Ochrona informacji niejawnych - obowiązki, kary i odpowiedzialność karna w polskim prawie
Prawo karne · 5 min czytania · Redakcja zaufanyprawnik.pl
Ochrona informacji niejawnych to obszar, w którym obowiązki organizacyjne (jak zbudować bezpieczeństwo) spotykają się z odpowiedzialnością karną (co grozi za ich naruszenie). Dotyczy on nie tylko instytucji państwowych - wojska, służb, urzędów - ale także przedsiębiorców realizujących umowy związane z obronnością czy infrastrukturą krytyczną. Dwie rzeczy trzeba na wstępie sprostować, bo często się je myli. Po pierwsze, podstawą prawną nie jest już ustawa z 1999 r. - została ona uchylona i zastąpiona obowiązującą Ustawą z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych. Po drugie, organem nadzoru nad ochroną informacji niejawnych w sferze cywilnej jest Agencja Bezpieczeństwa Wewnętrznego (ABW), a w sferze wojskowej - Służba Kontrwywiadu Wojskowego (SKW), a nie żadne agencje zagraniczne. Ten artykuł wyjaśnia, jak zbudować system ochrony zgodny z polskim prawem i jaka odpowiedzialność grozi za jego naruszenie.
Klauzule tajności i podstawa prawna ochrony
Ustawa z 5 sierpnia 2010 r. wprowadza cztery klauzule tajności, nadawane informacji w zależności od szkody, jaką wyrządziłoby jej nieuprawnione ujawnienie: 'ściśle tajne' (szkoda wyjątkowo poważna dla Rzeczypospolitej Polskiej), 'tajne' (poważna szkoda), 'poufne' (szkoda) oraz 'zastrzeżone' (szkodliwy wpływ na wykonywanie zadań organów lub jednostek). Im wyższa klauzula, tym surowsze wymogi ochrony fizycznej, teleinformatycznej i osobowej. Dostęp do informacji niejawnych wymaga - poza klauzulą 'zastrzeżone' - poświadczenia bezpieczeństwa wydanego po postępowaniu sprawdzającym oraz aktualnego przeszkolenia w zakresie ochrony informacji niejawnych. Obowiązuje zasada wiedzy koniecznej (need-to-know): nawet osoba z odpowiednim poświadczeniem ma dostęp tylko do tych informacji, które są jej niezbędne do wykonywania obowiązków. To fundament całego systemu - nie wystarczy 'mieć dostęp', trzeba go realnie potrzebować.
Pełnomocnik ochrony i pion ochrony
Ustawa nakłada na kierownika jednostki organizacyjnej obowiązek wyznaczenia pełnomocnika do spraw ochrony informacji niejawnych (pełnomocnika ochrony). To on kieruje wyodrębnionym pionem ochrony i odpowiada za zapewnienie przestrzegania przepisów. Do jego zadań należą m.in.: opracowanie i aktualizacja planu ochrony informacji niejawnych oraz nadzór nad jego realizacją; prowadzenie szkoleń pracowników; prowadzenie zwykłych postępowań sprawdzających i kontrolnych postępowań sprawdzających wobec osób mających mieć dostęp do informacji 'poufnych' i wyższych; zarządzanie ryzykiem bezpieczeństwa informacji niejawnych, w tym szacowanie ryzyka; kontrola ochrony i obiegu dokumentów. Pełnomocnik ochrony podlega bezpośrednio kierownikowi jednostki i ma realne uprawnienia. W praktyce kancelarie prawne doradzają firmom i instytucjom właśnie przy tworzeniu tej struktury oraz przy reprezentacji w kontaktach z ABW lub SKW.
Strefy ochronne i bezpieczeństwo fizyczne
Środki bezpieczeństwa fizycznego dobiera się do poziomu zagrożeń i klauzuli przetwarzanych informacji. Rozporządzenie wykonawcze Rady Ministrów do ustawy z 2010 r. przewiduje organizację stref ochronnych. Strefa ochronna I to obszar, w którym przetwarzane są informacje o klauzuli 'poufne' i wyższej, z kontrolą wejść i wyjść pozwalającą ustalić, kto i kiedy przebywał w strefie. Strefa ochronna II zapewnia dodatkową warstwę wokół strefy I. Stosuje się też strefy III (administracyjne) jako bufor. W praktyce oznacza to: certyfikowane zamki i drzwi o określonej odporności, systemy sygnalizacji włamania i napadu (SSWiN), kontrolę dostępu, monitoring wizyjny, szafy i pomieszczenia o odpowiedniej klasie odporności na włamanie oraz ewidencję osób wchodzących. Dobór konkretnych środków poprzedza analiza poziomu zagrożeń. Wszystko to musi być opisane w planie ochrony i podlega kontroli ABW lub SKW.
Bezpieczeństwo teleinformatyczne i akredytacja
Skoro mowa o infrastrukturze przesyłu informacji, kluczowe są wymogi teleinformatyczne. Informacje niejawne mogą być przetwarzane w systemie teleinformatycznym dopiero po jego akredytacji bezpieczeństwa. Dla systemów przetwarzających informacje 'poufne' i wyższe akredytacji udziela ABW albo SKW, wydając świadectwo akredytacji bezpieczeństwa systemu teleinformatycznego; dla informacji 'zastrzeżonych' akredytacji dokonuje kierownik jednostki organizacyjnej. Podstawą akredytacji jest dokumentacja bezpieczeństwa: szczególne wymagania bezpieczeństwa (SWB) oraz procedury bezpiecznej eksploatacji (PBE). W systemie wyznacza się administratora systemu oraz inspektora bezpieczeństwa teleinformatycznego. Transmisja informacji niejawnych poza strefę ochronną wymaga zastosowania certyfikowanych urządzeń i narzędzi kryptograficznych. Eksploatacja systemu bez akredytacji albo z naruszeniem jej warunków to poważne uchybienie, które może skutkować odpowiedzialnością dyscyplinarną, a w razie ujawnienia informacji - karną.
Odpowiedzialność karna za ujawnienie i utratę informacji niejawnych
Najczęstsze podstawy odpowiedzialności karnej znajdują się w Kodeksie karnym. Art. 265 §1 KK: kto ujawnia lub wbrew przepisom wykorzystuje informacje niejawne o klauzuli 'tajne' lub 'ściśle tajne', podlega karze pozbawienia wolności od 3 miesięcy do 5 lat. Jeśli ujawni je osobie działającej w imieniu obcego wywiadu - od 6 miesięcy do 8 lat (art. 265 §2 KK). Nieumyślne ujawnienie takich informacji przez osobę, która zapoznała się z nimi w związku z funkcją, jest zagrożone grzywną, ograniczeniem wolności albo pozbawieniem wolności do roku (art. 265 §3 KK). Art. 266 §2 KK obejmuje funkcjonariusza publicznego, który ujawnia informację 'zastrzeżoną' lub 'poufną' - kara do 3 lat pozbawienia wolności. Najpoważniejsza jest zdrada - art. 130 KK (szpiegostwo): udział w obcym wywiadzie lub przekazanie mu wiadomości, których przekazanie może wyrządzić szkodę Rzeczypospolitej Polskiej, zagrożone karą do 10 lat, a w typie kwalifikowanym (organizowanie działalności wywiadowczej) - nawet karą surowszą, do dożywotniego pozbawienia wolności.
Reakcja na incydent i obowiązek zawiadomienia
Jeśli dojdzie do naruszenia ochrony informacji niejawnych - utraty dokumentu, włamania do systemu, nieuprawnionego dostępu - jednostka ma obowiązek niezwłocznie zareagować. Plan ochrony powinien przewidywać procedury reagowania na incydenty: zabezpieczenie miejsca i śladów, ustalenie zakresu naruszenia, ograniczenie szkody oraz zawiadomienie odpowiednich organów. O naruszeniu mogącym dotyczyć informacji 'poufnych' i wyższych zawiadamia się ABW albo SKW; o podejrzeniu przestępstwa - prokuraturę. Pełnomocnik ochrony prowadzi wewnętrzne postępowanie wyjaśniające. Kroki praktyczne dla organizacji: 1) odizolować zagrożony system lub strefę; 2) udokumentować zdarzenie (dzienniki dostępu, nagrania, logi); 3) powiadomić pełnomocnika ochrony i kierownika jednostki; 4) ocenić, jakie informacje i o jakiej klauzuli mogły zostać ujawnione; 5) zawiadomić ABW/SKW i - w razie potrzeby - prokuraturę. Szybka i udokumentowana reakcja ogranicza nie tylko szkodę, ale i ryzyko zarzutu zaniedbania wobec osób odpowiedzialnych.
Rola kancelarii i obrońcy w sprawach o naruszenie tajemnicy
Wsparcie prawne przydaje się na dwóch etapach. Prewencyjnie - kancelaria pomaga zbudować zgodny z ustawą z 2010 r. system: opracować plan ochrony, dokumentację SWB i PBE, wdrożyć strefy ochronne, przygotować organizację do kontroli ABW/SKW oraz do uzyskania świadectwa bezpieczeństwa przemysłowego, jeśli firma chce realizować kontrakty z dostępem do informacji niejawnych. Po incydencie - obrońca reprezentuje osobę, której postawiono zarzut z art. 265 lub 266 KK albo, w najpoważniejszych sprawach, z art. 130 KK. Linia obrony często koncentruje się na: braku znamion umyślności (czy doszło do świadomego ujawnienia, czy do nieumyślnego zaniedbania, które jest łagodniej karane), prawidłowości nadania klauzuli tajności danej informacji, rzeczywistym zakresie szkody oraz zachowaniu procedur przy gromadzeniu dowodów. W sprawach dotykających bezpieczeństwa państwa udział doświadczonego obrońcy jest tym istotniejszy, że materiał dowodowy bywa sam objęty klauzulą i wymaga szczególnego trybu zapoznania.
Najczęstsze pytania
Jaka ustawa reguluje ochronę informacji niejawnych w Polsce?
Obowiązuje Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych. Zastąpiła ona wcześniejszą ustawę z 22 stycznia 1999 r., która została uchylona. Określa ona m.in. cztery klauzule tajności (ściśle tajne, tajne, poufne, zastrzeżone), zasady nadawania poświadczeń bezpieczeństwa, wymogi ochrony fizycznej i teleinformatycznej oraz rolę pełnomocnika ochrony.
Co grozi za ujawnienie informacji niejawnej?
Za ujawnienie lub bezprawne wykorzystanie informacji o klauzuli 'tajne' lub 'ściśle tajne' grozi kara pozbawienia wolności od 3 miesięcy do 5 lat (art. 265 §1 KK), a w razie ujawnienia obcemu wywiadowi od 6 miesięcy do 8 lat (art. 265 §2 KK). Funkcjonariusz publiczny ujawniający informację 'poufną' lub 'zastrzeżoną' podlega karze do 3 lat (art. 266 §2 KK). Najpoważniejsze przypadki szpiegostwa są karane na podstawie art. 130 KK karą do 10 lat lub surowszą.
Kto nadzoruje ochronę informacji niejawnych?
Organem nadzoru w sferze cywilnej jest Agencja Bezpieczeństwa Wewnętrznego (ABW), a w sferze wojskowej Służba Kontrwywiadu Wojskowego (SKW). To one prowadzą postępowania sprawdzające dla wyższych klauzul, udzielają akredytacji systemom teleinformatycznym oraz przeprowadzają kontrole. Wewnątrz jednostki za przestrzeganie przepisów odpowiada pełnomocnik do spraw ochrony informacji niejawnych.
Czy do dostępu do informacji niejawnych potrzebne jest poświadczenie bezpieczeństwa?
Tak, dla klauzul 'poufne', 'tajne' i 'ściśle tajne' wymagane jest poświadczenie bezpieczeństwa wydane po przeprowadzeniu postępowania sprawdzającego oraz aktualne przeszkolenie. Dla klauzuli 'zastrzeżone' wystarczy upoważnienie kierownika jednostki i przeszkolenie. Niezależnie od poświadczenia obowiązuje zasada wiedzy koniecznej - dostęp tylko do informacji niezbędnych do wykonywania obowiązków.
Czy system informatyczny może przetwarzać informacje niejawne bez akredytacji?
Nie. System teleinformatyczny musi przejść akredytację bezpieczeństwa, zanim zacznie przetwarzać informacje niejawne. Dla klauzuli 'poufne' i wyższych akredytacji udziela ABW lub SKW (świadectwo akredytacji), dla 'zastrzeżonych' - kierownik jednostki. Podstawą są dokumenty SWB (szczególne wymagania bezpieczeństwa) i PBE (procedury bezpiecznej eksploatacji). Eksploatacja bez akredytacji to poważne uchybienie.
Co zrobić, gdy dojdzie do utraty dokumentu niejawnego?
Należy niezwłocznie powiadomić pełnomocnika ochrony i kierownika jednostki, zabezpieczyć dostępne ślady i logi, ocenić zakres i klauzulę utraconej informacji, a następnie zawiadomić ABW lub SKW, a w razie podejrzenia przestępstwa również prokuraturę. Pełnomocnik prowadzi wewnętrzne postępowanie wyjaśniające. Szybka, udokumentowana reakcja ogranicza szkodę i ryzyko zarzutu zaniedbania.
Powiązane poradniki
- Przestępstwa przeciwko ochronie informacji - art. 265-269b KK
- Ujawnienie tajemnicy państwowej (informacji niejawnej) - jaka kara grozi z art. 265 KK?
- Przestępstwa przeciwko bezpieczeństwu infrastruktury obronnej - zarys odpowiedzialności
- Obrońca w sprawach o sabotaż i działalność wywrotową - jaka jest jego rola?
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę