Skip to content
Start arrow Nowiny arrow Aktualności arrow 10-ta rocznica wejścia Polski do NATO oraz uchwalenia ustawy o ochronie informacji niejawnych
10-ta rocznica wejścia Polski do NATO oraz uchwalenia ustawy o ochronie informacji niejawnych PDF Drukuj Email
12 marca b.r. obchodziliśmy 10-tą już rocznicę akcesji Polski do Sojuszu Północnoatlantyckiego. Dokładnie 12 marca 1999 w Independence w stanie Missouri oficjalnie przyjęto trzy byłe państwa bloku wschodniego do NATO. Organizacja ta powstała w 1949 roku, a po wstąpieniu Polski, Czech i Węgier zwiększyła liczebność do 19 członków. Niewątpliwie było to doniosłe wydarzenie, które zmieniło układ sił politycznych na wschodzie Europy. Prezydent RP Lech Kaczyński powiedział wręcz w okolicznościowym wystąpieniu, że dzień przystąpienia Polski do NATO był "drugim przełomem po roku 1989".

Wspominając dzień akcesji i ogrom przygotowań z nim związanych warto zwrócić uwagę na zmianę przepisów, jaka się wówczas dokonała. Zmiana regulacji prawnych związanych z ochroną informacji była bowiem jednym z warunków ubiegania się Polski o przyjęcie do struktur NATO. Nowa ustawa zastąpiła krytykowaną, przestarzałą i nieprzystającą do zasad konstytucji oraz standardów NATO ustawę z 1982 r. o ochronie tajemnicy państwowej i służbowej. Nowe prawo spełniło wymagania konstytucji, zgodnie z którą ograniczenia wolności informacyjnej mogą wynikać tylko z ustaw. Ustawodawca zdefiniował tajemnice, wprowadzając jasność w materii informacji szczególnie wrażliwych, wskazał organy zobowiązane do tworzenia wykazów informacji stanowiących tajemnice, precyzyjnie określił krąg osób dopuszczonych do ich posiadania oraz stworzył zasady i tryb zwalniania od przestrzegania tajemnicy. Ciekawostką jest fakt, że ustawa nie zawiera informacji o sankcjach karnych. Kwestię tę reguluje kodeksowi karny w rozdziale XXXIII zatytułowanym: "Przestępstwa przeciwko ochronie informacji".

Osoby tworzące nową ustawę uznały, że warunkiem skutecznego funkcjonowania systemu ochrony informacji niejawnych jest stosowanie się do kilku kluczowych zasad:
- zasada ograniczonego dostępu (z ang. need to know) - informacje niejawne mogą być udostępnione wyłącznie osobie dającej rękojmię zachowania tajemnicy i tylko w zakresie niezbędnym do wykonywania przez nią pracy na zajmowanym stanowisku.

- zasada udostępniania informacji niejawnych wyłącznie osobom gwarantującym ich ochronę przed nieuprawnionym ujawnieniem - warunkiem wykonywania obowiązków związanych z dostępem do informacji niejawnych jest uzyskanie odpowiedniego poświadczenia bezpieczeństwa (z wyjątkami określonymi w ustawie) oraz odbycie przeszkolenia w zakresie ochrony informacji niejawnych,

- zasada podporządkowania środków ochrony klauzuli informacji - stosowana na podstawie przepisów ustawy oraz wydanych do niej aktów wykonawczych. Środki ochrony fizycznej i zasady bezpieczeństwa obiegu dokumentów muszą być adekwatne do klauzuli tajności wytwarzanych, przetwarzanych, przekazywanych i przechowywanych informacji,

- zasada dostosowania zakresu środków ochrony fizycznej do uwarunkowań i specyfiki danej instytucji - zgodnie z ustawą zakres stosowania środków ochrony fizycznej musi jednocześnie odpowiadać klauzuli tajności i ilości informacji niejawnych (zasada podporządkowania środków ochrony klauzuli informacji) oraz poziomowi dostępu do takich informacji zatrudnionych osób,

- zasada kontroli wytwórcy nad sposobem ochrony informacji - osoba, która jest upoważniona do podpisania dokumentu lub oznaczenia innego niż dokument materiału (wytwórca), ma prawo do przyznania klauzuli tajności, która jednoznacznie określa środki ochrony danej informacji. Bez zgody tej osoby lub jej przełożonego klauzula tajności nie może być obniżona ani zniesiona,

- zakaz zaniżania lub zawyżania klauzuli tajności - celem tej zasady jest stosowanie środków ochrony adekwatnych do wagi danej informacji, a w konsekwencji uniknięcie ponoszenia zbędnych kosztów związanych z zawyżaniem klauzuli tajności oraz koncentracja środków na ochronie informacji wymagających specjalnych środków bezpieczeństwa.

Od dnia wejścia w życie w marcu 1999 r. ustawa była wielokrotnie nowelizowana, ale tylko dwukrotnie zmiany miały poważniejszy charakter. Pierwsza wynikała z wyroku Trybunału Konstytucyjnego z 10 maja 2000 r. stwierdzającego niezgodność ówczesnego art. 42 ust. 1 z przepisami Konstytucji Rzeczypospolitej Polskiej. W wyniku tamtej nowelizacji wprowadzono do ustawy nowy Rozdział 5a "Postępowanie odwoławcze i skargowe", regulujący zasady odwołania się osoby sprawdzanej od odmowy wydania jej poświadczenia bezpieczeństwa. Kolejna kluczowa nowelizacja miała miejsce 15 kwietnia 2005 r., gdy Sejm RP uchwalił ustawę o zmianie ustawy o ochronie informacji niejawnych i niektórych innych ustaw (Dz.U. nr 85, poz. 727 z dnia 16 maja br.). Zmianie uległ cały rozdział poświęcony bezpieczeństwu przemysłowemu oraz bezpieczeństwu teleinformatycznemu. Ponadto w sferze bezpieczeństwa fizycznego i organizacji ochrony informacji niejawnych wprowadzone zostały zmiany o charakterze praktycznym, jak możliwość utworzenia w jednej jednostce organizacyjnej kilku kancelarii tajnych, wprowadzenie możliwości różnicowania środków ochrony w zależności od poziomu tajności dokumentów przechowywanych przez kancelarię tajną, doprecyzowano kompetencje pionu ochrony w zakresie ochrony jednostki organizacyjnej, a także stworzono podstawę prawną powołania zastępcy pełnomocnika ochrony. Istotną zmianą było również wydłużenie okresów ważności poświadczeń bezpieczeństwa.

Po upływie 4 lat od ostatniej nowelizacji ustawa ochronie informacji niejawnych wydaje się być niewystarczająco funkcjonalna, gdyż pisana była w innych realiach. Ustawodawca opracowując ustawę w jej pierwotnej wersji oparł się na standardach obowiązujących wówczas w Unii Europejskiej. Pewnym wzorcem była również polityka bezpieczeństwa Sojuszu Północnoatlantyckiego (dokument C-M(55)15 Final). Warto w tym miejscu wspomnieć, że ów dokument jest datowany na 1955 rok i większość jego założeń uległa dezaktualizacji. Mając świadomość tego faktu, szczególnie z powodu postępu technologicznego, sojusz Północnoatlantycki przyjął w 2002 roku nową politykę bezpieczeństwa – C-M(2002)49. Jego istota sprowadza się do stosowania większej elastyczności w podejściu do ochrony informacji poprzez stosowania zasad zarządzania ryzykiem. Jest to podejście o tyle innowacyjne, że dawniej opierano się na sztywno określonych standardach minimalnych.
Wśród niedoskonałości funkcjonowania systemu ochrony informacji niejawnych wymienić należy stosunkowo częste zjawisko, jakim jest zawyżanie klauzul. W parze idzie klauzulowanie dużej ilości informacji, co sprawia że przetwarza je wiele jednostek organizacyjnych i prowadzi to do generowania sporych kosztów, obciążających budżet państwa. Na tle regulacji unijnych wyróżnia się szczególnie definiowanie informacji o klauzuli „zastrzeżone” jako prawnie chronionych interesów obywateli i jednostek organizacyjnych (np. protokół wywiadu alimentacyjnego). Podejście to wydaje się zbyt daleko idące, a do ochrony tego typu danych spokojnie wystarczą instrumenty, jakie daje ustawa o ochronie danych osobowych.Do rozwiązań nietypowych zaliczyć można niespotykany nigdzie dwustopniowy system klasyfikowania informacji – najpierw na tajemnicę państwową bądź służbową, a następnie na określoną klauzulę. Rzadko spotykanym rozwiązaniem jest także załącznik do ustawy, zawierający wykaz informacji stanowiących tajemnicę państwową.

Ustawa przechodziła kilka nowelizacji, ale upływ czasu sprawił że wciąż jest niedoskonała i wymaga zmian. Nowelizacja ostatnia (z 2005 roku) objęła tak dużą liczbę artykułów, że kolejne poprawki zapewne uczyniłyby przepisy bardziej zawiłymi i niejasnymi. W tej sytuacji bardziej zasadne wydaje się napisanie ustawy od nowa. Jest to szczególnie ważne w kontekście zbliżającej się polskiej prezydencji w Unii Europejskiej. Obecne niespójności i różnice pomiędzy naszymi przepisami a tymi obowiązującymi w krajach UE mogą znacznie utrudnić sprawną realizację zadań wynikających z prezydencji. Fundamentalną zasadą przyświecającą pracom nad nową ustawą powinno być uproszczenie istniejącego systemu. Dobrą drogą ku temu wydaje się być zdefiniowanie na nowo poszczególnych klauzul. Warto również przemyśleć stosowanie zasad zarządzania ryzykiem przy określaniu wymogów bezpieczeństwa fizycznego i teleinformatycznego. Dobrym przykładem jest zarządzenie nr 1024 MSWiA z maja 2004 w sprawie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Stanisław Zarodkiewicz
 
Wstecz