Decyzja dotycząca przepisów regulujących postępowanie z informacjami poufnymi w Parlamencie Europejskim

2. Tworząc informacje poufne, autor ocenia stopień poufności oraz podejmuje decyzję w oparciu o zasady określone w niniejszej instrukcji bezpieczeństwa, które dotyczą nadawania klauzuli tajności lub oznaczania takich informacji.

4. Po podjęciu decyzji o utajnieniu informacji należy dokonać drugiej wcześniejszej oceny w celu określenia stosownej klauzuli tajności. Klauzula tajności dokumentu jest określana na podstawie stopnia sensytywności zawartych w nim informacji.

5. Wyłącznie autor informacji odpowiada za nadanie jej klauzuli tajności. Urzędnicy Parlamentu nadają informacjom klauzule zgodnie z instrukcjami lub z upoważnienia sekretarza generalnego.

6. Z możliwości nadawania klauzul należy korzystać prawidłowo i oszczędnie. Autor dokumentu, który zamierza nadać mu klauzulę tajności, stara się uniknąć zarówno zawyżania, jak i zaniżania klauzuli.

7. Klauzula tajności przypisana danej informacji określa poziom ochrony przyznany jej w obszarze bezpieczeństwa osobowego, fizycznego, proceduralnego oraz zabezpieczenia informacji.

8. Informację, w przypadku której uzasadnione jest nadanie klauzuli tajności, należy oznaczać i przetwarzać jako taką niezależnie od jej formy fizycznej. Jej niejawny charakter należy wyraźnie zakomunikować odbiorcom albo przez oznaczenie klauzuli tajności (jeżeli informacja jest przekazywana w formie pisemnej, niezależnie od tego, czy na papierze, czy w CIS), albo w drodze komunikatu (jeżeli jest przekazywana ustnie, np. w trakcie rozmowy lub posiedzenia przy drzwiach zamkniętych). Materiał niejawny należy oznaczyć fizycznie, aby umożliwić łatwą identyfikację jego klauzuli tajności.

9. EUCI w formie elektronicznej można utworzyć jedynie w akredytowanym CIS. Same informacje niejawne, a także nazwa pliku i urządzenie do przechowywania (jeżeli zewnętrzne, takie jak CD-ROM lub pamięć USB) powinny być opatrzone odpowiednią klauzulą tajności.

10. Informacjom należy nadawać klauzulę tajności, gdy tylko nadana zostanie im forma. Na przykład osobiste notatki, robocze wersje lub wiadomości elektroniczne zawierające informacje, w przypadku których uzasadnione jest nadanie klauzuli tajności, należy od początku oznaczać jako EUCI oraz tworzyć i przetwarzać je zgodnie z niniejszą decyzją oraz odnośnymi zasadami postępowania pod względem fizycznym i technicznym. Z takich informacji może następnie powstać oficjalny dokument, który z kolei zostanie odpowiednio oznaczony i przetworzony. Być może podczas sporządzania oficjalny dokument trzeba poddać ponownej ocenie i nadać mu wyższą lub niższą klauzulę tajności w miarę jego opracowywania.

11. Autor może podjąć decyzję o nadaniu standardowej klauzuli tajności kategoriom informacji, które regularnie wytwarza. Musi jednak dopilnować, aby podczas tej czynności systematycznie nie zawyżać ani nie zaniżać klauzul tajności poszczególnych informacji.

12. EUCI jest zawsze opatrzona oznaczeniem klauzuli tajności odpowiadającym poziomowi jej klauzuli tajności.

20. Informacji poufnych nie dodaje się do internetowych lub intranetowych systemów zarządzania dokumentami.

30. Przy stosowaniu lub załączaniu zastrzeżeń i/lub oznaczeń należy dopilnować, aby uniknąć pomylenia z klauzulami tajności dla EUCI: RESTREINT UE/EU RESTRICTED, CONFIDENTIEL UE/EU CONFIDENTIAL, SECRET UE/EU SECRET, TRES SECRET UE/EU TOP SECRET.

31. Zasady postępowania określają szczegółowe przepisy dotyczące stosowania zastrzeżeń i oznaczeń wraz z wykazem oznaczeń bezpieczeństwa zatwierdzonych przez Parlament Europejski.

41. W przypadku informacji opatrzonych klauzulą tajności na poziomie RESTREINT UE/EU RESTRICTED lub równoważną oraz "innych informacji poufnych", zarówno CIU, jak i właściwy organ parlamentarny/osoba sprawująca urząd mogą być odpowiedzialne za przyjmowanie informacji od stron trzecich, a także za stosowanie zasad określonych w niniejszej instrukcji bezpieczeństwa.

43. Do celów niniejszej instrukcji bezpieczeństwa "dziennik" oznacza rejestr, w którym zapisywana jest w szczególności data i godzina:

a) wpłynięcia informacji do właściwego sekretariatu organu parlamentarnego/osoby sprawującej urząd lub - w zależności od przypadku - do CIU, oraz ich opuszczenia;

b) skorzystania z informacji przez osobę posiadającą poświadczenie bezpieczeństwa lub przekazania jej informacji; oraz

c) zniszczenia informacji.

44. W momencie tworzenia dokumentu zawierającego informacje niejawne autor takich informacji ma obowiązek zaznaczyć to po raz pierwszy. To oświadczenie zostaje przekazane CIU po stworzeniu dokumentu.

45. Informacje opatrzone klauzulą tajności na poziomie CONFIDENTIEL UE/EU CONFIDENTIAL, SECRET UE/EU SECRET lub TRÈS SECRET UE/EU TOP SECRET lub równoważną mogą zostać zarejestrowane do celów bezpieczeństwa tylko przez CIU. Informacje opatrzone klauzulą tajności na poziomie RESTREINT UE/EU RESTRICTED lub równoważną oraz "inne informacje poufne" otrzymane od stron trzecich są rejestrowane do celów administracyjnych przez służbę odpowiedzialną za oficjalne przyjmowanie dokumentów, którą może być CIU lub sekretariat organu parlamentarnego/osoby sprawującej urząd. "Inne informacje poufne" wytwarzane w Parlamencie są rejestrowane do celów administracyjnych przez autora.

46. Informacje opatrzone klauzulą tajności na poziomie CONFIDENTIEL UE/EU CONFIDENTIAL SECRET UE/EU SECRET lub TRÈS SECRET UE/EU TOP SECRET lub równoważną są rejestrowane w szczególności, gdy:

a) są wytwarzane;

b) wpływają do CIU lub opuszczają go oraz

c) wpływają do CIS lub opuszczają go.

47. Informacje opatrzone klauzulą tajności na poziomie RESTREINT UE/EU RESTRICTED lub równoważną są rejestrowane w szczególności, gdy:

a) są wytwarzane;

b) wpływają do właściwego sekretariatu organu parlamentarnego/osoby sprawującej urząd lub do CIU bądź opuszczają je oraz

c) wpływają do CIS lub opuszczają go.

48. Rejestracji informacji poufnych można dokonywać na papierze lub w dziennikach elektronicznych/CIS.

49. W przypadku informacji opatrzonych klauzulą tajności na poziomie RESTREINT UE/EU RESTRICTED lub równoważną oraz "innych informacji poufnych" należy zapisać przynajmniej następujące dane:

a) datę i godzinę wpłynięcia do właściwego sekretariatu organu parlamentarnego/osoby sprawującej urząd lub do CIU bądź datę i godzinę opuszczenia ich, zależnie od przypadku;

b) tytuł dokumentu, poziom klauzuli tajności lub oznaczenia, datę wygaśnięcia klauzuli tajności/oznaczenia oraz każdy numer referencyjny, jakim opatrzono dokument.

50. W przypadku informacji opatrzonych klauzulą tajności na poziomie CONFIDENTIEL UE/EU CONFIDENTIAL, SECRET UE/EU SECRET lub TRÈS SECRET UE/EU TOP SECRET lub równoważną należy zapisać przynajmniej następujące dane:

a) datę i godzinę wpłynięcia do CIU bądź opuszczenia go;

b) tytuł dokumentu, poziom klauzuli tajności lub oznaczenia, każdy numer referencyjny, jakim opatrzono dokument, oraz datę wygaśnięcia klauzuli tajności/oznaczenia;

c) szczegółowe dane dotyczące wytwórcy;

d) zapis tożsamości osoby (osób), które uzyskały dostęp do dokumentu, oraz daty tego, kiedydana osoba z niego skorzystała;

e) zapis wykonanych kopii lub tłumaczeń dokumentu;

f) datę i godzinę, kiedy kopie lub tłumaczenia dokumentu opuszczają CIU lub są zwracane do niego, oraz szczegółowe dane dotyczące miejsca docelowego, do którego je wysłano, i tego, kto je zwrócił;

g) datę i godzinę zniszczenia dokumentu oraz informację, kto tego dokonał, zgodnie z przepisami bezpieczeństwa Parlamentu dotyczącymi niszczenia dokumentów oraz

h) odtajnienie lub obniżenie klauzuli tajności dokumentu.

51. Dzienniki są opatrywane klauzulą tajności lub odpowiednio oznaczane. Dzienniki informacyjne opatrzone klauzulą tajnościna poziomie TRES SECRET UE/EU TOP SECRET lub równoważną są rejestrowane na tym samym poziomie.

52. Informacje niejawne mogą być rejestrowane:

a) w jednym dzienniku lub

b) w oddzielnych dziennikach według poziomu klauzuli tajności, statusu z podziałem na informacje przychodzące i wychodzące lub według pochodzenia i przeznaczenia informacji.

53. W przypadku elektronicznej obsługi w ramach CIS, procedury rejestracji mogą być prowadzone z wykorzystaniem środków z samego CIS spełniających wymogi równoważne powyższym. Gdy EUCI opuszczają obręb CIS, obowiązuje procedura rejestracji określona powyżej.

54. CIU prowadzi zapis wszystkich informacji niejawnych udostępnianych przez Parlament stronom trzecim oraz informacji niejawnych otrzymywanych przez Parlament od stron trzecich.

55. Po zakończeniu rejestracji informacji opatrzonych klauzulą tajności na poziomie CONFIDENTIEL UE/EU CONFIDENTIAL, SECRET UE/EU SECRET lub TRES SECRET UE/EU TOP SECRET lub równoważną CIU sprawdza, czy adresaci posiadają ważne zezwolenie bezpieczeństwa. Jeżeli tak jest, CIU informuje adresata. Zapoznanie się z informacjami niejawnymi może nastąpić wyłącznie po zarejestrowaniu dokumentu zawierającego te informacje.

57. Informacje opatrzone klauzulą tajności na poziomie RESTREINT UE/EU RESTRICTED i inne informacje wytwarzane przez Parlament są udostępnianie przez autora wewnątrz Parlamentu, zgodnie z odnośnymi zasadami postępowania i zasadą ograniczonego dostępu. W przypadku informacji opatrzonych klauzulą tajności na poziomie CONFIDENTIEL UE/EU CONFIDENTIAL, SECRET UE/EU SECRET lub TRES SECRET UE/EU TOP SECRET wytworzonych przez Parlament w strefie bezpieczeństwa lista dystrybucyjna (i wszelkie dalsze instrukcje dotyczące udostępniania) są przekazywane CIU, który jest odpowiedzialny za zarządzanie nią.

58. EUCI wytworzone przez Parlament mogą być udostępniane stronom trzecim jedynie przez CIU zgodnie z zasadą ograniczonego dostępu.

59. Informacje poufne otrzymywane przez CIU lub organ parlamentarny/ osobę sprawującą urząd, która o nie wnioskuje, są udostępniane zgodnie z instrukcjami otrzymanymi od autora informacji.

62. Dla celów bezpieczeństwa należy rejestrować każdy dokument zawierający informacje opatrzone klauzulą tajności na poziomie TRES SECRET UE/EU TOP SECRET, SECRET UE/EU SECRET lub CONFIDENTIEL UE/EU CONFIDENTIAL lub równoważną.

63. Środki bezpieczeństwa stosowane do oryginału dokumentu zawierającego informacje niejawne mają zastosowanie do jego kopii i tłumaczeń.

64. Dokumenty otrzymane z Rady powinny być sporządzone we wszystkich językach urzędowych.

65. Wytwórca lub posiadacz kopii może zwrócić się o otrzymanie kopii i/lub tłumaczeń dokumentów zawierających informacje niejawne. Kopie dokumentów zawierających informacje opatrzone klauzulą tajności na poziomie CONFIDENTIEL UE/EU CONFIDENTIAL, SECRET UE/EU SECRET lub TRES SECRET UE/EU TOP SECRET lub równoważną można tworzyć wyłącznie w zabezpieczonym miejscu i na kopiarkach będących częścią akredytowanego CIS. Kopie dokumentów zawierających informacje opatrzone klauzulą tajności na poziomie RESTREINT UE/EU RESTRICTED lub równoważną oraz inne informacje poufne tworzy się z wykorzystaniem akredytowanego urządzenia powielającego w budynkach Parlamentu.

66. Wszystkie kopie i tłumaczenia wszelkich dokumentów lub część kopii dokumentów zawierających informacje poufne są odpowiednio oznaczane, numerowane i rejestrowane.

67. Wykonuje się jedynie niezbędną liczbę kopii. Wszystkie kopie są niszczone po upłynięciu okresu konsultacji zgodnie z zasadami postępowania.

68. Wyłącznie tłumacze ustni i pisemni, którzy są urzędnikami Parlamentu, otrzymują dostęp do informacji niejawnych.

69. Tłumacze ustni i pisemni mający dostęp do dokumentów zawierających informacje opatrzone klauzulą tajności na poziomie, SECRET UE/EU SECRET lub TRES SECRET UE/EU TOP SECRET lub równoważną posiadają odpowiednie poświadczenie bezpieczeństwa.

70. Tłumacze ustni i pisemni pracują w strefie bezpieczeństwa nad dokumentami zawierającymi informacje opatrzone klauzulą tajności na poziomie CONFIDENTIEL UE/EU CONFIDENTIAL, SECRET UE/EU SECRET lub TRES SECRET UE/EU TOP SECRET lub równoważną.

85. Informacje opatrzone klauzulą tajności na poziomie TRES SECRET UE/EU TOP SECRET lub SECRET UE/EU SECRET lub równoważną są niszczone przez CIU. Ich zniszczenie odbywa się w obecności osoby posiadającej poświadczenie bezpieczeństwa odpowiadające co najmniej poziomowi klauzuli niszczonej informacji.

86. Informacje opatrzone klauzulą na poziomie TRES SECRET UE/EU TOP SECRET lub równoważną są niszczone jedynie po uzyskaniu wcześniejszej pisemnej zgody autora informacji.

87. Informacje opatrzone klauzulą tajności na poziomie CONFIDENTIEL UE/EU CONFIDENTIAL, SECRET UE/EU SECRET lub TRES SECRET UE/EU TOP SECRET lub równoważną są niszczone i usuwane przez CIU na polecenie autora lub właściwego organu. Dzienniki i inne rejestry są odpowiednio aktualizowane. Informacje opatrzone klauzulą na poziomie RESTREINT UE/EU RESTRICTED lub równoważną są niszczone i usuwane przez CIU lub właściwy organ parlamentarny/ osobę sprawującą urząd.

88. Urzędnik odpowiedzialny za niszczenie oraz osoba obecna przy niszczeniu podpisują protokół zniszczenia, który jest załączany do dokumentacji i archiwizowany w CIU. CIU zachowuje - wraz z formularzami dotyczącymi udostępniania - protokoły zniszczenia informacji opatrzonych klauzulą na poziomie TRES SECRET UE/EU TOP SECRET lub równoważną przez okres przynajmniej dziesięciu lat oraz, w odniesieniu do protokołów zniszczenia informacji opatrzonych klauzulą na poziomie SECRET UE/EU SECRET lub równoważną i CONFIDENTIEL UE/EU CONFIDENTIAL lub równoważną - przez okres co najmniej pięciu lat.

89. Dokumenty zawierające informacje niejawne są niszczone w sposób spełniający właściwe normy UE lub normy równoważne, aby zapobiec ich odtworzeniu w całości lub w części.

90. Niszczenie komputerowego nośnika informacji wykorzystanego do przechowywania informacji niejawnych przeprowadza się zgodnie z właściwymi zasadami postępowania.

91. Niszczenie informacji niejawnych zapisuje się w odnośnym dzienniku wraz z następującymi danymi:

a) datą i godziną zniszczenia;

b) nazwiskiem urzędnika odpowiedzialnego za zniszczenie;

c) określeniem zniszczonego dokumentu lub jego kopii;

d) pierwotną formą fizyczną niszczonych EUCI;

e) sposobem zniszczenia oraz

f) miejscem zniszczenia.

93. W przypadku "innych informacji poufnych" zastosowanie mają ogólne przepisy dotyczące zarządzania dokumentami bez szkody dla innych szczególnych przepisów dotyczących postępowania z tymi informacjami.

2. "Systemy komunikacyjno-informacyjne" (CIS) do przetwarzania informacji niejawnych oznaczają systemy umożliwiające przetwarzanie informacji w formie elektronicznej. System informacyjny obejmuje wszystkie zasoby niezbędne do jego funkcjonowania, w tym infrastrukturę, organizację, personel oraz zasoby informacyjne.

3. CIS przetwarzają informacje niejawne zgodnie z zasadą gwarancji bezpieczeństwa informacji.

4. CIS poddawane są procedurze akredytacji. Celem akredytacji jest upewnienie się, że zastosowano wszystkie odpowiednie środki bezpieczeństwa i że osiągnięto wystarczający poziom ochrony informacji niejawnych i CIS zgodnie z niniejszą instrukcją bezpieczeństwa. W świadectwie akredytacji określa się najwyższą klauzulę tajności informacji, które mogą być przetwarzane w ramach danego CIS, oraz odpowiednie warunki.

5. Następujące cechy i koncepcje zabezpieczania informacji są niezbędne dla bezpieczeństwa i prawidłowego funkcjonowania operacji dokonywanych w ramach CIS:

a) autentyczność: gwarancja, że informacje są prawdziwe i że pochodzą z rzetelnych źródeł;

b) dostępność: cecha polegająca na tym, że informacje są dostępne i gotowe do wykorzystania na wniosek uprawnionego podmiotu;

c) poufność: cecha polegająca na tym, że informacje nie są ujawniane nieupoważnionym osobom, podmiotom ani do celów nieuprawnionego przetwarzania;

d) integralność: cecha polegająca na zachowywaniu dokładności i kompletności informacji i zasobów;

e) niezaprzeczalność: możliwość udowodnienia, że działanie lub wydarzenie miało miejsce, aby wykluczyć możliwość zaprzeczenia wystąpieniu tego działania lub wydarzenia.

2. Środki bezpieczeństwa służące ochronie informacji niejawnych na wszystkich etapach ich cyklu życia są proporcjonalne w szczególności do ich klauzuli tajności, formy, ilości danych informacji lub materiałów, lokalizacji i konstrukcji obiektów, w których przechowywane są informacje niejawne, oraz oceny zagrożenia wystąpieniem w tym miejscu działań realizowanych w złych zamiarach lub działalności przestępczej, w tym działalności szpiegowskiej, sabotażowej lub terrorystycznej.

3. Plany awaryjne uwzględniają potrzebę ochrony informacji niejawnych podczas sytuacji nadzwyczajnych w celu zapobieżenia nieuprawnionemu dostępowi do informacji, ich ujawnieniu lub utracie ich integralności lub dostępności.

4. W planach ciągłości działania zamieszczane są środki zapobiegawcze i naprawcze służące zminimalizowaniu skutków poważnych niedopatrzeń lub incydentów związanych z wykorzystywaniem i przechowywaniem informacji niejawnych.

6. Informacja wymagająca utajnienia jest oznaczana i wykorzystywana jako taka niezależnie od jej formy fizycznej. Jej niejawny charakter należy wyraźnie zakomunikować odbiorcom albo przez oznaczenie klauzuli tajności (jeżeli informacja jest przekazywana w formie pisemnej, niezależnie od tego, czy na papierze, czy w CIS), albo w drodze komunikatu (jeżeli jest przekazywana ustnie, np. w trakcie rozmowy lub prezentacji). Materiał opatrzony klauzulą poufności jest fizycznie oznaczony, aby umożliwić łatwą identyfikację jego klauzuli tajności.

7. Informacje poufne nie są w żadnych okolicznościach dostępne w miejscach publicznych, gdzie może je zauważyć ktoś nieupoważniony do zaznajomienia się z nimi, np. w pociągach, samolotach, kawiarniach, barach itp. Nie wolno zostawiać ich w hotelowych sejfach lub pokojach. Nie należy zostawiać ich bez nadzoru w miejscach publicznych.

9. Fizyczne bezpieczeństwo w postępowaniu z informacją opatrzoną klauzulą tajności na poziomie RESTREINT UE/ EU RESTRICTED lub równoważną, a także z "innymi informacjami poufnymi" należy do obowiązków odpowiedniego organu Parlamentu lub osoby pełniącej odnośną funkcję.

10. Dyrekcja ds. Bezpieczeństwa i Oceny Ryzyka zapewnia osobiste bezpieczeństwo oraz poświadczenie bezpieczeństwa wymagane do zagwarantowania bezpiecznego postępowania z informacjami poufnymi w Parlamencie Europejskim.

11. DIT udziela porad oraz zapewnia, żeby każdy utworzony lub wykorzystywany CIS był w pełni zgodny z instrukcją bezpieczeństwa 3 oraz z odnośnymi zasadami postępowania.

13. Bezpieczna infrastruktura jest certyfikowana przez SAA i zatwierdzana przez SA.

15. Jeżeli informacja opatrzona klauzulą tajności na poziomie RESTREINT UE/ EU RESTRICTED lub równoważną, a także "inne informacje poufne" są przechowywane w organie/biurze parlamentarnym innym niż CIU, sekretariat tego organu/biura parlamentarnego gwarantuje, że zapoznawanie się i postępowanie z taką informacją jest zgodne z art. 7 ust. 3, art. 8 ust. 1, 2 i 4, art. 9 ust. 3, 4 i 5, art. 10 ust. 2 - 6 oraz art. 11 niniejszej decyzji, a także z odpowiednimi zasadami postępowania.

16. Jeżeli informacja opatrzona klauzulą tajności na poziomie CONFIDENTIEL UE/EU CONFIDENTIAL, SECRET UE/EU SECRET lub TRES SECRET UE/EU TOP SECRET lub równoważną ma być udostępniona w strefie bezpieczeństwa, CIU gwarantuje, że zapoznawanie się i postępowanie z taką informacją jest zgodne z art. 9 i 10 niniejszej decyzji, a także z odpowiednimi zasadami postępowania.

18. Zabezpieczone czytelnie, w których można zapoznać się z informacjami niejawnymi opatrzonymi klauzulą tajności na poziomie RESTREINT UE/EU RESTRICTED lub klauzulą jej równoważną lub z innymi informacjami poufnymi spełniają szczególne techniczne środki bezpieczeństwa, określone w zasadach postępowania.

19. Strefa bezpieczeństwa zawiera następujące wyposażenie:

a) pomieszczenie do sprawdzania bezpiecznego dostępu (SAS), zainstalowane zgodnie z technicznymi środkami bezpieczeństwa, określonymi w zasadach postępowania. Dostęp do tego pomieszczenia jest rejestrowany. SAS spełnia wysokie normy w zakresie identyfikacji osób i umożliwia rejestrację wejść, nadzór wideo, a także zapewnia bezpieczne miejsce do deponowania przedmiotów osobistych niedozwolonych w bezpiecznych czytelniach (telefony, długopisy itp.);

b) pomieszczenie do komunikacji, służące do przekazywania i otrzymywania informacji niejawnych, w tym zaszyfrowanych informacji niejawnych, zgodnie z instrukcją bezpieczeństwa 3 i odnośnymi zasadami postępowania;

c) bezpieczne archiwum, w którym zatwierdzone i certyfikowane pojemniki są używane osobno dla informacji opatrzonych klauzulą tajności na poziomie RESTREINT UE/EU RESTRICTED, CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET EU/EU SECRET lub równoważną. Informacje opatrzone klauzulą tajności na poziomie TRES SECRET UE/EU TOP SECRET lub równoważną są przechowywane w oddzielnym pomieszczeniu w specjalnym certyfikowanym pojemniku. Jedynym dodatkowym wyposażeniem w tym oddzielnym pomieszczeniu jest pomocnicze biurko do obsługi archiwum przez CIU;

d) pomieszczenie do rejestracji, wyposażone w narzędzia niezbędne do zapewnienia rejestracji na papierze lub elektronicznie, a zatem wyposażone w niezbędny bezpieczny sprzęt do instalacji odpowiedniego CIS. Jedynie w pomieszczeniu do rejestracji może znajdować się zatwierdzony i akredytowany sprzęt kopiujący (do robienia kopii w formie papierowej lub elektronicznej). Zasady postępowania określają, jaki sprzęt kopiujący jest zatwierdzony i akredytowany. Pomieszczenie do rejestracji umożliwia także niezbędne przechowywanie i wykorzystywanie akredytowanego wyposażenia koniecznego do oznaczania, kopiowania i rozsyłania informacji niejawnych w formie fizycznej, według poziomu niejawności. CIU określa całe akredytowane wyposażenie, które jest następnie akredytowane przez SAA, zgodnie z opinią otrzymaną od IAOA. W pomieszczeniu do rejestracji znajduje się także akredytowana niszczarka, zatwierdzona dla najwyższego poziomu niejawności, opisana w zasadach postępowania. Tłumaczenie pisemne informacji niejawnych opatrzonych klauzulą tajności na poziomie CONFIDENTIEL UE/EU CONFIDENTIAL SECRET EU/EU SECRET lub TRES SECRETUE/EU TOP SECRET lub równoważnej jest dokonywane w pomieszczeniu do rejestracji przy użyciu odpowiedniego akredytowanego systemu. W pomieszczeniu do rejestracji znajdują się stanowiska pracy dla maksymalnie dwóch tłumaczy pisemnych jednocześnie dla tego samego dokumentu. Obecny jest pracownik CIU.

e) czytelnia, służąca indywidualnemu zapoznaniu się z informacjami niejawnymi przez należycie uprawnioną osobę. Czytelnia jest wystarczająco duża dla dwóch osób, łącznie z pracownikiem CIU obecnym przez cały czas zapoznawania się z treścią dokumentu. Poziom bezpieczeństwa tego pomieszczenia jest odpowiedni dla zapoznawania się z informacjami opatrzonymi klauzulą tajności na poziomie CONFIDENTIEL UE/EU CONFIDENTIAL SECRET EU/EU SECRET lub TRES SECRETUE/EU TOP SECRET lub równoważnej. Czytelnia może być wyposażona w urządzenie TEMPEST umożliwiające w miarę potrzeby zapoznanie się z informacjami drogą elektroniczną, zgodnie z poziomem niejawności danych informacji.

f) sala posiedzeń, mogąca pomieścić do 25 osób w celu omówienia informacji opatrzonych klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL oraz SECRET EU/EU SECRET lub równoważną. Sala posiedzeń jest wyposażona w niezbędną bezpieczną i certyfikowaną infrastrukturę techniczną do tłumaczenia ustnego na i z maksymalnie dwóch języków. Salę posiedzeń można wykorzystywać także na dodatkową czytelnię do indywidualnego zapoznawania się z informacjami. W wyjątkowych przypadkach CIU może zezwolić więcej niż jednej upoważnionej osobie na zapoznanie się z informacjami niejawnymi, o ile poziom upoważnienia i konieczność zaznajomienia się z informacjami są takie same dla wszystkich osób w pomieszczeniu. Nie zezwala się więcej niż czterem osobom jednocześnie na zapoznawanie się z informacjami niejawnymi. Liczba obecnych pracowników CIU jest zwiększona.

g) bezpieczne pomieszczenia techniczne zawierające całe wyposażenie techniczne, związane z bezpieczeństwem całej strefy bezpieczeństwa, a także bezpieczne serwery IT.

20. Strefa bezpieczeństwa odpowiada mającym zastosowanie międzynarodowym normom bezpieczeństwa i jest certyfikowana przez Dyrekcję ds. Bezpieczeństwa i Oceny Ryzyka. Strefa bezpieczeństwa jest wyposażona w następujące minimalne techniczne urządzenia bezpieczeństwa:

a) alarmowe i monitorujące systemy bezpieczeństwa;

b) wyposażenie w środki bezpieczeństwa i systemy ostrzegania (dwukierunkowy system ostrzegania)

c) system CCTV;

d) systemy wykrywania włamania;

e) kontrola dostępu (łącznie z biometrycznym systemem bezpieczeństwa);

f) pojemniki;

g) schowki;

h) ochrona przed polem elektromagnetycznym.

21. SAA może dodać niezbędne dodatkowe techniczne środki bezpieczeństwa, działając w ścisłej współpracy z CIU i po zatwierdzeniu przez SA.

22. Infrastruktura ta może być połączona z ogólnymi systemami zarządzania w budynku, w którym znajduje się strefa bezpieczeństwa. Jednakże sprzęt związany z bezpieczeństwem przeznaczony do kontroli dostępu i dla CIS jest niezależny od jakiegokolwiek już istniejącego systemu tego rodzaju w Parlamencie Europejskim.

24. SAA opracowuje i aktualizuje wykaz elementów, jakie należy sprawdzić podczas inspekcji bezpieczeństwa zgodnie z zasadami postępowania.

26. Jedynie woźni lub pracownicy posiadający zezwolenie o odpowiednim poziomie bezpieczeństwa mogą transportować informacje niejawne opatrzone klauzulą tajności na poziomie CONFIDENTIEL UE/EU CONFIDENTIAL SECRET EU/EU SECRET lub TRES SECRETUE/EU TOP SECRET lub równoważnej.

27. Informacje niejawne mogą być wysyłane poza budynek jedynie przy użyciu zewnętrznej skrzynki poczty elektronicznej lub przez kuriera na warunkach określonych w zasadach postępowania.

28. Informacji niejawnych opatrzonych klauzulą tajności na poziomie CONFIDENTIEL UE/EU CONFIDENTIAL SECRET EU/EU SECRET lub TRES SECRE UE/EU TOP SECRET lub równoważnej nie należy nigdy wysyłać pocztą elektroniczną lub faksem, nawet jeśli jest do dyspozycji bezpieczny system e-mail lub faks szyfrujący. Informacje niejawne opatrzone klauzulą tajności na poziomie RESTREINT UE/EU RESTRICTED lub wyższej, a także inne informacje poufne można wysłać pocztą elektroniczną przy użyciu akredytowanego systemu szyfrującego.

30. Informacje niejawne opatrzone klauzulą tajności na poziomie RESTREINT UE/EU RESTRICTED lub równoważnej, a także inne informacje poufne:

a) są przechowywane w standardowej stalowej, zamkniętej na klucz szafie, w biurze lub w strefie pracy, gdy nie są rzeczywiście wykorzystywane;

b) nie są pozostawione bez nadzoru, chyba że prawidłowo zamknięte i przechowywane;

c) nie są pozostawione na biurku czy stole w sposób umożliwiający osobie nieupoważnionej, np. odwiedzającym, sprzątaczkom, personelowi konserwującemu itp., zapoznanie się z nimi lub usunięcie ich;

d) nie są pokazywane jakimkolwiek osobom nieupoważnionym ani dyskutowane z nimi;

31. Informacje niejawne opatrzone klauzulą tajności na poziomie RESTREINT UE/EU RESTRICTED lub równoważnej, a także inne informacje poufne są przechowywane jedynie w sekretariatach organów/biur parlamentarnych lub w CIU zgodnie z zasadami postępowania.

32. Informacje opatrzone klauzulą tajności na poziomie CONFIDENTIEL UE/EU CONFIDENTIAL, SECRET EU/EU SECRET lub TRES SECRETUE/EU TOP SECRET lub równoważną:

a) są przechowywane w strefie bezpieczeństwa w zabezpieczonym pojemniku lub w zabezpieczonym pomieszczeniu. Wyjątkowo - np. gdy CIU jest zamknięty - mogą być przechowywane w zatwierdzonym i certyfikowanym sejfie na terenie służb bezpieczeństwa.

b) nie są nigdy pozostawione bez nadzoru w strefie bezpieczeństwa bez uprzedniego ich zamknięcia w zatwierdzonym sejfie (nawet na bardzo krótko);

c) nie są pozostawione na biurku czy stole w sposób umożliwiający osobie nieupoważnionej zapoznanie się z nimi lub usunięcie ich, nawet jeśli odpowiedzialny pracownik CIU pozostaje w pomieszczeniu.

Jeżeli w strefie bezpieczeństwa powstaje elektroniczna forma dokumentu zawierającego informacje niejawne, komputer należy zablokować, a ekran uczynić niedostępnym, jeżeli autor lub odpowiedzialny pracownik CIU opuszczają pomieszczenie (nawet na bardzo krótko). Automatyczny system blokujący po kilku minutach nie jest uważany za środek wystarczający.

2. Określa ona przepisy dotyczące stosowania wspólnych minimalnych norm części 1 załącznika I do niniejszej decyzji.

3. Bezpieczeństwo przemysłowe oznacza stosowanie środków mających zapewnić ochronę informacji niejawnych przez wykonawców lub podwykonawców podczas negocjacji poprzedzających zawarcie umów i na wszystkich etapach cyklu życia umów niejawnych. Umowy takie nie obejmują dostępu do informacji niejawnych opatrzonych klauzulą tajności na poziomie TRÈS SECRET UE/EU TOP SECRET.

4. Jako instytucja zamawiająca Parlament Europejski zapewnia, by w przypadku zawierania umów niejawnych z podmiotami prowadzącymi działalność gospodarczą lub inną spełnione były minimalne normy bezpieczeństwa przemysłowego określone w niniejszej decyzji i te, o których mowa w danej umowie.

11. FSC:

a) ocenia uczciwość podmiotu prowadzącego działalność gospodarczą lub inną;

b) ocenia własność, kontrolę lub możliwość wystąpienia niewłaściwego wpływu, który można uznać za ryzyko naruszenia zasad bezpieczeństwa;

c) ocenia, czy podmiot prowadzący działalność gospodarczą lub inną stworzył w obiekcie system bezpieczeństwa, który obejmuje wszystkie odpowiednie środki bezpieczeństwa niezbędne do ochrony informacji lub materiałów niejawnych opatrzonych klauzulą tajności na poziomie CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET zgodnie z wymogami określonymi w niniejszej decyzji;

d) ocenia, czy status bezpieczeństwa osobowego kadry zarządzającej, właścicieli i pracowników, którzy mają mieć dostęp do informacji niejawnych opatrzonych klauzulą tajności na poziomie CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET, został ustalony zgodnie z wymogami określonymi w niniejszej decyzji;

e) ocenia, czy podmiot prowadzący działalność gospodarczą lub inną powołał pełnomocnika ds. ochrony, który jest odpowiedzialny przed kadrą zarządzającą za egzekwowanie obowiązków dotyczących bezpieczeństwa w obrębie tego podmiotu.

12. W stosownych przypadkach Parlament Europejski, jako instytucja zamawiająca, powiadamia odpowiednią NSA lub jakikolwiek inny właściwy organ bezpieczeństwa o tym, że na etapie poprzedzającym zawarcie umowy lub do wykonywania umowy wymagane jest FSC. FSC lub Świadectwo Bezpieczeństwa Osobowego (PSC) są wymagane na etapie poprzedzającym zawarcie umowy, jeżeli podczas składania ofert mają być dostarczone informacje opatrzone klauzulą tajności na poziomie CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET.

13. Instytucja zamawiająca nie zawiera umowy niejawnej z wybranym oferentem, zanim nie otrzyma od NSA lub jakiegokolwiek innego właściwego organu bezpieczeństwa państwa członkowskiego, w którym zarejestrowany jest ten wykonawca lub podwykonawca, potwierdzenia, że wydane zostało, jeśli istnieje taki wymóg, odpowiednie FSC.

14. Jakikolwiek właściwy organ bezpieczeństwa, który wydał FSC, powiadamia Parlament Europejski, jako instytucję zamawiającą, o wszelkich zmianach dotyczących FSC. W przypadku umowy o podwykonawstwo należy stosownie poinformować właściwy organ bezpieczeństwa.

15. Cofnięcie FSC przez odpowiednią NSA lub jakikolwiek inny właściwy organ bezpieczeństwa stanowią dla Parlamentu Europejskiego, jako instytucji zamawiającej, wystarczający powód do rozwiązania umowy niejawnej lub wykluczenia oferenta z postępowania.

17. Po zawarciu umowy niejawnej lub niejawnej umowy o podwykonawstwo Parlament Europejski, jako instytucja zamawiająca, powiadamia NSA wykonawcy lub podwykonawcy lub jakikolwiek inny właściwy organ bezpieczeństwa o zawartych w tej umowie przepisach bezpieczeństwa.

18. Po zakończenia takich umów Parlament Europejski, jako instytucja zamawiająca (lub, w odpowiednim przypadku, właściwy organ bezpieczeństwa w przypadku umowy o podwykonawstwo) niezwłocznie powiadamia o tym fakcie NSA lub jakikolwiek inny właściwy organ bezpieczeństwa państwa członkowskiego, w którym zarejestrowany jest wykonawca lub podwykonawca.

19. Z reguły od wykonawcy lub podwykonawcy wymaga się zwrotu do instytucji zamawiającej wszelkich posiadanych przez niego informacji niejawnych po zakończeniu obowiązywania umowy niejawnej lub niejawnej umowy o podwykonawstwo.

20. W SAL określa się szczególne przepisy dotyczące niszczenia informacji niejawnych podczas wykonywania umowy lub po zakończeniu jej obowiązywania.

21. Jeżeli wykonawca lub podwykonawca są upoważnieni do zachowania informacji niejawnych po zakończeniu obowiązywania umowy, nadal mają do nich zastosowanie minimalne normy zawarte w niniejszej decyzji i nadal chronią oni poufność EUCI.

22. Warunki, na których wykonawca może zlecić podwykonawstwo, są określone w ogłoszeniu o przetargu oraz w umowie.

23. Przed zleceniem podwykonawstwa jakiejkolwiek części umowy niejawnej wykonawca uzyskuje zgodę Parlamentu Europejskiego jako instytucji zamawiającej. Nie można zawrzeć umowy o podwykonawstwo z podmiotami prowadzącymi działalność gospodarczą lub inną zarejestrowanymi w państwie trzecim, które nie zawarło z Unią umowy o bezpieczeństwie informacji.

24. Wykonawca odpowiada za zapewnienie zgodności wszystkich podejmowanych czynności podwykonawczych z minimalnymi normami określonymi w niniejszej decyzji i nie dostarcza EUCI podwykonawcy bez uprzedniej pisemnej zgody instytucji zamawiającej.

25. W odniesieniu do informacji niejawnych wytworzonych lub wykorzystywanych przez wykonawcę lub podwykonawcę prawa przysługujące wytwórcy są wykonywane przez instytucję zamawiającą.

27. Wszystkie osoby odwiedzające posiadają stosowne PSC oraz mają dostęp do informacji niejawnych dotyczących umowy Parlamentu Europejskiego zgodnie z zasadą ograniczonego dostępu.

28. Odwiedzający uzyskują dostęp jedynie do informacji niejawnych związanych z celem wizyty.

30. W przypadku transportu informacji niejawnych zastosowanie mają odnośne przepisy określone w instrukcji bezpieczeństwa 4 oraz odpowiednie zasady postępowania.

31. Podczas transportu materiału niejawnego jako ładunku do określania zabezpieczeń stosuje się następujące zasady:

a) bezpieczeństwo zapewnia się na wszystkich etapach przewozu, począwszy od miejsca wyjazdu do ostatecznego miejsca przeznaczenia;

b) stopień ochrony, którym objęto przesyłkę, określany jest według najwyższej klauzuli tajności materiału zawartego w przesyłce;

c) firmy dokonujące przewozu uzyskują FSC na stosownym poziomie. W takich przypadkach pracownicy zajmujący się przesyłką są odpowiednio sprawdzani zgodnie z załącznikiem I;

d) przed jakimkolwiek transgranicznym przemieszczeniem materiałów opatrzonych klauzulą tajności na poziomie CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET lub równoważnej nadawca sporządza plan przewozu, który jest zatwierdzany przez sekretarza generalnego;

e) przejazdy odbywają się w miarę możliwości bezpośrednio między dwoma punktami i kończą się tak szybko, jak pozwolą na to okoliczności;

f) droga w miarę możliwości przebiega przez terytorium państw członkowskich.

34. W zakresie, jaki jest wymagany na mocy krajowych przepisów ustawowych i wykonawczych, NSA lub jakikolwiek inny właściwy organ bezpieczeństwa są powiadamiane przez Parlament Europejski, jako instytucję zamawiającą, o umowach lub umowach o podwykonawstwo zawierających informacje niejawne opatrzone klauzulą tajności na poziomie RESTREINT UE/EU RESTRICTED.

35. W przypadku umów zawartych przez Parlament Europejski zawierających informacje niejawne o klauzuli tajności RESTREINT UE/EU RESTRICTED od wykonawców, podwykonawców ani ich personelu nie wymaga się posiadania FSC ani PSC.

36. Parlament Europejski, jako instytucja zamawiająca, analizuje odpowiedzi na ogłoszenia o przetargu w przypadku umów, które wymagają dostępu do informacji niejawnych opatrzonych klauzulą tajności na poziomie RESTREINT UE/EU RESTRICTED, niezależnie od jakichkolwiek wymogów związanych z FSC lub PSC, które mogą być określone przez krajowe przepisy ustawowe i wykonawcze.

37. Warunki, na których wykonawca może zlecić podwykonawstwo, są określone w ogłoszeniu o przetargu oraz w umowie.

38. Jeżeli umowa zakłada wykorzystywanie informacji niejawnych opatrzonych klauzulą tajności na poziomie RESTREINT UE/EU RESTRICTED w systemach komunikacyjno-informacyjnych stosowanych przez wykonawcę, Parlament Europejski, jako instytucja zamawiająca, dopilnowuje, aby w umowie lub umowie o podwykonawstwo określono niezbędne wymogi techniczne i administracyjne dotyczące akredytacji systemów komunikacyjno-informacyjnych proporcjonalnie do ocenianego ryzyka i z uwzględnieniem wszystkich istotnych czynników. Zakres akredytacji tych systemów komunikacyjno-informacyjnych jest uzgodniony między instytucją zamawiającą a właściwymi NSA.