Uwagi BCC do projektu ustawy o ochronie informacji niejawnych

W lipcu do konsultacji społecznych trafił rządowy projekt ustawy o ochronie informacji niejawnych. Opinia Business Centre Club jest głosem na temat proponowanej ustawy.

W opinii BCC projekt z jednej strony oznacza uproszczenie i aktualizację przepisów dotyczących ochrony informacji niejawnych, z drugiej – jest to tylko zapowiedź zmian. Bez znajomości treści aktów wykonawczych nie można bowiem w pełni ocenić zamierzeń ustawodawcy.

Opinia BCC do projektu ustawy o ochronie informacji niejawnych

Obowiązująca od ponad 10 lat ustawa o ochronie informacji niejawnych pozwoliła stworzyć współczesny system ochrony tych informacji oraz odegrała istotną rolę w okresie akcesji Polski do NATO. W okresie swego obowiązywania ustawa doczekała się 23 nowelizacji. Obecnie jednak wiele jej przepisów jest już przestarzałych i niefunkcjonalnych. Potwierdzają to praktyczne problemy, z jakimi mają do czynienia uczestnicy systemu ochrony informacji niejawnych. Na początku obecnej dekady zarówno w samym NATO, jak i w Unii Europejskiej przyjęte zostały nowe dokumenty regulujące politykę bezpieczeństwa. Nie może to pozostać bez wpływu na konieczność dostosowania naszych rozwiązań ustawowych do tych nowych standardów, zwłaszcza w perspektywie objęcia przez Polskę przewodnictwa w Radzie UE.

Projektodawca słusznie postanowił, że wobec potrzeby relatywnie dużych zmian
w dotychczasowych przepisach, kolejna ich nowelizacja byłaby działaniem nieefektywnym, skutkującym pogłębieniem doświadczanych obecnie niejasności i niespójności systemowych, co w rezultacie nie poprawiłoby jakości przedmiotowego prawa. Deklarowaną przez projektodawcę istotą nowej ustawy ma być takie unormowanie systemu ochrony informacji niejawnych, aby był on maksymalnie efektywny w sferze krajowej i zagranicznej, przy jednoczesnym jego uproszczeniu i aktualizacji, ale bez uszczerbku dla bezpieczeństwa informacji niejawnych. Ogólnie oceniając, zaproponowane zmiany legislacyjne w części stwarzają przesłanki skutecznej realizacji powyższych intencji. Na pozytywną ocenę zasługują zwłaszcza zmiany mające bezpośrednie odniesienie do przedsiębiorców zamierzających ubiegać się o zawarcie umów związanych z dostępem do informacji niejawnych lub wykonujących na podstawie przepisów prawa zadania w tym zakresie.

Już na wstępie niniejszej opinii należy wyraźnie podkreślić, że pełna ocena projektu regulacji jest znacznie utrudniona bez zapoznania się z treścią aktów wykonawczych, które będą mieć podstawowe znaczenie dla wykonywania przepisów projektowanej ustawy. Niestety przewiduje ona w art. 82, że dotychczasowe przepisy wykonawcze zachowują moc do czasu wejścia w życie nowych uregulowań, nie dłużej jednak niż przez 12 miesięcy. Może to oznaczać, że przez dłuższy czas będziemy mieli do czynienia z poważną niespójnością obowiązujących przepisów, co stwarza poważne zagrożenie dla bezpieczeństwa informacji niejawnych.

Wśród innych zarzutów wobec projektowanej ustawy trzeba wskazać, że jej zakres przedmiotowy nie jest określony dostatecznie wyraźnie i został oparty na pojęciu „informacji niejawnych” bez jego zdefiniowania. Dyskusyjne jest założenie odejścia od dotychczasowych formalnych wykazów informacji niejawnych na rzecz jednoznacznego zobowiązania wytwórców informacji do kierowania się nowymi definicjami poszczególnych klauzul. Za takim rozwiązaniem przemawiają wprawdzie doświadczenia innych państw sojuszniczych, ale z praktycznego punktu widzenia może to pogłębić trudności z klasyfikowaniem informacji na odpowiednim poziomie tajności. Dotychczasowa praktyka potwierdza, że to właśnie nieprawidłowe klauzule (a zwłaszcza ich zawyżanie bez żadnego racjonalnego uzasadnienia) były jednym z problemów obowiązującego systemu ochrony informacji niejawnych. Istnieje zatem obawa, że nowe rozwiązanie może ten stan rzeczy pogłębić (również w kierunku zaniżania klauzul).

Z punktu widzenia przedsiębiorców, w zakresie pojęć zdefiniowanych w art. 2 projektu ustawy szczególne znaczenie ma definicja, na mocy której nowe przepisy będą odnosić się do podmiotów w rozumieniu ustawy o swobodzie działalności gospodarczej, ale także do wszelkich innych jednostek organizacyjnych, niezależnie od formy własności, które w ramach prowadzonej działalności gospodarczej realizują umowy lub zadania związane z dostępem do informacji niejawnych. Dotychczasowa definicja przedsiębiorcy (a właściwie jej brak, za wyjątkiem zdefiniowania jednostki naukowej) tworzyła lukę, pomijając spółdzielnie i inne jednostki działające na podstawie odrębnych ustaw.

W dotychczasowej praktyce liczne wątpliwości i nieporozumienia powodował brak definicji pojęcia „kierownik przedsiębiorcy”, zwłaszcza w przypadku zarządów wieloosobowych, a także spółek cywilnych, jawnych, partnerskich i komandytowych oraz przedsiębiorców w stanie upadłości. Luka ta została wprawdzie wypełniona w projekcie ustawy, ale nie do końca, gdyż „kierownik przedsiębiorcy” to także kurator czy prokurent lub członek rady nadzorczej oddelegowany do pełnienia funkcji członka zarządu, gdy brak jest członków lub ich zawieszono.
W przyjętej konstrukcji projektowanej ustawy art. 5 ma zasadnicze znaczenie. Zatem wydaje się pożądane, aby doprecyzować lub zastąpić takie pojęcia, jak „wyjątkowo” duże szkody, „nieodwracalne” szkody czy „duże” szkody. Bez tego kroku problemy z nadawaniem prawidłowych klauzul nie tylko nie znikną, ale mogą dodatkowo się pogłębić. Największa zmiana w obszarze klasyfikowania informacji niejawnych dotyczy dotychczasowej „tajemnicy służbowej”, ponieważ zrezygnowano z oznaczania klauzulami „poufne” i „zastrzeżone” informacji chronionych na podstawie innych ustaw. Taka decyzja może przyczynić się do zwiększenia jawności życia publicznego. Zrozumiałe przy tym jest, że wyłączenie to nie może odnosić do ewentualnych szkód związanych z ujawnieniem informacji dotyczących bezpieczeństwa i interesów RP. Na pozytywną ocenę zasługuje wprowadzenie możliwości (art. 9) odwołania się od decyzji wytwórcy informacji niejawnej nadającego określoną klauzulę tajności do ABW lub SKW, a w przypadku dalszego sporu – do Prezesa Rady Ministrów, co powinno przyczynić się do ograniczenia bezpodstawnego zawyżania klauzul. W omawianym kontekście trzeba również przyznać, że dotychczasowy podział informacji niejawnych na tajemnicę państwową i służbową nie miał większego znaczenia praktycznego. Projektowaną w tym zakresie zmianę dodatkowo uzasadnia fakt, że podział w takiej postaci nie obowiązuje w żadnym kraju NATO lub UE.

W ramach organizacji ochrony informacji nowym rozwiązaniem jest rozszerzenie kontroli prawidłowości prowadzenia postępowań sprawdzających. Do tej pory takiej kontroli podlegały wyłącznie postępowania prowadzone przez pełnomocników ochrony w jednostkach organizacyjnych. Proponowane zapisy ustawowe przewidują możliwość kontrolowania postępowań w służbach uprawnionych do prowadzenia samodzielnych postępowań sprawdzających, bez wyłączenia ABW i SKW. Praktyka taka powinna przyczynić się do podwyższenia standardów i obiektywności postępowań.

Kluczowe decyzje dotyczą szkolenia w zakresie ochrony informacji niejawnych. Szczególne znaczenie ma wprowadzenie (art. 19) obowiązku prowadzenia szkoleń kierowników jednostek organizacyjnych przez ABW i SKW wspólnie z pełnomocnikiem ochrony, co powinno mieć istotny wpływ na wzrost świadomości osób odpowiedzialnych ustawowo za zapewnienie ochrony informacji niejawnych w jednostkach organizacyjnych. Równie ważne jest wprowadzenie cykliczności szkoleń (nie rzadziej niż co 5 lat) dla wszystkich osób (a nie tylko pełnomocników ochrony) mających dostęp do informacji niejawnych.

W zakresie uproszczenia procedur związanych z bezpieczeństwem osobowym projekt ustawy (art. 21) znosi dotychczasowy obowiązek prowadzenia postępowań sprawdzających wobec osób, które mają uzyskać dostęp do informacji niejawnych oznaczonych klauzulą „zastrzeżone”. Jest to rozwiązanie zdecydowanie słuszne, biorąc pod uwagę, że system taki jest powszechnie praktykowany w większości krajów Europy. Warunkiem dostępu do informacji niejawnych z klauzulą „zastrzeżone” będzie uzyskanie pisemnego upoważnienia kierownika jednostki organizacyjnej po odbyciu stosownego przeszkolenia. Pewnym novum jest także przyjęcie zasady prowadzenia postępowań sprawdzających przez służby wobec kierowników przedsiębiorców niezależnie od klauzuli, co pozwoli na uniknięcie sytuacji, w której pełnomocnik ochrony będzie prowadził postępowanie wobec swojego pracodawcy.

Podobnie pozytywnie należy ocenić proponowane zmiany w odniesieniu do funkcjonowania kancelarii tajnych i środków bezpieczeństwa fizycznego. Intencją projektodawcy jest złagodzenie wymagań dla podmiotów dysponujących wyłącznie informacjami o niskich klauzulach („zastrzeżone” lub „poufne”). Obowiązek organizacji kancelarii tajnych będzie dotyczył jedynie jednostek organizacyjnych dysponujących informacjami o klauzulach „ściśle tajne” lub „tajne”. Natomiast zasady obiegu informacji oznaczonych klauzulą „poufne” będzie określał kierownik jednostki organizacyjnej. W uzasadnionych przypadkach będzie możliwe zorganizowanie kancelarii tajnej obsługującej kilka jednostek organizacyjnych, co pozwoli zainteresowanym podmiotom na uniknięcie związanych z tym wysokich nakładów finansowych.

Kolejnym uproszczeniem zasad ochrony informacji niejawnych przetwarzanych w systemach teleinformatycznych jest stworzenie możliwości udzielania przez kierownika jednostki organizacyjnej akredytacji bezpieczeństwa teleinformatycznego dla systemów przetwarzających informacje z klauzulą „zastrzeżone”.

Duże znaczenie dla przedsiębiorców ma rozdział 9 projektowanej ustawy poświęcony bezpieczeństwu przemysłowemu, który określa zasady ochrony informacji niejawnych przekazywanych przedsiębiorcom podczas wykonywania umów albo zadań wynikających z przepisów prawa. Trzeba przyznać, że proponowane w tej materii rozwiązania są korzystne. Zgodnie z art. 51 w przypadku przedsiębiorców wykonujących działalność osobiście zniesiono obowiązek uzyskiwania świadectw bezpieczeństwa przemysłowego i większość rygorów z tym związanych. W takim przypadku dokumentem potwierdzającym rękojmię zachowania tajemnicy przez przedsiębiorcę będzie jego poświadczenie bezpieczeństwa osobowego. Natomiast art. 57 zwalnia przedsiębiorców ubiegających się o świadectwo bezpieczeństwa przemysłowego trzeciego stopnia (potwierdzenie zdolności przedsiębiorcy do ochrony informacji z klauzulą „poufne” lub wyższą, z wyłączeniem możliwości ich przetwarzania w użytkowanych przez niego obiektach) z kosztownego obowiązku tworzenia pionu ochrony. W takim przypadku obowiązek przeszkolenia pracowników przedsiębiorcy uprawnionych do dostępu do informacji niejawnych będzie spoczywał na pełnomocniku ochrony jednostki zamawiającej.

Podsumowując, w odniesieniu do wskazanych wyżej obszarów projekt ustawy oznacza rzeczywiste uproszczenie i aktualizację przepisów dotyczących ochrony informacji niejawnych. Inne proponowane zmiany stwarzają jedynie przesłanki realizacji intencji projektodawcy. Pełniejsza ocena ich skuteczności jest niemożliwa bez zapoznania się z treścią aktów wykonawczych, które będą miały decydujące znaczenie dla wykonywania przepisów projektowanej ustawy.

Dotychczasowa praktyka potwierdza, że stosowanie obowiązującej obecnie ustawy sprawia trudności, rodząc nierzadko wątpliwości interpretacyjne. Dla wielu podmiotów problemem są także znaczne koszty związane z funkcjonowaniem systemu ochrony informacji niejawnych. Z zadowoleniem trzeba stwierdzić, że projektowana regulacja uwzględnia również i te kwestie poprzez propozycje zmiany unormowań dotyczących postępowań sprawdzających, bezpieczeństwa fizycznego, teleinformatycznego i przemysłowego.

Projekt Ustawy

Janusz Zieliński, BCC