Akty normatywne dotyczące bezpieczeństwa informacyjnego
Transkrypt
Akty normatywne dotyczące bezpieczeństwa informacyjnego
1.2. Podstawowe akty normatywne z zakresu bezpieczeństwa informacyjnego Ustawa z dnia 5 sierpnia 2010r. o ochronie informacji niejawnej, Dz.U.2010.182.1228; Ustawa z dn. 29.08.97 o ochronie danych osobowych, Dz. U. z dn. 29.10.97 (znowelizowana ustawą z dn. 25.08.2001, stan prawny 2013r.); Ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej. Dz.U. 2001 nr 112 poz. 1198; Ustawa z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych, Dz.U. z 2006 nr 90 poz. 631, brzmienie od 21 października 2010; Ustawa z dn. 18.09.2001 „o podpisie elektronicznym” Dz.U. Nr 130, poz.1450 (wejście w życie 16.08.2002); Ustawa z dn. 27.07.2001 „o ochronie baz danych” Dz.U. Nr 128, poz.1402 (wejście w życie 9.11.2002); Ustawa z dn.18.07.2002 „o świadczeniu usług drogą elektroniczną”. Dz.U.Nr 144, poz. 1204. Zapisy każdej z wymienionych ustaw zostały przytoczone poniżej wraz z krótkim omówieniem. W opracowaniu pominięto aspekty prawne związane z zagrożeniami karnymi wynikającymi z nieprzestrzegania postanowień przepisów ustawowych. 1.2.1. Ustawa o ochronie informacji niejawnej1 Ustawa o ochronie informacji niejawnej, określa zasady ochrony informacji, których nieuprawnione ujawnienie spowodowałoby lub mogłoby spowodować szkody dla Rzeczypospolitej Polskiej albo byłoby z punktu widzenia jej interesów niekorzystne, także w trakcie ich opracowywania oraz niezależnie od formy i sposobu ich wyrażania, zwanych dalej "informacjami niejawnymi", to jest zasady: klasyfikowania informacji niejawnych; organizowania ochrony informacji niejawnych; przetwarzania informacji niejawnych; postępowania sprawdzającego prowadzonego w celu ustalenia, czy osoba nim objęta daje rękojmię zachowania tajemnicy, zwanego dalej odpowiednio "postępowaniem sprawdzającym" lub "kontrolnym postępowaniem sprawdzającym"; 1 Ustawa z dnia 5 sierpnia 2010r. o ochronie informacji niejawnej, Dz.U.2010.182.1228 postępowania prowadzonego w celu ustalenia, czy przedsiębiorca nim objęty zapewnia warunki do ochrony informacji niejawnych, zwanego dalej "postępowaniem bezpieczeństwa przemysłowego"; organizacji kontroli stanu zabezpieczenia informacji niejawnych; ochrony informacji niejawnych w systemach teleinformatycznych; stosowania środków bezpieczeństwa fizycznego w odniesieniu do informacji niejawnych. 1.2.1.1. Zastosowanie przepisów ustawy Przepisy ustawy mają zastosowanie w stosunku do osób których zakres obowiązków wymaga takiego stanu rzeczy i są pracownikami: 1) organów władzy publicznej, w szczególności: a) Sejmu i Senatu; b) Prezydenta Rzeczypospolitej Polskiej; c) organów administracji rządowej; d) organów jednostek samorządu terytorialnego, a także innych podległych im jednostek organizacyjnych lub przez nie nadzorowanych; e) sądów i trybunałów; f) organów kontroli państwowej i ochrony prawa; 2) jednostek organizacyjnych podległych Ministrowi Obrony Narodowej lub przez niego nadzorowanych; 3) Narodowego Banku Polskiego; 4) państwowych osób prawnych i innych niż wymienione w pkt 1-3 państwowych jednostek organizacyjnych; 5) jednostek organizacyjnych podległych organom władzy publicznej lub nadzorowanych przez te organy; 6) przedsiębiorców zamierzających ubiegać się albo ubiegających się o zawarcie umów związanych z dostępem do informacji niejawnych lub wykonujących takie umowy albo wykonujących na podstawie przepisów prawa zadania związane z dostępem do informacji niejawnych. Trzeba tu zaznaczyć, że pod wymienionymi podmiotami należy rozumieć całe zasoby ludzkie, zaangażowane do pracy w tych instytucjach, do czego niezbędny jest im dostęp do informacji niejawnych. Kwestia liczności i wskazania tychże osób leży w gestii odpowiedzialnego za funkcjonowanie danego pomiotu. 1.2.1.2. Klasyfikowanie informacji niejawnych Informacjom niejawnym nieuprawnione ujawnienie nadaje się spowoduje klauzulę "ściśle wyjątkowo tajne", poważną jeżeli szkodę ich dla Rzeczypospolitej Polskiej przez to, że: 1) zagrozi niepodległości, suwerenności lub integralności terytorialnej Rzeczypospolitej Polskiej; 2) zagrozi bezpieczeństwu wewnętrznemu lub porządkowi konstytucyjnemu Rzeczypospolitej Polskiej; 3) zagrozi sojuszom lub pozycji międzynarodowej Rzeczypospolitej Polskiej; 4) osłabi gotowość obronną Rzeczypospolitej Polskiej; 5) doprowadzi lub może doprowadzić do identyfikacji funkcjonariuszy, żołnierzy lub pracowników służb odpowiedzialnych za realizację zadań wywiadu lub kontrwywiadu, którzy wykonują czynności operacyjnorozpoznawcze, jeżeli zagrozi to bezpieczeństwu wykonywanych czynności lub może doprowadzić do identyfikacji osób udzielających im pomocy w tym zakresie; 6) zagrozi lub może zagrozić życiu lub zdrowiu funkcjonariuszy, żołnierzy lub pracowników, którzy wykonują czynności operacyjno-rozpoznawcze, lub osób udzielających im pomocy w tym zakresie; 7) zagrozi lub może zagrozić życiu lub zdrowiu świadków koronnych lub osób dla nich najbliższych albo świadków, o których mowa w art. 184 ustawy z dnia 6 czerwca 1997 r. - Kodeks postępowania karnego (Dz. U. nr 89, poz. 555, z późn. zm.), lub osób dla nich najbliższych. Informacjom niejawnym nadaje się klauzulę "tajne", jeżeli ich nieuprawnione ujawnienie spowoduje poważną szkodę dla Rzeczypospolitej Polskiej przez to, że: 1) uniemożliwi realizację zadań związanych z ochroną suwerenności lub porządku konstytucyjnego Rzeczypospolitej Polskiej; 2) pogorszy stosunki Rzeczypospolitej Polskiej z innymi państwami lub organizacjami międzynarodowymi; 3) zakłóci przygotowania obronne państwa lub funkcjonowanie Sił Zbrojnych Rzeczypospolitej Polskiej; 4) utrudni wykonywanie czynności operacyjno-rozpoznawczych prowadzonych w celu zapewnienia bezpieczeństwa państwa lub ścigania sprawców zbrodni przez służby lub instytucje do tego uprawnione; 5) w istotny sposób zakłóci funkcjonowanie organów ścigania i wymiaru sprawiedliwości; 6) przyniesie stratę znacznych rozmiarów w interesach ekonomicznych Rzeczypospolitej Polskiej. Informacjom niejawnym nadaje się klauzulę "poufne", jeżeli ich nieuprawnione ujawnienie spowoduje szkodę dla Rzeczypospolitej Polskiej przez to, że: 1) utrudni prowadzenie bieżącej polityki zagranicznej Rzeczypospolitej Polskiej; 2) utrudni realizację przedsięwzięć obronnych lub negatywnie wpłynie na zdolność bojową Sił Zbrojnych Rzeczypospolitej Polskiej; 3) zakłóci porządek publiczny lub zagrozi bezpieczeństwu obywateli; 4) utrudni wykonywanie zadań służbom lub instytucjom odpowiedzialnym za ochronę bezpieczeństwa lub podstawowych interesów Rzeczypospolitej Polskiej; 5) utrudni wykonywanie zadań służbom lub instytucjom odpowiedzialnym za ochronę porządku publicznego, bezpieczeństwa obywateli lub ściganie sprawców przestępstw i przestępstw skarbowych oraz organom wymiaru sprawiedliwości; 6) zagrozi stabilności systemu finansowego Rzeczypospolitej Polskiej; 7) wpłynie niekorzystnie na funkcjonowanie gospodarki narodowej. Informacjom niejawnym nadaje się klauzulę "zastrzeżone", jeżeli nie nadano im wyższej klauzuli tajności, a ich nieuprawnione ujawnienie może mieć szkodliwy wpływ na wykonywanie przez organy władzy publicznej lub inne jednostki organizacyjne zadań w zakresie obrony narodowej, polityki zagranicznej, bezpieczeństwa publicznego, przestrzegania praw i wolności obywateli, wymiaru sprawiedliwości albo interesów ekonomicznych Rzeczypospolitej Polskiej. Informacje niejawne przekazane przez organizacje międzynarodowe lub inne państwa na podstawie umów międzynarodowych oznacza się polskim odpowiednikiem posiadanej klauzuli tajności. Klauzulę tajności nadaje osoba, która jest uprawniona do podpisania dokumentu lub oznaczenia innego niż dokument materiału. Oznacza to, że wykonawca dokumentu może jedynie proponować poziom niejawności jaki należy nadać wytwarzanemu przez niego dokumentowi i nie może on być wyższy niż przyznany mu w poświadczeniu bezpieczeństwa. Zniesienie lub zmiana klauzuli tajności są możliwe wyłącznie po wyrażeniu pisemnej zgody przez osobę która ją nadała, albo jej przełożonego w przypadku ustania lub zmiany ustawowych przesłanek ochrony. Kierownicy jednostek organizacyjnych przeprowadzają nie rzadziej niż raz na 5 lat przegląd materiałów w celu ustalenia, czy spełniają ustawowe przesłanki ochrony. W zdecydowanej ilości przypadków wiąże się to z obniżeniem poziomu klauzuli niejawności i nierzadko z odtajnieniem dokumentów. Pisemną zgodę na wykonanie powyższych czynności, w przypadku informacji niejawnych o klauzuli "ściśle tajne", wyraża kierownik jednostki organizacyjnej, w której materiałowi została nadana ta klauzula tajności. Po zniesieniu lub zmianie klauzuli tajności podejmuje się czynności polegające na naniesieniu odpowiednich zmian w oznaczeniu materiału i poinformowaniu o nich odbiorców. Odbiorcy materiału, którzy przekazali go kolejnym odbiorcom, są odpowiedzialni za poinformowanie ich o zniesieniu lub zmianie klauzuli tajności. Uprawnienia w zakresie zniesienia lub zmiany klauzuli tajności materiału przechodzą, w przypadku rozwiązania, zniesienia, likwidacji, upadłości obejmującej likwidację majątku upadłego, przekształcenia lub reorganizacji jednostki organizacyjnej, na jej następcę prawnego. W razie braku następcy prawnego uprawnienia w tym zakresie przechodzą na Agencję Bezpieczeństwa Wewnętrznego (ABW), lub Służbę Kontrwywiadu Wojskowego (SKW). Poszczególne części materiału mogą być oznaczone różnymi klauzulami tajności. W przypadku kiedy taki zróżnicowany dokument będzie przesyłany, to pismu przewodniemu nadaje się klauzulę równą z najwyższą klauzulą części zawartej w tym dokumencie. Po dotarciu do adresata i odłączeniu dokumentu merytorycznego, pismo przewodnie staje się jawne. Informacje niejawne, którym nadano określoną klauzulę tajności mogą być udostępnione wyłącznie osobie uprawnionej, zgodnie z przepisami ustawy dotyczącymi dostępu do określonej klauzuli tajności. Jest to jednak warunek podstawowy ale niewystarczający, bowiem oprócz posiadania odpowiedniego poświadczenia bezpieczeństwa, uprawnienie to wiąże się z koniecznością korzystania z konkretnego dokumentu w celu realizacji zadań pracowniczych stałych lub zleconych przez kierownika podmiotu. Dokumenty te muszą być przetwarzane w warunkach uniemożliwiających ich nieuprawnione ujawnienie, zgodnie z przepisami określającymi wymagania dotyczące kancelarii tajnych, bezpieczeństwa systemów teleinformatycznych, obiegu materiałów i fizycznych środków bezpieczeństwa, odpowiednich do nadanej klauzuli tajności. Odbiorca materiału, w przypadku stwierdzenia zawyżenia lub zaniżenia klauzuli tajności, może zwrócić się do osoby, która ją nadała, albo przełożonego tej osoby z wnioskiem o dokonanie stosownej zmiany. W przypadku odmowy dokonania zmiany lub nieudzielenia odpowiedzi w ciągu 30 dni od daty złożenia wniosku odbiorca materiału może zwrócić się odpowiednio do ABW lub SKW o rozstrzygnięcie sporu, który powinien być rozstrzygnięty w terminie 30 dni od daty złożenia wniosku. 1.2.1.3. Organizacja ochrony informacji niejawnych ABW i SKW, nadzorując funkcjonowanie systemu ochrony informacji niejawnych w jednostkach organizacyjnych pozostających w ich właściwości prowadzą kontrolę ochrony informacji niejawnych i przestrzegania przepisów obowiązujących w tym realizują zakresie, zadania w zakresie bezpieczeństwa systemów teleinformatycznych, prowadzą postępowania sprawdzające, kontrolne postępowania sprawdzające oraz postępowania bezpieczeństwa przemysłowego, a także zapewniają ochronę informacji niejawnych wymienianych między RP a innymi państwami lub organizacjami międzynarodowymi. Ponadto zajmują się prowadzeniem doradztwa i szkoleniami w zakresie ochrony informacji niejawnych. SKW realizuje zadania w odniesieniu do: 1) Ministerstwa Obrony Narodowej oraz jednostek organizacyjnych podległych Ministrowi Obrony Narodowej lub przez niego nadzorowanych; 2) ataszatów obrony w placówkach zagranicznych; 3) żołnierzy w służbie czynnej wyznaczonych na stanowiska służbowe w innych jednostkach organizacyjnych niż wymienione w pkt 1 i 2. ABW realizuje zadania w odniesieniu do jednostek organizacyjnych i osób podlegających ustawie, niewymienionych w ust. 2. Szef ABW pełni funkcję krajowej władzy bezpieczeństwa. Krajowa władza bezpieczeństwa jest właściwa do nadzorowania systemu ochrony informacji niejawnych w stosunkach RP z innymi państwami lub organizacjami międzynarodowymi i wydawania dokumentów upoważniających do dostępu do informacji niejawnych Organizacji Traktatu Północnoatlantyckiego, zwanej dalej "NATO", Unii Europejskiej lub innych organizacji międzynarodowych, zwanych dalej "informacjami niejawnymi międzynarodowymi". W zakresie niezbędnym do kontroli stanu zabezpieczenia informacji niejawnych, upoważnieni pisemnie funkcjonariusze ABW albo funkcjonariusze lub żołnierze SKW mają prawo do: 1) wstępu do obiektów i pomieszczeń jednostki kontrolowanej, gdzie informacje takie są przetwarzane; 2) wglądu do dokumentów związanych z organizacją ochrony tych informacji w kontrolowanej jednostce organizacyjnej; 3) żądania udostępnienia do kontroli systemów teleinformatycznych służących do przetwarzania tych informacji; 4) przeprowadzania oględzin obiektów, składników majątkowych i sprawdzania przebiegu określonych czynności związanych z ochroną tych informacji; 5) żądania od kierowników i pracowników kontrolowanych jednostek organizacyjnych udzielania ustnych i pisemnych wyjaśnień; 6) zasięgania w związku z przeprowadzaną kontrolą informacji w jednostkach niekontrolowanych, jeżeli ich działalność pozostaje w związku z przetwarzaniem lub ochroną informacji niejawnych, oraz żądania wyjaśnień od kierowników i pracowników tych jednostek; 7) powoływania oraz korzystania z pomocy biegłych i specjalistów, jeżeli stwierdzenie okoliczności ujawnionych w czasie przeprowadzania kontroli wymaga wiadomości specjalnych; 8) uczestniczenia w posiedzeniach kierownictwa, organów zarządzających lub nadzorczych, a także organów opiniodawczo-doradczych w sprawach dotyczących problematyki ochrony tych informacji w kontrolowanej jednostce organizacyjnej. Kierownik jednostki organizacyjnej, w której są przetwarzane informacje niejawne, odpowiada za ich ochronę, w szczególności za zorganizowanie i zapewnienie funkcjonowania tej ochrony. Podlega mu zatrudniony przez niego pełnomocnik do spraw ochrony informacji niejawnych, który odpowiada przestrzegania przepisów o ochronie informacji niejawnych. Pełnomocnikiem ochrony może być osoba, która posiada: 1) obywatelstwo polskie; za zapewnienie 2) wykształcenie wyższe; 3) odpowiednie poświadczenie bezpieczeństwa wydane przez ABW albo SKW, a także przez były Urząd Ochrony Państwa lub byłe Wojskowe Służby Informacyjne; 4) zaświadczenie o przeszkoleniu w zakresie ochrony informacji niejawnych przeprowadzonym przez ABW albo SKW, a także przez byłe Wojskowe Służby Informacyjne. Do zadań pełnomocnika ochrony należy: 1) zapewnienie ochrony informacji niejawnych, w tym stosowanie środków bezpieczeństwa fizycznego; 2) zapewnienie ochrony systemów teleinformatycznych, w których są przetwarzane informacje niejawne; 3) zarządzanie ryzykiem bezpieczeństwa informacji niejawnych, w szczególności szacowanie ryzyka; 4) kontrola ochrony informacji niejawnych oraz przestrzegania przepisów o ochronie tych informacji, w szczególności okresowa (co najmniej raz na trzy lata) kontrola ewidencji, materiałów i obiegu dokumentów; 5) opracowywanie i aktualizowanie, wymagającego akceptacji kierownika jednostki organizacyjnej, planu ochrony informacji niejawnych w jednostce organizacyjnej, w tym w razie wprowadzenia stanu nadzwyczajnego, i nadzorowanie jego realizacji; 6) prowadzenie szkoleń w zakresie ochrony informacji niejawnych; 7) prowadzenie zwykłych postępowań sprawdzających oraz kontrolnych postępowań sprawdzających; 8) prowadzenie aktualnego wykazu osób zatrudnionych lub pełniących służbę w jednostce organizacyjnej albo wykonujących czynności zlecone, które posiadają uprawnienia do dostępu do informacji niejawnych, oraz osób, którym odmówiono wydania poświadczenia bezpieczeństwa lub je cofnięto, obejmującego wyłącznie: a) imię i nazwisko, b) numer PESEL, c) imię ojca, d) datę i miejsce urodzenia, e) adres miejsca zamieszkania lub pobytu, f) określenie dokumentu kończącego procedurę, datę jego wydania oraz numer; 9) przekazywanie odpowiednio ABW lub SKW do ewidencji danych osób uprawnionych do dostępu do informacji niejawnych, a także osób, którym odmówiono wydania poświadczenia bezpieczeństwa lub wobec których podjęto decyzję o cofnięciu poświadczenia bezpieczeństwa. W przypadku stwierdzenia naruszenia w jednostce organizacyjnej przepisów o ochronie informacji niejawnych pełnomocnik ochrony zawiadamia o tym kierownika jednostki organizacyjnej i podejmuje niezwłocznie działania zmierzające do wyjaśnienia okoliczności tego naruszenia oraz ograniczenia jego negatywnych skutków. W przypadku stwierdzenia naruszenia przepisów o ochronie informacji niejawnych o klauzuli "poufne" lub wyższej pełnomocnik ochrony zawiadamia niezwłocznie również odpowiednio ABW lub SKW. 1.2.1.4. Szkolenie w zakresie ochrony informacji niejawnych Szkolenie w zakresie ochrony informacji niejawnych przeprowadza się w celu zapoznania z: 1) przepisami dotyczącymi ochrony informacji niejawnych oraz odpowiedzialności karnej, dyscyplinarnej i służbowej za ich naruszenie, w szczególności za nieuprawnione ujawnienie informacji niejawnych; 2) zasadami ochrony informacji niejawnych w zakresie niezbędnym do wykonywania pracy lub pełnienia służby, z uwzględnieniem zasad zarządzania ryzykiem bezpieczeństwa informacji niejawnych, w szczególności szacowania ryzyka; 3) sposobami ochrony informacji niejawnych oraz postępowania w sytuacjach zagrożenia dla takich informacji lub w przypadku ich ujawnienia. Szkolenie, o którym mowa w ust. 1: 1) przeprowadzają odpowiednio ABW lub SKW - dla pełnomocników ochrony i ich zastępców oraz osób przewidzianych na te stanowiska, przedsiębiorców wykonujących działalność jednoosobowo, a także dla kierowników przedsiębiorców, u których nie zatrudniono pełnomocników ochrony; 2) przeprowadzają odpowiednio ABW lub SKW, wspólnie z pełnomocnikiem ochrony - dla kierownika jednostki organizacyjnej, w której są przetwarzane informacje niejawne o klauzuli "ściśle tajne" lub "tajne"; 3) organizuje pełnomocnik ochrony - dla pozostałych osób zatrudnionych, pełniących służbę lub wykonujących czynności zlecone w jednostce organizacyjnej; 4) przeprowadza ABW - dla posłów i senatorów. Szkolenie przeprowadza się nie rzadziej niż raz na 5 lat. Można odstąpić od przeprowadzenia szkolenia, jeżeli osoba podejmująca pracę lub rozpoczynająca pełnienie służby albo wykonywanie czynności zleconych przedstawi pełnomocnikowi ochrony aktualne zaświadczenie o odbyciu szkolenia. Szkolenie kończy się wydaniem zaświadczenia. Odbierając zaświadczenie, osoba przeszkolona składa pisemne oświadczenie o zapoznaniu się z przepisami o ochronie informacji niejawnych. 1.2.1.5. Bezpieczeństwo osobowe Dopuszczenie do pracy lub pełnienia służby na stanowiskach albo zlecenie prac związanych z dostępem do informacji niejawnych o klauzuli "poufne" lub wyższej może nastąpić po: 1) uzyskaniu poświadczenia bezpieczeństwa; 2) odbyciu szkolenia w zakresie ochrony informacji niejawnych. Dopuszczenie do pracy lub pełnienia służby na stanowiskach albo zlecenie prac, związanych z dostępem danej osoby do informacji niejawnych o klauzuli "zastrzeżone" może nastąpić po: 1) pisemnym upoważnieniu przez kierownika jednostki organizacyjnej, jeżeli nie posiada ona poświadczenia bezpieczeństwa; 2) odbyciu szkolenia w zakresie ochrony informacji niejawnych. W zależności od stanowiska lub wykonywania czynności zleconych, o które ubiega się osoba, zwana dalej "osobą sprawdzaną", przeprowadza się: 1) zwykłe postępowanie sprawdzające - przy stanowiskach i pracach związanych z dostępem do informacji niejawnych o klauzuli "poufne", z zastrzeżeniem pkt 2 lit. b-d; 2) poszerzone postępowanie sprawdzające: a) przy stanowiskach i pracach związanych z dostępem do informacji niejawnych o klauzuli "tajne" lub "ściśle tajne"; b) wobec pełnomocników ochrony, zastępców pełnomocników ochrony oraz kandydatów na te stanowiska; c) wobec kierowników jednostek organizacyjnych, w których są przetwarzane informacje niejawne o klauzuli "poufne" lub wyższej; d) wobec osób ubiegających się o dostęp do informacji niejawnych międzynarodowych lub o dostęp, który ma wynikać z umowy międzynarodowej zawartej przez Rzeczpospolitą Polską. Osobom sprawdzonym wydaje się poświadczenia bezpieczeństwa upoważniające do dostępu do informacji niejawnych o takiej klauzuli, jaka została wskazana we wniosku lub poleceniu. Pełnomocnik ochrony przeprowadza zwykłe postępowanie sprawdzające na pisemne polecenie kierownika jednostki organizacyjnej. ABW albo SKW przeprowadzają poszerzone postępowania sprawdzające: 1) na pisemny wniosek kierownika jednostki organizacyjnej lub osoby uprawnionej do obsady stanowiska lub zlecenia prac; 2) wobec funkcjonariuszy, żołnierzy i pracowników oraz osób ubiegających się o przyjęcie do służby lub pracy w ABW albo SKW; 3) wobec osób wykonujących czynności zlecone lub ubiegających się o wykonywanie tych czynności na rzecz ABW albo SKW. ABW przeprowadza poszerzone postępowania sprawdzające wobec: 1) Szefa SKW, Szefa Agencji Wywiadu, zwanej dalej "AW", Szefa CBA, Szefa Biura Ochrony Rządu, Komendanta Głównego Policji, Dyrektora Generalnego Służby Więziennej, Komendanta Głównego Straży Granicznej oraz osób przewidzianych na te stanowiska; 2) pełnomocników ochrony, zastępców pełnomocników ochrony oraz osób przewidzianych na te stanowiska w SKW, AW, CBA, Biurze Ochrony Rządu, Policji, Służbie Więziennej oraz Straży Granicznej. SKW przeprowadza poszerzone postępowania sprawdzające wobec: 1) Szefa ABW, Szefa Służby Wywiadu Wojskowego, zwanej dalej "SWW", Komendanta Głównego Żandarmerii Wojskowej oraz osób przewidzianych na te stanowiska; 2) pełnomocników ochrony, zastępców pełnomocników ochrony oraz osób przewidzianych na te stanowiska w ABW, SWW oraz Żandarmerii Wojskowej. AW, CBA, Biuro Ochrony Rządu, Policja, Służba Więzienna, SWW, Straż Graniczna oraz Żandarmeria Wojskowa przeprowadzają samodzielnie postępowania sprawdzające oraz kontrolne postępowania sprawdzające odpowiednio wobec: 1) własnych funkcjonariuszy, żołnierzy i pracowników oraz osób ubiegających się o przyjęcie do służby lub pracy; 2) osób wykonujących na ich rzecz czynności zlecone lub ubiegających się o wykonywanie tych czynności. Postępowanie sprawdzające ma na celu ustalenie, czy osoba sprawdzana daje rękojmię zachowania tajemnicy. W toku postępowania sprawdzającego ustala się, czy istnieją uzasadnione wątpliwości dotyczące: 1) uczestnictwa, współpracy lub popierania przez osobę sprawdzaną działalności szpiegowskiej, terrorystycznej, sabotażowej albo innej wymierzonej przeciwko Rzeczypospolitej Polskiej; 2) zagrożenia osoby sprawdzanej ze strony obcych służb specjalnych w postaci prób werbunku lub nawiązania z nią kontaktu; 3) przestrzegania porządku konstytucyjnego Rzeczypospolitej Polskiej, a przede wszystkim, czy osoba sprawdzana uczestniczyła lub uczestniczy w działalności partii politycznych lub innych organizacji, o których mowa w art. 13 Konstytucji Rzeczypospolitej Polskiej, albo współpracowała lub współpracuje z takimi partiami lub organizacjami; 4) ukrywania lub świadomego niezgodnego z prawdą podawania w ankiecie bezpieczeństwa osobowego, zwanej dalej "ankietą", lub postępowaniu sprawdzającym przez osobę sprawdzaną informacji mających znaczenie dla ochrony informacji niejawnych; 5) wystąpienia związanych z osobą sprawdzaną okoliczności powodujących ryzyko jej podatności na szantaż lub wywieranie presji; 6) niewłaściwego postępowania z informacjami niejawnymi, jeżeli: a) doprowadziło to bezpośrednio do ujawnienia tych informacji osobom nieuprawnionym; b) było to wynikiem celowego działania; c) stwarzało to realne zagrożenie ich nieuprawnionym ujawnieniem i nie miało charakteru incydentalnego; d) dopuściła się tego osoba szczególnie zobowiązana na podstawie ustawy do ochrony informacji niejawnych: pełnomocnik ochrony, jego zastępca lub kierownik kancelarii tajnej. W toku poszerzonego postępowania sprawdzającego ustala się ponadto, czy istnieją wątpliwości dotyczące: 1) poziomu życia osoby sprawdzanej wyraźnie przewyższającego uzyskiwane przez nią dochody; 2) informacji o chorobie psychicznej lub innych zakłóceniach czynności psychicznych ograniczających sprawność umysłową i mogących negatywnie wpłynąć na zdolność osoby sprawdzanej do wykonywania prac, związanych z dostępem do informacji niejawnych; 3) uzależnienia od alkoholu, środków odurzających lub substancji psychotropowych. Zwykłe postępowanie sprawdzające obejmuje: 1) sprawdzenie, w niezbędnym zakresie, w ewidencjach, rejestrach i kartotekach, w szczególności w Krajowym Rejestrze Karnym, danych zawartych w wypełnionej i podpisanej przez osobę sprawdzaną ankiecie, a także sprawdzenie innych informacji uzyskanych w toku postępowania sprawdzającego, w zakresie niezbędnym do ustalenia, czy osoba sprawdzana daje rękojmię zachowania tajemnicy; 2) sprawdzenie w ewidencjach i kartotekach niedostępnych powszechnie danych zawartych w ankiecie oraz innych informacji uzyskanych w toku postępowania sprawdzającego, w zakresie niezbędnym do ustalenia, czy osoba sprawdzana daje rękojmię zachowania tajemnicy. Postępowanie sprawdzające kończy się: 1) wydaniem poświadczenia bezpieczeństwa; 2) odmową wydania poświadczenia bezpieczeństwa; 3) umorzeniem. Po zakończeniu postępowania sprawdzającego z wynikiem pozytywnym organ prowadzący postępowanie wydaje poświadczenie bezpieczeństwa i przekazuje osobie sprawdzanej, zawiadamiając o tym wnioskodawcę. Poświadczenie bezpieczeństwa powinno zawierać: 1) numer poświadczenia; 2) podstawę prawną; 3) wskazanie wnioskodawcy postępowania sprawdzającego; 4) określenie organu, który przeprowadził postępowanie sprawdzające; 5) datę i miejsce wystawienia; 6) imię, nazwisko i datę urodzenia osoby sprawdzanej; 7) określenie rodzaju przeprowadzonego postępowania sprawdzającego ze wskazaniem klauzuli tajności informacji niejawnych, do których osoba sprawdzana może mieć dostęp; 8) stwierdzenie, że osoba sprawdzana daje rękojmię zachowania tajemnicy; 9) termin ważności; 10) imienną pieczęć i podpis upoważnionego funkcjonariusza ABW albo funkcjonariusza lub żołnierza SKW, albo pełnomocnika ochrony, który przeprowadził postępowanie sprawdzające. Poświadczenie bezpieczeństwa wydaje się na okres: 1) 10 lat - w przypadku dostępu do informacji niejawnych o klauzuli "poufne"; 2) 7 lat - w przypadku dostępu do informacji niejawnych o klauzuli "tajne"; 3) 5 lat - w przypadku dostępu do informacji niejawnych o klauzuli "ściśle tajne". Na pisemny wniosek kierownika jednostki organizacyjnej lub osoby uprawnionej do obsady stanowiska, złożony co najmniej na 6 miesięcy przed upływem terminu ważności poświadczenia bezpieczeństwa, właściwy organ przeprowadza kolejne postępowanie sprawdzające. 1.2.1.6. Kancelarie tajne. Środki bezpieczeństwa fizycznego Kierownik jednostki organizacyjnej, w której są przetwarzane informacje niejawne o klauzuli "tajne" lub "ściśle tajne", tworzy kancelarię, zwaną dalej "kancelarią tajną", i zatrudnia jej kierownika. W przypadku uzasadnionym względami organizacyjnymi kierownik jednostki organizacyjnej może utworzyć więcej niż jedną kancelarię tajną. Za zgodą odpowiednio ABW lub SKW, można utworzyć kancelarię tajną obsługującą dwie lub więcej jednostek organizacyjnych. Kancelaria tajna stanowi wyodrębnioną komórkę organizacyjną, w zakresie ochrony informacji niejawnych podległą pełnomocnikowi ochrony, obsługiwaną przez pracowników pionu ochrony, odpowiedzialną za właściwe rejestrowanie, przechowywanie, obieg i wydawanie materiałów uprawnionym osobom. Kierownik jednostki organizacyjnej może wyrazić zgodę na przetwarzanie w kancelarii tajnej informacji niejawnych o klauzuli "poufne" lub "zastrzeżone". Organizacja pracy kancelarii tajnej zapewnia możliwość ustalenia w każdych okolicznościach, gdzie znajduje się materiał o klauzuli "tajne" lub "ściśle tajne" pozostający w dyspozycji jednostki organizacyjnej oraz kto z tym materiałem się zapoznał i odmawia udostępnienia lub wydania materiału osobie nieuprawnionej. Jednostki organizacyjne, w których są przetwarzane informacje niejawne, stosują środki bezpieczeństwa fizycznego odpowiednie do poziomu zagrożeń w celu uniemożliwienia osobom nieuprawnionym dostępu do takich informacji, w szczególności chroniące przed: 1) działaniem obcych służb specjalnych; 2) zamachem terrorystycznym lub sabotażem; 3) kradzieżą lub zniszczeniem materiału; 4) próbą wejścia osób nieuprawnionych do pomieszczeń, w których są przetwarzane informacje niejawne; 5) nieuprawnionym dostępem do informacji o wyższej klauzuli tajności niewynikającym z posiadanych uprawnień. Zakres stosowania środków bezpieczeństwa fizycznego uzależnia się od poziomu zagrożeń związanych z nieuprawnionym dostępem do informacji niejawnych lub ich utratą. Przy określaniu poziomu zagrożeń uwzględnia się w szczególności występujące rodzaje zagrożeń, klauzule tajności i liczbę informacji niejawnych. W celu uniemożliwienia osobom nieuprawnionym dostępu do informacji niejawnych o klauzuli "poufne" lub wyższej należy w szczególności: 1) zorganizować strefy ochronne; 2) wprowadzić system kontroli wejść i wyjść ze stref ochronnych; 3) określić uprawnienia do przebywania w strefach ochronnych; 4) stosować wyposażenie i urządzenia niejawnych, którym przyznano certyfikaty. służące ochronie informacji 1.2.1.7. Bezpieczeństwo teleinformatyczne Systemy teleinformatyczne, w których mają być przetwarzane informacje niejawne, podlegają akredytacji bezpieczeństwa teleinformatycznego na czas nie dłuższy niż 5 lat. ABW albo SKW udziela albo odmawia udzielenia akredytacji bezpieczeństwa teleinformatycznego dla systemu teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych o klauzuli "poufne" lub wyższej w terminie 6 miesięcy od otrzymania kompletnej dokumentacji bezpieczeństwa systemu teleinformatycznego. W uzasadnionych przypadkach, w szczególności wynikających z rozległości systemu i stopnia jego skomplikowania, termin ten może być przedłużony o kolejne 6 miesięcy. Od odmowy udzielenia akredytacji nie służy odwołanie. Potwierdzeniem udzielenia przez ABW albo SKW akredytacji jest świadectwo akredytacji bezpieczeństwa systemu teleinformatycznego. Można odstąpić od przeprowadzenia audytu bezpieczeństwa systemu teleinformatycznego jeżeli system jest przeznaczony do przetwarzania informacji niejawnych o klauzuli "poufne". Kierownik jednostki teleinformatycznego organizacyjnej dla systemu udziela akredytacji teleinformatycznego bezpieczeństwa przeznaczonego do przetwarzania informacji niejawnych o klauzuli "zastrzeżone" przez zatwierdzenie dokumentacji bezpieczeństwa systemu teleinformatycznego. W ciągu 30 dni od otrzymania dokumentacji bezpieczeństwa systemu teleinformatycznego ABW albo SKW może przedstawić kierownikowi jednostki organizacyjnej, który udzielił akredytacji bezpieczeństwa teleinformatycznego, zalecenia związanych dotyczące z konieczności bezpieczeństwem przeprowadzenia informacji dodatkowych niejawnych. Kierownik czynności jednostki organizacyjnej w terminie 30 dni od otrzymania zalecenia informuje odpowiednio ABW lub SKW o realizacji zaleceń. W szczególnie uzasadnionych przypadkach ABW albo SKW może nakazać wstrzymanie przetwarzania informacji niejawnych w systemie teleinformatycznym posiadającym akredytację bezpieczeństwa teleinformatycznego. Dokument szczególnych wymagań bezpieczeństwa systemu teleinformatycznego powinien zawierać w szczególności wyniki procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych w systemie teleinformatycznym oraz określać przyjęte w ramach zarządzania ryzykiem sposoby osiągania i utrzymywania odpowiedniego poziomu bezpieczeństwa systemu, a także opisywać aspekty jego budowy, zasady działania i eksploatacji, które mają związek z bezpieczeństwem systemu lub wpływają na jego bezpieczeństwo. Przebieg i wyniki procesu szacowania ryzyka mogą zostać przedstawione w odrębnym dokumencie niż dokument szczególnych wymagań bezpieczeństwa. Dokument ten opracowuje się na etapie projektowania, w razie potrzeby konsultuje z ABW albo SKW, bieżąco uzupełnia na etapie wdrażania i modyfikuje na etapie eksploatacji przed dokonaniem zmian w systemie teleinformatycznym. Dokument procedur bezpiecznej eksploatacji opracowuje się na etapie wdrażania oraz modyfikuje na etapie eksploatacji przed dokonaniem zmian w systemie teleinformatycznym. Podstawą dokonywania wszelkich zmian w systemie teleinformatycznym jest przeprowadzenie procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych w tym systemie. 5. Kierownik jednostki organizacyjnej, w której będzie funkcjonował system teleinformatyczny, odpowiada za opracowanie oraz przekazanie odpowiednio ABW lub SKW dokumentacji bezpieczeństwa systemu teleinformatycznego. W terminie 30 dni od otrzymania dokumentacji bezpieczeństwa systemu teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych o klauzuli "poufne" lub wyższej ABW albo SKW przeprowadza na jej podstawie ocenę bezpieczeństwa tego systemu. Pozytywny wynik oceny stanowi podstawę do zatwierdzenia przez ABW albo SKW dokumentacji bezpieczeństwa systemu teleinformatycznego. W uzasadnionych przypadkach, w szczególności wynikających ze stopnia skomplikowania systemu, termin przeprowadzenia oceny może być przedłużony o kolejne 30 dni. Środki ochrony elektromagnetycznej przeznaczone do ochrony informacji niejawnych o klauzuli "poufne" lub wyższej podlegają badaniom i ocenie bezpieczeństwa w ramach certyfikacji prowadzonych przez ABW albo SKW. Urządzenia i narzędzia kryptograficzne przeznaczone do ochrony informacji niejawnych podlegają badaniom i ocenie bezpieczeństwa w ramach certyfikacji prowadzonych przez ABW albo SKW. Na wniosek zainteresowanego podmiotu, przeprowadza się certyfikację urządzenia lub narzędzia służącego do realizacji zabezpieczenia teleinformatycznego, przeznaczonego do ochrony informacji niejawnych. Pozytywne wyniki ocen bezpieczeństwa uzyskane na podstawie wyników badań prowadzonych w ramach certyfikacji stanowią podstawę do wydania przez ABW albo SKW certyfikatu ochrony elektromagnetycznej, certyfikatu ochrony kryptograficznej lub certyfikatu bezpieczeństwa teleinformatycznego. Certyfikaty są wydawane, w zależności od wyników ocen bezpieczeństwa, na okres nie krótszy niż 3 lata. Od odmowy wydania certyfikatu nie służy odwołanie. Szef ABW albo Szef SKW może zlecić podmiotowi zewnętrznemu badanie urządzenia lub narzędzia służącego do ochrony informacji niejawnych, na zasadach, warunkach i w zakresie przez siebie określonych. Bez konieczności przeprowadzania badań i oceny Szef ABW albo Szef SKW może dopuścić do stosowania w systemie teleinformatycznym przeznaczonym do przetwarzania informacji niejawnych o klauzuli "zastrzeżone" urządzenia lub narzędzia kryptograficzne, jeżeli otrzymały stosowny certyfikat wydany przez krajową władzę bezpieczeństwa państwa będącego członkiem NATO lub Unii Europejskiej lub inny uprawniony organ w NATO lub w Unii Europejskiej. Obowiązkowi akredytacji nie podlegają systemy teleinformatyczne znajdujące się poza strefami ochronnymi oraz służące bezpośrednio do pozyskiwania i przekazywania w sposób niejawny informacji oraz utrwalania dowodów w trakcie realizacji czynności operacyjno-rozpoznawczych lub procesowych przez uprawnione do tego podmioty. 1.2.1.8. Bezpieczeństwo przemysłowe Warunkiem dostępu przedsiębiorcy do informacji niejawnych w związku z wykonywaniem umów albo zadań wynikających z przepisów prawa jest zdolność do ochrony informacji niejawnych. Dokumentem potwierdzającym zdolność do ochrony informacji niejawnych bezpieczeństwa o klauzuli przemysłowego "poufne" wydawane lub wyższej przez ABW jest albo świadectwo SKW po przeprowadzeniu postępowania bezpieczeństwa przemysłowego. W przypadku przedsiębiorcy wykonującego działalność jednoosobowo i osobiście zdolność do ochrony informacji niejawnych potwierdza poświadczenie bezpieczeństwa upoważniające do dostępu do informacji niejawnych o klauzuli tajności "poufne" lub wyższej, wydawane przez ABW albo SKW i zaświadczenie o odbytym przeszkoleniu w zakresie ochrony informacji niejawnych wydawane przez ABW albo SKW. W przypadku gdy przedsiębiorca zamierza wykonywać umowy związane z dostępem do informacji niejawnych o klauzuli "zastrzeżone", świadectwo nie jest wymagane. W zależności od stopnia zdolności do ochrony informacji niejawnych o klauzuli "poufne" lub wyższej wydaje się świadectwo odpowiednio: pierwszego stopnia - potwierdzające pełną zdolność przedsiębiorcy do ochrony tych informacji; drugiego stopnia - potwierdzające zdolność przedsiębiorcy do ochrony tych informacji, z wyłączeniem możliwości ich przetwarzania we własnych systemach teleinformatycznych; trzeciego stopnia - potwierdzające zdolność przedsiębiorcy do ochrony tych informacji, z wyłączeniem możliwości ich przetwarzania w użytkowanych przez niego obiektach. Świadectwo potwierdzające zdolność do ochrony informacji niejawnych o klauzuli: "ściśle tajne" potwierdza zdolność do ochrony informacji niejawnych o klauzuli: "ściśle tajne" - przez okres 5 lat od daty wystawienia, "tajne" - przez okres 7 lat od daty wystawienia, "poufne" - przez okres 10 lat od daty wystawienia; "tajne" potwierdza zdolność do ochrony informacji niejawnych o klauzuli: "tajne" - przez okres 7 lat od daty wystawienia, "poufne" - przez okres 10 lat od daty wystawienia; "poufne" potwierdza zdolność do ochrony informacji niejawnych o tej klauzuli przez okres 10 lat od daty wystawienia. Postępowanie bezpieczeństwa przemysłowego jest prowadzone na wniosek przedsiębiorcy. Wniosek nie wymaga uzasadnienia. We wniosku przedsiębiorca określa stopień świadectwa oraz klauzulę tajności informacji niejawnych, których zdolność do ochrony ma potwierdzać świadectwo. Do wniosku przedsiębiorca dołącza kwestionariusz bezpieczeństwa przemysłowego oraz ankiety lub kopie posiadanych poświadczeń bezpieczeństwa. Postępowanie bezpieczeństwa przemysłowego obejmuje sprawdzenie przedsiębiorcy i postępowania sprawdzające wobec wskazanych osób. Sprawdzenie przedsiębiorcy, w tym na podstawie danych zawartych w rejestrach, ewidencjach, kartotekach, także niedostępnych powszechnie, obejmuje: strukturę kapitału oraz powiązania kapitałowe przedsiębiorcy, źródła pochodzenia środków finansowych i sytuację finansową; strukturę organizacyjną; system ochrony informacji niejawnych, w tym środki bezpieczeństwa fizycznego; wszystkie osoby wchodzące w skład organów zarządzających, kontrolnych oraz osoby działające z ich upoważnienia; w szczególnie uzasadnionych przypadkach osoby posiadające poświadczenia bezpieczeństwa. W toku postępowania bezpieczeństwa przemysłowego oraz w okresie ważności świadectwa przeprowadza nieposiadających się odpowiednich postępowania poświadczeń sprawdzające wobec bezpieczeństwa lub osób kolejne postępowania sprawdzające wobec: kierownika przedsiębiorcy; pełnomocnika ochrony i jego zastępcy; osób zatrudnionych w pionie ochrony; administratora systemu teleinformatycznego; pozostałych osób wskazanych w kwestionariuszu, które powinny mieć dostęp do informacji niejawnych. Postępowanie bezpieczeństwa przemysłowego kończy się wydaniem przez ABW albo SKW świadectwa zgodnie z wnioskiem przedsiębiorcy albo decyzją o odmowie wydania świadectwa lub decyzją o umorzeniu postępowania bezpieczeństwa przemysłowego. 1.2.1.9. Udostępnianie danych oraz akt postępowań sprawdzających, kontrolnych i bezpieczeństwa przemysłowego Akta postępowań sprawdzających lub kontrolnych postępowań sprawdzających przeprowadzonych przez służby i instytucje uprawnione do prowadzenia poszerzonych postępowań sprawdzających i akta postępowań bezpieczeństwa przemysłowego są udostępniane do wglądu lub przekazywane wyłącznie na pisemne żądanie: sądowi lub prokuratorowi dla celów postępowania karnego; służbom i organom uprawnionym do prowadzenia poszerzonych postępowań sprawdzających dla celów postępowania sprawdzającego wobec tej samej osoby; właściwemu organowi w celu przeprowadzenia kontroli prawidłowości postępowania, z wyłączeniem niektórych postępowań; właściwemu organowi w celu rozpatrzenia odwołania lub zażalenia; sądowi administracyjnemu w związku z rozpatrywaniem skargi. Przepisu zawartego w drugim akapicie nie stosuje się w odniesieniu do akt postępowań sprawdzających lub kontrolnych postępowań sprawdzających przeprowadzonych przez AW, ABW, SKW lub SWW. Akta tych postępowań mogą być udostępnione do wglądu wyłącznie dla celów postępowania sprawdzającego prowadzonego przez tę samą służbę wobec tej samej osoby. Akta zwykłych postępowań sprawdzających oraz kontrolnych postępowań sprawdzających, mogą być udostępnione do wglądu i przekazane w przypadkach określonych w ust. 1 oraz dla celów postępowania sprawdzającego lub kontrolnego postępowania sprawdzającego wobec tej samej osoby. Akta zakończonych zwykłych postępowań sprawdzających oraz kontrolnych postępowań sprawdzających, mogą być udostępnione do wglądu osobie sprawdzanej, z wyłączeniem danych dotyczących osób trzecich. Po wykorzystaniu akta są niezwłocznie zwracane. Po zakończeniu postępowania sprawdzającego, kontrolnego postępowania sprawdzającego lub postępowania bezpieczeństwa przemysłowego akta tych postępowań są przechowywane przez co najmniej 20 lat, z uwzględnieniem przepisów ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2006 r. nr 97, poz. 673, z późn. zm.) oraz aktów wykonawczych wydanych na jej podstawie: 1) jako wyodrębniona część przeprowadziły te postępowania; w archiwach służb i instytucji, które 2) przez pełnomocnika ochrony lub w pionie ochrony - w przypadku akt zwykłych postępowań sprawdzających oraz kontrolnych postępowań sprawdzających przeprowadzonych przez tego pełnomocnika. W przypadku rozwiązania, zniesienia, likwidacji, przekształcenia lub reorganizacji jednostki organizacyjnej akta, o których mowa w ust. 6, przejmuje następca prawny, a w przypadku jego braku - ABW albo SKW. 1.2.2. Ustawa o ochronie danych osobowych2 Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. Przepisy ustawy stosuje się do przetwarzania danych osobowych: w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych; w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych. Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych. Ma ona zastosowanie także w stosunku do: podmiotów niepublicznych realizujących zadania publiczne; osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych w przypadku gdy mają siedzibę albo miejsce zamieszkania na terytorium RP albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium RP. Ustawy nie stosuje się do: osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych; 2 Ustawa z dn. 29.08.97 o ochronie danych osobowych, Dz. U. z dn. 29.10.97 (znowelizowana ustawą z dn. 25.08.2001, stan prawny 2013r.) podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium RP wyłącznie do przekazywania danych. Ustawy, z wyjątkiem niektórych przepisów nie stosuje się również do prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo prasowe (Dz.U Nr 5, poz. 24, z późn. zm.2) oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. 1.2.2.1. Organ ochrony danych osobowych Organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych, którego powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgodą Senatu. Do zadań Generalnego Inspektora w szczególności należy: kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych; wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych; zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji, o których mowa w pkt 2, przez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2005 r. Nr 229, poz. 1954, z późn. zm.3); prowadzenie rejestru zbiorów zarejestrowanych zbiorach; danych oraz udzielanie informacji o opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych; inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych; uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych. W celu wykonania zadań, o których mowa wyżej, Generalny Inspektor, zastępca Generalnego Inspektora lub upoważnieni przez niego pracownicy Biura mają prawo: wstępu, w godzinach od 6.00 do 22.00, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą; żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego; wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii; przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych; zlecać sporządzanie ekspertyz i opinii. W przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: usunięcie uchybień; uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych; zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe; wstrzymanie przekazywania danych osobowych do państwa trzeciego; zabezpieczenie danych lub przekazanie ich innym podmiotom; usunięcie danych osobowych. 1.2.2.2. Zasady przetwarzania danych osobowych W razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem danych wyczerpuje znamiona przestępstwa określonego w ustawie, Generalny Inspektor kieruje do organu powołanego do ścigania przestępstw zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych; jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa; jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą; jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego; jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Zgoda, o której mowa wyżej może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania. Jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a uzyskanie jej zgody jest niemożliwe, można przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody będzie możliwe. Za prawnie usprawiedliwiony cel, o którym mowa wyżej uważa się w szczególności: 1) marketing bezpośredni własnych produktów lub usług administratora danych, 2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o: adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku; celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, prawie dostępu do treści swoich danych oraz ich poprawiania; dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, jego podstawie prawnej. W przypadku przetwarzania danych osobowych przez podmioty mające siedzibę albo miejsce zamieszkania w państwie trzecim, administrator danych jest obowiązany wyznaczyć swojego przedstawiciela w Rzeczypospolitej Polskiej. 1.2.2.3. Prawa osoby, której dane dotyczą Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do: 1) uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna – jej miejsca zamieszkania oraz imienia i nazwiska; 2) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze; 3) uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych; 4) uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej; 5) uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane; 6) żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane; 7) wniesienia, w przypadkach wymienionych w pkt. 4 i 5, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację; 8) wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych pkt. 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych; 9) wniesienia do administratora danych żądania ponownego, indywidualnego rozpatrzenia sprawy już rozstrzygniętej. Jeżeli dane są przetwarzane dla celów naukowych, dydaktycznych, historycznych, statystycznych lub archiwalnych, administrator danych może odstąpić od informowania osób o przetwarzaniu ich danych w przypadkach, gdy pociągałoby to za sobą nakłady niewspółmierne z zamierzonym celem. Administrator danych odmawia osobie, której dane dotyczą, udzielenia informacji jeżeli spowodowałoby to: ujawnienie wiadomości zawierających informacje niejawne; zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego; zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa; istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób. W razie wykazania przez osobę, której dane osobowe dotyczą, że są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, dla którego zostały zebrane, administrator danych jest obowiązany, bez zbędnej zwłoki, do uzupełnienia, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, chyba że dotyczy to danych osobowych, w odniesieniu do których tryb ich uzupełnienia, uaktualnienia lub sprostowania określają odrębne ustawy. W razie niedopełnienia przez administratora danych tego obowiązku osoba, której dane dotyczą, może się zwrócić do Generalnego Inspektora z wnioskiem o nakazanie dopełnienia tego obowiązku. Administrator danych jest obowiązany poinformować bez zbędnej zwłoki innych administratorów, którym udostępnił zbiór danych, o dokonanym uaktualnieniu lub sprostowaniu danych. 1.2.2.4. Zabezpieczenie danych osobowych Administrator danych jest zapewniające organizacyjne obowiązany ochronę zastosować przetwarzanych środki techniczne danych i osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Ponadto prowadzi on dokumentację opisującą sposób przetwarzania danych oraz używane środki. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. 1.2.2.5. Rejestracja zbiorów danych osobowych Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków: 1) zawierających informacje niejawne; 1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności; 2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym; 2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej; 2b) przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym; 2c) przetwarzanych przez właściwie organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej; 3) dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego; 4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się; 5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta; 6) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego; 7) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności; 8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej; 9) powszechnie dostępnych; 10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; 11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego. Generalny Inspektor w szczególnych przypadkach może odmówić rejestracji danych. Administrator danych może zgłosić ponownie zbiór danych do rejestracji po usunięciu wad, które były powodem odmowy rejestracji zbioru. Wykreślenie z rejestru zbiorów danych osobowych jest dokonywane, w drodze decyzji administracyjnej, jeżeli: 1) zaprzestano przetwarzania danych w zarejestrowanym zbiorze; 2) rejestracji dokonano z naruszeniem prawa. 1.2.2.6. Przekazywanie danych osobowych do państwa trzeciego Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych. Przepisu tego nie stosuje się, gdy przesłanie danych osobowych wynika z obowiązku nałożonego na administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej, gwarantującymi odpowiedni poziom ochrony tych danych. Administrator danych może jednak przekazać dane osobowe do państwa trzeciego, jeżeli: osoba, której dane dotyczą, udzieliła na to zgody na piśmie; przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie; przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem; przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych; przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą; dane są ogólnie dostępne. 1.2.3. Ustawa o dostępie do informacji publicznej3 Każda informacja o sprawach publicznych podlega udostępnieniu i ponownemu wykorzystywaniu na zasadach i w trybie określonych w niniejszej ustawie. Każdemu przysługuje prawo dostępu do informacji publicznej, zwane dalej „prawem do informacji publicznej”, z wyjątkiem: prawa do informacji publicznej podlegającej na ograniczeniu w zakresie i na zasadach określonych w przepisach o ochronie informacji niejawnych oraz o ochronie innych tajemnic ustawowo chronionych; prawa do informacji publicznej podlegającej ograniczeniu ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy. Ograniczenie to nie dotyczy informacji o osobach pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i wykonywania funkcji, oraz przypadku, gdy osoba fizyczna lub przedsiębiorca rezygnują z przysługującego im prawa; nie można, z zastrzeżeniem ust. 1 i 2, ograniczać dostępu do informacji o sprawach rozstrzyganych w postępowaniu przed organami państwa, w szczególności w postępowaniu administracyjnym, karnym lub cywilnym, ze względu na ochronę interesu strony, jeżeli postępowanie dotyczy władz publicznych lub innych podmiotów wykonujących zadania publiczne albo osób pełniących funkcje publiczne – w zakresie tych zadań lub funkcji; 3 Ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej, Dz.U. 2001 nr 112 poz. 1198, stan prawny z 10.03.2014r. ograniczenia dostępu do informacji w sprawach, o których mowa w ust. 3, nie naruszają prawa do informacji o organizacji i pracy organów prowadzących po-stępowania, w szczególności o czasie, trybie i miejscu oraz kolejności rozpatrywania spraw. Prawo do informacji publicznej obejmuje uprawnienia do: uzyskania informacji publicznej, w tym uzyskania informacji przetworzonej w takim zakresie, w jakim jest to szczególnie istotne dla interesu publicznego; wglądu do dokumentów urzędowych; dostępu do posiedzeń kolegialnych organów władzy publicznej pochodzących z powszechnych wyborów. Prawo do informacji publicznej obejmuje uprawnienie do niezwłocznego uzyskania informacji publicznej zawierającej aktualną wiedzę o sprawach publicznych. Obowiązane do udostępniania informacji publicznej są władze publiczne oraz inne podmioty wykonujące zadania publiczne, w szczególności: organy władzy publicznej; organy samorządów gospodarczych i zawodowych; podmioty reprezentujące zgodnie z odrębnymi przepisami Skarb Państwa; podmioty reprezentujące państwowe osoby prawne albo osoby prawne samorządu terytorialnego oraz podmioty reprezentujące inne państwowe jednostki organizacyjne albo jednostki organizacyjne samorządu terytorialnego; podmioty reprezentujące inne osoby lub jednostki organizacyjne, które wykonują zadania publiczne lub dysponują majątkiem publicznym, oraz osoby prawne, w których Skarb Państwa, jednostki samorządu terytorialnego lub samorządu gospodarczego albo zawodowego mają pozycję dominującą w rozumieniu przepisów o ochronie konkurencji i konsumentów. Obowiązane do udostępnienia informacji publicznej są także organizacje związkowe, pracodawcy oraz partie polityczne. Prawo do informacji publicznej podlega ograniczeniu w zakresie i na zasadach określonych w przepisach o ochronie informacji niejawnych oraz o ochronie innych tajemnic ustawowo chronionych. prawo do informacji publicznej podlega ograniczeniu ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy. Ograniczenie to nie dotyczy informacji o osobach pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i wykonywania funkcji, oraz przypadku, gdy osoba fizyczna lub przedsiębiorca rezygnują z przysługującego im prawa. nie można, z zastrzeżeniem ust. 1 i 2, ograniczać dostępu do informacji o sprawach rozstrzyganych w postępowaniu przed organami państwa, w szczególności w postępowaniu administracyjnym, karnym lub cywilnym, ze względu na ochronę interesu strony, jeżeli postępowanie dotyczy władz publicznych lub innych podmiotów wykonujących zadania publiczne albo osób pełniących funkcje publiczne – w zakresie tych zadań lub funkcji. ograniczenia dostępu do informacji w sprawach, o których mowa w ust. 3, nie naruszają prawa do informacji o organizacji i pracy organów prowadzących po-stępowania, w szczególności o czasie, trybie i miejscu oraz kolejności rozpatrywania spraw. Udostępnieniu podlega informacja publiczna, w szczególności o: polityce wewnętrznej i zagranicznej, w tym o: zamierzeniach działań władzy ustawodawczej oraz wykonawczej; projektowaniu aktów normatywnych; programach w zakresie realizacji zadań publicznych, sposobie ich realizacji, wykonywaniu i skutkach realizacji tych zadań; podmiotach będących władzami publicznymi, a w tym o: statusie prawnym lub formie prawnej; organizacji; przedmiocie działalności i kompetencjach; organach i osobach sprawujących w nich funkcje i ich kompetencjach; strukturze własnościowej podmiotów; majątku, którym dysponują; zasadach funkcjonowania podmiotów, o których mowa w art. 4 ust. 1, w tym o: trybie działania władz publicznych i ich jednostek organizacyjnych; trybie działania państwowych osób prawnych i osób prawnych samorządu terytorialnego w zakresie wykonywania zadań publicznych i ich działalności w ramach gospodarki budżetowej i pozabudżetowej; sposobach stanowienia aktów publicznoprawnych; sposobach przyjmowania i załatwiania spraw; stanie przyjmowanych spraw, kolejności ich załatwiania lub rozstrzygania, prowadzonych rejestrach, ewidencjach i archiwach oraz o sposobach i zasadach udostępniania danych w nich zawartych; naborze kandydatów do zatrudnienia na wolne stanowiska, w zakresie określonym w przepisach odrębnych; konkursie na wyższe stanowisko w służbie cywilnej, w zakresie określonym w przepisach odrębnych; danych publicznych, w tym: treść i postać dokumentów urzędowych, w szczególności treść aktów administracyjnych i innych rozstrzygnięć; stanowiska w sprawach publicznych zajęte przez organy władzy publicznej i przez funkcjonariuszy publicznych w rozumieniu przepisów Kodeksu karnego; treść innych wystąpień i ocen dokonywanych przez organy władzy publicznej; informacja o stanie państwa, samorządów i ich jednostek organizacyjnych; majątku publicznym, w tym o: majątku Skarbu Państwa i państwowych osób prawnych; innych prawach majątkowych przysługujących państwu i jego długach; majątku jednostek samorządu terytorialnego oraz samorządów zawodowych i gospodarczych oraz majątku osób prawnych samorządu terytorialnego, a także kas chorych; majątku podmiotów; dochodach i stratach spółek handlowych, w których podmioty; długu publicznym; pomocy publicznej; ciężarach publicznych. Udostępnianie informacji publicznych następuje w drodze: ogłaszania informacji publicznych, w tym dokumentów urzędowych, w Biuletynie Informacji Publicznej; udostępniania, w formie ustnej lub pisemnej bez pisemnego wniosku, w drodze wyłożenia lub wywieszenia w miejscach ogólnie dostępnych, przez zainstalowane urządzenia umożliwiającego zapoznanie się z tą informacją; wstępu na posiedzenia organów, o których była mowa i udostępniania materiałów, w tym audiowizualnych i teleinformatycznych, dokumentujących te posiedzenia. Dostęp do informacji publicznej jest bezpłatny, z zastrzeżeniami: 1. Jeżeli w wyniku udostępnienia informacji publicznej podmiot obowiązany do udostępnienia ma ponieść dodatkowe koszty związane ze wskazanym we wniosku sposobem udostępnienia lub koniecznością przekształcenia informacji w formę wskazaną we wniosku, podmiot ten może pobrać od wnioskodawcy opłatę w wysokości odpowiadającej tym kosztom. 2. Podmiot, o którym mowa w ust. 1, w terminie 14 dni od dnia złożenia wniosku, powiadomi wnioskodawcę o wysokości opłaty. Udostępnienie informacji zgodnie z wnioskiem następuje po upływie 14 dni od dnia powiadomienia wnioskodawcy, chyba że wnioskodawca dokona w tym terminie zmiany wniosku w za-kresie sposobu lub formy udostępnienia informacji albo wycofa wniosek. Podmioty udostępniające informacje publiczne w Biuletynie Informacji Publicznej są obowiązane do: oznaczenia informacji danymi w informacji danych określającymi podmiot udostępniający informację; podania określających tożsamość osoby, która wytworzyła informację lub odpowiada za treść informacji; dołączenia do informacji danych określających tożsamość osoby, która wprowadziła informację do Biuletynu Informacji Publicznej; oznaczenia czasu wytworzenia informacji i czasu jej udostępnienia; zabezpieczenia możliwości identyfikacji czasu rzeczywistego udostępnienia informacji. Informacja publiczna, która nie została udostępniona w Biuletynie Informacji Publicznej lub centralnym repozytorium, jest udostępniana na wniosek. Informacja publiczna, która może być niezwłocznie udostępniona, jest udostępniana w formie ustnej lub pisemnej bez pisemnego wniosku. 1.2.3. Ustawa o prawie autorskim i prawach pokrewnych4 Przedmiotem prawa autorskiego jest każdy przejaw działalności twórczej o indywidualnym charakterze, ustalony w jakiejkolwiek postaci, niezależnie od wartości, przeznaczenia i sposobu wyrażenia (utwór). W szczególności przedmiotem prawa autorskiego są utwory: wyrażone słowem, symbolami matematycznymi, znakami graficznymi (literackie, publicystyczne, naukowe, kartograficzne oraz programy komputerowe); plastyczne; fotograficzne; lutnicze; wzornictwa przemysłowego; architektoniczne, architektoniczno-urbanistyczne i urbanistyczne; muzyczne i słowno-muzyczne; sceniczne, sceniczno-muzyczne, choreograficzne i pantomimiczne; audiowizualne (w tym filmowe). Ochroną objęty może być wyłącznie sposób wyrażenia. Nie są objęte ochroną odkrycia, idee, procedury, metody i zasady działania oraz koncepcje matematyczne. Utwór jest przedmiotem prawa autorskiego od chwili ustalenia, chociażby miał postać nieukończoną. Opracowanie cudzego utworu, w szczególności tłumaczenie, przeróbka, adaptacja, jest przedmiotem prawa autorskiego bez uszczerbku dla prawa do utworu pierwotnego. Rozporządzanie i korzystanie z opracowania zależy od zezwolenia twórcy utworu pierwotnego (prawo zależne), chyba że autorskie prawa majątkowe do utworu pierwotnego wygasły. W przypadku baz danych spełniających cechy utworu zezwolenie twórcy jest konieczne także na sporządzenie opracowania. 4 Ustawa z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych, Dz.U. z 2006 nr 90 poz. 631, brzmienie od 21 października 2010 Twórca utworu pierwotnego może cofnąć zezwolenie, jeżeli w ciągu pięciu lat od jego udzielenia opracowanie nie zostało rozpowszechnione. Wypłacone twórcy wynagrodzenie nie podlega zwrotowi. Za opracowanie nie uważa się utworu, który powstał w wyniku inspiracji cudzym utworem. Na egzemplarzach opracowania należy wymienić twórcę i tytuł utworu pierwotnego.. Ochrona przysługuje twórcy niezależnie od spełnienia jakichkolwiek formalności. Zbiory, antologie, wybory, bazy danych spełniające cechy utworu są przedmiotem prawa autorskiego, nawet jeżeli zawierają niechronione materiały, o ile przyjęty w nich dobór, układ lub zestawienie ma twórczy charakter, bez uszczerbku dla praw do wykorzystanych utworów. Nie stanowią przedmiotu prawa autorskiego: akty normatywne lub ich urzędowe projekty; urzędowe dokumenty, materiały, znaki i symbole; opublikowane opisy patentowe lub ochronne; proste informacje prasowe. Przepisy ustawy stosuje się do utworów: których twórca lub współtwórca jest obywatelem polskim lub których twórca jest obywatelem państwa członkowskiego Unii Europejskiej, lub państw członkowskich Europejskiego Porozumienia o Wolnym Handlu (EFTA) – stron umowy o Europejskim Obszarze Gospodarczym, lub które zostały opublikowane po raz pierwszy na terytorium Rzeczypospolitej Polskiej albo równocześnie na tym terytorium i za granicą, lub które zostały opublikowane po raz pierwszy w języku polskim, lub które są chronione na podstawie umów międzynarodowych, w zakresie, w jakim ich ochrona wynika z tych umów. W rozumieniu ustawy: utworem opublikowanym jest utwór, który za zezwoleniem twórcy został zwielokrotniony i którego egzemplarze zostały udostępnione publicznie; opublikowaniem równoczesnym utworu jest opublikowanie utworu na terytorium Rzeczypospolitej Polskiej i za granicą w okresie trzydziestu dni od jego pierwszej publikacji; utworem rozpowszechnionym jest utwór, który za zezwoleniem twórcy został w jakikolwiek sposób udostępniony publicznie; nadawaniem utworu jest jego rozpowszechnianie drogą emisji radiowej lub telewizyjnej, prowadzonej w sposób bezprzewodowy (naziemny lub satelitarny) lub w sposób przewodowy; reemitowaniem utworu jest jego rozpowszechnianie przez inny podmiot niż pierwotnie nadający, drogą przejmowania w całości i bez zmian programu organizacji radiowej lub telewizyjnej oraz równoczesnego i integralnego przekazywania tego programu do powszechnego odbioru; wprowadzeniem utworu do obrotu jest publiczne udostępnienie jego oryginału albo egzemplarzy drogą przeniesienia ich własności dokonanego przez uprawnionego lub za jego zgodą; najmem egzemplarzy utworu jest ich przekazanie do ograniczonego czasowo korzystania w celu bezpośredniego lub pośredniego uzyskania korzyści majątkowej; użyczeniem egzemplarzy utworu jest ich przekazanie do ograniczonego cza-sowo korzystania, niemające na celu bezpośredniego lub pośredniego uzyskania korzyści majątkowej; odtworzeniem utworu jest jego udostępnienie bądź przy pomocy nośników dźwięku, obrazu lub dźwięku i obrazu, na których utwór został zapisany, bądź przy pomocy urządzeń służących do odbioru programu radiowego lub telewizyjnego, w którym utwór jest nadawany; technicznymi zabezpieczeniami są wszelkie technologie, urządzenia lub ich elementy, których przeznaczeniem jest zapobieganie działaniom lub ograniczenie działań umożliwiających korzystanie z utworów lub artystycznych wykonań z naruszeniem prawa; skutecznymi technicznymi zabezpieczeniami są techniczne zabezpieczenia umożliwiające podmiotom uprawnionym kontrolę nad korzystaniem z chronionego utworu lub artystycznego wykonania poprzez zastosowanie kodu dostępu lub mechanizmu zabezpieczenia, w szczególności szyfrowania, zakłócania lub każdej innej transformacji utworu lub artystycznego wykonania zwielokrotniania, które spełniają cel ochronny; lub mechanizmu kontroli informacjami na temat zarządzania prawami są informacje identyfikujące utwór, twórcę, podmiot praw autorskich lub informacje o warunkach eksploatacji utworu, o ile zostały one dołączone do egzemplarza utworu lub są przekazywane w związku z jego rozpowszechnianiem, w tym kody identyfikacyjne. Ilekroć w ustawie jest mowa o równowartości danej kwoty wyrażonej w euro, należy przez to rozumieć jej równowartość wyrażoną w walucie polskiej, ustaloną przy zastosowaniu średniego kursu euro, lub jej równowartość wyrażoną w innej walucie, ustaloną przy zastosowaniu średniego kursu euro oraz średniego kursu tej waluty ogłoszonego przez Narodowy Bank Polski w dniu poprzedzają-cym dokonanie czynności. 1.2.3.1. Podmiot prawa autorskiego Prawo autorskie przysługuje twórcy, o ile ustawa nie stanowi inaczej. Domniemywa się, że twórcą jest osoba, której nazwisko w tym charakterze uwidoczniono na egzemplarzach utworu lub której autorstwo podano do publicznej wiadomości w jakikolwiek inny sposób w związku z rozpowszechnianiem utworu. Dopóki twórca nie ujawnił swojego autorstwa, w wykonywaniu prawa autorskiego zastępuje go producent lub wydawca, a w razie ich braku – właściwa organizacja zbiorowego zarządzania prawami autorskimi. Współtwórcom przysługuje prawo autorskie wspólnie. Domniemywa się, że wielkości udziałów są równe. Każdy ze współtwórców może żądać określenia wielkości udziałów przez sąd, na podstawie wkładów pracy twórczej. Domniemywa się, że producentem lub wydawcą jest osoba, której nazwisko lub nazwę uwidoczniono w tym charakterze na przedmiotach, na których utwór utrwalono, albo podano do publicznej wiadomości w jakikolwiek sposób w związku z rozpowszechnianiem utworu. Uczelni w rozumieniu przepisów o szkolnictwie wyższym przysługuje pierwszeństwo w opublikowaniu pracy dyplomowej studenta. Jeżeli uczelnia nie opublikowała pracy dyplomowej w ciągu 6 miesięcy od jej obrony, student, który ją przygotował, może ją opublikować, chyba że praca dyplomowa jest częścią utworu zbiorowego. 1.2.3.2. Dozwolony użytek chronionych utworów Bez zezwolenia twórcy wolno nieodpłatnie korzystać z już rozpowszechnionego utworu w zakresie własnego użytku osobistego. Przepis ten nie upoważnia do budowania według cudzego utworu architektonicznego i architektoniczno- urbanistycznego oraz do korzystania z elektronicznych baz danych spełniających cechy utworu, chyba że dotyczy to własnego użytku naukowego niezwiązanego z celem zarobkowym. Zakres własnego użytku osobistego obejmuje korzystanie z pojedynczych egzemplarzy utworów przez krąg osób pozostających w związku osobistym, w szczególności pokrewieństwa, powinowactwa lub stosunku towarzyskiego. Nie wymaga zezwolenia twórcy przejściowe lub incydentalne zwielokrotnianie utworów, niemające samodzielnego znaczenia gospodarczego, a stanowiące integralną i podstawową część procesu technologicznego oraz mające na celu wyłącznie umożliwienie: przekazu utworu w systemie teleinformatycznym pomiędzy osobami trzecimi przez pośrednika; zgodnego z prawem korzystania z utworu. Wolno rozpowszechniać w celach informacyjnych w prasie, radiu i telewizji: 1) już rozpowszechnione: a) sprawozdania o aktualnych wydarzeniach, b) aktualne artykuły na tematy polityczne, gospodarcze lub religijne, chyba że zostało wyraźnie zastrzeżone, że ich dalsze rozpowszechnianie jest zabronione, c) aktualne wypowiedzi i fotografie reporterskie; 2) krótkie wyciągi ze sprawozdań i artykułów, o których mowa w pkt 1 lit. a i b; 3) przeglądy publikacji i utworów rozpowszechnionych; 4) mowy wygłoszone na publicznych zebraniach i rozprawach; nie upoważnia to jednak do publikacji zbiorów mów jednej osoby; 5) krótkie streszczenia rozpowszechnionych utworów. Za korzystanie z utworów, o których mowa w ust. 1 pkt 1 lit. b i c, twórcy przysługuje prawo do wynagrodzenia. Rozpowszechnianie utworów na podstawie ust. 1 jest dozwolone zarówno w oryginale, jak i w tłumaczeniu. Przepisy ust. 1–3 stosuje się odpowiednio do publicznego udostępniania utworów w taki sposób, aby każdy mógł mieć do nich dostęp w miejscu i czasie przez siebie wybranym, z tym że jeżeli wypłata wynagrodzenia, o którym mowa w ust. 2, nie nastąpiła na podstawie umowy z uprawnionym, wynagrodzenie jest wypłacane za pośrednictwem właściwej organizacji zbiorowego zarządzania prawami autorskimi lub prawami pokrewnymi. Instytucje naukowe i oświatowe mogą, w celach dydaktycznych lub prowadzenia własnych badań, korzystać z rozpowszechnionych utworów w oryginale i w tłumaczeniu oraz sporządzać w tym celu egzemplarze fragmentów rozpowszechnionego utworu. Biblioteki, archiwa i szkoły mogą: udostępniać nieodpłatnie, w zakresie swoich zadań statutowych, egzemplarze utworów rozpowszechnionych; sporządzać lub zlecać sporządzanie egzemplarzy rozpowszechnionych utworów w celu uzupełnienia, zachowania lub ochrony własnych zbiorów; udostępniać zbiory pośrednictwem dla celów końcówek badawczych systemu lub poznawczych informatycznego za (terminali) znajdujących się na terenie tych jednostek. Wolno przytaczać rozpowszechnionych w utworach utworów lub stanowiących drobne utwory samoistną w całość całości, w urywki zakresie uzasadnionym wyjaśnianiem, analizą krytyczną, nauczaniem lub prawami gatunku twórczości. Wolno w celach dydaktycznych i naukowych zamieszczać rozpowszechnione drobne utwory lub fragmenty większych utworów w podręcznikach i wypisach. Wolno w celach dydaktycznych i naukowych zamieszczać rozpowszechnione drobne utwory lub fragmenty większych utworów w antologiach. Ośrodki informacji lub dokumentacji mogą sporządzać i rozpowszechniać własne opracowania dokumentacyjne oraz pojedyncze egzemplarze, nie większych niż jeden arkusz wydawniczy, fragmentów opublikowanych utworów. Twórca albo właściwa organizacja zbiorowego zarządzania prawami autorskimi lub prawami pokrewnymi jest uprawniona do pobierania od ośrodków wynagrodzenia za odpłatne udostępnianie egzemplarzy fragmentów utworów. 1.2.3.3. Czas trwania autorskich praw majątkowych Z zastrzeżeniem wyjątków przewidzianych w ustawie, autorskie prawa majątkowe gasną z upływem lat siedemdziesięciu: od śmierci twórcy, a do utworów współautorskich – od śmierci współtwórcy, który przeżył pozostałych; w odniesieniu do utworu, którego twórca nie jest znany – od daty pierwszego rozpowszechnienia, chyba że pseudonim nie pozostawia wątpliwości co do tożsamości autora lub jeżeli autor ujawnił swoją tożsamość; w odniesieniu do utworu, do którego autorskie prawa majątkowe przysługują z mocy ustawy innej osobie niż twórca – od daty rozpowszechnienia utworu, a gdy utwór nie został rozpowszechniony – od daty jego ustalenia; w odniesieniu do utworu audiowizualnego – od śmierci najpóźniej zmarłej z wymienionych osób: głównego reżysera, autora scenariusza, autora dialogów, kompozytora muzyki skomponowanej do utworu audiowizualnego. 1.2.3.4. Prawa do pierwszych wydań oraz wydań naukowych i krytycznych Wydawcy, który jako pierwszy w sposób zgodny z prawem opublikował lub w inny sposób rozpowszechnił utwór, którego czas ochrony już wygasł, a jego egzemplarze nie były jeszcze publicznie udostępniane, przysługuje wyłączne prawo do rozporządzania tym utworem i korzystania z niego na wszystkich polach eksploatacji przez okres dwudziestu pięciu lat od daty pierwszej publikacji lub rozpowszechnienia. Temu, kto po upływie czasu ochrony prawa autorskiego do utworu przygotował jego wydanie krytyczne lub naukowe, niebędące utworem, przysługuje wyłączne prawo do rozporządzania takim wydaniem i korzystania z niego w zakresie przez okres trzydziestu lat od daty publikacji. Przepisy te stosuje się odpowiednio do utworów i tekstów, które ze względu na czas ich powstania lub charakter nigdy nie były objęte ochroną prawa autorskiego. Przepisy ustawy stosuje się do pierwszych wydań: których wydawca ma na terytorium Rzeczypospolitej Polskiej miejsce zamieszkania lub siedzibę lub których wydawca ma na terytorium Europejskiego Obszaru Gospodarczego miejsce zamieszkania lub siedzibę, lub które są chronione na podstawie umów międzynarodowych, w zakresie, w jakim ich ochrona wynika z tych umów. Przepisy ustawy stosuje się do wydań naukowych i krytycznych, które: zostały dokonane przez obywatela polskiego albo osobę zamieszkałą na terytorium Rzeczypospolitej Polskiej, lub zostały ustalone po raz pierwszy na terytorium Rzeczypospolitej Polskiej, lub zostały opublikowane po raz pierwszy na terytorium Rzeczypospolitej Polskiej, lub są chronione na podstawie umów międzynarodowych, w zakresie, w jakim ich ochrona wynika z tych umów. 1.2.4. Ustawa o podpisie elektronicznym5 Ustawa określa warunki stosowania podpisu elektronicznego, skutki prawne jego stosowania, zasady świadczenia usług certyfikacyjnych oraz zasady nadzoru nad podmiotami świadczącymi te usługi. Przepisy ustawy stosuje się do podmiotów świadczących usługi certyfikacyjne, mających siedzibę lub świadczących usługi na terytorium Rzeczypospolitej Polskiej. Certyfikat wydany przez podmiot świadczący usługi certyfikacyjne, niemający siedziby na terytorium Rzeczypospolitej Polskiej i nieświadczący usług na jej terytorium, zrównuje się pod względem prawnym z kwalifikowanymi certyfikatami wydanymi przez kwalifikowany podmiot świadczący usługi certyfikacyjne, mający siedzibę lub świadczący usługi na terytorium Rzeczypospolitej Polskiej, jeżeli zostanie spełniona jedna z poniższych przesłanek: podmiot świadczący usługi certyfikacyjne, który wydał ten certyfikat, został wpisany do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne; przewiduje to umowa międzynarodowa, której stroną jest Rzeczpospolita Polska, o wzajemnym uznaniu certyfikatów; podmiot świadczący usługi certyfikacyjne, który wydał ten certyfikat, spełnia wymagania ustawy i została mu udzielona akredytacja w państwie członkowskim Unii Europejskiej; podmiot świadczący usługi certyfikacyjne, mający siedzibę na terytorium Wspólnoty Europejskiej, spełniający wymogi ustawy, udzielił gwarancji za ten certyfikat; 5 Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym, Dz.U. brzmienie od 25 lutego 2013 certyfikat ten został uznany za kwalifikowany w drodze umowy międzynarodowej zawartej pomiędzy Wspólnotą Europejską a państwami trzecimi lub organizacjami międzynarodowymi (certyfikat ten został uznany za kwalifikowany w drodze umowy o Europejskim Obszarze Gospodarczym); podmiot świadczący usługi certyfikacyjne, który wydał ten certyfikat, został uznany w drodze umowy międzynarodowej zawartej pomiędzy Wspólnotą Europejską a państwami trzecimi lub organizacjami międzynarodowymi. 1.2.4.1. Skutki prawne podpisu elektronicznego Bezpieczny podpis elektroniczny weryfikowany przy pomocy kwalifikowanego certyfikatu wywołuje skutki prawne określone ustawą, jeżeli został złożony w okresie ważności tego certyfikatu. Bezpieczny podpis elektroniczny złożony w okresie zawieszenia kwalifikowanego certyfikatu wykorzystywanego do jego weryfikacji wywołuje skutki prawne z chwilą uchylenia tego zawieszenia. Dane w postaci elektronicznej opatrzone bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu są równoważne pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi, chyba że przepisy odrębne stanowią inaczej. Bezpieczny podpis elektroniczny weryfikowany przy pomocy kwalifikowanego certyfikatu zapewnia integralność danych opatrzonych tym podpisem i jednoznaczne wskazanie kwalifikowanego certyfikatu, w ten sposób, że rozpoznawalne są wszelkie zmiany tych danych oraz zmiany wskazania kwalifikowanego certyfikatu wykorzystywanego do weryfikacji tego podpisu, dokonane po złożeniu podpisu. Bezpieczny podpis elektroniczny weryfikowany przy pomocy ważnego kwalifikowanego certyfikatu stanowi dowód tego, że został on złożony przez osobę określoną w tym certyfikacie jako składającą podpis elektroniczny. Podpis elektroniczny może być znakowany czasem. Znakowanie czasem przez kwalifikowany podmiot świadczący usługi certyfikacyjne wywołuje w szczególności skutki prawne daty pewnej w rozumieniu przepisów Kodeksu cywilnego. Uważa się, że podpis elektroniczny znakowany czasem przez kwalifikowany podmiot świadczący usługi certyfikacyjne został złożony nie później niż w chwili dokonywania tej usługi. Domniemanie to istnieje do dnia utraty ważności zaświadczenia certyfikacyjnego wykorzystywanego do weryfikacji tego znakowania. Przedłużenie istnienia domniemania wymaga kolejnego znakowania czasem podpisu elektronicznego wraz z danymi służącymi do poprzedniej weryfikacji przez kwalifikowany podmiot świadczący tę usługę. Nie można odmówić ważności i skuteczności podpisowi elektronicznemu tylko na tej podstawie, że istnieje w postaci elektronicznej lub dane służące do weryfikacji podpisu nie mają kwalifikowanego certyfikatu, lub nie został złożony za pomocą bezpiecznego urządzenia służącego do składania podpisu elektronicznego. 1.2.4.2. Obowiązki podmiotów świadczących usługi certyfikacyjne Prowadzenie działalności w zakresie świadczenia usług certyfikacyjnych nie wymaga uzyskania zezwolenia ani koncesji. Organy władzy publicznej i Narodowy Bank Polski mogą świadczyć usługi certyfikacyjne, z zastrzeżeniem (jednostka samorządu terytorialnego może świadczyć usługi certyfikacyjne na zasadach niezarobkowych także dla członków wspólnoty samorządowej), wyłącznie na użytek własny lub innych organów władzy publicznej. Kwalifikowany podmiot świadczący usługi certyfikacyjne wydający kwalifikowane certyfikaty jest obowiązany: zapewnić techniczne i organizacyjne możliwości szybkiego i niezawodnego wydawania, zawieszania i unieważniania certyfikatów oraz określenia czasu dokonania tych czynności; stwierdzić tożsamość osoby ubiegającej się o certyfikat; zapewnić środki przeciwdziałające fałszerstwom certyfikatów i innych danych poświadczanych elektronicznie przez te podmioty, w szczególności przez ochronę urządzeń i danych wykorzystywanych przy świadczeniu usług certyfikacyjnych; zawrzeć umowę ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone odbiorcom usług certyfikacyjnych; poinformować osobę ubiegającą się o certyfikat, przed zawarciem z nią umowy, o warunkach uzyskania i używania certyfikatu, w tym o wszelkich ograniczeniach jego użycia; używać systemów do tworzenia i przechowywania certyfikatów w sposób zapewniający możliwość wprowadzania i zmiany danych jedynie osobom uprawnionym; jeżeli podmiot zapewnia publiczny dostęp do certyfikatów, to ich publikacja wymaga uprzedniej zgody osoby, której wydano ten certyfikat; udostępniać odbiorcy usług certyfikacyjnych pełny wykaz bezpiecznych urządzeń do składania i weryfikacji podpisów elektronicznych i warunki techniczne, jakim te urządzenia powinny odpowiadać; zapewnić, w razie tworzenia przez niego danych służących do składania podpisu elektronicznego, poufność procesu ich tworzenia, a także nie przechowywać i nie kopiować tych danych ani innych danych, które mogłyby służyć do ich odtworzenia, oraz nie udostępniać ich nikomu innemu poza osobą, która będzie składała za ich pomocą podpis elektroniczny; zapewnić, w razie tworzenia przez niego danych służących do składania podpisu elektronicznego, aby dane te z prawdopodobieństwem graniczącym z pewnością wystąpiły tylko raz; publikować dane, które umożliwią weryfikację, w tym również w sposób elektroniczny, autentyczności i ważności certyfikatów oraz innych danych poświadczanych elektronicznie przez ten podmiot oraz zapewnić nieodpłatny dostęp do tych danych odbiorcom usług certyfikacyjnych. Kwalifikowany podmiot świadczący usługi certyfikacyjne polegające na znakowaniu czasem jest obowiązany spełnić wymogi, o których była mowa wcześniej, oraz używać systemów do znakowania czasem, tworzenia i przechowywania zaświadczeń certyfikacyjnych, w sposób zapewniający możliwość wprowadzania i zmiany danych jedynie osobom uprawnionym, a także zapewnić, że czas w nich określony jest czasem z chwili składania poświadczenia elektronicznego i uniemożliwiają one oznaczenie czasem innym niż w chwili wykonania usługi znakowania czasem. Podmiot świadczący usługi certyfikacyjne odpowiada wobec odbiorców usług certyfikacyjnych za wszelkie szkody spowodowane niewykonaniem lub nienależytym wykonaniem swych obowiązków w zakresie świadczonych usług, chyba że niewykonanie lub nienależyte wykonanie tych obowiązków jest następstwem okoliczności, za które podmiot świadczący usługi certyfikacyjne nie ponosi odpowiedzialności i którym nie mógł zapobiec mimo dołożenia należytej staranności. Informacje związane ze świadczeniem usług certyfikacyjnych, których nieuprawnione ujawnienie mogłoby narazić na szkodę podmiot świadczący usługi certyfikacyjne lub odbiorcę usług certyfikacyjnych, a w szczególności dane służące do składania poświadczeń elektronicznych, są objęte tajemnicą. Nie są objęte tajemnicą informacje o naruszeniach ustawy przez podmiot świadczący usługi certyfikacyjne. Obowiązek zachowania tajemnicy, o której była mowa trwa przez okres 10 lat od ustania stosunków prawnych. Obowiązek zachowania tajemnicy danych służących do składania poświadczeń elektronicznych trwa bezterminowo. 1.2.4.3. Świadczenie usług certyfikacyjnych Podmiot świadczący usługi certyfikacyjne wydaje certyfikat na podstawie umowy. Odbiorca usług certyfikacyjnych jest obowiązany przechowywać dane służące do składania podpisu elektronicznego w sposób zapewniający ich ochronę przed nieuprawnionym wykorzystaniem w okresie ważności certyfikatu służącego do weryfikacji tych podpisów. Bezpieczne urządzenie służące do składania podpisu elektronicznego powinno co najmniej: uniemożliwiać pozyskiwanie danych służących do składania podpisu lub poświadczenia elektronicznego; nie zmieniać danych, które mają zostać podpisane lub poświadczone elektronicznie, oraz umożliwiać przedstawienie tych danych osobie składającej podpis elektroniczny przed chwilą jego złożenia; gwarantować, że złożenie podpisu będzie poprzedzone wyraźnym ostrzeżeniem, że kontynuacja operacji będzie równoznaczna ze złożeniem podpisu elektronicznego; zapewniać łatwe rozpoznawanie istotnych dla bezpieczeństwa zmian w urządzeniu do składania podpisu lub poświadczenia elektronicznego. Bezpieczne urządzenie służące do weryfikacji podpisu elektronicznego powinno spełniać następujące wymagania: dane używane do weryfikacji podpisu elektronicznego odpowiadają danym, które są uwidaczniane osobie weryfikującej ten podpis; podpis elektroniczny jest weryfikowany rzetelnie, a wynik weryfikacji prawidłowo wykazany; osoba weryfikująca może w sposób niebudzący wątpliwości ustalić zawartość podpisanych danych; autentyczność i ważność certyfikatów lub innych danych poświadczonych elektronicznie jest rzetelnie weryfikowana; wynik weryfikacji identyfikacji osoby składającej podpis elektroniczny jest poprawnie i czytelnie wykazywany; użycie pseudonimu jest jednoznacznie wskazane; istotne dla bezpieczeństwa zmiany w urządzeniu służącym do weryfikacji podpisu elektronicznego są sygnalizowane. Kwalifikowany certyfikat zawiera co najmniej następujące dane: numer certyfikatu; wskazanie, że certyfikat został wydany jako certyfikat kwalifikowany do stosowania zgodnie z określoną polityką certyfikacji; określenie podmiotu świadczącego usługi certyfikacyjne wydającego certyfikat i państwa, w którym ma on siedzibę, oraz numer pozycji w rejestrze kwalifikowanych podmiotów świadczących usługi certyfikacyjne; imię i nazwisko lub pseudonim osoby składającej podpis elektroniczny; użycie pseudonimu musi być wyraźnie zaznaczone; dane służące do weryfikacji podpisu elektronicznego; oznaczenie początku i końca okresu ważności certyfikatu; poświadczenie elektroniczne podmiotu świadczącego usługi certyfikacyjne, wydającego dany certyfikat; ograniczenia zakresu ważności certyfikatu, jeżeli przewiduje to określona polityka certyfikacji; ograniczenie najwyższej wartości granicznej transakcji, w której certyfikat może być wykorzystywany, jeżeli przewiduje to polityka certyfikacji lub umowa. 1.2.4.4. Ważność certyfikatów Certyfikat jest ważny w okresie w nim wskazanym. Podmiot świadczący usługi certyfikacyjne unieważnia certyfikat kwalifikowany przed upływem okresu jego ważności, jeżeli: certyfikat ten został wydany na podstawie nieprawdziwych lub nieaktualnych danych; nie dopełnił obowiązków określonych w ustawie; osoba składająca podpis elektroniczny weryfikowany na podstawie tego certyfikatu nie dopełniła obowiązków; podmiot świadczący usługi certyfikacyjne zaprzestaje świadczenia usług certyfikacyjnych, a jego praw i obowiązków nie przejmie inny kwalifikowany podmiot; zażąda tego osoba składająca podpis elektroniczny lub osoba trzecia wskazana w certyfikacie; zażąda tego minister właściwy do spraw gospodarki; osoba składająca podpis elektroniczny utraciła pełną zdolność do czynności prawnych. Unieważnienie certyfikatu nie wyłącza odpowiedzialności podmiotu świadczącego usługi certyfikacyjne za szkodę względem osoby składającej podpis elektroniczny. W przypadku istnienia uzasadnionego podejrzenia, że istnieją przesłanki do unieważnienia kwalifikowanego certyfikatu, podmiot świadczący usługi certyfikacyjne jest obowiązany niezwłocznie zawiesić certyfikat i podjąć działania nie-zbędne do wyjaśnienia tych wątpliwości. Zawieszenie kwalifikowanego certyfikatu nie może trwać dłużej niż 7 dni. Po upływie tego okresu w przypadku niemożności wyjaśnienia wątpliwości, podmiot świadczący usługi certyfikacyjne niezwłocznie unieważnia kwalifikowany certyfikat. Certyfikat, który został zawieszony, może zostać następnie unieważniony lub jego zawieszenie może zostać uchylone. Certyfikat, który został unieważniony, nie może być następnie uznany za ważny. O unieważnieniu lub zawieszeniu certyfikatu podmiot świadczący usługi certyfikacyjne zawiadamia niezwłocznie osobę składającą podpis elektroniczny weryfikowany na jego podstawie. Zawieszenie lub unieważnienie certyfikatu nie może następować z mocą wsteczną. Podmiot świadczący usługi certyfikacyjne publikuje listę zawieszonych i unieważnionych certyfikatów. Informacje o zawieszeniu lub unieważnieniu certyfikatu umieszcza się na każdej liście zawieszonych i unieważnionych certyfikatów publikowanej przed dniem upływu okresu ważności certyfikatu oraz na pierwszej liście publikowanej po upływie tego okresu. 1.2.4.5. Udzielanie akredytacji i dokonywanie wpisu do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne Podmiot świadczący usługi certyfikacyjne lub zamierzający podjąć taką działalność może wystąpić o wpis do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne. Świadczenie usług certyfikacyjnych w charakterze kwalifikowanego podmiotu świadczącego usługi certyfikacyjne wymaga uzyskania wpisu do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne i uzyskania zaświadczenia certyfikacyjnego wykorzystywanego do weryfikowania poświadczeń elektronicznych tego podmiotu, wydanego przez ministra właściwego do spraw gospodarki, Wpisu do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne dokonuje się na wniosek podmiotu, który zamierza świadczyć lub świadczy usługi certyfikacyjne. W przypadku braków we wniosku, minister właściwy do spraw gospodarki wzywa wnioskodawcę do jego uzupełnienia, wyznaczając termin nie krótszy niż 7 dni. Termin, o którym mowa, może zostać przedłużony na umotywowany wniosek wnioskodawcy złożony przed upływem tego terminu. Nieuzupełnienie wniosku w wyznaczonym terminie skutkuje odrzuceniem wniosku. 1.2.4.6. Nadzór nad działalnością kwalifikowanych podmiotów świadczących usługi certyfikacyjne Minister właściwy do spraw gospodarki sprawuje nadzór nad przestrzeganiem przepisów ustawy przez kwalifikowane podmioty, zapewniając ochronę interesów odbiorców usług certyfikacyjnych. Zadanie to minister właściwy do spraw gospodarki realizuje w szczególności poprzez: prowadzenie rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne; wydawanie i unieważnianie zaświadczeń certyfikacyjnych; kontrolę działalności podmiotów świadczących usługi certyfikacyjne pod względem zgodności z ustawą; nakładanie kar przewidzianych w ustawie. Minister właściwy do spraw gospodarki przeprowadza kontrolę: z urzędu; na żądanie prokuratora lub sądu, albo innych organów państwowych upoważnionych do tego na podstawie ustaw w związku z prowadzonymi przez nie postępowaniami w sprawach dotyczących działalności podmiotów świadczących usługi certyfikacyjne. 1.2.5. Ustawa o ochronie baz danych6 Ochronie określonej w ustawie podlegają bazy danych, z wyłączeniem baz danych spełniających cechy utworu określone w ustawie o ochronie praw autorskich i pokrewnych. W rozumieniu ustawy: baza danych oznacza zbiór danych lub jakichkolwiek innych materiałów i elementów zgromadzonych według określonej systematyki lub metody, indywidualnie dostępnych w jakikolwiek sposób, w tym środkami elektronicznymi, wymagający istotnego, co do jakości lub ilości, nakładu inwestycyjnego w celu sporządzenia, weryfikacji lub prezentacji jego zawartości; pobieranie danych oznacza stałe lub czasowe przejęcie lub przeniesienie całości lub istotnej, co do jakości lub ilości, części zawartości bazy danych na inny nośnik, bez względu na sposób lub formę tego przejęcia lub przeniesienia, z zastrzeżeniem art. 3 tzn. wypożyczenie baz danych nie stanowi pobierania danych lub wtórnego ich wykorzystania; wtórne wykorzystanie oznacza publiczne udostępnienie bazy danych w dowolnej formie, a w szczególności poprzez rozpowszechnianie, bezpośrednie przekazywanie lub najem; producentem bazy danych jest osoba fizyczna, prawna lub jednostka organizacyjna nieposiadająca osobowości prawnej, która ponosi ryzyko nakładu inwestycyjnego przy tworzeniu bazy danych. Ilekroć w ustawie jest mowa o producencie należy przez to rozumieć także jego następcę prawnego. Ochrona przyznana bazom danych nie obejmuje programów komputerowych użytych do sporządzenia baz danych lub korzystania z nich. Z ochrony korzystają bazy danych, których: 6 Ustawa o ochronie baz danych, z dnia 27 lipca 2001 r., Dz.U. z 2001 r. Nr 128, poz. 1402 producent jest obywatelem Rzeczypospolitej Polskiej albo ma na jej terytorium swoją siedzibę; producent jest obywatelem państwa członkowskiego Unii Europejskiej lub ma miejsce stałego pobytu na terytorium Wspólnoty Europejskiej; producent jest osobą prawną założoną zgodnie z prawem państwa członkowskiego Unii Europejskiej, posiadającą siedzibę i zakład główny wykonywania działalności na terytorium Wspólnoty Europejskiej; jeżeli producent posiada tylko siedzibę na terytorium Wspólnoty Europejskiej, jego działalność musi być istotnie i trwale związana z gospodarką państwa członkowskiego Unii Europejskiej; ochrona wynika z umów międzynarodowych, na zasadach i w zakresie w nich określonych; producent jest podmiotem niewymienionym wyżej i jest przedsiębiorcą w rozumieniu ustawy z dnia 19 listopada 1999 r. - Prawo działalności gospodarczej (Dz.U. Nr 101, poz. 1178, z 2000 r. Nr 86, poz. 958 i Nr 114, poz. 1193 oraz z 2001 r. Nr 49, poz. 509 i Nr 67, poz. 679). Producentowi bazy danych przysługuje wyłączne i zbywalne prawo pobierania danych i wtórnego ich wykorzystania w całości lub w istotnej części, co do jakości lub ilości. Producent bazy danych udostępnionej publicznie w jakikolwiek sposób nie może zabronić użytkownikowi korzystającemu zgodnie z prawem z takiej bazy danych, pobierania lub wtórnego wykorzystania w jakimkolwiek celu nieistotnej, co do jakości lub ilości, części jej zawartości. Jeżeli użytkownik korzystający zgodnie z prawem z bazy danych jest uprawniony do pobierania lub wtórnego wykorzystania jedynie części bazy danych, do której został uprawniony. Korzystanie z baz danych nie może naruszać normalnego korzystania z baz danych lub godzić w słuszne interesy producenta baz danych. Wolno korzystać z istotnej, co do jakości lub ilości, części rozpowszechnionej bazy danych: do własnego użytku osobistego, ale tylko z zawartości nieelektronicznej bazy danych; w charakterze ilustracji, w celach dydaktycznych lub badawczych, ze wskazaniem źródła, jeżeli takie korzystanie jest uzasadnione niekomercyjnym celem, dla którego wykorzystano bazę; do celów bezpieczeństwa wewnętrznego, postępowania sądowego lub administracyjnego. Nie jest dozwolone powtarzające się i systematyczne pobieranie lub wtórne wykorzystanie sprzeczne z normalnym korzystaniem i powodujące nieusprawiedliwione naruszenie słusznych interesów producenta. Pierwsza sprzedaż kopii bazy danych na terytorium Rzeczypospolitej Polskiej przez uprawnionego lub za jego zgodą wyczerpuje prawo do kontrolowania odsprzedaży tej kopii na tym terytorium. Pierwsza sprzedaż kopii bazy danych w państwach członkowskich Unii Europejskiej przez uprawnionego lub za jego zgodą wyczerpuje prawo do kontrolowania odsprzedaży tej kopii na ich terytorium. 1. Czas trwania ochrony bazy danych liczy się od jej sporządzenia przez okres piętnastu lat następujących po roku, w którym baza danych została sporządzona. 2. Jeżeli w okresie, o którym mowa w ust. 1, baza danych została w jakikolwiek sposób udostępniona publicznie, okres jej ochrony wygasa z upływem piętnastu lat następujących po roku, w którym doszło do jej udostępnienia po raz pierwszy. 3. W przypadku jakiejkolwiek istotnej, zmiany treści bazy danych, co do jakości lub ilości, w tym jej uzupełnienia, zmiany lub usunięcia jej części, mających znamiona nowego istotnego, co do jakości lub ilości, nakładu okres jej ochrony liczy się odrębnie. Producent bazy danych może żądać od osoby, która naruszyła jego prawo do bazy danych, zaniechania naruszeń, przywrócenia stanu zgodnego z prawem i wydania bezprawnie uzyskanej korzyści majątkowej. Producent bazy danych może również żądać naprawienia wyrządzonej szkody na zasadach ogólnych. 1.2.6. Ustawa o świadczeniu usług drogą elektroniczną7 Ustawa określa: 7 obowiązki usługodawcy związane ze świadczeniem usług drogą elektroniczną; Ustawa z dnia 18 lipca 2002 r. O świadczeniu usług drogą elektroniczną, Dz.U. 2002 nr 144 poz. 1204, stan prawny 2013r. zasady wyłączania odpowiedzialności usługodawcy z tytułu świadczenia usług drogą elektroniczną; zasady ochrony danych osobowych osób fizycznych korzystających z usług świadczonych drogą elektroniczną. Przepisów ustawy nie stosuje się do: rozpowszechniania lub rozprowadzania programów radiowych lub programów telewizyjnych i związanych z nimi przekazów tekstowych w rozumieniu ustawy z dnia 29 grudnia 1992 r. o radiofonii i telewizji (Dz. U. z 2011 r. Nr 43, poz. 226 i Nr 85, poz. 459), z wyłączeniem programów rozpowszechnianych wyłącznie w systemie teleinformatycznym; używania poczty elektronicznej lub innego równorzędnego środka komunikacji elektronicznej między osobami fizycznymi, w celach osobistych niezwiązanych z prowadzoną przez te osoby, chociażby ubocznie, działalnością zarobkową lub wykonywanym przez nie zawodem; świadczenia przez przedsiębiorcę telekomunikacyjnego usług telekomunikacyjnych, z niektórymi wyłączeniami; świadczenia usług drogą elektroniczną, jeżeli odbywa się ono w ramach struktury organizacyjnej usługodawcy, przy czym usługa świadczona drogą elektroniczną służy wyłącznie do kierowania pracą lub procesami gospodarczymi tego podmiotu. Świadczenie usług drogą elektroniczną podlega prawu państwa członkowskiego Unii Europejskiej oraz Europejskiego Porozumienia o Wolnym Handlu (EFTA) – strony umowy o Europejskim Obszarze Gospodarczym, na którego terytorium usługodawca ma miejsce zamieszkania lub siedzibę. Przepisu nie stosuje się do: ochrony praw autorskich i praw pokrewnych w rozumieniu ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz. U. z 2006 r. Nr 90, poz. 631, z późn. zm.2)), baz danych w rozumieniu ustawy z dnia 27 lipca 2001 r. o ochronie baz danych (Dz. U. Nr 128, poz. 1402, z 2004 r. Nr 96, poz. 959 oraz z 2007 r. Nr 99, poz. 662 i Nr 176, poz. 1238) oraz własności przemysłowej w rozumieniu ustawy z dnia 30 czerwca 2000 r. – Prawo własności przemysłowej (Dz. U. z 2003 r. Nr 119, poz. 1117, z późn. zm.3)); emisji pieniądza elektronicznego przez instytucje, o których mowa w art. 50 ustawy z dnia 12 września 2002 r. o elektronicznych instrumentach płatniczych (Dz. U. Nr 169, poz. 1385, z późn. zm.4)), wykonywania na terytorium Rzeczypospolitej Polskiej działalności ubezpieczeniowej przez zagraniczny zakład ubezpieczeń, o którym mowa w art. 128 ust. 1 ustawy z dnia 22 maja 2003 r. o działalności ubezpieczeniowej (Dz. U. Nr 124, poz. 1151, z późn. zm.5)); udostępniania na terytorium Rzeczypospolitej Polskiej informacji reklamowych przez fundusz zagraniczny, o którym mowa w art. 2 pkt 9 ustawy z dnia 27 maja 2004 r. o funduszach inwestycyjnych (Dz. U. Nr 146, poz. 1546, z późn. zm.6)); umów z udziałem konsumentów – w zakresie, w jakim ochronę praw konsumentów zapewniają przepisy odrębne; warunków dopuszczalności przesyłania niezamówionych informacji handlowych za pośrednictwem poczty elektronicznej. Przepis nie skutkuje również wyłączeniem swobody stron w zakresie wyboru prawa właściwego dla zobowiązań umownych, oraz wyłączeniem stosowania przepisów o formie czynności prawnych ustanawiających lub przenoszących prawa rzeczowe na nieruchomościach, które obowiązują w państwie, w którym znajduje się nieruchomość. Świadczenie usług drogą elektroniczną w zakresie gier hazardowych podlega prawu polskiemu, w przypadku gdy gra hazardowa jest urządzana na terytorium Rzeczypospolitej Polskiej lub usługobiorca uczestniczy na terytorium Rzeczypospolitej Polskiej w grze hazardowej, lub usługa jest kierowana do usługobiorców na terytorium Rzeczypospolitej Polskiej, w szczególności dostępne jest korzystanie z niej w języku polskim lub jest reklamowana na terytorium Rzeczypospolitej Polskiej. Na zasadach określonych przez przepisy odrębne swoboda świadczenia usług drogą elektroniczną może zostać ograniczona, jeżeli jest to niezbędne ze względu na ochronę zdrowia, obronność, bezpieczeństwo państwa lub bezpieczeństwo publiczne. Zadania polegające na współpracy z państwami członkowskimi Unii Europejskiej oraz Europejskiego Porozumienia o Wolnym Handlu (EFTA) – stronami umowy o Europejskim Obszarze Gospodarczym w zakresie świadczenia usług drogą elektroniczną wykonują jednostki organizacyjne – punkty kontaktowe dla administracji. Zadania polegające na: umożliwieniu usługodawcom i usługobiorcom otrzymywania informacji ogólnych na temat ich praw i obowiązków, jak również na temat procedur reklamacyjnych oraz naprawiania szkody w przypadku sporów, łącznie z informacjami na temat praktycznych aspektów związanych z wykorzystaniem tych procedur, umożliwieniu usługodawcom i usługobiorcom uzyskiwania danych szczegó-łowych dotyczących władz, stowarzyszeń lub organizacji, od których mogą oni otrzymać dalsze informacje lub praktyczną pomoc – wykonują jednostki organizacyjne – punkty kontaktowe dla usługodawców i usługobiorców. Punkty kontaktowe, o których mowa wyżej tworzy, w drodze rozporządzenia, minister właściwy do spraw gospodarki w porozumieniu z ministrem właściwym do spraw informatyzacji. Rozporządzenie, o którym wyżej, określa w szczególności: liczbę i rodzaj punktów kontaktowych oraz ich szczegółowy zakres zadań, warunki techniczne i organizacyjne punktu kontaktowego – uwzględniając potrzebę zapewnienia właściwej realizacji zadań punktów kontaktowych. Jeżeli ustawa wymaga uzyskania zgody usługobiorcy to zgoda ta nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, Usługodawca wykazuje uzyskanie zgody, o której mowa wcześniej, dla celów dowodowych. 1.2.6.1. Obowiązki usługodawcy świadczącego usługi drogą elektroniczną 1. Usługodawca podaje, w sposób wyraźny, jednoznaczny i bezpośrednio dostępny poprzez system teleinformatyczny, którym posługuje się usługobiorca, informacje podstawowe określone wcześniej. 2. Usługodawca podaje: 1. Adresy elektroniczne. 2. Imię, nazwisko, miejsce zamieszkania i adres albo nazwę lub firmę oraz siedzibę i adres. 3. Jeżeli usługodawcą jest przedsiębiorca, podaje on również informacje dotyczące właściwego zezwolenia i organu zezwalającego, w razie gdy świadczenie usługi wymaga, na podstawie odrębnych przepisów, takiego zezwolenia. 4. Przepis ust. 3 nie narusza obowiązku określonego w art. 21 pkt 2 ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz. U. Nr 173, poz. 1807). 5. Jeżeli usługodawcą jest osoba fizyczna, której prawo do wykonywania zawodu jest uzależnione od spełnienia określonych w odrębnych ustawach wymagań, podaje również: w przypadku ustanowienia pełnomocnika, jego imię, nazwisko, miejsce zamieszkania i adres albo jego nazwę lub firmę oraz siedzibę i adres; samorząd zawodowy, do którego należy; tytuł zawodowy, którego używa oraz państwo, w którym został on przyznany; numer w rejestrze publicznym, do którego jest wpisany wraz ze wskazaniem nazwy rejestru i organu prowadzącego rejestr; informację o istnieniu właściwych dla danego zawodu zasad etyki zawodowej oraz o sposobie dostępu do tych zasad. Usługodawca jest obowiązany zapewnić usługobiorcy dostęp do aktualnej informacji o: szczególnych zagrożeniach związanych z korzystaniem z usługi świadczonej drogą elektroniczną, funkcji i celu oprogramowania lub danych niebędących składnikiem treści usługi, wprowadzanych przez usługodawcę do systemu teleinformatycznego, którym posługuje się usługobiorca. Usługodawca zapewnia działanie systemu teleinformatycznego, którym się posługuje, umożliwiając nieodpłatnie usługobiorcy: 1. W razie, gdy wymaga tego właściwość usługi: korzystanie przez usługobiorcę z usługi świadczonej drogą elektroniczną, w sposób uniemożliwiający dostęp osób nieuprawnionych do treści przekazu składającego się na tę usługę, w szczególności przy wykorzystaniu technik kryptograficznych odpowiednich dla właściwości świadczonej usługi; jednoznaczną identyfikację stron usługi świadczonej drogą elektroniczną oraz potwierdzenie faktu złożenia oświadczeń woli i ich treści, niezbędnych do zawarcia drogą elektroniczną umowy o świadczenie tej usługi, w szczególności przy wykorzystaniu bezpiecznego podpisu elektronicznego w rozumieniu ustawy z dnia 18 września 2001 r. o podpisie elektronicznym (Dz. U. Nr 130, poz. 1450), zakończenie, w każdej chwili, korzystania z usługi świadczonej drogą elektroniczną. Usługodawca: określa regulamin świadczenia usług drogą elektroniczną, zwany dalej „regulaminem”; nieodpłatnie udostępnia usługobiorcy regulamin przed zawarciem umowy o świadczenie takich usług, a także – na jego żądanie – w taki sposób, który umożliwia pozyskanie, odtwarzanie i utrwalanie treści regulaminu za pomocą systemu teleinformatycznego, którym posługuje się usługobiorca. Usługobiorca nie jest związany tymi postanowieniami regulaminu, które nie zostały mu udostępnione w sposób, o którym była mowa wcześniej. Regulamin określa w szczególności: 1. Rodzaje i zakres usług świadczonych drogą elektroniczną. 2. Warunki świadczenia usług drogą elektroniczną, w tym: wymagania techniczne niezbędne do współpracy z systemem teleinformatycznym, którym posługuje się usługodawca; zakaz dostarczania przez usługobiorcę treści o charakterze bezprawnym. 3. Warunki zawierania i rozwiązywania umów o świadczenie usług drogą elektroniczną. 4. Tryb postępowania reklamacyjnego. Usługodawca świadczy usługi drogą elektroniczną zgodnie z regulaminem. 1. Informacja handlowa jest wyraźnie wyodrębniana i oznaczana w sposób niebudzący wątpliwości, że jest to informacja handlowa. 2. Informacja handlowa zawiera: oznaczenie podmiotu, na którego zlecenie jest ona rozpowszechniana, oraz jego adresy elektroniczne; wyraźny opis form działalności promocyjnej, w szczególności obniżek cen, nieodpłatnych świadczeń pieniężnych lub rzeczowych i innych korzyści; wszelkie informacje, które mogą mieć wpływ na określenie zakresu odpowiedzialności stron, w szczególności ostrzeżenia i zastrzeżenia. Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej. Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny. Działanie, o którym mowa w ust. 1, stanowi czyn nieuczciwej konkurencji w rozumieniu przepisów ustawy, o której mowa w art. 9 ust. 3 pkt 1. 1.2.6.2. Wyłączenie odpowiedzialności usługodawcy z tytułu świadczenia usług drogą elektroniczną Usługodawca, który świadczy usługi drogą elektroniczną obejmujące transmisję w sieci telekomunikacyjnej danych przekazywanych przez odbiorcę usługi lub zapewnienie dostępu do sieci telekomunikacyjnej w rozumieniu ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne, nie ponosi odpowiedzialności za treść tych danych, jeżeli: nie jest inicjatorem przekazu danych; nie wybiera odbiorcy przekazu danych; nie wybiera oraz nie modyfikuje informacji zawartych w przekazie. Wyłączenie odpowiedzialności, o którym mowa wyżej, obejmuje także automatyczne i krótkotrwałe pośrednie przechowywanie transmitowanych danych, jeżeli działanie to ma wyłącznie na celu przeprowadzenie transmisji, a dane nie są przechowywane dłużej, niż jest to w zwykłych warunkach konieczne dla zrealizowania transmisji. Nie ponosi odpowiedzialności za przechowywane dane ten, kto transmitując dane oraz zapewniając automatyczne i krótkotrwałe pośrednie przechowywanie tych danych w celu przyspieszenia ponownego dostępu do nich na żądanie innego podmiotu: nie modyfikuje danych; posługuje się uznanymi i stosowanymi zwykle w tego rodzaju działalności technikami informatycznymi określającymi parametry techniczne dostępu do danych i ich aktualizowania; nie zakłóca posługiwania się technikami informatycznymi uznany-mi i stosowanymi zwykle w tego rodzaju działalności w zakresie zbierania informacji o korzystaniu ze zgromadzonych danych. Nie ponosi odpowiedzialności za przechowywane dane ten, kto niezwłocznie usunie dane albo uniemożliwi dostęp do przechowywanych danych, gdy uzyska wiadomość, że dane zostały usunięte z początkowego źródła transmisji lub dostęp do nich został uniemożliwiony, albo gdy sąd lub inny właściwy organ nakazał usunięcie danych lub uniemożliwienie do nich dostępu. Nie ponosi odpowiedzialności za przechowywane dane ten, kto udostępniając zasoby systemu teleinformatycznego w celu przechowywania danych przez usługobiorcę, nie wie o bezprawnym charakterze danych lub związanej z nimi działalności, a w razie otrzymania urzędowego zawiadomienia lub uzyskania wiarygodnej wiadomości o bezprawnym charakterze danych lub związanej z nimi działalności niezwłocznie uniemożliwi dostęp do tych danych. Usługodawca, który otrzymał urzędowe zawiadomienie o bezprawnym charakterze przechowywanych danych dostarczonych przez usługobiorcę i uniemożliwił dostęp do tych danych, nie ponosi odpowiedzialności względem tego usługobiorcy za szkodę powstałą w wyniku uniemożliwienia dostępu do tych danych. Usługodawca, który uzyskał wiarygodną wiadomość o bezprawnym charakterze przechowywanych danych dostarczonych przez usługobiorcę i uniemożliwił dostęp do tych danych, nie odpowiada względem tego usługobiorcy za szkodę powstałą w wyniku uniemożliwienia dostępu do tych danych, jeżeli niezwłocznie zawiadomił usługobiorcę o zamiarze uniemożliwienia do nich dostępu. 1.2.6.3. Zasady ochrony danych osobowych w związku ze świadczeniem usług drogą elektroniczną 1. Do przetwarzania danych osobowych w rozumieniu ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926), w związku ze świadczeniem usług drogą elektroniczną, stosuje się przepisy tej ustawy, o ile przepisy niniejszego rozdziału nie stanowią inaczej. 2. Dane osobowe podlegają ochronie przewidzianej w niniejszym rozdziale w zakresie ich przetwarzania niezależnie od tego, czy jest ono dokonywane w zbiorach danych. Dane osobowe usługobiorcy mogą być przetwarzane przez usługodawcę w celu i zakresie określonym w niniejszej ustawie. 1. Usługodawca może przetwarzać następujące dane osobowe usługobiorcy niezbędne do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego między nimi: nazwisko i imiona usługobiorcy; numer ewidencyjny PESEL lub – gdy ten numer nie został nadany – numer paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość; adres zameldowania na pobyt stały; adres do korespondencji, jeżeli jest inny niż adres zameldowania; dane służące do weryfikacji podpisu elektronicznego usługobiorcy; adresy elektroniczne usługobiorcy. 2. W celu realizacji umów lub dokonania innej czynności prawnej z usługobiorcą, usługodawca może przetwarzać inne dane niezbędne ze względu na właściwość świadczonej usługi lub sposób jej rozliczenia. 3. Usługodawca wyróżnia i oznacza te spośród danych, o których mowa w ust. 2, jako dane, których podanie jest niezbędne do świadczenia usługi drogą elektroniczną. 4. Usługodawca może przetwarzać, za zgodą usługobiorcy, inne dane dotyczące usługobiorcy, które nie są niezbędne do świadczenia usługi drogą elektroniczną. 5. Usługodawca może przetwarzać następujące dane charakteryzujące sposób korzystania przez usługobiorcę z usługi świadczonej drogą elektroniczną (dane eksploatacyjne): oznaczenia identyfikujące usługobiorcę; oznaczenia identyfikujące zakończenie sieci telekomunikacyjnej lub system teleinformatyczny, z którego korzystał usługobiorca; informacje o rozpoczęciu, zakończeniu oraz zakresie każdorazowego korzy-stania z usługi świadczonej drogą elektroniczną; informacje o skorzystaniu przez usługobiorcę z usług świadczonych drogą elektroniczną. 6. Usługodawca udziela informacji o danych, o których mowa wyżej, organom państwa na potrzeby prowadzonych przez nie postępowań. Usługodawca nie może przetwarzać danych osobowych usługobiorcy po zakończeniu korzystania z usługi świadczonej drogą elektroniczną. Po zakończeniu korzystania z usługi świadczonej drogą elektroniczną usługodawca może przetwarzać tylko te które są: niezbędne do rozliczenia usługi oraz dochodzenia roszczeń z tytułu płatności za korzystanie z usługi; niezbędne do celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę, za zgodą usługobiorcy; niezbędne do wyjaśnienia okoliczności niedozwolonego korzystania z usługi; dopuszczone do przetwarzania na podstawie odrębnych ustaw lub umowy. Rozliczenie usługi świadczonej drogą elektroniczną przedstawione usługobiorcy nie może ujawniać rodzaju, czasu trwania, częstotliwości i innych parametrów technicznych poszczególnych usług, z których skorzystał usługobiorca, chyba że zażądał on szczegółowych informacji w tym zakresie. Dopuszcza się zestawianie danych dotyczących korzystania przez usługobiorcę z różnych usług świadczonych drogą elektroniczną, pod warunkiem usunięcia wszelkich oznaczeń identyfikujących usługobiorcę lub zakończenie sieci telekomunikacyjnej albo system teleinformatyczny, z którego korzystał (anonimizacja danych), chyba że usługobiorca wyraził uprzednio zgodę na nieusuwanie tych oznaczeń. Usługodawca nie może zestawiać danych osobowych usługobiorcy z przybranym przez niego pseudonimem. Usługodawca, który przetwarza dane osobowe usługobiorcy, jest obowiązany zapewnić usługobiorcy dostęp do aktualnej informacji o: możliwości korzystania z usługi świadczonej drogą elektroniczną anonimowo lub z wykorzystaniem pseudonimu; udostępnianych przez usługodawcę środkach technicznych zapobiegających pozyskiwaniu i modyfikowaniu przez osoby nieuprawnione, danych osobowych przesyłanych drogą elektroniczną; podmiocie, któremu powierza przetwarzanie danych, ich zakresie i zamierzonym terminie przekazania, jeżeli usługodawca zawarł z tym podmiotem umowę o powierzenie do przetwarzania danych. Informacje, o których mowa wyżej, powinny być dla usługobiorcy stale i łatwo dostępne za pomocą systemu teleinformatycznego, którym się posługuje. W przypadku uzyskania przez usługodawcę wiadomości o korzystaniu przez usługobiorcę z usługi świadczonej drogą elektroniczną niezgodnie z regulaminem lub z obowiązującymi przepisami (niedozwolone korzystanie), usługodawca może przetwarzać dane osobowe usługobiorcy w zakresie niezbędnym do ustalenia odpowiedzialności usługobiorcy, pod warunkiem że utrwali dla celów dowodowych fakt uzyskania oraz treść tych wiadomości. Usługodawca może powiadomić usługobiorcę o jego nieuprawnionych działaniach z żądaniem ich niezwłocznego zaprzestania. Odmowa świadczenia usługi drogą elektroniczną z powodu nieudostępnienia przez usługobiorcę wymaganych danych jest dopuszczalna tylko wtedy, gdy przetwarzanie tych danych jest niezbędne ze względu na sposób funkcjonowania systemu teleinformatycznego zapewniającego świadczenie usługi drogą elektroniczną lub właściwość usługi albo wynika z odrębnych ustaw. Usługodawca umożliwia usługobiorcy korzystanie z usługi lub uiszczanie opłat za nią, jeżeli usługa świadczona drogą elektroniczną jest odpłatna, w sposób anonimowy albo przy użyciu pseudonimu, o ile jest to technicznie możliwe oraz zwyczajowo przyjęte. 1.3. Dokumenty wykonawcze Rozporządzenie Prezesa Rady Ministrów: z dnia 20 lipca 2011 r. w sprawie wzoru świadectwa akredytacji bezpieczeństwa systemu teleinformatycznego (Dz. U.11.156.926); z dnia 20 lipca 2011 r. w sprawie podstawowych bezpieczeństwa teleinformatycznego (Dz. U.11.159.948); wymagań z dnia 20 lipca 2011 r. w sprawie opłat za przeprowadzenie przez Agencję Bezpieczeństwa Wewnętrznego albo Służbę Kontrwywiadu Wojskowego czynności z zakresu bezpieczeństwa teleinformatycznego (Dz. U. 11.159.949); z dnia 7 grudnia 2011 r. w sprawie nadawania, przyjmowania, przewożenia, wydawania i ochrony materiałów zawierających informacje niejawne (Dz. U.11.271.1603); z dnia 22 grudnia 2011 r. w sprawie sposobu oznaczania materiałów i umieszczania na nich klauzul tajności (Dz. U. 11.288.1692); Rozporządzenia MON: z dnia 19 grudnia 2013 r. w sprawie szczegółowych zadań pełnomocników ochrony w zakresie ochrony informacji niejawnych w jednostkach organizacyjnych podległych Ministrowi Obrony Narodowej lub przez niego nadzorowanych; Zarządzenia MON: Nr 57 z dnia 16 grudnia 2011 r. w sprawie szczególnego sposobu organizacji i funkcjonowania kancelarii tajnych oraz innych niż kancelaria tajna komórek organizacyjnych odpowiedzialnych za przetwarzanie informacji niejawnych, sposobu i trybu przetwarzania informacji niejawnych oraz doboru i stosowania środków bezpieczeństwa fizycznego; nr 46 z dnia 24 grudnia 2013 r. w sprawie szczególnego sposobu organizacji i funkcjonowania kancelarii kryptograficznych; Decyzje MON: Nr 153 z dnia 21 kwietnia 2011 r. w sprawie uchylenia decyzji w sprawie trybu akredytacji bezpieczeństwa fizycznego i technicznego pomieszczeń specjalnych (Dz. U. MON 11.9.124); nr 61/MON z dnia 5 marca 2012 r. w sprawie sprawowania nadzoru nad ochroną informacji niejawnych w jednostkach organizacyjnych podległych Ministrowi Obrony Narodowej lub przez niego nadzorowanych oraz w komórkach organizacyjnych Ministerstwa Obrony Narodowej; nr 290 z dnia 29 lipca 2011 r. w sprawie przeglądu materiałów zawierających informacje niejawne; nr 363 z dnia 28 września 2011 r. w sprawie wprowadzania do użytku ,,Wytycznych MON w sprawie określania zasad postępowania z materiałami zawierającymi informacje niejawne oznaczone klauzulą ,,poufne’’ i ,,zastrzeżone’’ (Dz. U. MON 11.20.302); nr 378 z dnia 12 października 2011 r. w sprawie wprowadzenia do użytku w MON ,, Instrukcji kancelaryjnej MON’’; nr 381 z dnia 17 października 2011 r. w sprawie ewidencji osób posiadających uprawnienia do dostępu do informacji niejawnych w MON (Dz. Urz. MON 11.21.319); Dokumenty wydane przez Służbę Kontrwywiadu Wojskowego : Zalecenia w zakresie bezpieczeństwa teleinformatycznego DBBT-801 B; Przykłady dokumentacji wstępnego szacowania ryzyka DBBT 811.3; Zalecenia w zakresie ochrony fizycznej i technicznej pomieszczeń systemów i sieci teleinformatycznych DBBT 301 C; ustawienia zabezpieczeń Windows NT 4.0 w systemach przetwarzających informacje niejawne. DBBT-802A; zalecenia w sprawie instalacji urządzeń przeznaczonych do przetwarzania informacji niejawnych. DBPO-701B; zalecenia w zakresie certyfikacji urządzeń i narzędzi kryptograficznych będących rozwiązaniem sprzętowym (elektronicznym), programowym lub sprzętowo-programowym oraz urządzeń służącym do składania i weryfikacji podpisu elektronicznego. DBBT-901A; wymagania Służb Ochrony Państwa na dokumentację do certyfikacji urządzeń kryptograficznych przeznaczonych do ochrony informacji niejawnych; Normy określające wymagania z zakresu bezpieczeństwa teleinformatycznego: PN-ISO/IEC 17799:2007 Technika informatyczna. Techniki bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem informacji; PN-ISO/IEC 15408-1:2002 Technika informatyczna. Techniki zabezpieczeń. Kryteria oceny zabezpieczeń informatycznych. Część 1: Wprowadzenie i model ogólny; PN-ISO/IEC 15408-3:2002 Technika informatyczna. Techniki zabezpieczeń. Kryteria oceny zabezpieczeń informatycznych. Część 3: Wymagania uzasadnienia zaufania do zabezpieczeń; PN-I-13335-1:1999 Technika informatyczna. Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. Pojęcia i modele bezpieczeństwa systemów informatycznych; PN-ISO/IEC 27001:2007 Technika informatyczna. Techniki bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji. Wymagania; PN-T-20001-02:1992 Współdziałanie Systemy systemów otwartych przetwarzania (OSI). informacji. Podstawowy Model Odniesienia. Architektura zabezpieczeń.; Dokumenty NATO: Procedury w zakresie zabezpieczenia, ewidencji oraz zaopatrywania w środki i materiały kryptograficzne. Dyrektywa bezpieczeństwa – AD-90-9 PL; Zasady rejestracji AMSG-293 PL. i dystrybucji w dziedzinie kryptografii –