w zakresie tych zadań lub funkcji.

ograniczenia dostępu do informacji w sprawach, o których mowa w ust. 3, nie
naruszają prawa do informacji o organizacji i pracy organów prowadzących
po-stępowania, w szczególności o czasie, trybie i miejscu oraz kolejności
rozpatrywania spraw.
Udostępnieniu podlega informacja publiczna, w szczególności o:

polityce wewnętrznej i zagranicznej, w tym o:
 zamierzeniach działań władzy ustawodawczej oraz wykonawczej;
 projektowaniu aktów normatywnych;
 programach w zakresie realizacji zadań publicznych, sposobie ich
realizacji, wykonywaniu i skutkach realizacji tych zadań;

podmiotach będących władzami publicznymi, a w tym o:
 statusie prawnym lub formie prawnej;
 organizacji;
 przedmiocie działalności i kompetencjach;
 organach i osobach sprawujących w nich funkcje i ich kompetencjach;
 strukturze własnościowej podmiotów;
 majątku, którym dysponują;

zasadach funkcjonowania podmiotów, o których mowa w art. 4 ust. 1, w tym o:
 trybie działania władz publicznych i ich jednostek organizacyjnych;
 trybie działania państwowych osób prawnych i osób prawnych samorządu
terytorialnego w zakresie wykonywania zadań publicznych i ich działalności
w ramach gospodarki budżetowej i pozabudżetowej;
 sposobach stanowienia aktów publicznoprawnych;
 sposobach przyjmowania i załatwiania spraw;
 stanie przyjmowanych spraw, kolejności ich załatwiania lub rozstrzygania,
 prowadzonych rejestrach, ewidencjach i archiwach oraz o sposobach i
zasadach udostępniania danych w nich zawartych;
 naborze kandydatów do zatrudnienia na wolne stanowiska, w zakresie
określonym w przepisach odrębnych;
 konkursie na wyższe stanowisko w służbie cywilnej, w zakresie określonym
w przepisach odrębnych;

danych publicznych, w tym:
 treść i postać dokumentów urzędowych, w szczególności treść aktów
administracyjnych i innych rozstrzygnięć;
 stanowiska w sprawach publicznych zajęte przez organy władzy publicznej i
przez funkcjonariuszy publicznych w rozumieniu przepisów Kodeksu
karnego;
 treść innych wystąpień i ocen dokonywanych przez organy władzy
publicznej;
 informacja o stanie państwa, samorządów i ich jednostek organizacyjnych;

majątku publicznym, w tym o:
 majątku Skarbu Państwa i państwowych osób prawnych;
 innych prawach majątkowych przysługujących państwu i jego długach;
 majątku
jednostek
samorządu
terytorialnego
oraz
samorządów
zawodowych i gospodarczych oraz majątku osób prawnych samorządu
terytorialnego, a także kas chorych;
 majątku podmiotów;
 dochodach i stratach spółek handlowych, w których podmioty;
 długu publicznym;
 pomocy publicznej;
 ciężarach publicznych.
Udostępnianie informacji publicznych następuje w drodze:
 ogłaszania informacji publicznych, w tym dokumentów urzędowych, w
Biuletynie Informacji Publicznej;
 udostępniania, w formie ustnej lub pisemnej bez pisemnego wniosku, w
drodze wyłożenia lub wywieszenia w miejscach ogólnie dostępnych, przez
zainstalowane urządzenia umożliwiającego zapoznanie się z tą informacją;
 wstępu na posiedzenia organów, o których była mowa
i udostępniania
materiałów, w tym audiowizualnych i teleinformatycznych, dokumentujących
te posiedzenia.
Dostęp do informacji publicznej jest bezpłatny, z zastrzeżeniami:
1. Jeżeli w wyniku udostępnienia informacji publicznej podmiot obowiązany do
udostępnienia ma ponieść dodatkowe koszty związane ze wskazanym we wniosku
sposobem udostępnienia lub koniecznością przekształcenia informacji w formę
wskazaną we wniosku, podmiot ten może pobrać od wnioskodawcy opłatę w
wysokości odpowiadającej tym kosztom.
2. Podmiot, o którym mowa w ust. 1, w terminie 14 dni od dnia złożenia wniosku,
powiadomi wnioskodawcę o wysokości opłaty. Udostępnienie informacji zgodnie z
wnioskiem następuje po upływie 14 dni od dnia powiadomienia wnioskodawcy, chyba
że wnioskodawca dokona w tym terminie zmiany wniosku w za-kresie sposobu lub
formy udostępnienia informacji albo wycofa wniosek.
Podmioty udostępniające informacje publiczne w Biuletynie Informacji Publicznej
są obowiązane do:

oznaczenia
informacji
danymi
w informacji
danych
określającymi
podmiot
udostępniający
informację;

podania
określających
tożsamość
osoby,
która
wytworzyła informację lub odpowiada za treść informacji;

dołączenia do informacji danych określających tożsamość osoby, która
wprowadziła informację do Biuletynu Informacji Publicznej;

oznaczenia czasu wytworzenia informacji i czasu jej udostępnienia;

zabezpieczenia możliwości identyfikacji czasu rzeczywistego udostępnienia
informacji.
Informacja publiczna, która nie została udostępniona w Biuletynie Informacji
Publicznej lub centralnym repozytorium, jest udostępniana na wniosek.
Informacja
publiczna,
która
może
być
niezwłocznie
udostępniona,
jest
udostępniana w formie ustnej lub pisemnej bez pisemnego wniosku.
1.2.3. Ustawa o prawie autorskim i prawach pokrewnych4
Przedmiotem prawa autorskiego jest każdy przejaw działalności twórczej o
indywidualnym charakterze, ustalony w jakiejkolwiek postaci, niezależnie od wartości,
przeznaczenia i sposobu wyrażenia (utwór).
W szczególności przedmiotem prawa autorskiego są utwory:

wyrażone słowem, symbolami matematycznymi, znakami graficznymi
(literackie,
publicystyczne,
naukowe,
kartograficzne
oraz
programy
komputerowe);

plastyczne;

fotograficzne;

lutnicze;

wzornictwa przemysłowego;

architektoniczne, architektoniczno-urbanistyczne i urbanistyczne;

muzyczne i słowno-muzyczne;

sceniczne, sceniczno-muzyczne, choreograficzne i pantomimiczne;

audiowizualne (w tym filmowe).
Ochroną objęty może być wyłącznie sposób wyrażenia. Nie są objęte ochroną
odkrycia, idee, procedury, metody i zasady działania oraz koncepcje matematyczne.
Utwór jest przedmiotem prawa autorskiego od chwili ustalenia, chociażby miał
postać nieukończoną.
Opracowanie
cudzego
utworu,
w
szczególności
tłumaczenie,
przeróbka,
adaptacja, jest przedmiotem prawa autorskiego bez uszczerbku dla prawa do utworu
pierwotnego.
Rozporządzanie i korzystanie z opracowania zależy od zezwolenia twórcy utworu
pierwotnego (prawo zależne), chyba że autorskie prawa majątkowe do utworu
pierwotnego wygasły. W przypadku baz danych spełniających cechy utworu
zezwolenie twórcy jest konieczne także na sporządzenie opracowania.
4
Ustawa z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych, Dz.U. z 2006 nr
90 poz. 631, brzmienie od 21 października 2010
Twórca utworu pierwotnego może cofnąć zezwolenie, jeżeli w ciągu pięciu lat od
jego udzielenia opracowanie nie zostało rozpowszechnione. Wypłacone twórcy
wynagrodzenie nie podlega zwrotowi.
Za opracowanie nie uważa się utworu, który powstał w wyniku inspiracji cudzym
utworem.
Na egzemplarzach opracowania należy wymienić twórcę i tytuł utworu pierwotnego.. Ochrona przysługuje twórcy niezależnie od spełnienia jakichkolwiek formalności.
Zbiory, antologie, wybory, bazy danych spełniające cechy utworu są przedmiotem
prawa autorskiego, nawet jeżeli zawierają niechronione materiały, o ile przyjęty w
nich dobór, układ lub zestawienie ma twórczy charakter, bez uszczerbku dla praw do
wykorzystanych utworów.
Nie stanowią przedmiotu prawa autorskiego:

akty normatywne lub ich urzędowe projekty;

urzędowe dokumenty, materiały, znaki i symbole;

opublikowane opisy patentowe lub ochronne;

proste informacje prasowe.
Przepisy ustawy stosuje się do utworów:

których twórca lub współtwórca jest obywatelem polskim lub których twórca
jest obywatelem państwa członkowskiego Unii Europejskiej, lub państw
członkowskich Europejskiego Porozumienia o Wolnym Handlu (EFTA) –
stron umowy o Europejskim Obszarze Gospodarczym, lub

które zostały opublikowane po raz pierwszy na terytorium Rzeczypospolitej
Polskiej albo równocześnie na tym terytorium i za granicą, lub

które zostały opublikowane po raz pierwszy w języku polskim, lub

które są chronione na podstawie umów międzynarodowych, w zakresie, w
jakim ich ochrona wynika z tych umów.
W rozumieniu ustawy:

utworem opublikowanym jest utwór, który za zezwoleniem twórcy został
zwielokrotniony i którego egzemplarze zostały udostępnione publicznie;

opublikowaniem równoczesnym utworu jest opublikowanie utworu na
terytorium Rzeczypospolitej Polskiej i za granicą w okresie trzydziestu dni
od jego pierwszej publikacji;

utworem rozpowszechnionym jest utwór, który za zezwoleniem twórcy
został w jakikolwiek sposób udostępniony publicznie;

nadawaniem utworu jest jego rozpowszechnianie drogą emisji radiowej lub
telewizyjnej, prowadzonej w sposób bezprzewodowy (naziemny lub
satelitarny) lub w sposób przewodowy;

reemitowaniem utworu jest jego rozpowszechnianie przez inny podmiot niż
pierwotnie nadający, drogą przejmowania w całości i bez zmian programu
organizacji radiowej lub telewizyjnej oraz równoczesnego i integralnego
przekazywania tego programu do powszechnego odbioru;

wprowadzeniem utworu do obrotu jest publiczne udostępnienie jego
oryginału albo egzemplarzy drogą przeniesienia ich własności dokonanego
przez uprawnionego lub za jego zgodą;

najmem egzemplarzy utworu jest ich przekazanie do ograniczonego
czasowo korzystania w celu bezpośredniego lub pośredniego uzyskania
korzyści majątkowej;

użyczeniem egzemplarzy utworu jest ich przekazanie do ograniczonego
cza-sowo korzystania, niemające na celu bezpośredniego lub pośredniego
uzyskania korzyści majątkowej;

odtworzeniem utworu jest jego udostępnienie bądź przy pomocy nośników
dźwięku, obrazu lub dźwięku i obrazu, na których utwór został zapisany,
bądź przy pomocy urządzeń służących do odbioru programu radiowego lub
telewizyjnego, w którym utwór jest nadawany;

technicznymi zabezpieczeniami są wszelkie technologie, urządzenia lub
ich elementy, których przeznaczeniem jest zapobieganie działaniom lub
ograniczenie
działań
umożliwiających
korzystanie
z
utworów
lub
artystycznych wykonań z naruszeniem prawa;

skutecznymi
technicznymi
zabezpieczeniami
są
techniczne
zabezpieczenia umożliwiające podmiotom uprawnionym kontrolę nad
korzystaniem z chronionego utworu lub artystycznego wykonania poprzez
zastosowanie
kodu
dostępu
lub
mechanizmu
zabezpieczenia,
w
szczególności szyfrowania, zakłócania lub każdej innej transformacji
utworu
lub
artystycznego
wykonania
zwielokrotniania, które spełniają cel ochronny;
lub
mechanizmu
kontroli

informacjami na temat zarządzania prawami są informacje identyfikujące
utwór, twórcę, podmiot praw autorskich lub informacje o warunkach
eksploatacji utworu, o ile zostały one dołączone do egzemplarza utworu
lub są przekazywane w związku z jego rozpowszechnianiem, w tym kody
identyfikacyjne.
Ilekroć w ustawie jest mowa o równowartości danej kwoty wyrażonej w euro,
należy przez to rozumieć jej równowartość wyrażoną w walucie polskiej, ustaloną
przy zastosowaniu średniego kursu euro, lub jej równowartość wyrażoną w innej
walucie, ustaloną przy zastosowaniu średniego kursu euro oraz średniego kursu tej
waluty ogłoszonego przez Narodowy Bank Polski w dniu poprzedzają-cym dokonanie
czynności.
1.2.3.1. Podmiot prawa autorskiego
Prawo autorskie przysługuje twórcy, o ile ustawa nie stanowi inaczej.
Domniemywa się, że twórcą jest osoba, której nazwisko w tym charakterze
uwidoczniono na egzemplarzach utworu lub której autorstwo podano do publicznej
wiadomości w jakikolwiek inny sposób w związku z rozpowszechnianiem utworu.
Dopóki twórca nie ujawnił swojego autorstwa, w wykonywaniu prawa autorskiego
zastępuje go producent lub wydawca, a w razie ich braku – właściwa organizacja
zbiorowego zarządzania prawami autorskimi.
Współtwórcom przysługuje prawo autorskie wspólnie. Domniemywa się, że
wielkości udziałów są równe. Każdy ze współtwórców może żądać określenia
wielkości udziałów przez sąd, na podstawie wkładów pracy twórczej.
Domniemywa się, że producentem lub wydawcą jest osoba, której nazwisko lub
nazwę uwidoczniono w tym charakterze na przedmiotach, na których utwór
utrwalono, albo podano do publicznej wiadomości w jakikolwiek sposób w związku z
rozpowszechnianiem utworu.
Uczelni
w
rozumieniu
przepisów
o
szkolnictwie
wyższym
przysługuje
pierwszeństwo w opublikowaniu pracy dyplomowej studenta. Jeżeli uczelnia nie
opublikowała pracy dyplomowej w ciągu 6 miesięcy od jej obrony, student, który ją
przygotował, może ją opublikować, chyba że praca dyplomowa jest częścią utworu
zbiorowego.
1.2.3.2. Dozwolony użytek chronionych utworów
Bez zezwolenia twórcy wolno nieodpłatnie korzystać z już rozpowszechnionego
utworu w zakresie własnego użytku osobistego. Przepis ten nie upoważnia do
budowania
według
cudzego
utworu
architektonicznego
i
architektoniczno-
urbanistycznego oraz do korzystania z elektronicznych baz danych spełniających
cechy utworu, chyba że dotyczy to własnego użytku naukowego niezwiązanego z
celem zarobkowym.
Zakres własnego użytku osobistego obejmuje korzystanie z pojedynczych
egzemplarzy utworów przez krąg osób pozostających w związku osobistym, w
szczególności pokrewieństwa, powinowactwa lub stosunku towarzyskiego.
Nie wymaga zezwolenia twórcy przejściowe lub incydentalne zwielokrotnianie
utworów, niemające samodzielnego znaczenia gospodarczego, a stanowiące
integralną i podstawową część procesu technologicznego oraz mające na celu
wyłącznie umożliwienie:

przekazu utworu w systemie teleinformatycznym pomiędzy osobami
trzecimi przez pośrednika;

zgodnego z prawem korzystania z utworu.
Wolno rozpowszechniać w celach informacyjnych w prasie, radiu i telewizji:
1) już rozpowszechnione:
a) sprawozdania o aktualnych wydarzeniach,
b) aktualne artykuły na tematy polityczne, gospodarcze lub religijne, chyba że zostało
wyraźnie zastrzeżone, że ich dalsze rozpowszechnianie jest zabronione,
c) aktualne wypowiedzi i fotografie reporterskie;
2) krótkie wyciągi ze sprawozdań i artykułów, o których mowa w pkt 1 lit. a i b;
3) przeglądy publikacji i utworów rozpowszechnionych;
4) mowy wygłoszone na publicznych zebraniach i rozprawach; nie upoważnia to
jednak do publikacji zbiorów mów jednej osoby;
5) krótkie streszczenia rozpowszechnionych utworów.
Za korzystanie z utworów, o których mowa w ust. 1 pkt 1 lit. b i c, twórcy
przysługuje prawo do wynagrodzenia.
Rozpowszechnianie utworów na podstawie ust. 1 jest dozwolone zarówno w
oryginale, jak i w tłumaczeniu.
Przepisy ust. 1–3 stosuje się odpowiednio do publicznego udostępniania utworów
w taki sposób, aby każdy mógł mieć do nich dostęp w miejscu i czasie przez siebie
wybranym, z tym że jeżeli wypłata wynagrodzenia, o którym mowa w ust. 2, nie
nastąpiła na podstawie umowy z uprawnionym, wynagrodzenie jest wypłacane za
pośrednictwem właściwej organizacji zbiorowego zarządzania prawami autorskimi
lub prawami pokrewnymi.
Instytucje naukowe i oświatowe mogą, w celach dydaktycznych lub prowadzenia
własnych badań, korzystać z rozpowszechnionych utworów w oryginale i w
tłumaczeniu
oraz
sporządzać
w
tym
celu
egzemplarze
fragmentów
rozpowszechnionego utworu.
Biblioteki, archiwa i szkoły mogą:

udostępniać
nieodpłatnie,
w
zakresie
swoich
zadań
statutowych,
egzemplarze utworów rozpowszechnionych;

sporządzać lub zlecać sporządzanie egzemplarzy rozpowszechnionych
utworów w celu uzupełnienia, zachowania lub ochrony własnych zbiorów;

udostępniać
zbiory
pośrednictwem
dla
celów
końcówek
badawczych
systemu
lub
poznawczych
informatycznego
za
(terminali)
znajdujących się na terenie tych jednostek.
Wolno
przytaczać
rozpowszechnionych
w
utworach
utworów
lub
stanowiących
drobne
utwory
samoistną
w
całość
całości,
w
urywki
zakresie
uzasadnionym wyjaśnianiem, analizą krytyczną, nauczaniem lub prawami gatunku
twórczości.
Wolno w celach dydaktycznych i naukowych zamieszczać rozpowszechnione
drobne utwory lub fragmenty większych utworów w podręcznikach i wypisach.
Wolno w celach dydaktycznych i naukowych zamieszczać rozpowszechnione
drobne utwory lub fragmenty większych utworów w antologiach.
Ośrodki informacji lub dokumentacji mogą sporządzać i rozpowszechniać własne
opracowania dokumentacyjne oraz pojedyncze egzemplarze, nie większych niż jeden
arkusz wydawniczy, fragmentów opublikowanych utworów.
Twórca albo właściwa organizacja zbiorowego zarządzania prawami autorskimi
lub prawami pokrewnymi jest uprawniona do pobierania od ośrodków wynagrodzenia
za odpłatne udostępnianie egzemplarzy fragmentów utworów.
1.2.3.3. Czas trwania autorskich praw majątkowych
Z zastrzeżeniem wyjątków przewidzianych w ustawie, autorskie prawa majątkowe
gasną z upływem lat siedemdziesięciu:

od śmierci twórcy, a do utworów współautorskich – od śmierci współtwórcy,
który przeżył pozostałych;

w odniesieniu do utworu, którego twórca nie jest znany – od daty pierwszego rozpowszechnienia, chyba że pseudonim nie pozostawia wątpliwości co
do tożsamości autora lub jeżeli autor ujawnił swoją tożsamość;

w odniesieniu do utworu, do którego autorskie prawa majątkowe
przysługują z mocy ustawy innej osobie niż twórca – od daty
rozpowszechnienia utworu, a gdy utwór nie został rozpowszechniony – od
daty jego ustalenia;

w odniesieniu do utworu audiowizualnego – od śmierci najpóźniej zmarłej z
wymienionych osób: głównego reżysera, autora scenariusza, autora
dialogów,
kompozytora
muzyki
skomponowanej
do
utworu
audiowizualnego.
1.2.3.4. Prawa do pierwszych wydań oraz wydań naukowych i krytycznych
Wydawcy, który jako pierwszy w sposób zgodny z prawem opublikował lub w inny
sposób rozpowszechnił utwór, którego czas ochrony już wygasł, a jego egzemplarze
nie były jeszcze publicznie udostępniane, przysługuje wyłączne prawo do
rozporządzania tym utworem i korzystania z niego na wszystkich polach eksploatacji
przez okres dwudziestu pięciu lat od daty pierwszej publikacji lub rozpowszechnienia.
Temu, kto po upływie czasu ochrony prawa autorskiego do utworu przygotował
jego wydanie krytyczne lub naukowe, niebędące utworem, przysługuje wyłączne
prawo do rozporządzania takim wydaniem i korzystania z niego w zakresie przez
okres trzydziestu lat od daty publikacji.
Przepisy te stosuje się odpowiednio do utworów i tekstów, które ze względu na czas
ich powstania lub charakter nigdy nie były objęte ochroną prawa autorskiego.
Przepisy ustawy stosuje się do pierwszych wydań:

których wydawca ma na terytorium Rzeczypospolitej Polskiej miejsce zamieszkania lub siedzibę lub

których
wydawca
ma
na
terytorium
Europejskiego
Obszaru
Gospodarczego miejsce zamieszkania lub siedzibę, lub

które są chronione na podstawie umów międzynarodowych, w zakresie, w
jakim ich ochrona wynika z tych umów.
Przepisy ustawy stosuje się do wydań naukowych i krytycznych, które:

zostały dokonane przez obywatela polskiego albo osobę zamieszkałą na
terytorium Rzeczypospolitej Polskiej, lub

zostały ustalone po raz pierwszy na terytorium Rzeczypospolitej Polskiej,
lub

zostały opublikowane po raz pierwszy na terytorium Rzeczypospolitej
Polskiej, lub

są chronione na podstawie umów międzynarodowych, w zakresie, w jakim
ich ochrona wynika z tych umów.
1.2.4. Ustawa o podpisie elektronicznym5
Ustawa określa warunki stosowania podpisu elektronicznego, skutki prawne jego
stosowania, zasady świadczenia usług certyfikacyjnych oraz zasady nadzoru nad
podmiotami świadczącymi te usługi. Przepisy ustawy stosuje się do podmiotów
świadczących usługi certyfikacyjne, mających siedzibę lub świadczących usługi na
terytorium Rzeczypospolitej Polskiej.
Certyfikat wydany przez podmiot świadczący usługi certyfikacyjne, niemający
siedziby na terytorium Rzeczypospolitej Polskiej i nieświadczący usług na jej
terytorium, zrównuje się pod względem prawnym z kwalifikowanymi certyfikatami
wydanymi przez kwalifikowany podmiot świadczący usługi certyfikacyjne, mający
siedzibę lub świadczący usługi na terytorium Rzeczypospolitej Polskiej, jeżeli
zostanie spełniona jedna z poniższych przesłanek:

podmiot świadczący usługi certyfikacyjne, który wydał ten certyfikat, został
wpisany do rejestru kwalifikowanych podmiotów świadczących usługi
certyfikacyjne;

przewiduje to umowa międzynarodowa, której stroną jest Rzeczpospolita
Polska, o wzajemnym uznaniu certyfikatów;

podmiot świadczący usługi certyfikacyjne, który wydał ten certyfikat, spełnia
wymagania ustawy i została mu udzielona akredytacja w państwie
członkowskim Unii Europejskiej;

podmiot świadczący usługi certyfikacyjne, mający siedzibę na terytorium
Wspólnoty Europejskiej, spełniający wymogi ustawy, udzielił gwarancji za ten
certyfikat;
5
Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym, Dz.U. brzmienie od 25 lutego 2013

certyfikat
ten
został
uznany
za
kwalifikowany
w
drodze
umowy
międzynarodowej zawartej pomiędzy Wspólnotą Europejską a państwami
trzecimi lub organizacjami międzynarodowymi (certyfikat ten został uznany
za kwalifikowany w drodze umowy o Europejskim Obszarze Gospodarczym);

podmiot świadczący usługi certyfikacyjne, który wydał ten certyfikat, został
uznany w drodze umowy międzynarodowej zawartej pomiędzy Wspólnotą
Europejską a państwami trzecimi lub organizacjami międzynarodowymi.
1.2.4.1. Skutki prawne podpisu elektronicznego
Bezpieczny podpis elektroniczny weryfikowany przy pomocy kwalifikowanego
certyfikatu wywołuje skutki prawne określone ustawą, jeżeli został złożony w okresie
ważności tego certyfikatu. Bezpieczny podpis elektroniczny złożony w okresie
zawieszenia kwalifikowanego certyfikatu wykorzystywanego do jego weryfikacji
wywołuje skutki prawne z chwilą uchylenia tego zawieszenia.
Dane w postaci elektronicznej opatrzone bezpiecznym podpisem elektronicznym
weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu są równoważne
pod
względem
skutków
prawnych
dokumentom
opatrzonym
podpisami
własnoręcznymi, chyba że przepisy odrębne stanowią inaczej.
Bezpieczny podpis elektroniczny weryfikowany przy pomocy kwalifikowanego
certyfikatu zapewnia integralność danych opatrzonych tym podpisem i jednoznaczne
wskazanie kwalifikowanego certyfikatu, w ten sposób, że rozpoznawalne są wszelkie
zmiany
tych
danych
oraz
zmiany
wskazania
kwalifikowanego
certyfikatu
wykorzystywanego do weryfikacji tego podpisu, dokonane po złożeniu podpisu.
Bezpieczny
podpis
elektroniczny
weryfikowany
przy
pomocy
ważnego
kwalifikowanego certyfikatu stanowi dowód tego, że został on złożony przez osobę
określoną w tym certyfikacie jako składającą podpis elektroniczny.
Podpis elektroniczny może być znakowany czasem.
Znakowanie czasem przez kwalifikowany podmiot świadczący usługi certyfikacyjne
wywołuje w szczególności skutki prawne daty pewnej w rozumieniu przepisów
Kodeksu cywilnego.
Uważa się, że podpis elektroniczny znakowany czasem przez kwalifikowany
podmiot świadczący usługi certyfikacyjne został złożony nie później niż w chwili
dokonywania tej usługi. Domniemanie to istnieje do dnia utraty ważności
zaświadczenia certyfikacyjnego wykorzystywanego do weryfikacji tego znakowania.
Przedłużenie istnienia domniemania wymaga kolejnego znakowania czasem podpisu
elektronicznego wraz z danymi służącymi do poprzedniej weryfikacji przez
kwalifikowany podmiot świadczący tę usługę.
Nie można odmówić ważności i skuteczności podpisowi elektronicznemu tylko na
tej podstawie, że istnieje w postaci elektronicznej lub dane służące do weryfikacji
podpisu nie mają kwalifikowanego certyfikatu, lub nie został złożony za pomocą
bezpiecznego urządzenia służącego do składania podpisu elektronicznego.
1.2.4.2. Obowiązki podmiotów świadczących usługi certyfikacyjne
Prowadzenie działalności w zakresie świadczenia usług certyfikacyjnych nie
wymaga uzyskania zezwolenia ani koncesji. Organy władzy publicznej i Narodowy
Bank Polski mogą świadczyć usługi certyfikacyjne, z zastrzeżeniem (jednostka
samorządu terytorialnego może świadczyć usługi certyfikacyjne na zasadach
niezarobkowych także dla członków wspólnoty samorządowej), wyłącznie na użytek
własny lub innych organów władzy publicznej.
Kwalifikowany podmiot świadczący usługi certyfikacyjne wydający kwalifikowane
certyfikaty jest obowiązany:

zapewnić techniczne i organizacyjne możliwości szybkiego i niezawodnego
wydawania, zawieszania i unieważniania certyfikatów oraz określenia czasu
dokonania tych czynności;

stwierdzić tożsamość osoby ubiegającej się o certyfikat;

zapewnić środki przeciwdziałające fałszerstwom certyfikatów i innych danych poświadczanych elektronicznie przez te podmioty, w szczególności
przez ochronę urządzeń i danych wykorzystywanych przy świadczeniu usług
certyfikacyjnych;

zawrzeć umowę ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone odbiorcom usług certyfikacyjnych;

poinformować osobę ubiegającą się o certyfikat, przed zawarciem z nią
umowy, o warunkach uzyskania i używania certyfikatu, w tym o wszelkich
ograniczeniach jego użycia;

używać systemów do tworzenia i przechowywania certyfikatów w sposób
zapewniający możliwość wprowadzania i zmiany danych jedynie osobom
uprawnionym;

jeżeli podmiot zapewnia publiczny dostęp do certyfikatów, to ich publikacja
wymaga uprzedniej zgody osoby, której wydano ten certyfikat;

udostępniać odbiorcy usług certyfikacyjnych pełny wykaz bezpiecznych
urządzeń do składania i weryfikacji podpisów elektronicznych i warunki
techniczne, jakim te urządzenia powinny odpowiadać;

zapewnić, w razie tworzenia przez niego danych służących do składania
podpisu elektronicznego, poufność procesu ich tworzenia, a także nie
przechowywać i nie kopiować tych danych ani innych danych, które mogłyby
służyć do ich odtworzenia, oraz nie udostępniać ich nikomu innemu poza
osobą, która będzie składała za ich pomocą podpis elektroniczny;

zapewnić, w razie tworzenia przez niego danych służących do składania
podpisu elektronicznego, aby dane te z prawdopodobieństwem graniczącym
z pewnością wystąpiły tylko raz;

publikować dane, które umożliwią weryfikację, w tym również w sposób
elektroniczny, autentyczności i ważności certyfikatów oraz innych danych
poświadczanych elektronicznie przez ten podmiot oraz zapewnić nieodpłatny
dostęp do tych danych odbiorcom usług certyfikacyjnych.
Kwalifikowany
podmiot
świadczący
usługi
certyfikacyjne
polegające
na
znakowaniu czasem jest obowiązany spełnić wymogi, o których była mowa
wcześniej,
oraz
używać
systemów
do
znakowania
czasem,
tworzenia
i
przechowywania zaświadczeń certyfikacyjnych, w sposób zapewniający możliwość
wprowadzania i zmiany danych jedynie osobom uprawnionym, a także zapewnić, że
czas w nich określony jest czasem z chwili składania poświadczenia elektronicznego
i uniemożliwiają one oznaczenie czasem innym niż w chwili wykonania usługi
znakowania czasem.
Podmiot świadczący usługi certyfikacyjne odpowiada wobec odbiorców usług
certyfikacyjnych za wszelkie szkody spowodowane niewykonaniem lub nienależytym
wykonaniem swych obowiązków w zakresie świadczonych usług, chyba że
niewykonanie lub nienależyte wykonanie tych obowiązków jest następstwem
okoliczności, za które podmiot świadczący usługi certyfikacyjne nie ponosi
odpowiedzialności i którym nie mógł zapobiec mimo dołożenia należytej staranności.
Informacje
związane
ze
świadczeniem
usług
certyfikacyjnych,
których
nieuprawnione ujawnienie mogłoby narazić na szkodę podmiot świadczący usługi
certyfikacyjne lub odbiorcę usług certyfikacyjnych, a w szczególności dane służące
do składania poświadczeń elektronicznych, są objęte tajemnicą. Nie są objęte
tajemnicą informacje o naruszeniach ustawy przez podmiot świadczący usługi
certyfikacyjne.
Obowiązek zachowania tajemnicy, o której była mowa trwa przez okres 10 lat od
ustania stosunków prawnych. Obowiązek zachowania tajemnicy danych służących
do składania poświadczeń elektronicznych trwa bezterminowo.
1.2.4.3. Świadczenie usług certyfikacyjnych
Podmiot świadczący usługi certyfikacyjne wydaje certyfikat na podstawie umowy.
Odbiorca usług certyfikacyjnych jest obowiązany przechowywać dane służące do
składania podpisu elektronicznego w sposób zapewniający ich ochronę przed
nieuprawnionym wykorzystaniem w okresie ważności certyfikatu służącego do
weryfikacji tych podpisów.
Bezpieczne urządzenie służące do składania podpisu elektronicznego powinno co
najmniej:

uniemożliwiać pozyskiwanie danych służących do składania podpisu lub poświadczenia elektronicznego;

nie zmieniać danych, które mają zostać podpisane lub poświadczone
elektronicznie, oraz umożliwiać przedstawienie tych danych osobie składającej
podpis elektroniczny przed chwilą jego złożenia;

gwarantować,
że
złożenie
podpisu
będzie
poprzedzone
wyraźnym
ostrzeżeniem, że kontynuacja operacji będzie równoznaczna ze złożeniem
podpisu elektronicznego;

zapewniać łatwe rozpoznawanie istotnych dla bezpieczeństwa zmian w
urządzeniu do składania podpisu lub poświadczenia elektronicznego.
Bezpieczne urządzenie służące do weryfikacji podpisu elektronicznego powinno
spełniać następujące wymagania:

dane używane do weryfikacji podpisu elektronicznego odpowiadają danym,
które są uwidaczniane osobie weryfikującej ten podpis;

podpis elektroniczny jest weryfikowany rzetelnie, a wynik weryfikacji
prawidłowo wykazany;

osoba weryfikująca może w sposób niebudzący wątpliwości ustalić zawartość
podpisanych danych;

autentyczność i ważność certyfikatów lub innych danych poświadczonych
elektronicznie jest rzetelnie weryfikowana;

wynik weryfikacji identyfikacji osoby składającej podpis elektroniczny jest
poprawnie i czytelnie wykazywany;

użycie pseudonimu jest jednoznacznie wskazane;

istotne dla bezpieczeństwa zmiany w urządzeniu służącym do weryfikacji
podpisu elektronicznego są sygnalizowane.
Kwalifikowany certyfikat zawiera co najmniej następujące dane:

numer certyfikatu;

wskazanie, że certyfikat został wydany jako certyfikat kwalifikowany do
stosowania zgodnie z określoną polityką certyfikacji;

określenie podmiotu świadczącego usługi certyfikacyjne wydającego certyfikat i państwa, w którym ma on siedzibę, oraz numer pozycji w rejestrze
kwalifikowanych podmiotów świadczących usługi certyfikacyjne;

imię i nazwisko lub pseudonim osoby składającej podpis elektroniczny; użycie
pseudonimu musi być wyraźnie zaznaczone;

dane służące do weryfikacji podpisu elektronicznego;

oznaczenie początku i końca okresu ważności certyfikatu;

poświadczenie elektroniczne podmiotu świadczącego usługi certyfikacyjne,
wydającego dany certyfikat;

ograniczenia zakresu ważności certyfikatu, jeżeli przewiduje to określona
polityka certyfikacji;

ograniczenie najwyższej wartości granicznej transakcji, w której certyfikat
może być wykorzystywany, jeżeli przewiduje to polityka certyfikacji lub umowa.
1.2.4.4. Ważność certyfikatów
Certyfikat jest ważny w okresie w nim wskazanym.
Podmiot świadczący usługi
certyfikacyjne unieważnia certyfikat kwalifikowany przed upływem okresu jego
ważności, jeżeli:

certyfikat ten został wydany na podstawie nieprawdziwych lub nieaktualnych
danych;

nie dopełnił obowiązków określonych w ustawie;

osoba składająca podpis elektroniczny weryfikowany na podstawie tego
certyfikatu nie dopełniła obowiązków;

podmiot świadczący usługi certyfikacyjne zaprzestaje świadczenia usług
certyfikacyjnych, a jego praw i obowiązków nie przejmie inny kwalifikowany
podmiot;

zażąda tego osoba składająca podpis elektroniczny lub osoba trzecia
wskazana w certyfikacie;

zażąda tego minister właściwy do spraw gospodarki;

osoba składająca podpis elektroniczny utraciła pełną zdolność do czynności
prawnych.
Unieważnienie certyfikatu nie wyłącza odpowiedzialności podmiotu świadczącego
usługi certyfikacyjne za szkodę względem osoby składającej podpis elektroniczny.
W przypadku istnienia uzasadnionego podejrzenia, że istnieją przesłanki do
unieważnienia kwalifikowanego certyfikatu, podmiot świadczący usługi certyfikacyjne
jest obowiązany niezwłocznie zawiesić certyfikat i podjąć działania nie-zbędne do
wyjaśnienia tych wątpliwości.
Zawieszenie kwalifikowanego certyfikatu nie może trwać dłużej niż 7 dni.
Po upływie tego okresu w przypadku niemożności wyjaśnienia wątpliwości, podmiot
świadczący usługi certyfikacyjne niezwłocznie unieważnia kwalifikowany certyfikat.
Certyfikat, który został zawieszony, może zostać następnie unieważniony lub jego
zawieszenie może zostać uchylone. Certyfikat, który został unieważniony, nie może
być następnie uznany za ważny.
O
unieważnieniu
lub
zawieszeniu
certyfikatu
podmiot
świadczący
usługi
certyfikacyjne zawiadamia niezwłocznie osobę składającą podpis elektroniczny
weryfikowany na jego podstawie.
Zawieszenie lub unieważnienie certyfikatu nie może następować z mocą
wsteczną.
Podmiot
świadczący usługi certyfikacyjne
publikuje
listę
zawieszonych
i
unieważnionych certyfikatów. Informacje o zawieszeniu lub unieważnieniu certyfikatu
umieszcza się na każdej liście zawieszonych i unieważnionych certyfikatów
publikowanej przed dniem upływu okresu ważności certyfikatu oraz na pierwszej
liście publikowanej po upływie tego okresu.
1.2.4.5. Udzielanie akredytacji i dokonywanie wpisu do rejestru
kwalifikowanych podmiotów świadczących usługi certyfikacyjne
Podmiot
świadczący
usługi
certyfikacyjne
lub
zamierzający
podjąć
taką
działalność może wystąpić o wpis do rejestru kwalifikowanych podmiotów
świadczących usługi certyfikacyjne.
Świadczenie usług certyfikacyjnych w charakterze kwalifikowanego podmiotu
świadczącego
usługi
certyfikacyjne
wymaga
uzyskania
wpisu
do
rejestru
kwalifikowanych podmiotów świadczących usługi certyfikacyjne i uzyskania zaświadczenia certyfikacyjnego wykorzystywanego do weryfikowania poświadczeń
elektronicznych tego podmiotu, wydanego przez ministra właściwego do spraw
gospodarki,
Wpisu do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne
dokonuje się na wniosek podmiotu, który zamierza świadczyć lub świadczy usługi
certyfikacyjne.
W przypadku braków we wniosku, minister właściwy do spraw gospodarki wzywa
wnioskodawcę do jego uzupełnienia, wyznaczając termin nie krótszy niż 7 dni.
Termin, o którym mowa, może zostać przedłużony na umotywowany wniosek
wnioskodawcy złożony przed upływem tego terminu.
Nieuzupełnienie wniosku w wyznaczonym terminie skutkuje odrzuceniem wniosku.
1.2.4.6. Nadzór nad działalnością kwalifikowanych podmiotów świadczących
usługi certyfikacyjne
Minister właściwy do spraw gospodarki sprawuje nadzór nad przestrzeganiem
przepisów ustawy przez kwalifikowane podmioty, zapewniając ochronę interesów
odbiorców usług certyfikacyjnych.
Zadanie to minister właściwy do spraw gospodarki realizuje w szczególności
poprzez:

prowadzenie
rejestru
kwalifikowanych
podmiotów świadczących
usługi
certyfikacyjne;

wydawanie i unieważnianie zaświadczeń certyfikacyjnych;

kontrolę działalności podmiotów świadczących usługi certyfikacyjne pod
względem zgodności z ustawą;

nakładanie kar przewidzianych w ustawie.
Minister właściwy do spraw gospodarki przeprowadza kontrolę:

z urzędu;

na żądanie prokuratora lub sądu, albo innych organów państwowych
upoważnionych do tego na podstawie ustaw w związku z prowadzonymi przez
nie postępowaniami w sprawach dotyczących działalności podmiotów
świadczących usługi certyfikacyjne.
1.2.5. Ustawa o ochronie baz danych6
Ochronie określonej w ustawie podlegają bazy danych, z wyłączeniem baz danych
spełniających cechy utworu określone w ustawie o ochronie praw autorskich i
pokrewnych.
W rozumieniu ustawy:

baza danych oznacza zbiór danych lub jakichkolwiek innych materiałów i
elementów zgromadzonych według określonej systematyki lub metody,
indywidualnie
dostępnych
w
jakikolwiek
sposób,
w
tym
środkami
elektronicznymi, wymagający istotnego, co do jakości lub ilości, nakładu
inwestycyjnego w celu sporządzenia, weryfikacji lub prezentacji jego
zawartości;

pobieranie danych oznacza stałe lub czasowe przejęcie lub przeniesienie
całości lub istotnej, co do jakości lub ilości, części zawartości bazy danych na
inny nośnik, bez względu na sposób lub formę tego przejęcia lub
przeniesienia, z zastrzeżeniem art. 3 tzn. wypożyczenie baz danych nie
stanowi pobierania danych lub wtórnego ich wykorzystania;

wtórne wykorzystanie oznacza publiczne udostępnienie bazy danych w
dowolnej formie, a w szczególności poprzez rozpowszechnianie, bezpośrednie
przekazywanie lub najem;

producentem bazy danych jest osoba fizyczna, prawna lub jednostka
organizacyjna nieposiadająca osobowości prawnej, która ponosi ryzyko
nakładu inwestycyjnego przy tworzeniu bazy danych.
Ilekroć w ustawie jest mowa o producencie należy przez to rozumieć także jego
następcę prawnego.
Ochrona przyznana bazom danych nie obejmuje programów komputerowych
użytych do sporządzenia baz danych lub korzystania z nich.
Z ochrony korzystają bazy danych, których:
6
Ustawa o ochronie baz danych, z dnia 27 lipca 2001 r., Dz.U. z 2001 r. Nr 128, poz. 1402

producent jest obywatelem Rzeczypospolitej Polskiej albo ma na jej
terytorium swoją siedzibę;

producent jest obywatelem państwa członkowskiego Unii Europejskiej lub ma

miejsce stałego pobytu na terytorium Wspólnoty Europejskiej;

producent jest osobą prawną założoną zgodnie z prawem państwa
członkowskiego Unii Europejskiej, posiadającą siedzibę i zakład główny
wykonywania działalności na terytorium Wspólnoty Europejskiej; jeżeli
producent posiada tylko siedzibę na terytorium Wspólnoty Europejskiej,
jego działalność musi być istotnie i trwale związana z gospodarką państwa
członkowskiego Unii Europejskiej;

ochrona wynika z umów międzynarodowych, na zasadach i w zakresie w nich
określonych;

producent jest podmiotem niewymienionym wyżej i jest przedsiębiorcą w
rozumieniu ustawy z dnia 19 listopada 1999 r. - Prawo działalności
gospodarczej (Dz.U. Nr 101, poz. 1178, z 2000 r. Nr 86, poz. 958 i Nr 114,
poz. 1193 oraz z 2001 r. Nr 49, poz. 509 i Nr 67, poz. 679).
Producentowi bazy danych przysługuje wyłączne i zbywalne prawo pobierania
danych i wtórnego ich wykorzystania w całości lub w istotnej części, co do jakości lub
ilości.
Producent bazy danych udostępnionej publicznie w jakikolwiek sposób nie może
zabronić użytkownikowi korzystającemu zgodnie z prawem z takiej bazy danych,
pobierania lub wtórnego wykorzystania w jakimkolwiek celu nieistotnej, co do jakości
lub ilości, części jej zawartości.
Jeżeli użytkownik korzystający zgodnie z prawem z bazy danych jest uprawniony
do pobierania lub wtórnego wykorzystania jedynie części bazy danych, do której
został uprawniony.
Korzystanie z baz danych nie może naruszać normalnego korzystania z baz
danych lub godzić w słuszne interesy producenta baz danych.
Wolno korzystać z istotnej, co do jakości lub ilości, części rozpowszechnionej
bazy danych:

do własnego użytku osobistego, ale tylko z zawartości nieelektronicznej bazy
danych;

w charakterze ilustracji, w celach dydaktycznych lub badawczych, ze
wskazaniem źródła, jeżeli takie korzystanie jest uzasadnione niekomercyjnym
celem, dla którego wykorzystano bazę;

do celów bezpieczeństwa wewnętrznego, postępowania sądowego lub
administracyjnego.
Nie jest dozwolone powtarzające się i systematyczne pobieranie lub wtórne
wykorzystanie
sprzeczne
z
normalnym
korzystaniem
i
powodujące
nieusprawiedliwione naruszenie słusznych interesów producenta.
Pierwsza sprzedaż kopii bazy danych na terytorium Rzeczypospolitej Polskiej
przez uprawnionego lub za jego zgodą wyczerpuje prawo do kontrolowania
odsprzedaży tej kopii na tym terytorium. Pierwsza sprzedaż kopii bazy danych w
państwach członkowskich Unii Europejskiej przez uprawnionego lub za jego zgodą
wyczerpuje prawo do kontrolowania odsprzedaży tej kopii na ich terytorium.
1. Czas trwania ochrony bazy danych liczy się od jej sporządzenia przez okres
piętnastu lat następujących po roku, w którym baza danych została sporządzona.
2. Jeżeli w okresie, o którym mowa w ust. 1, baza danych została w jakikolwiek
sposób udostępniona publicznie, okres jej ochrony wygasa z upływem piętnastu lat
następujących po roku, w którym doszło do jej udostępnienia po raz pierwszy.
3. W przypadku jakiejkolwiek istotnej, zmiany treści bazy danych, co do jakości lub
ilości, w tym jej uzupełnienia, zmiany lub usunięcia jej części, mających znamiona
nowego istotnego, co do jakości lub ilości, nakładu okres jej
ochrony liczy się
odrębnie.
Producent bazy danych może żądać od osoby, która naruszyła jego prawo do
bazy danych, zaniechania naruszeń, przywrócenia stanu zgodnego z prawem i
wydania bezprawnie uzyskanej korzyści majątkowej. Producent bazy danych może
również żądać naprawienia wyrządzonej szkody na zasadach ogólnych.
1.2.6. Ustawa o świadczeniu usług drogą elektroniczną7
Ustawa określa:

7
obowiązki usługodawcy związane ze świadczeniem usług drogą elektroniczną;
Ustawa z dnia 18 lipca 2002 r. O świadczeniu usług drogą elektroniczną, Dz.U. 2002 nr 144 poz.
1204, stan prawny 2013r.

zasady wyłączania odpowiedzialności usługodawcy z tytułu świadczenia usług
drogą elektroniczną;

zasady ochrony danych osobowych osób fizycznych korzystających z usług
świadczonych drogą elektroniczną.
Przepisów ustawy nie stosuje się do:

rozpowszechniania lub rozprowadzania programów radiowych lub programów
telewizyjnych i związanych z nimi przekazów tekstowych w rozumieniu ustawy
z dnia 29 grudnia 1992 r. o radiofonii i telewizji (Dz. U. z 2011 r. Nr 43, poz.
226 i Nr 85, poz. 459), z wyłączeniem programów rozpowszechnianych
wyłącznie w systemie teleinformatycznym;

używania poczty elektronicznej lub innego równorzędnego środka komunikacji
elektronicznej między osobami fizycznymi, w celach osobistych niezwiązanych
z prowadzoną przez te osoby, chociażby ubocznie, działalnością zarobkową
lub wykonywanym przez nie zawodem;

świadczenia
przez
przedsiębiorcę
telekomunikacyjnego
usług
telekomunikacyjnych, z niektórymi wyłączeniami;

świadczenia usług drogą elektroniczną, jeżeli odbywa się ono w ramach
struktury organizacyjnej usługodawcy, przy czym usługa świadczona drogą
elektroniczną
służy
wyłącznie
do
kierowania
pracą
lub
procesami
gospodarczymi tego podmiotu.
Świadczenie usług drogą elektroniczną podlega prawu państwa członkowskiego
Unii Europejskiej oraz Europejskiego Porozumienia o Wolnym Handlu (EFTA) –
strony umowy o Europejskim Obszarze Gospodarczym, na którego terytorium
usługodawca ma miejsce zamieszkania lub siedzibę.
Przepisu nie stosuje się do:

ochrony praw autorskich i praw pokrewnych w rozumieniu ustawy z dnia 4
lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz. U. z 2006 r. Nr
90, poz. 631, z późn. zm.2)), baz danych w rozumieniu ustawy z dnia 27 lipca
2001 r. o ochronie baz danych (Dz. U. Nr 128, poz. 1402, z 2004 r. Nr 96, poz.
959 oraz z 2007 r. Nr 99, poz. 662 i Nr 176, poz. 1238) oraz własności
przemysłowej w rozumieniu ustawy z dnia 30 czerwca 2000 r. – Prawo
własności przemysłowej (Dz. U. z 2003 r. Nr 119, poz. 1117, z późn. zm.3));

emisji pieniądza elektronicznego przez instytucje, o których mowa w art. 50
ustawy z dnia 12 września 2002 r. o elektronicznych instrumentach
płatniczych (Dz. U. Nr 169, poz. 1385, z późn. zm.4)),

wykonywania
na
terytorium
Rzeczypospolitej
Polskiej
działalności
ubezpieczeniowej przez zagraniczny zakład ubezpieczeń, o którym mowa w
art. 128 ust. 1 ustawy z dnia 22 maja 2003 r. o działalności ubezpieczeniowej
(Dz. U. Nr 124, poz. 1151, z późn. zm.5));

udostępniania na terytorium Rzeczypospolitej Polskiej informacji reklamowych
przez fundusz zagraniczny, o którym mowa w art. 2 pkt 9 ustawy z dnia 27
maja 2004 r. o funduszach inwestycyjnych (Dz. U. Nr 146, poz. 1546, z późn.
zm.6));

umów z udziałem konsumentów – w zakresie, w jakim ochronę praw
konsumentów zapewniają przepisy odrębne;

warunków
dopuszczalności
przesyłania
niezamówionych
informacji
handlowych za pośrednictwem poczty elektronicznej.
Przepis nie skutkuje również wyłączeniem swobody stron w zakresie wyboru
prawa właściwego dla zobowiązań umownych, oraz wyłączeniem stosowania
przepisów o formie czynności prawnych ustanawiających lub przenoszących prawa
rzeczowe na nieruchomościach, które obowiązują w państwie, w którym znajduje się
nieruchomość.
Świadczenie usług drogą elektroniczną w zakresie gier hazardowych podlega
prawu polskiemu, w przypadku gdy gra hazardowa jest urządzana na terytorium
Rzeczypospolitej
Polskiej
lub
usługobiorca
uczestniczy
na
terytorium
Rzeczypospolitej Polskiej w grze hazardowej, lub usługa jest kierowana do
usługobiorców na terytorium Rzeczypospolitej Polskiej, w szczególności dostępne
jest korzystanie z niej w języku polskim lub jest reklamowana na terytorium
Rzeczypospolitej Polskiej.
Na zasadach określonych przez przepisy odrębne swoboda świadczenia usług
drogą elektroniczną może zostać ograniczona, jeżeli jest to niezbędne ze względu na
ochronę
zdrowia,
obronność,
bezpieczeństwo
państwa
lub
bezpieczeństwo
publiczne.
Zadania polegające na współpracy z państwami członkowskimi Unii Europejskiej
oraz Europejskiego Porozumienia o Wolnym Handlu (EFTA) – stronami umowy o
Europejskim Obszarze Gospodarczym w zakresie świadczenia usług drogą
elektroniczną
wykonują
jednostki
organizacyjne
–
punkty
kontaktowe
dla
administracji.
Zadania polegające na:

umożliwieniu usługodawcom i usługobiorcom otrzymywania informacji
ogólnych na temat ich praw i obowiązków, jak również na temat procedur
reklamacyjnych oraz naprawiania szkody w przypadku sporów, łącznie z
informacjami
na
temat
praktycznych
aspektów
związanych
z
wykorzystaniem tych procedur,

umożliwieniu
usługodawcom
i
usługobiorcom
uzyskiwania
danych
szczegó-łowych dotyczących władz, stowarzyszeń lub organizacji, od
których mogą oni otrzymać dalsze informacje lub praktyczną pomoc
– wykonują jednostki organizacyjne – punkty kontaktowe dla usługodawców i
usługobiorców.
Punkty kontaktowe, o których mowa wyżej tworzy, w drodze rozporządzenia,
minister właściwy do spraw gospodarki w porozumieniu z ministrem właściwym do
spraw informatyzacji.
Rozporządzenie, o którym wyżej, określa w szczególności:

liczbę i rodzaj punktów kontaktowych oraz ich szczegółowy zakres zadań,

warunki techniczne i organizacyjne punktu kontaktowego
– uwzględniając potrzebę zapewnienia właściwej realizacji zadań punktów kontaktowych.
Jeżeli ustawa wymaga uzyskania zgody usługobiorcy to zgoda ta nie może być
domniemana lub dorozumiana z oświadczenia woli o innej treści,
Usługodawca wykazuje uzyskanie zgody, o której mowa wcześniej, dla celów
dowodowych.
1.2.6.1. Obowiązki usługodawcy świadczącego usługi drogą elektroniczną
1. Usługodawca podaje, w sposób wyraźny, jednoznaczny i bezpośrednio dostępny
poprzez system teleinformatyczny, którym posługuje się usługobiorca, informacje
podstawowe określone wcześniej.
2. Usługodawca podaje:
1. Adresy elektroniczne.
2. Imię, nazwisko, miejsce zamieszkania i adres albo nazwę lub firmę oraz
siedzibę i adres.
3. Jeżeli usługodawcą jest przedsiębiorca, podaje on również informacje
dotyczące właściwego zezwolenia i organu zezwalającego, w razie gdy
świadczenie usługi wymaga, na podstawie odrębnych przepisów, takiego
zezwolenia.
4. Przepis ust. 3 nie narusza obowiązku określonego w art. 21 pkt 2 ustawy z
dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz. U. Nr 173,
poz. 1807).
5. Jeżeli usługodawcą jest osoba fizyczna, której prawo do wykonywania zawodu
jest uzależnione od spełnienia określonych w odrębnych ustawach wymagań,
podaje również:

w przypadku ustanowienia pełnomocnika, jego imię, nazwisko, miejsce
zamieszkania i adres albo jego nazwę lub firmę oraz siedzibę i adres;

samorząd zawodowy, do którego należy;

tytuł zawodowy, którego używa oraz państwo, w którym został on przyznany;

numer w rejestrze publicznym, do którego jest wpisany wraz ze wskazaniem
nazwy rejestru i organu prowadzącego rejestr;

informację o istnieniu właściwych dla danego zawodu zasad etyki zawodowej
oraz o sposobie dostępu do tych zasad.
Usługodawca jest obowiązany zapewnić usługobiorcy dostęp do aktualnej informacji
o:

szczególnych zagrożeniach związanych z korzystaniem z usługi świadczonej
drogą elektroniczną,

funkcji i celu oprogramowania lub danych niebędących składnikiem treści
usługi, wprowadzanych przez usługodawcę do systemu teleinformatycznego,
którym posługuje się usługobiorca.
Usługodawca
zapewnia
działanie
systemu
teleinformatycznego,
którym
się
posługuje, umożliwiając nieodpłatnie usługobiorcy:
1. W razie, gdy wymaga tego właściwość usługi:

korzystanie przez usługobiorcę z usługi świadczonej drogą elektroniczną, w
sposób uniemożliwiający dostęp osób nieuprawnionych do treści przekazu
składającego się na tę usługę, w szczególności przy wykorzystaniu technik
kryptograficznych odpowiednich dla właściwości świadczonej usługi;

jednoznaczną identyfikację stron usługi świadczonej drogą elektroniczną oraz
potwierdzenie faktu złożenia oświadczeń woli i ich treści, niezbędnych do
zawarcia
drogą
elektroniczną
umowy
o
świadczenie
tej
usługi,
w
szczególności przy wykorzystaniu bezpiecznego podpisu elektronicznego w
rozumieniu ustawy z dnia 18 września 2001 r. o podpisie elektronicznym (Dz.
U. Nr 130, poz. 1450),

zakończenie, w każdej chwili, korzystania z usługi świadczonej drogą
elektroniczną.
Usługodawca:

określa regulamin świadczenia usług drogą elektroniczną, zwany dalej
„regulaminem”;

nieodpłatnie udostępnia usługobiorcy regulamin przed zawarciem umowy o
świadczenie takich usług, a także – na jego żądanie – w taki sposób, który
umożliwia pozyskanie, odtwarzanie i utrwalanie treści regulaminu za pomocą
systemu teleinformatycznego, którym posługuje się usługobiorca.
Usługobiorca nie jest związany tymi postanowieniami regulaminu, które nie zostały
mu udostępnione w sposób, o którym była mowa wcześniej.
Regulamin określa w szczególności:
1. Rodzaje i zakres usług świadczonych drogą elektroniczną.
2. Warunki świadczenia usług drogą elektroniczną, w tym:

wymagania
techniczne
niezbędne
do
współpracy
z
systemem
teleinformatycznym, którym posługuje się usługodawca;

zakaz dostarczania przez usługobiorcę treści o charakterze bezprawnym.
3. Warunki zawierania i rozwiązywania umów o świadczenie usług drogą
elektroniczną.
4. Tryb postępowania reklamacyjnego.
Usługodawca świadczy usługi drogą elektroniczną zgodnie z regulaminem.
1. Informacja handlowa jest wyraźnie wyodrębniana i oznaczana w sposób
niebudzący wątpliwości, że jest to informacja handlowa.
2. Informacja handlowa zawiera:

oznaczenie podmiotu, na którego zlecenie jest ona rozpowszechniana, oraz
jego adresy elektroniczne;

wyraźny opis form działalności promocyjnej, w szczególności obniżek cen,
nieodpłatnych świadczeń pieniężnych lub rzeczowych i innych korzyści;
wszelkie informacje, które mogą mieć wpływ na określenie zakresu
odpowiedzialności stron, w szczególności ostrzeżenia i zastrzeżenia.
Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do
oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji
elektronicznej, w szczególności poczty elektronicznej.
Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na
otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący
go adres elektroniczny.
Działanie, o którym mowa w ust. 1, stanowi czyn nieuczciwej konkurencji w
rozumieniu przepisów ustawy, o której mowa w art. 9 ust. 3 pkt 1.
1.2.6.2. Wyłączenie odpowiedzialności usługodawcy z tytułu świadczenia usług
drogą elektroniczną
Usługodawca, który świadczy usługi drogą elektroniczną obejmujące transmisję w
sieci telekomunikacyjnej danych przekazywanych przez odbiorcę usługi lub
zapewnienie dostępu do sieci telekomunikacyjnej w rozumieniu ustawy z dnia 16
lipca 2004 r. – Prawo telekomunikacyjne, nie ponosi odpowiedzialności za treść tych
danych, jeżeli:

nie jest inicjatorem przekazu danych;

nie wybiera odbiorcy przekazu danych;

nie wybiera oraz nie modyfikuje informacji zawartych w przekazie.
Wyłączenie
odpowiedzialności,
o
którym
mowa
wyżej,
obejmuje
także
automatyczne i krótkotrwałe pośrednie przechowywanie transmitowanych danych,
jeżeli działanie to ma wyłącznie na celu przeprowadzenie transmisji, a dane nie są
przechowywane dłużej, niż jest to w zwykłych warunkach konieczne dla
zrealizowania transmisji.
Nie ponosi odpowiedzialności za przechowywane dane ten, kto transmitując dane
oraz zapewniając automatyczne i krótkotrwałe pośrednie przechowywanie tych
danych w celu przyspieszenia ponownego dostępu do nich na żądanie innego
podmiotu:

nie modyfikuje danych;

posługuje się uznanymi i stosowanymi zwykle w tego rodzaju działalności
technikami informatycznymi określającymi parametry techniczne dostępu do
danych i ich aktualizowania;

nie zakłóca posługiwania się technikami informatycznymi uznany-mi i
stosowanymi zwykle w tego rodzaju działalności w zakresie zbierania
informacji o korzystaniu ze zgromadzonych danych.
Nie ponosi odpowiedzialności za przechowywane dane ten, kto niezwłocznie
usunie dane albo uniemożliwi dostęp do przechowywanych danych, gdy uzyska
wiadomość, że dane zostały usunięte z początkowego źródła transmisji lub dostęp do
nich został uniemożliwiony, albo gdy sąd lub inny właściwy organ nakazał usunięcie
danych lub uniemożliwienie do nich dostępu.
Nie ponosi odpowiedzialności za przechowywane dane ten, kto udostępniając
zasoby systemu teleinformatycznego w celu przechowywania danych przez
usługobiorcę, nie wie o bezprawnym charakterze danych lub związanej z nimi
działalności, a w razie otrzymania urzędowego zawiadomienia lub uzyskania wiarygodnej wiadomości o bezprawnym charakterze danych lub związanej z nimi
działalności niezwłocznie uniemożliwi dostęp do tych danych.
Usługodawca, który otrzymał urzędowe zawiadomienie o bezprawnym charakterze
przechowywanych danych dostarczonych przez usługobiorcę i uniemożliwił dostęp
do tych danych, nie ponosi odpowiedzialności względem tego usługobiorcy za
szkodę powstałą w wyniku uniemożliwienia dostępu do tych danych.
Usługodawca, który uzyskał wiarygodną wiadomość o bezprawnym charakterze
przechowywanych danych dostarczonych przez usługobiorcę i uniemożliwił dostęp
do tych danych, nie odpowiada względem tego usługobiorcy za szkodę powstałą w
wyniku uniemożliwienia dostępu do tych danych, jeżeli niezwłocznie zawiadomił
usługobiorcę o zamiarze uniemożliwienia do nich dostępu.
1.2.6.3. Zasady ochrony danych osobowych w związku ze świadczeniem usług
drogą elektroniczną
1. Do przetwarzania danych osobowych w rozumieniu ustawy z dnia 29 sierpnia
1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926), w związku
ze świadczeniem usług drogą elektroniczną, stosuje się przepisy tej ustawy, o ile
przepisy niniejszego rozdziału nie stanowią inaczej.
2. Dane osobowe podlegają ochronie przewidzianej w niniejszym rozdziale w zakresie ich przetwarzania niezależnie od tego, czy jest ono dokonywane w zbiorach
danych.
Dane osobowe usługobiorcy mogą być przetwarzane przez usługodawcę w celu i
zakresie określonym w niniejszej ustawie.
1. Usługodawca może przetwarzać następujące dane osobowe usługobiorcy niezbędne do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku
prawnego między nimi:

nazwisko i imiona usługobiorcy;

numer ewidencyjny PESEL lub – gdy ten numer nie został nadany – numer
paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość;

adres zameldowania na pobyt stały;

adres do korespondencji, jeżeli jest inny niż adres zameldowania;

dane służące do weryfikacji podpisu elektronicznego usługobiorcy;

adresy elektroniczne usługobiorcy.
2. W celu realizacji umów lub dokonania innej czynności prawnej z usługobiorcą,
usługodawca może przetwarzać inne dane niezbędne ze względu na właściwość
świadczonej usługi lub sposób jej rozliczenia.
3. Usługodawca wyróżnia i oznacza te spośród danych, o których mowa w ust. 2,
jako dane, których podanie jest niezbędne do świadczenia usługi drogą
elektroniczną.
4. Usługodawca może przetwarzać, za zgodą usługobiorcy, inne dane dotyczące
usługobiorcy, które nie są niezbędne do świadczenia usługi drogą elektroniczną.
5. Usługodawca może przetwarzać następujące dane charakteryzujące sposób
korzystania przez usługobiorcę z usługi świadczonej drogą elektroniczną (dane
eksploatacyjne):

oznaczenia identyfikujące usługobiorcę;

oznaczenia identyfikujące zakończenie sieci telekomunikacyjnej lub
system teleinformatyczny, z którego korzystał usługobiorca;

informacje o rozpoczęciu, zakończeniu oraz zakresie każdorazowego
korzy-stania z usługi świadczonej drogą elektroniczną;

informacje o skorzystaniu przez usługobiorcę z usług świadczonych
drogą elektroniczną.
6. Usługodawca udziela informacji o danych, o których mowa wyżej, organom
państwa na potrzeby prowadzonych przez nie postępowań.
Usługodawca nie może przetwarzać danych osobowych usługobiorcy po
zakończeniu korzystania z usługi świadczonej drogą elektroniczną.
Po
zakończeniu
korzystania
z
usługi
świadczonej
drogą
elektroniczną
usługodawca może przetwarzać tylko te które są:

niezbędne do rozliczenia usługi oraz dochodzenia roszczeń z tytułu płatności
za korzystanie z usługi;

niezbędne do celów reklamy, badania rynku oraz zachowań i preferencji
usługobiorców
z
przeznaczeniem
wyników
tych
badań
na
potrzeby
polepszenia jakości usług świadczonych przez usługodawcę, za zgodą
usługobiorcy;

niezbędne do wyjaśnienia okoliczności niedozwolonego korzystania z usługi;

dopuszczone do przetwarzania na podstawie odrębnych ustaw lub umowy.
Rozliczenie usługi świadczonej drogą elektroniczną przedstawione usługobiorcy
nie może ujawniać rodzaju, czasu trwania, częstotliwości i innych parametrów
technicznych poszczególnych usług, z których skorzystał usługobiorca, chyba że
zażądał on szczegółowych informacji w tym zakresie.
Dopuszcza się zestawianie danych dotyczących korzystania przez usługobiorcę z
różnych usług świadczonych drogą elektroniczną, pod warunkiem usunięcia
wszelkich
oznaczeń
identyfikujących
usługobiorcę
lub
zakończenie
sieci
telekomunikacyjnej albo system teleinformatyczny, z którego korzystał (anonimizacja
danych), chyba że usługobiorca wyraził uprzednio zgodę na nieusuwanie tych
oznaczeń.
Usługodawca nie może zestawiać danych osobowych usługobiorcy z przybranym
przez niego pseudonimem.
Usługodawca, który przetwarza dane osobowe usługobiorcy, jest obowiązany
zapewnić usługobiorcy dostęp do aktualnej informacji o:

możliwości korzystania z usługi świadczonej drogą elektroniczną anonimowo
lub z wykorzystaniem pseudonimu;

udostępnianych przez usługodawcę środkach technicznych zapobiegających
pozyskiwaniu
i
modyfikowaniu
przez
osoby
nieuprawnione,
danych
osobowych przesyłanych drogą elektroniczną;

podmiocie, któremu powierza przetwarzanie danych, ich zakresie i
zamierzonym terminie przekazania, jeżeli usługodawca zawarł z tym
podmiotem umowę o powierzenie do przetwarzania danych.
Informacje, o których mowa wyżej, powinny być dla usługobiorcy stale i łatwo
dostępne za pomocą systemu teleinformatycznego, którym się posługuje.
W przypadku uzyskania przez usługodawcę wiadomości o korzystaniu przez
usługobiorcę z usługi świadczonej drogą elektroniczną niezgodnie z regulaminem lub
z obowiązującymi przepisami (niedozwolone korzystanie), usługodawca może
przetwarzać dane osobowe usługobiorcy w zakresie niezbędnym do ustalenia
odpowiedzialności usługobiorcy, pod warunkiem że utrwali dla celów dowodowych
fakt uzyskania oraz treść tych wiadomości.
Usługodawca może powiadomić usługobiorcę o jego nieuprawnionych działaniach
z żądaniem ich niezwłocznego zaprzestania.
Odmowa świadczenia usługi drogą elektroniczną z powodu nieudostępnienia
przez usługobiorcę wymaganych danych jest dopuszczalna tylko wtedy, gdy
przetwarzanie tych danych jest niezbędne ze względu na sposób funkcjonowania
systemu
teleinformatycznego
zapewniającego
świadczenie
usługi
drogą
elektroniczną lub właściwość usługi albo wynika z odrębnych ustaw.
Usługodawca umożliwia usługobiorcy korzystanie z usługi lub uiszczanie opłat za
nią, jeżeli usługa świadczona drogą elektroniczną jest odpłatna, w sposób
anonimowy albo przy użyciu pseudonimu, o ile jest to technicznie możliwe oraz
zwyczajowo przyjęte.
1.3. Dokumenty wykonawcze

Rozporządzenie Prezesa Rady Ministrów:
 z dnia 20 lipca 2011 r. w sprawie wzoru świadectwa akredytacji
bezpieczeństwa systemu teleinformatycznego (Dz. U.11.156.926);
 z
dnia
20
lipca
2011
r.
w
sprawie
podstawowych
bezpieczeństwa teleinformatycznego (Dz. U.11.159.948);
wymagań
 z dnia 20 lipca 2011 r. w sprawie opłat za przeprowadzenie przez Agencję
Bezpieczeństwa Wewnętrznego albo Służbę Kontrwywiadu Wojskowego
czynności z zakresu bezpieczeństwa teleinformatycznego (Dz. U.
11.159.949);
 z dnia 7 grudnia 2011 r. w sprawie nadawania, przyjmowania,
przewożenia, wydawania i ochrony materiałów zawierających informacje
niejawne (Dz. U.11.271.1603);
 z dnia 22 grudnia 2011 r. w sprawie sposobu oznaczania materiałów
i umieszczania na nich klauzul tajności (Dz. U. 11.288.1692);

Rozporządzenia MON:
 z dnia 19 grudnia 2013 r. w sprawie szczegółowych zadań pełnomocników
ochrony w zakresie ochrony informacji niejawnych w jednostkach
organizacyjnych podległych Ministrowi Obrony Narodowej lub przez niego
nadzorowanych;

Zarządzenia MON:
 Nr 57 z dnia 16 grudnia 2011 r. w sprawie szczególnego sposobu
organizacji i funkcjonowania kancelarii tajnych oraz innych niż
kancelaria
tajna
komórek
organizacyjnych
odpowiedzialnych
za
przetwarzanie informacji niejawnych, sposobu i trybu przetwarzania
informacji
niejawnych
oraz
doboru
i
stosowania
środków
bezpieczeństwa fizycznego;
 nr 46 z dnia 24 grudnia 2013 r. w sprawie szczególnego sposobu
organizacji i funkcjonowania kancelarii kryptograficznych;

Decyzje MON:
 Nr 153 z dnia 21 kwietnia 2011 r. w sprawie uchylenia decyzji w
sprawie trybu akredytacji bezpieczeństwa fizycznego i technicznego
pomieszczeń specjalnych (Dz. U. MON 11.9.124);
 nr 61/MON z dnia 5 marca 2012 r. w sprawie sprawowania nadzoru
nad ochroną informacji niejawnych w jednostkach organizacyjnych
podległych
Ministrowi
Obrony
Narodowej
lub
przez
niego
nadzorowanych oraz w komórkach organizacyjnych Ministerstwa
Obrony Narodowej;
 nr 290 z dnia 29 lipca 2011 r. w sprawie przeglądu materiałów
zawierających informacje niejawne;
 nr 363 z dnia 28 września 2011 r. w sprawie wprowadzania do użytku
,,Wytycznych
MON
w sprawie
określania
zasad
postępowania
z materiałami zawierającymi informacje niejawne oznaczone klauzulą
,,poufne’’ i ,,zastrzeżone’’ (Dz. U. MON 11.20.302);
 nr 378 z dnia 12 października 2011 r. w sprawie wprowadzenia do
użytku w MON ,, Instrukcji kancelaryjnej MON’’;
 nr 381 z dnia 17 października 2011 r. w sprawie ewidencji osób
posiadających uprawnienia do dostępu do informacji niejawnych
w MON (Dz. Urz. MON 11.21.319);

Dokumenty wydane przez Służbę Kontrwywiadu Wojskowego :
 Zalecenia w zakresie bezpieczeństwa teleinformatycznego DBBT-801
B;
 Przykłady dokumentacji wstępnego szacowania ryzyka DBBT 811.3;
 Zalecenia w zakresie ochrony fizycznej i technicznej pomieszczeń
systemów i sieci teleinformatycznych DBBT 301 C;
 ustawienia
zabezpieczeń
Windows
NT
4.0
w
systemach
przetwarzających informacje niejawne. DBBT-802A;
 zalecenia
w
sprawie
instalacji
urządzeń
przeznaczonych
do
przetwarzania informacji niejawnych. DBPO-701B;
 zalecenia w zakresie certyfikacji urządzeń i narzędzi kryptograficznych
będących rozwiązaniem sprzętowym (elektronicznym), programowym
lub sprzętowo-programowym oraz urządzeń służącym do składania
i weryfikacji podpisu elektronicznego. DBBT-901A;
 wymagania Służb Ochrony Państwa na dokumentację do certyfikacji
urządzeń kryptograficznych przeznaczonych do ochrony informacji
niejawnych;

Normy
określające
wymagania
z zakresu
bezpieczeństwa
teleinformatycznego:
 PN-ISO/IEC 17799:2007 Technika
informatyczna.
Techniki
bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem
informacji;
 PN-ISO/IEC 15408-1:2002
Technika
informatyczna.
Techniki
zabezpieczeń. Kryteria oceny zabezpieczeń informatycznych. Część 1:
Wprowadzenie i model ogólny;
 PN-ISO/IEC 15408-3:2002
Technika
informatyczna.
Techniki
zabezpieczeń. Kryteria oceny zabezpieczeń informatycznych. Część 3:
Wymagania uzasadnienia zaufania do zabezpieczeń;
 PN-I-13335-1:1999
Technika
informatyczna.
Wytyczne
do zarządzania bezpieczeństwem systemów informatycznych. Pojęcia
i modele bezpieczeństwa systemów informatycznych;
 PN-ISO/IEC 27001:2007 Technika
informatyczna.
Techniki
bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji.
Wymagania;
 PN-T-20001-02:1992
Współdziałanie
Systemy
systemów
otwartych
przetwarzania
(OSI).
informacji.
Podstawowy
Model
Odniesienia. Architektura zabezpieczeń.;

Dokumenty NATO:
 Procedury w zakresie zabezpieczenia, ewidencji oraz zaopatrywania
w środki i materiały kryptograficzne. Dyrektywa bezpieczeństwa –
AD-90-9 PL;
 Zasady
rejestracji
AMSG-293 PL.
i
dystrybucji
w
dziedzinie
kryptografii
–