Umowy z dostępem do informacji zastrzeżonych
Przedsiębiorca przetwarzający informacje niejawne w swojej siedzibie musi nie tylko zatrudnić pełnomocnika ochrony, ale również zabezpieczyć informacje przed nieuprawnionym dostępem, kradzieżą czy zniszczeniem
Działalność jednostek samorządowych niejednokrotnie wymaga zlecenia różnego rodzaju prac podmiotom zewnętrznym, w szczególności przedsiębiorcom prowadzącym określonego rodzaju działalność gospodarczą. Może się zdarzyć, że realizacja umowy przez przedsiębiorcę będzie się wiązała z udostępnieniem mu lub wytworzeniem przez niego informacji niejawnych. W praktyce samorządów najczęściej może chodzić o informacje oznaczone najniższą klauzulą tajności, tj. "zastrzeżone".
Trzeba pamiętać, że zarówno jednostka samorządowa (czyli jednostka zlecająca), jak i przedsiębiorca, muszą w takim przypadku spełnić określone warunki. Zacznijmy od przedsiębiorcy. Wszystkie osoby wykonujące umowę powinny być upoważnione do dostępu do informacji zastrzeżonych przez kierownika przedsiębiorcy, jeżeli nie mają poświadczenia bezpieczeństwa, a także odbyć przeszkolenie w zakresie ochrony informacji niejawnych. Przedsiębiorca nie musi mieć świadectwa bezpieczeństwa przemysłowego ani kancelarii tajnej. Tę trzeba zorganizować dopiero od klauzuli "tajne". W przypadku gdy pracownicy wykonujący umowę będą przetwarzali informacje o klauzuli "zastrzeżone" tylko w siedzibie jednostki zlecającej, przedsiębiorca nie musi nawet zatrudniać pełnomocnika do spraw ochrony informacji niejawnych. Jeżeli nie ma pełnomocnika ochrony u przedsiębiorcy, szkolenie z ochrony informacji niejawnych dla jego pracowników może przeprowadzić pełnomocnik ochrony jednostki zlecającej i wydać stosowne zaświadczenia.
Gdy przedsiębiorca będzie przetwarzał informacje niejawne w swojej siedzibie, musi spełnić określone w przepisach wymagania dotyczące ochrony informacji zastrzeżonych. W szczególności powinien on zatrudnić pełnomocnika ochrony i zapewnić informacjom ochronę przed nieuprawnionym dostępem, kradzieżą czy zniszczeniem. Obligatoryjnie powinien też wprowadzić instrukcję dotyczącą sposobu i trybu przetwarzania tych informacji. Ponadto przetwarzanie informacji o klauzuli "zastrzeżone" może odbywać się jedynie w akredytowanym systemie teleinformatycznym. Uprawnionym do udzielenia akredytacji na poziomie "zastrzeżone" jest kierownik przedsiębiorcy, ale dokumentacja tak akredytowanego systemu teleinformatycznego powinna zostać zaakceptowana przez Agencję Bezpieczeństwa Wewnętrznego.
Podstawowym obowiązkiem jednostki zlecającej jest dopilnowanie, aby przetwarzanie w związku z wykonaniem umowy informacji niejawnych oznaczonych klauzulą "zastrzeżone" obywało się zgodnie z przepisami. Już na etapie formułowania specyfikacji zamówienia publicznego można określić generalne wymagania w tym zakresie wobec przedsiębiorcy. Nie ma wprawdzie obowiązku wprowadzania do umowy tzw. instrukcji bezpieczeństwa przemysłowego, w której określa się m.in. zasady przetwarzania informacji niejawnych w związku z realizacją umowy, ale warto skorzystać z tej możliwości w celu zyskania gwarancji bezpieczeństwa dla udostępnianych i wytwarzanych dla zlecającego informacji zastrzeżonych.
Dorota Jęda
Ustawa z 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. nr 182, poz. 1228).
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.
Wpisz adres e-mail wybranej osoby, a my wyślemy jej bezpłatny dostęp do tego artykułu