Sektor obronny: Informacje niejawne w projektach obronnych - praktyczny przewodnik compliance - cz. 1

Ochrona informacji niejawnych w sektorze obronnym stawia rygory, które bezpośrednio wpływają na obsadę ról, harmonogramy i odpowiedzialność kontraktową firm, które z nim współpracują.

Pierwszą część artykułu poświęcimy praktycznym podstawom działania.

W kolejnych punktach:

• wyjaśniamy, jakie konsekwencje operacyjne i umowne rodzi konieczność posiadania szkoleń, upoważnień oraz poświadczeń bezpieczeństwa,

• uporządkujemy role i odpowiedzialności: kierownik jednostki organizacyjnej, pełnomocnik ochrony, HR/Legal/Compliance i ich wzajemną współpracę,

• wyjaśnimy modele dostępu do informacji („zastrzeżone” vs. „poufne/tajne/ściśle tajne”) i jak je dopasować do ról projektowych oraz planowania zasobów,

• rozpiszemy krok po kroku postępowania sprawdzające, w tym terminy, dokumenty, skutki i ryzyka harmonogramowe,

• zaprezentujemy wymogi szkoleń: kto szkoli, jak często, co dokumentować i jak dostosować program do profili ról.

W drugiej części artykułu przejdziemy do omówienia zastosowania reżimu ochrony informacji niejawnych w codziennej pracy: omówimy obowiązki pracowników i standard pracy z danymi niejawnymi, odpowiedzialność dyscyplinarną, karną oraz administracyjną, przedstawimy pełną procedurę na wypadek incydentów, a także pokażemy, jak sformułować postanowienia dotyczące ochrony inforamcji niejawnych w dokumentach pracowniczych, regulaminach i umowach.

Po co to wszystko? Konsekwencje operacyjne i kontraktowe a sektor obronny

Dostęp do informacji niejawnych jest w wielu kontraktach obronnych warunkiem wykonywania kluczowych ról projektowych.

Pracę na stanowiskach związanych z informacjami o klauzuli poufne lub wyższej można powierzyć dopiero po spełnieniu dwóch przesłanek: uzyskaniu poświadczenia bezpieczeństwa oraz odbyciu szkolenia w zakresie ochrony informacji niejawnych.

Dla ról wymagających jedynie dostępu do informacji zastrzeżonych stosuje się prostszy model - szkolenie oraz pisemne upoważnienie kierownika jednostki organizacyjnej, zamiast poświadczenia bezpieczeństwa.

Planowanie obsady ról musi uwzględniać terminy postępowań sprawdzających. Zwykłe postępowanie powinno zakończyć się przed upływem 3 miesięcy od złożenia ankiety lub wniosku, a przekroczenie terminu wymaga poinformowania osoby sprawdzanej o przewidywanym zakończeniu.

Ryzykiem harmonogramowym dla projektu jest wszczęcie kontrolnego postępowania sprawdzającego, które wstrzymuje dostęp do informacji. Powinno zakończyć się w ciągu 6 miesięcy, z możliwością jednorazowego przedłużenia do 12 miesięcy.

Niewywiązanie się z reżimów ustawy związanych z dostępem do informacji niejawnych, w szczególności brak szkoleń, nieprawidłowości w zakresie nadawania upoważnień lub poświadczeń może wymagać zmian personalnych w zespole projektowym lub nawet zawinionym przez wykonawcę niewykonaniem lub nienależytym wykonaniem umowy, z kolei oznacza ryzyko poniesienia odpowiedzialności odszkodowawczej (w tym z tytułu kar umownych) oraz negatywnymi konsekwencjami na gruncie prawa zamówień publicznych.

Z perspektywy odpowiedzialności organizacyjnej kierownik jednostki organizacyjnej odpowiada za system ochrony informacji niejawnych (w tym wyznaczenie pełnomocnika do spraw ochrony informacji niejawnych (dalej “pełnomocnik ochrony”), szkolenia, dopuszczanie personelu i komunikację z ABW/SKW.

Uchybienia w zakresie ochrony informacji mogą wywołać konsekwencje karne. Ujawnienie lub wykorzystanie informacji o klauzuli "tajne" lub "ściśle tajne" jest przestępstwem zagrożonym karą pozbawienia wolności.

Aby ograniczyć ryzyka prawne, działy bezpieczeństwa i in-house powinny z wyprzedzeniem mapować role do klauzul, uruchamiać postępowania sprawdzające z buforem czasowym i ewidencjonować szkolenia oraz upoważnienia/poświadczenia zgodnie z wymaganiami ustawowymi.

Role w organizacji

Kierownik jednostki organizacyjnej, w której przetwarzane są informacje niejawne, odpowiada za ich ochronę, w szczególności za zorganizowanie i zapewnienie funkcjonowania systemu ochrony oraz bezpośredni nadzór nad pełnomocnikiem ochrony.

Pełnomocnik ochrony, zatrudniany przez kierownika jednostki organizacyjnej, odpowiada za zapewnienie przestrzegania przepisów o ochronie informacji niejawnych i musi spełniać wymogi formalne: być obywatelem polskim, posiadać wykształcenie wyższe, właściwe poświadczenie bezpieczeństwa oraz zaświadczenie o przeszkoleniu przez ABW/SKW.

Do zadań pełnomocnika ochrony należą m.in.: zapewnienie ochrony informacji niejawnych i środków bezpieczeństwa fizycznego, ochrona systemów teleinformatycznych, zarządzanie ryzykiem (w tym szacowanie ryzyka), okresowe kontrole (co najmniej raz na trzy lata) ewidencji, materiałów i obiegu dokumentów oraz opracowywanie i aktualizacja planu ochrony wymagającego akceptacji kierownika.

Pełnomocnik ochrony organizuje szkolenia w jednostce organizacyjnej dla osób zatrudnionych, pełniących służbę lub wykonujących czynności zlecone. W określonych przypadkach szkolenia prowadzi ABW/SKW samodzielnie lub wspólnie z pełnomocnikiem (np. wobec kierownika jednostki organizacyjnej z klauzulą "tajne" lub "ściśle tajne").

Kierownik jednostki organizacyjnej może wyznaczyć zastępcę pełnomocnika ochrony, przy zachowaniu tych samych wymogów kwalifikacyjnych, oraz powierzyć pełnomocnikowi i pionowi ochrony inne zadania związane z bezpieczeństwem, zgodnie z przepisami ustawy.

W obszarze bezpieczeństwa teleinformatycznego kierownik odpowiada za przekazanie dokumentacji bezpieczeństwa do ABW dla klauzuli „poufne” lub wyższej, akceptuje wyniki szacowania ryzyka, wyznacza administratora systemu i inspektora bezpieczeństwa teleinformatycznego oraz zapewnia przeszkolenie użytkowników według wymagań szczególnych aktów wykonawczych.

Kierownik akredytuje także systemy dla klauzuli „zastrzeżone", odpowiada za opracowanie i przekazanie dokumentacji bezpieczeństwa do ABW/SKW dla klauzuli „poufne" lub wyższe, akceptuje wyniki szacowania ryzyka, wyznacza administratora systemu i inspektora bezpieczeństwa teleinformatycznego oraz zapewnia przeszkolenie użytkowników według wymagań szczególnych aktów wykonawczych.

Zespoły in-house (Legal/HR/Compliance) odpowiadają za wdrożenie obowiązków w dokumentach pracowniczych i wewnętrznych, takie jak zgoda na postępowania sprawdzające i szkolenia lub skutki cofnięcia poświadczenia, a także za obsługę kadrowych konsekwencji utraty uprawnień do pracy na stanowisku wymagającym dostępu, co w praktyce może skutkować zmianą stanowiska lub rozwiązaniem umowy, zależnie od okoliczności i winy pracownika.

ABW sprawuje nadzór nad systemem ochrony informacji niejawnych w sferze cywilnej, w tym prowadzi postępowania sprawdzające oraz szkolenia w przewidzianym prawem zakresie, zapewniając właściwą ochronę informacji oznaczonych klauzulami „tajne” i „ściśle tajne”.

Modele dostępu do informacji - dopasowanie do ról

Dostęp na poziomie klauzuli „zastrzeżone” można przyznać osobom bez poświadczenia bezpieczeństwa, o ile posiadają aktualne zaświadczenie o szkoleniu z ochrony informacji niejawnych i otrzymają pisemne upoważnienie od kierownika jednostki organizacyjnej.

Dostęp na poziomach klauzul „poufne”, „tajne” i „ściśle tajne” wymaga uprzedniego przeszkolenia oraz ważnego poświadczenia bezpieczeństwa wydanego po odpowiednim postępowaniu sprawdzającym (zwykłym dla klauzuli „poufne”, poszerzonym dla klauzul. „tajne" lub "ściśle tajne”) prowadzonym przez pełnomocnika ochrony lub ABW/SKW zgodnie z ustawą.

Poświadczenie bezpieczeństwa do wyższej klauzuli uprawnia również do dostępu do informacji o niższych klauzulach przez okresy odpowiadające ważności poświadczenia, co pozwala efektywnie alokować personel o wyższych uprawnieniach do zadań niższego poziomu tajności.

W praktyce operacyjnej spotkania, podczas których przetwarzane są informacje o klauzuli „zastrzeżone”, mogą obejmować osoby bez poświadczenia, jeżeli posiadają one szkolenie i pisemne upoważnienie kierownika jednostki delegującej na dane spotkanie, co ABW uznaje za właściwą podstawę do zapoznawania się z takimi informacjami.

Planowanie ról powinno uwzględniać, że upoważnienie dla klauzuli „zastrzeżone” jest rozwiązaniem elastycznym dla zadań niewymagających poświadczenia, natomiast dla ról związanych z klauzulami „poufne” lub wyższe konieczne jest zaplanowanie czasu na postępowanie sprawdzające zakończone decyzją o wydaniu poświadczenia, a następnie bieżące utrzymanie ważności poświadczeń zgodnie z ustawowymi okresami.

Dla ról kierowniczych i kluczowych, np. pełnomocnik ochrony, jego zastępca, kierownik jednostki organizacyjnej przetwarzającej informacje o klauzuli „poufne” lub wyższej, ustawa przewiduje obowiązek posiadania poświadczenia i właściwego trybu postępowania sprawdzającego, co wyklucza zastąpienie tych wymogów samym upoważnieniem dla klauzuli „zastrzeżone”.

Postępowania sprawdzające

Postępowanie sprawdzające ma potwierdzić, że dana osoba daje rękojmię zachowania tajemnicy, a jego rodzaj zależy od wymaganej klauzuli i roli - zwykłe (dla klauzuli „poufne”) prowadzi pełnomocnik ochrony na pisemne polecenie kierownika jednostki organizacyjnej, a poszerzone (dla klauzuli „tajne” lub “ściśle tajne”, a także m.in. dla pełnomocników ochrony, ich zastępców i kierowników jednostek z klauzulą „poufne” lub wyższą) prowadzą ABW albo SKW na wniosek kierownika lub osoby uprawnionej do obsady stanowiska.

W toku postępowania dokonuje się ustaleń dotyczących m.in. dotychczasowego trybu życia, sytuacji finansowej, powiązań i okoliczności mogących wpływać na rękojmię zachowania tajemnicy; w postępowaniu poszerzonym organ może zobowiązać do specjalistycznych badań, gdy powstaną wątpliwości co do zdolności do zachowania tajemnicy.

Co do zasady postępowanie sprawdzające powinno zakończyć się w terminie 3 miesięcy od złożenia kompletnej dokumentacji, z możliwością przedłużenia i obowiązkiem zawiadomienia osoby sprawdzanej o nowym przewidywanym terminie; w literaturze podkreśla się instrukcyjny charakter tych terminów na gruncie ogólnych reguł k.p.a.

Bieg terminu liczy się od przyjęcia kompletnego wniosku wraz z wypełnioną ankietą bezpieczeństwa osobowego; w razie braków organ wyznacza termin ich uzupełnienia i informuje sprawdzaną osobę o przewidywanym terminie zakończenia, jeśli sprawa wymaga przedłużenia.

Po zakończeniu z wynikiem pozytywnym organ wydaje poświadczenie bezpieczeństwa na okres: 10 lat („poufne”), 7 lat („tajne”), 5 lat („ściśle tajne”), przy czym wyższa klauzula uprawnia do dostępu do niższych przez odpowiadające im okresy; ważne poświadczenie może też zastąpić upoważnienie dla klauzuli „zastrzeżone”.

Kontrolne postępowanie sprawdzające. W razie powzięcia wątpliwości co do dalszej rękojmi (np. incydenty, nowe okoliczności), organ wszczyna kontrolne postępowanie z urzędu, zawiadamiając kierownika jednostki organizacyjnej, pełnomocnika ochrony oraz osobę sprawdzaną; po otrzymaniu zawiadomienia kierownik ma obowiązek niezwłocznie wstrzymać dostęp do informacji niejawnych do czasu zakończenia postępowania.

Terminy postępowań sprawdzających. Wszystkie czynności muszą być rzetelnie udokumentowane i powinny zakończyć się w 6 miesięcy od wszczęcia, z jednorazową możliwością przedłużenia o kolejne 6 miesięcy w szczególnie uzasadnionych przypadkach; zakończenie następuje przez: decyzję o cofnięciu poświadczenia, informację o braku zastrzeżeń z potwierdzeniem zdolności do zachowania tajemnicy, albo decyzję o umorzeniu, jeśli nie zakończono w 12 miesięcy.

Organizacja powinna: planować obsadę z 3‑miesięcznym buforem na postępowania, monitorować ważność poświadczeń i terminy, utrzymywać komplet rejestrów wniosków/ankiet i korespondencji z ABW/SKW, a w razie wszczęcia kontrolnego postępowania niezwłocznie wstrzymać dostęp oraz odnotować czynności zabezpieczające i raportowe.

Szkolenia: program, częstotliwość, dokumentacja

Szkolenie z ochrony informacji niejawnych jest warunkiem dopuszczenia do pracy z klauzulami i musi poprzedzać udostępnienie informacji, z wyjątkami ustawowymi dla wskazanych osób pełniących najwyższe funkcje publiczne.

Cel i zakres merytoryczny szkolenia obejmuje: przepisy o ochronie informacji i odpowiedzialności karnej/dyscyplinarnej, praktyczne zasady ochrony (w tym zarządzanie ryzykiem), a także sposoby postępowania w sytuacjach zagrożenia lub ujawnienia.

Szkolenia przeprowadza się nie rzadziej niż raz na 5 lat. Można odstąpić od szkolenia wstępnego, jeśli pracownik przedstawi aktualne zaświadczenie potwierdzające odbycie szkolenia.

Kto szkoli:

• ABW/SKW – dla pełnomocników ochrony, ich zastępców, osób przewidzianych na te stanowiska, przedsiębiorców jednoosobowych i kierowników przedsiębiorców bez wyznaczonego pełnomocnika ochrony.

• ABW/SKW wspólnie z pełnomocnikiem ochrony – dla kierownika jednostki organizacyjnej z klauzulą „tajne” lub “ściśle tajne”.

• Pełnomocnik ochrony – dla pozostałych osób zatrudnionych/pełniących służbę/wykonujących czynności zlecone w jednostce.

Szkolenie kończy się wydaniem zaświadczenia, a pełnomocnik ochrony jest zobowiązany do jego wystawienia i podpisania. Jednostka prowadzi ewidencję szkoleń w sposób pozwalający ustalić „kto, kiedy, w jakim zakresie” został przeszkolony.