Spółdzielnie mieszkaniowe, operatorzy kablówki i inni mali przedsiębiorcy telekomunikacyjni nie będą już musieli pozyskiwać świadectw bezpieczeństwa przemysłowego. Zwolnienie ich z tego obowiązku znalazło się w projekcie rozporządzenia przygotowanego przez Ministerstwo Cyfryzacji.
Wszyscy dostawcy i operatorzy usług telekomunikacyjnych są obecnie zobowiązani spełniać wymagania ustawy o ochronie informacji niejawnych (t.j. Dz.U. z 2016 r. poz. 1167). Jednym z nich jest właśnie certyfikat bezpieczeństwa przemysłowego, który potwierdza, że spółka czy spółdzielnia jest w stanie zagwarantować, iż nikt nieuprawniony nie będzie miał dostępu do wrażliwych danych. Czyli że dzięki wdrożeniu odpowiednich procedur można łatwo sprawdzić, kto jakie dane pozyskuje. Przed złożeniem wniosku o wydanie certyfikatu przedsiębiorca musi też ustalić, jak przetwarzane będą informacje niejawne.
Świadectwa bezpieczeństwa przemysłowego mają kilka stopni i wydają je na 5–10 lat służby – ABW oraz SKW po przeprowadzeniu specjalnego postępowania. Rzecz w tym, że jest ono bardzo drogie. W ABW postępowanie kończące się wydaniem certyfikatu I lub II stopnia kosztuje ponad 28 tys. zł., a III stopnia – ponad 24 tys. zł. Do tego mogą dochodzić koszty przeszkolenia pracowników.
Resort cyfryzacji doszedł do wniosku, że w praktyce rzadko się zdarza, by mali przedsiębiorcy telekomunikacyjni stawali przed koniecznością zapewniania warunków dostępu i utrwalania informacji niejawnych. Zapytania od służb kierowane są zwykle do wielkich telekomów, dlatego należy zróżnicować wymagania stawiane tym, którzy działają na skalę lokalną, i dużym graczom rynkowym, aby ci pierwsi nie musieli ponosić nieproporcjonalnych do potrzeb kosztów. Zgodnie z propozycją MC przedsiębiorcy obsługujący do 50 tys. zakończeń sieci (punktów, w których klient otrzymuje dostęp do sieci) zostaną uwolnieni od tego obowiązku (ma to dotyczyć ok. 6 tys. podmiotów). Zastąpi go jednorazowa decyzja właściwego organu dotycząca udostępniania i utrwalania informacji niejawnych.
Mali operatorzy telewizji kablowej i spółdzielnie mieszkaniowe, które opiniowały projekt, zgodnie opowiadają się za zniesieniem wymogu pozyskiwania certyfikatów, uznając je za „kłopotliwe i kosztowne”. Wątpliwości co do nowej regulacji zgłosił natomiast generalny inspektor ochrony danych osobowych, który zwrócił uwagę, że propozycje resortu mogą być niezgodne z nowym unijnym rozporządzeniem w sprawie przetwarzania danych osobowych (2016/679), które wejdzie w życie 25 maja przyszłego roku.
Etap legislacyjny
Po konferencji uzgodnieniowej