Rozdział 4 - ZARZĄDZANIE INFORMACJAMI NIEJAWNYMI UE - Decyzja 2015/444 w sprawie przepisów bezpieczeństwa dotyczących ochrony informacji niejawnych UE
Dzienniki UE
Dz.U.UE.L.2015.72.53
Akt obowiązujący Wersja od: 17 marca 2015 r.
ROZDZIAŁ 4
ZARZĄDZANIE INFORMACJAMI NIEJAWNYMI UE
ZARZĄDZANIE INFORMACJAMI NIEJAWNYMI UE
Podstawowe zasady
1.
Wszystkimi dokumentami zawierającymi EUCI należy zarządzać zgodnie z polityką Komisji dotyczącą zarządzania dokumentami i w związku z tym należy je rejestrować, wypełniać, przechowywać i na koniec usuwać, wyrywkowo kontrolować lub przekazywać do archiwów historycznych, zgodnie ze wspólnym wykazem zatrzymywanych danych na poziomie Komisji w odniesieniu do akt Komisji Europejskiej.2.
Informacje niejawne z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższą są ze względów bezpieczeństwa rejestrowane przed dystrybucją i w momencie wpłynięcia. Informacje niejawne z klauzulą tajności TRES SECRET UE/EU TOP SECRET rejestruje się w wyznaczonych kancelariach tajnych.3.
W obrębie Komisji ustanawia się system kancelarii tajnych UE, zgodnie z przepisami art. 27.4.
Departamenty Komisji i obiekty, w których korzysta się z EUCI lub je przechowuje, poddawane są regularnym inspekcjom prowadzonym przez organ ds. bezpieczeństwa Komisji.5.
Poza strefami chronionymi fizycznie EUCI są przekazywane między jednostkami organizacyjnymi i obiektami w sposób następujący:a)
co do zasady EUCI są przekazywane drogą elektroniczną chronioną przy użyciu produktów kryptograficznych zatwierdzonych zgodnie z rozdziałem 5;b)
jeżeli nie stosuje się sposobu, o którym mowa w lit. a), EUCI są przekazywane:(i)
za pomocą środków elektronicznych (jak np. pamięć USB, płyty kompaktowe, twarde dyski) chronionych przy użyciu produktów kryptograficznych zatwierdzonych zgodnie z rozdziałem 5; albo(ii)
we wszystkich innych przypadkach - zgodnie z przepisami wykonawczymi.Klauzule tajności i oznaczenia
1.
Jeżeli należy chronić poufność informacji, nadaje się im klauzulę tajności, w myśl art. 3 ust. 1.2.
Jak stanowią odpowiednie przepisy wykonawcze, normy i wytyczne dotyczące nadawania klauzul, za określenie poziomu klauzuli tajności i za początkową dystrybucję informacji odpowiada wytwórca EUCI.3.
Poziom klauzuli tajności EUCI określa się zgodnie z art. 3 ust. 2 i odpowiednimi przepisami wykonawczymi.4.
Klauzulę tajności wskazuje się wyraźnie i poprawnie, niezależnie od tego, czy EUCI występują w pisemnej, ustnej, elektronicznej lub jakiejkolwiek innej formie.5.
Poszczególne części danego dokumentu (np. strony, ustępy, sekcje, załączniki, dodatki, załączone dokumenty i uzupełnienia) mogą wymagać nadania różnych klauzul tajności i stosowanego oznaczenia, także wtedy, gdy są przechowywane w formie elektronicznej.6.
Ogólna klauzula tajności dokumentu lub pliku jest co najmniej tak wysoka jak klauzula tajności tej części dokumentu, która została oznaczona najwyższą klauzulą tajności. W przypadku zebrania informacji pochodzących z różnych źródeł sprawdza się ostateczną wersję dokumentu w celu określenia jego ogólnej klauzuli tajności, gdyż może istnieć konieczność nadania mu klauzuli tajności wyższej niż klauzule jego poszczególnych części.7.
W stopniu, w jakim jest to możliwe, dokumenty, których częściom nadaje się różne klauzule tajności, są sporządzane w taki sposób, aby części oznaczone różnymi klauzulami można było łatwo zidentyfikować i w razie potrzeby oddzielić.8.
Klauzula tajności pisma lub noty zawierających załączniki ma taki poziom jak najwyższa klauzula tajności nadana załącznikom. Wytwórca wyraźnie wskazuje, jaki poziom klauzuli tajności ma być nadany takiemu pismu lub nocie po ich odłączeniu od załączników, stosując w tym celu odpowiednie oznaczenie, np.:CONFIDENTIEL UE/EU CONFIDENTIAL
Bez załącznika(-ów) RESTREINT UE/EU RESTRICTED
Oznaczenia
W uzupełnieniu klauzuli tajności, określonej w art. 3 ust. 2, EUCI można opatrzyć dodatkowymi oznaczeniami, do których należą:
a)
dane identyfikujące wytwórcę;b)
wszelkie oznaczenia zastrzegające, kody słowne lub akronimy określające obszar działalności, do którego odnosi się dany dokument, szczególny sposób dystrybucji dokumentu zgodnie z zasadą ograniczonego dostępu lub ograniczenia w zakresie wykorzystania;c)
oznaczenia dotyczące możliwości udostępnienia;d)
w stosownych przypadkach data lub konkretne wydarzenie, po których klauzula tajności może zostać obniżona lub zniesiona.Skrócone oznaczenia klauzul tajności
1.
W celu nadania poziomu klauzuli tajności pojedynczym ustępom tekstu można stosować standardowe skrócone oznaczenia klauzul tajności. Skróty nie zastępują pełnych nazw klauzul tajności.2.
W celu wskazania poziomu klauzuli tajności sekcji lub ciągłych fragmentów tekstu krótszych niż jedna strona w dokumentach niejawnych UE można stosować następujące standardowe skróty:TRES SECRET UE/EU TOP SECRET TS-UE/EU-TS
SECRET UE/EU SECRET S-UE/EU-S S-UE/EU-S
CONFIDENTIEL UE/EU CONFIDENTIAL C-UE/EU-C
RESTREINT UE/EU RESTRICTED R-UE/EU-R
Wytwarzanie EUCI
1.
Przy wytwarzaniu dokumentu niejawnego UE:a)
każdą stronę wyraźnie oznacza się klauzulą tajności;b)
numeruje się każdą stronę;c)
na dokumencie umieszcza się numer rejestracyjny i temat, który nie stanowi informacji niejawnej, chyba że z jego oznaczenia wynika inaczej;d)
na dokumencie umieszcza się datę;e)
na każdej stronie dokumentów z klauzulą tajności SECRET UE/EU SECRET lub wyższą, które mają zostać rozpowszechnione w kilku kopiach, umieszcza się numer kopii.2.
Jeżeli do EUCI nie można zastosować ustępu 1, podejmowane są inne odpowiednie środki zgodnie z przepisami wykonawczymi.Obniżanie i znoszenie klauzul tajności EUCI
1.
W momencie wytwarzania EUCI wytwórca wskazuje, o ile to możliwe, czy z daną datą lub w następstwie konkretnego wydarzenia klauzula tajności EUCI może zostać obniżona lub zniesiona.2.
Każdy departament Komisji przeprowadza regularne przeglądy EUCI, których jest wytwórcą, aby stwierdzić, czy dana klauzula tajności ma nadal zastosowanie. Na podstawie przepisów wykonawczych ustanowiony zostaje system służący do przeglądu klauzul tajności nadanych zarejestrowanym EUCI wytworzonym w obrębie Komisji nie rzadziej niż co pięć lat. Przedmiotowy przegląd nie jest konieczny, jeżeli wytwórca wskazał na samym początku, że klauzula tajności nadana danym informacjom zostanie automatycznie obniżona lub zniesiona, a informacje te zostały odpowiednio oznaczone.3.
Po trzydziestu latach klauzula tajności RESTREINT UE/EU RESTRICTED, jaką oparzone są informacje wytworzone w Komisji, będzie uważana za automatycznie zniesiona zgodnie z rozporządzeniem (EWG, Euratom) nr 354/83 zmienionym rozporządzeniem Rady (WE, Euratom) nr 1700/2003 10 .System kancelarii tajnych UE w Komisji
1.
Bez uszczerbku dla art. 52 ust. 5 poniżej, w każdym departamencie Komisji, w którym korzysta się z EUCI opatrzonych klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL i SECRET UE/EU SECRET lub je przechowuje, określa się odpowiedzialną lokalną kancelarię tajną UE zapewniającą zgodność korzystania z EUCI z niniejszą decyzją.2.
Kancelaria tajna UE zarządzana przez Sekretariat Generalny stanowi główną kancelarię tajną UE Komisji. Kancelaria ta pełni funkcję:-
lokalnej kancelarii tajnej UE na porzeby Sekretariatu Generalnego Komisji;-
kancelarii tajnej UE na potrzeby prywatnych gabinetów członków Komisji, chyba że członkowie ci posiadają wyznaczoną lokalną kancelarię tajną UE;-
kancelarii tajnej UE na potrzeby dyrekcji generalnej lub służb nieposiadających żadnej lokalnej kancelarii tajnej UE;-
głównego punktu, do którego wpływają i z którego przekazywane są wszystkie informacje z klauzulą tajności RESTREINT UE/EU RESTRICTED i wyższą, w tym SECRET UE/EU SECRET, wymieniane między Komisją, jej służbami i państwami trzecimi i organizacjami międzynarodowymi oraz, jeżeli jest to przewidziane w szczególnych ustaleniach, z innymi instytucjami, agencjami i organami UE.3.
Organ ds. bezpieczeństwa Komisji wyznacza w obrębie Komisji kancelarię tajną będącą głównym organem otrzymującym i przesyłającym informacje niejawne z klauzulą tajności TRES SECRET UE/EU TOP SECRET. W razie potrzeby można wyznaczyć podległe kancelarie tajne do wykorzystywania takich informacji do celów rejestracji.4.
Przedmiotowe podległe kancelarie tajne nie mogą przekazywać dokumentów z klauzulą tajności TRES SECRET UE/ EU TOP SECRET bezpośrednio innym podległym kancelariom tajnym podlegającym tej samej głównej kancelarii tajnej TRES SECRET UE/EU TOP SECRET ani na zewnątrz bez wyraźnego pisemnego upoważnienia ze strony tej ostatniej.5.
Kancelarie tajne UE zostają ustanowione jako strefy bezpieczeństwa określone w rozdziale 3 i akredytuje je organ ds. akredytacji bezpieczeństwa Komisji (SAA).Urzędnik kontroli kancelarii
1.
Każda kancelaria tajna UE zarządzana jest przez urzędnika kontroli kancelarii.2.
Urzędnik kontroli kancelarii zostaje odpowiednio sprawdzony.3.
Urzędnik kontroli kancelarii podlega nadzorowi lokalnego pełnomocnika ochrony w ramach departamentu Komisji w zakresie stosowania przepisów dotyczących korzystania z dokumentów zawierających EUCI oraz przestrzegania odpowiednich przepisów bezpieczeństwa, standardów i wytycznych dotyczących bezpieczeństwa.4.
W zakresie swoich obowiązków dotyczących zarządzania kancelarią tajną UE, do której został przypisany, urzędnik kontroli kancelarii wykonuje, zgodnie z niniejszą decyzją i odpowiednimi przepisami, standardami i wytycznymi wykonawczymi, następujące ogólne zadania:-
zarządzanie czynnościami związanymi z rejestracją, konserwacją, powielaniem, tłumaczeniem, transmisją, wysyłaniem i niszczeniem lub przekazywaniem EUCI służbom archiwów historycznych;-
okresową weryfikację potrzeby utrzymania klauzuli tajności informacji;-
podejmuje się innych zadań związanych z ochroną EUCI określonych w ramach przepisów wykonawczych.Rejestracja EUCI na potrzeby bezpieczeństwa
1.
Do celów niniejszej decyzji rejestracja na potrzeby bezpieczeństwa (zwana dalej "rejestracją") oznacza stosowanie procedur rejestrowania etapów cyklu życia EUCI, w tym ich rozpowszechniania.2.
Wszystkie informacje lub materiały niejawne z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL i wyższą rejestruje się w wyznaczonych kancelariach tajnych w momencie ich wpłynięcia do jednostki organizacyjnej lub wysłania z tej jednostki.3.
W przypadku korzystania z EUCI lub ich przechowywania przy użyciu systemu teleinformatycznego (CIS) procedury rejestracji mogą być prowadzone w ramach procesów w obrębie samego CIS.4.
Bardziej szczegółowe przepisy dotyczące rejestracji EUCI na potrzeby bezpieczeństwa określono w przepisach wykonawczych.Kopiowanie i tłumaczenie dokumentów niejawnych UE
1.
Dokumenty z klauzulą tajności TRES SECRET UE/EU TOP SECRET nie mogą być kopiowane ani tłumaczone bez wcześniejszej pisemnej zgody ich wytwórcy.2.
Jeżeli wytwórca dokumentów niejawnych z klauzulą tajności SECRET UE/EU SECRET i niższą nie zgłosił oznaczeń zastrzegających w odniesieniu do ich kopiowania lub tłumaczenia, dokumenty takie można kopiować lub tłumaczyć na polecenie posiadacza.3.
Środki bezpieczeństwa, które mają zastosowanie do oryginalnego dokumentu, mają zastosowanie do jego kopii i tłumaczeń.Przenoszenie EUCI
1.
EUCI przenosi się w taki sposób, aby podczas przenoszenia chronić je przed nieuprawnionym ujawnieniem.2.
Przenoszenie EUCI podlega środkom ochronnym, które:-
są proporcjonalne do poziomu klauzuli tajności przenoszonych EUCI; oraz-
są dostosowane do szczególnych warunków ich przenoszenia, zależących w szczególności od faktu, czy EUCI są przenoszone:-
w obrębie budynku Komisji lub grupy budynków Komisji stanowiącej zamkniętą całość;-
między budynkami Komisji mieszczącymi się w tym samym państwie członkowskim;-
na terytorium Unii;-
z terytorium Unii na terytorium państwa trzeciego; oraz-
są dostosowane do charakteru i formy EUCI.3.
Przedmiotowe środki ochronne określono szczegółowo w przepisach wykonawczych lub, w przypadku projektów i programów, o których mowa w art. 42, stanowią one integralną część odpowiednich instrukcji bezpieczeństwa programu lub projektu.4.
Przepisy wykonawcze lub instrukcje bezpieczeństwa programu lub projektu zawierają przepisy proporcjonalne do poziomu klauzuli tajności EUCI w odniesieniu do:-
sposobu ich przenoszenia, np. osobiście, za pośrednictwem kurierów dyplomatycznych lub wojskowych, za pośrednictwem usług pocztowych lub prywatnych służb kurierskich;-
pakowania EUCI;-
technicznych środków przeciwdziałania w przypadku przenoszenia EUCI na nośnikach elektronicznych;-
wszystkich innych środków proceduralnych, fizycznych lub elektronicznych;-
procedur rejestracji;-
wykorzystania pracowników posiadających upoważnienie w zakresie bezpieczeństwa.5.
W przypadku przenoszenia EUCI na nośnikach elektronicznych, niezależnie od przepisów art. 21 ust. 5, środki ochronne określone w odpowiednich przepisach wykonawczych mogą być uzupełnione o odpowiednie techniczne środki przeciwdziałania zatwierdzone przez organ ds. bezpieczeństwa Komisji, co pozwoli zminimalizować ryzyko utraty lub narażenia na szwank bezpieczeństwa informacji.Niszczenie EUCI
1.
Dokumenty niejawne UE, które nie są już potrzebne, mogą zostać zniszczone z uwzględnieniem przepisów dotyczących archiwizowania oraz zasad i przepisów Komisji dotyczących zarządzania dokumentami i archiwizowania, a w szczególności zgodnie ze wspólnym wykazem zatrzymywanych danych na poziomie Komisji.2.
EUCI z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższą są niszczone przez urzędnika kontroli kancelarii odpowiedniej kancelarii tajnej UE na polecenie posiadacza lub właściwego organu. Urzędnik kontroli kancelarii odpowiednio aktualizuje rejestry i inne informacje dotyczące rejestracji.3.
W odniesieniu do dokumentów niejawnych z klauzulą tajności SECRET UE/EU SECRET lub TRES SECRET UE/EU TOP SECRET niszczenia dokonuje urzędnik kontroli kancelarii w obecności świadka posiadającego poświadczenie bezpieczeństwa co najmniej na poziomie klauzuli tajności niszczonego dokumentu.4.
Osoba dokonująca rejestracji oraz świadek, jeżeli jego obecność jest wymagana, podpisują protokół zniszczenia, który zostaje włączony do dokumentacji kancelarii tajnej. Urzędnik kontroli odpowiedniej kancelarii tajnej UE przechowuje protokoły zniszczenia dokumentów z klauzulą tajności TRES SECRET UE/EU TOP SECRET przez okres co najmniej dziesięciu lat, a dokumentów niejawnych z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL i SECRET UE/ EU SECRET przez okres co najmniej pięciu lat.5.
Dokumenty niejawne, w tym dokumenty z klauzulą tajności RESTREINT UE/EU RESTRICTED, są niszczone z zastosowaniem metod, które określono w przepisach wykonawczych i które spełniają odpowiednie standardy UE lub równoważne.6.
Niszczenie komputerowych nośników EUCI odbywa się zgodnie z procedurami określonymi w przepisach wykonawczych.Niszczenie EUCI w sytuacjach nadzwyczajnych
1.
Departamenty Komisji posiadające EUCI są zobowiązane do opracowania dostosowanych do lokalnych uwarunkowań planów ochrony materiałów niejawnych UE w sytuacjach kryzysowych, uwzględniających możliwość podjęcia w razie potrzeby działań takich jak zniszczenie w trybie nagłym lub plany ewakuacji. Rozpowszechniają one instrukcje postępowania, które uznają za konieczne, aby zapobiec dostaniu się EUCI w niepowołane ręce.2.
Ustalenia dotyczące ochrony lub niszczenia materiałów z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL i SECRET UE/EU SECRET w sytuacji kryzysowej w żadnym wypadku nie wpływają niekorzystnie na ochronę lub niszczenie materiałów z klauzulą tajności TRES SECRET UE/EU TOP SECRET, w tym urządzeń szyfrujących; ich ochrona ma pierwszeństwo w stosunku do wszelkich innych działań.3.
W sytuacji nadzwyczajnej, jeżeli istnieje bezpośrednie ryzyko nieuprawnionego ujawnienia, EUCI są niszczone przez posiadacza w taki sposób, aby nie mogły zostać odtworzone w całości ani częściowo. Wytwórca i kancelaria tajna wytwórcy zostają powiadomieni o zniszczeniu zarejestrowanych EUCI w trybie nagłym.4.
Bardziej szczegółowe postanowienia dotyczące niszczenia EUCI określono w przepisach wykonawczych.10 Rozporządzenie Rady (WE, Euratom) nr 1700/2003 z dnia 22 września 2003 r. zmieniające rozporządzenie (EWG, Euratom) nr 354/83 dotyczące udostępnienia do wglądu publicznego historycznych materiałów archiwalnych Europejskiej Wspólnoty Gospodarczej i Europejskiej Wspólnoty Energii Atomowej (Dz.U. L 243 z 27.9.2003, s. 1).
© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.