Rozdział 1 - Przepisy ogólne - Ochrona informacji niejawnych.
Dziennik Ustaw
Dz.U.2023.756 t.j.
Akt obowiązujący Wersja od: 8 sierpnia 2023 r.
Rozdział 1
Przepisy ogólne
Przepisy ogólne
1.
Ustawa określa zasady ochrony informacji, których nieuprawnione ujawnienie spowodowałoby lub mogłoby spowodować szkody dla Rzeczypospolitej Polskiej albo byłoby z punktu widzenia jej interesów niekorzystne, także w trakcie ich opracowywania oraz niezależnie od formy i sposobu ich wyrażania, zwanych dalej "informacjami niejawnymi", to jest zasady:1)
klasyfikowania informacji niejawnych;2)
organizowania ochrony informacji niejawnych;3)
przetwarzania informacji niejawnych;4)
postępowania sprawdzającego prowadzonego w celu ustalenia, czy osoba nim objęta daje rękojmię zachowania tajemnicy, zwanego dalej odpowiednio "postępowaniem sprawdzającym" lub "kontrolnym postępowaniem sprawdzającym";5)
postępowania prowadzonego w celu ustalenia, czy przedsiębiorca nim objęty zapewnia warunki do ochrony informacji niejawnych, zwanego dalej "postępowaniem bezpieczeństwa przemysłowego";6)
organizacji kontroli stanu zabezpieczenia informacji niejawnych;7)
ochrony informacji niejawnych w systemach teleinformatycznych;8)
stosowania środków bezpieczeństwa fizycznego w odniesieniu do informacji niejawnych.2.
Przepisy ustawy mają zastosowanie do:1)
organów władzy publicznej, w szczególności:a)
Sejmu i Senatu,b)
Prezydenta Rzeczypospolitej Polskiej,c)
organów administracji rządowej,d)
organów jednostek samorządu terytorialnego, a także innych podległych im jednostek organizacyjnych lub przez nie nadzorowanych,e)
sądów i trybunałów,f)
organów kontroli państwowej i ochrony prawa;2)
jednostek organizacyjnych podległych Ministrowi Obrony Narodowej lub przez niego nadzorowanych;3)
Narodowego Banku Polskiego;4)
państwowych osób prawnych i innych niż wymienione w pkt 1-3 państwowych jednostek organizacyjnych;5)
jednostek organizacyjnych podległych organom władzy publicznej lub nadzorowanych przez te organy;6)
przedsiębiorców zamierzających ubiegać się albo ubiegających się o zawarcie umów związanych z dostępem do informacji niejawnych lub wykonujących takie umowy albo wykonujących na podstawie przepisów prawa zadania związane z dostępem do informacji niejawnych.3.
Przepisy ustawy o ochronie informacji niejawnych nie naruszają przepisów innych ustaw o ochronie tajemnicy zawodowej lub innych tajemnic prawnie chronionych, z zastrzeżeniem art. 5.4.
Do danych osobowych stanowiących informacje niejawne nie stosuje się przepisów o ochronie danych osobowych.5.
Do danych osobowych stanowiących informacje niejawne stosuje się przepisy niniejszej ustawy.W rozumieniu ustawy:
1)
jednostką organizacyjną - jest podmiot wymieniony w art. 1 ust. 2;2)
rękojmią zachowania tajemnicy - jest zdolność osoby do spełnienia ustawowych wymogów dla zapewnienia ochrony informacji niejawnych przed ich nieuprawnionym ujawnieniem, stwierdzona w wyniku przeprowadzenia postępowania sprawdzającego;3)
dokumentem - jest każda utrwalona informacja niejawna;4)
materiałem - jest dokument lub przedmiot albo dowolna ich część, chronione jako informacja niejawna, a zwłaszcza urządzenie, wyposażenie lub broń wyprodukowane albo będące w trakcie produkcji, a także składnik użyty do ich wytworzenia;5)
przetwarzaniem informacji niejawnych - są wszelkie operacje wykonywane w odniesieniu do informacji niejawnych i na tych informacjach, w szczególności ich wytwarzanie, modyfikowanie, kopiowanie, klasyfikowanie, gromadzenie, przechowywanie, przekazywanie lub udostępnianie;6)
systemem teleinformatycznym - jest system teleinformatyczny w rozumieniu art. 2 pkt 3 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2020 r. poz. 344);7)
dokumentem szczególnych wymagań bezpieczeństwa - jest systematyczny opis sposobu zarządzania bezpieczeństwem systemu teleinformatycznego;8)
dokumentem procedur bezpiecznej eksploatacji systemu teleinformatycznego - jest opis sposobu i trybu postępowania w sprawach związanych z bezpieczeństwem informacji niejawnych przetwarzanych w systemie teleinformatycznym oraz zakres odpowiedzialności użytkowników systemu teleinformatycznego i pracowników mających do niego dostęp;9)
dokumentacją bezpieczeństwa systemu teleinformatycznego - jest dokument szczególnych wymagań bezpieczeństwa oraz dokument procedur bezpiecznej eksploatacji systemu teleinformatycznego, opracowane zgodnie z zasadami określonymi w ustawie;10)
akredytacją bezpieczeństwa teleinformatycznego - jest dopuszczenie systemu teleinformatycznego do przetwarzania informacji niejawnych;11)
certyfikacją - jest proces potwierdzania zdolności urządzenia, narzędzia lub innego środka do ochrony informacji niejawnych;12)
audytem bezpieczeństwa systemu teleinformatycznego - jest weryfikacja poprawności realizacji wymagań i procedur, określonych w dokumentacji bezpieczeństwa systemu teleinformatycznego;13)
przedsiębiorcą - jest przedsiębiorca w rozumieniu ustawy z dnia 6 marca 2018 r. - Prawo przedsiębiorców (Dz. U. z 2023 r. poz. 221) lub każda inna jednostka organizacyjna, niezależnie od formy własności, którzy w ramach prowadzonej działalności gospodarczej zamierzają realizować lub realizują związane z dostępem do informacji niejawnych umowy lub zadania wynikające z przepisów prawa;14)
kierownikiem przedsiębiorcy - jest członek jednoosobowego zarządu lub innego jednoosobowego organu zarządzającego, a jeżeli organ jest wieloosobowy - cały organ albo członek lub członkowie tego organu wyznaczeni co najmniej uchwałą zarządu do pełnienia funkcji kierownika przedsiębiorcy, z wyłączeniem pełnomocników ustanowionych przez ten organ lub jednostkę; w przypadku spółki jawnej i spółki cywilnej kierownikiem przedsiębiorcy są wspólnicy prowadzący sprawy spółki, w przypadku spółki partnerskiej - wspólnicy prowadzący sprawy spółki albo zarząd, a w odniesieniu do spółki komandytowej i spółki komandytowo-akcyjnej - komplementariusze prowadzący sprawy spółki; w przypadku osoby fizycznej prowadzącej działalność gospodarczą kierownikiem przedsiębiorcy jest ta osoba; za kierownika przedsiębiorcy uważa się również likwidatora, a także syndyka lub zarządcę ustanowionego w postępowaniu upadłościowym; kierownik przedsiębiorcy jest kierownikiem jednostki organizacyjnej w rozumieniu przepisów ustawy;15)
ryzykiem - jest kombinacja prawdopodobieństwa wystąpienia zdarzenia niepożądanego i jego konsekwencji;16)
szacowaniem ryzyka - jest całościowy proces analizy i oceny ryzyka;17)
zarządzaniem ryzykiem - są skoordynowane działania w zakresie zarządzania bezpieczeństwem informacji, z uwzględnieniem ryzyka;18)
zatrudnieniem - jest również odpowiednio powołanie, mianowanie lub wyznaczenie;19)
rozwiązaniem informatycznym - jest urządzenie lub zespół urządzeń, oprogramowanie, narzędzie lub usługa informatyczna umożliwiająca przetwarzanie informacji niejawnych w postaci elektronicznej, eksploatowana lub planowana do wdrożenia wyłącznie w jednostkach organizacyjnych wskazanych w art. 10 ust. 2.Do postępowań sprawdzających, kontrolnych postępowań sprawdzających oraz postępowań bezpieczeństwa przemysłowego, w zakresie nieuregulowanym w ustawie, mają zastosowanie przepisy art. 6, art. 7, art. 8, art. 12, art. 14-16, art. 24 § 1 pkt 1-6 i § 2-4, art. 26 § 1, art. 28, art. 29, art. 30 § 1-3, art. 35 § 1, art. 39, art. 41-47, art. 50, art. 55, art. 57-60, art. 61 § 3 i 4, art. 63 § 4, art. 64, art. 65, art. 72, art. 75 § 1, art. 77 § 1, art. 97 § 1 pkt 4 i § 2, art. 98, art. 101, art. 103, art. 104, art. 105 § 2, art. 107, art. 109 § 1, art. 112, art. 113 § 1, art. 125 § 1, art. 156-158 oraz art. 217 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2022 r. poz. 2000 i 2185).
1.
Informacje niejawne mogą być udostępnione wyłącznie osobie dającej rękojmię zachowania tajemnicy i tylko w zakresie niezbędnym do wykonywania przez nią pracy lub pełnienia służby na zajmowanym stanowisku albo wykonywania czynności zleconych.2.
Zasady zwalniania od obowiązku zachowania w tajemnicy informacji niejawnych oraz sposób postępowania z aktami spraw zawierającymi informacje niejawne w postępowaniu przed sądami i innymi organami określają przepisy odrębnych ustaw.3.
Jeżeli przepisy odrębnych ustaw uprawniają organy, służby lub instytucje albo ich upoważnionych pracowników do dokonywania kontroli, w szczególności do swobodnego dostępu do pomieszczeń i materiałów, a jej zakres dotyczy informacji niejawnych, uprawnienia te są realizowane z zachowaniem przepisów niniejszej ustawy.