Prawne podstawy systemu Polskich Norm (PN) Wymagania dla systemów teleinformatycznych oraz ochrony danych osobowych



25 maja 2009, autor: Tomasz Cygan 

       Informatyzacja obejmująca każdą dziedzinę działalności człowieka wymusza otwarcie na stosowanie nowoczesnych technologii wymiany informacji również w ramach zadań realizowanych przez organy administracji dla dobra społeczeństwa. O ile w ramach zwykłych stosunków cywilnoprawnych stosowne regulacje dotyczące obrotu elektronicznego zostały wprowadzone już kilka lat temu (ustawa z dnia 14 lutego 2003 roku o zmianie kodeksu cywilnego i zmianie niektórych innych ustaw - Dz. U. z 2003 roku, nr 49, poz. 408 wprowadziła m. in. pojęcie oferty składanej w formie elektronicznej oraz równoważność bezpiecznego podpisu elektronicznego z formą pisemną czynności prawnych w tradycyjnym znaczeniu), to dopiero w 2005 roku podjęto inicjatywę ustawodawczą skutkującą wprowadzeniem odpowiednich regulacji umożliwiających kontakt elektroniczny między organami administracji publicznej a obywatelem. Jednocześnie coraz bardziej zauważalną staje się praktyka odwoływania się do dokumentów normalizacyjnych. Dotyczy to zarówno ustawodawcy jak i wymagań praktyki. 

       Ustawą z dnia 17 lutego 2005 roku o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2005 roku, nr 64, poz. 565 z późniejszymi zmianami) uczyniono pierwszy krok do wprowadzenia odpowiednich mechanizmów elektronicznego kontaktu władzy z obywatelem. Zgodnie z treścią art. 1 wyżej wymienionej ustawy jej zakresem objęte są m. in. zasady ustalania minimalnych, gwarantujących otwartość standardów informatycznych, wymagań dla systemów teleinformatycznych używanych do realizacji zadań publicznych oraz dla rejestrów publicznych i wymiany informacji w formie elektronicznej z podmiotami publicznymi, dostosowania systemów teleinformatycznych używanych do realizacji zadań publicznych do minimalnych, gwarantujących otwartość standardów informatycznych, wymagań dla systemów teleinformatycznych używanych do realizacji zadań publicznych oraz wymiany informacji drogą elektroniczną, w tym dokumentów elektronicznych, pomiędzy podmiotami publicznymi a podmiotami niebędącymi podmiotami publicznymi. Jednocześnie ustawa definiuje pojęcie podmiotu publicznego (art. 2) wskazując, że są nimi m. in. organy administracji rządowej, organy kontroli państwowej i ochrony prawa, sądy, jednostki organizacyjne prokuratury, a także jednostki samorządu terytorialnego i ich organy, jednostki budżetowe, zakłady budżetowe i gospodarstwa pomocnicze jednostek budżetowych. 

       Jednym z podstawowych wskazań dla podmiotów publicznych w zakresie realizacji zadań publicznych jest obowiązek stosowania systemów teleinformatycznych spełniających minimalne wymagania dla systemów teleinformatycznych (art. 13 ustawy). Owe minimalne wymagania dla systemów teleinformatycznych zgodnie z treścią art. 18 ustawy muszą zapewnić spójność działania systemów teleinformatycznych używanych do realizacji zadań publicznych poprzez określenie co najmniej specyfikacji formatów danych oraz protokołów komunikacyjnych i szyfrujących, które mają być stosowane w oprogramowaniu interfejsowym, przy zachowaniu możliwości nieodpłatnego wykorzystania tych specyfikacji oraz sprawnej i bezpiecznej wymiany informacji w formie elektronicznej między podmiotami publicznymi oraz między podmiotami publicznymi a organami innych państw lub organizacji międzynarodowych. Jednocześnie mają one uwzględniać Polskie Normy oraz inne dokumenty normalizacyjne zatwierdzone przez krajową jednostkę normalizacyjną, zachowując zasadę równego traktowania różnych rozwiązań informatycznych. 

       Obok wynikającego z przepisów prawa wymogu uwzględniania Polskich Norm mają one praktyczne zastosowanie pomocnicze przy tworzeniu dokumentacji wymaganej przez ustawę z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2002 roku, nr 101, poz. 926 z późniejszymi zmianami). Coraz częstsza praktyką jest wykorzystywanie norm technicznych określających bezpieczeństwo informacyjne organizacji w procesie wdrażania polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym. Chodzi tu w głównej mierze o normę PN/ISO 27001:2007 oraz o poprzedzającą ją normę PN-ISO/IEC 17799:2003. W literaturze przedmiotu wskazuje się niekiedy na zasadność ich wykorzystania w działalności administratora bezpieczeństwa informacji, co stanowi wyraz swoistej "dobrej praktyki", a nie obowiązku wynikającego z przepisów prawa. 

       Zupełnie na marginesie warto zwrócić uwagę, że w 2004 roku w trakcie Zamkniętej Sesji Rzeczników Światowych reprezentującej organy ochrony danych osobowych przyjęta została rezolucja w sprawie standardu ochrony prywatności ISO (Sprawozdanie GIODO z 2004 roku, str. 52). Inicjatywa ta niewątpliwie wzbogaciłaby wszelkie rozwiązania z zakresu ochrony bezpieczeństwa informacji. 

       Przedstawione powyżej rozwiązania stanowią tylko niewielki wycinek obszarów zainteresowania normami i wskazują na coraz większą popularność procesów normalizacyjnych. W związku z tym, rozważania wymaga charakter prawny tego rodzaju norm oraz wskazanie ich najistotniejszych elementów wraz z przykładami praktycznego wykorzystania. 

       Pomijając przepisy prawa Unii Europejskiej kwestie związane z normalizacją znajdują się w różnych aktach prawnych obowiązujących na terytorium RP. Podstawowe zastosowanie ma w tym zakresie ustawa z dnia 12 września 2002 roku o normalizacji (Dz. U. z 2002 roku, nr 169, poz. 1384 z późniejszymi zmianami), jednakże istotne kwestie związane z tą problematyką znaleźć można także w ustawie z 30 sierpnia 2002 o systemie oceny zgodności (Dz. U. z 2004 roku, nr 204, poz. 2087 z późniejszymi zmianami). 

       Wspomniana ustawa z dnia 12 września 2002 roku o normalizacji (Dz. U. z 2002 roku, nr 169, poz. 1384 z późniejszymi zmianami), określa podstawowe zasady i cele normalizacji. Zgodnie z treścią art. 2 punkt 1 ustawy przez normalizację rozumie się działalność zmierzającą do uzyskania optymalnego, w danych okolicznościach, stopnia uporządkowania w określonym zakresie, poprzez ustalanie postanowień przeznaczonych do powszechnego i wielokrotnego stosowania, dotyczących istniejących lub mogących wystąpić problemów. Z kolei zasady, wytyczne lub charakterystyki odnoszące się do różnych rodzajów działalności lub ich wyników znajdują się w dokumencie normalizacyjnym, którego podstawowym przykładem jest norma. Wobec tego normalizacja w rozumieniu przepisów prawa jest niczym innym jak przygotowaniem określonych procedur działania chroniących przed występującymi lub możliwymi do wystąpienia zagrożeniami. Pogląd ten znajduje potwierdzenie w wyroku Zespołu Arbitrów Urzędu Zamówień Publicznych z dnia 14 lipca 2003 roku (UZP/ZO/0-993/03, Zamówienia Publiczne w Orzecznictwie 2003/3 poz. 31), który odnosi się co prawda konkretnie do certyfikatu normy z grupy ISO 9000, ale w sposób jednoznaczny wskazuje, że certyfikacja na zgodność z normą wskazuje na wysoki poziom funkcjonowania i dotyczy cech podmiotu. Jednocześnie już z treści art. 2 punkt 4 ustawy wynika w sposób jasny, że norma nie może być aktem prawnym, co stanowi pierwszy element określający jej charakter. Wynika z tego, że fakt obowiązywania normy i jej stosowania nie może być wymuszany przymusem państwowym. 

       Biorąc pod uwagę, że norma nie może stanowić aktu prawnego, a więc nie ma charakteru władczego i powszechnie obowiązującego rozważenia wymaga podstawa jej obowiązywania. Odpowiedzi na tak postawione pytanie dostarczają również przepisy ustawy z dnia 12 września 2002 roku o normalizacji. Z jej treści wynika, że zasadniczym przykładem normy jest Polska Norma - PN (art. 5 ust. 1 ustawy). Obok niej ustawa wyróżnia inne niż Polska Norma dokumenty normalizacyjne zatwierdzone przez krajową jednostkę normalizacyjną (tzn. Polski Komitet Normalizacyjny), które mogą jednak pozostać w języku oryginału. Obydwa wskazane w ustawie rodzaje norm obowiązują na podstawie konsensu rozumianego jako ogólne porozumienie charakteryzujące się brakiem trwałego sprzeciwu znaczącej części zainteresowanych w odniesieniu do istotnych zagadnień, osiągnięte w procesie rozpatrywania poglądów wszystkich zainteresowanych i zbliżenia przeciwstawnych stanowisk (art. 2 punkt 5 ustawy). W związku z tym, fakt obowiązywania norm oparty jest jedynie i wyłącznie na dobrowolnej akceptacji podmiotu chcącego stosować się do normy. Również z treści art. 5 ust. 3 ustawy wynika w sposób jednoznaczny, że stosowanie Polskich Norm oraz innych dokumentów normalizacyjnych (art. 6 w zw. z art. 5 ust. 3 ustawy) jest oparte na zasadzie dobrowolności. Oznacza to, że żaden przepis nie nakłada obowiązku postępowania w zgodzie z normą. Co więcej, w orzecznictwie w sprawach zamówień publicznych znaleźć można pogląd, że dobrowolność stosowania się do norm sięga tak daleko, że niedopuszczalne jest żądanie w postępowaniu o udzielenie zamówienia publicznego przedstawienia certyfikatu na zgodność z normą. Żądanie takie narusza bowiem zasadę równego traktowania stron postępowania (por. Wyrok Zespołu Arbitrów - Urząd Zamówień Publicznych z dnia 14 lipca 2003 r., UZP/ZO/0-993/03, Zamówienia Publiczne w Orzecznictwie 2003/3 poz. 31). 

       Nie tylko postępowanie w zgodzie z normą oparte jest na zasadzie dobrowolności. Dotyczy to również oznaczenia znakiem zgodności z Polską Normą, co jednak uzależnione jest od uzyskania certyfikatu zgodności upoważniającego do takiego oznaczenia (art. 7 ust. 1 ustawy). Co więcej, uzyskanie certyfikatu jest równoznaczne z uzyskaniem prawa do oznaczenia Polską Normą. Jednakże zwrócić należy uwagę na fakt, że samo pismo audytora o pozytywnym wyniku przeprowadzonego audytu nie może zostać uznane za dokument równoważny z certyfikatem (por. Postanowienie Zespołu Arbitrów - Urząd Zamówień Publicznych z dnia 13 stycznia 2006 r., UZP/ZO/0-26/06). Wynika to z treści art. 7 ust. 3 ustawy - podmiotem uprawnionym do wydawaniu certyfikatu z norma jest krajowa jednostka normalizacyjna (Polski Komitet Normalizacyjny) lub podmiot upoważniony przez Prezesa Polskiego Komitetu Normalizacyjnego. 

       Norma może być opracowaniem wyłącznie polskim lub wprowadzeniem normy europejskiej lub międzynarodowej. Wprowadzenie takie może nastąpić w języku oryginału, a wiec nie ma wymogu funkcjonowania w obrocie jedynie polskojęzycznych norm. Zadania związane z organizowaniem i nadzorowaniem działań związanych z opracowywaniem i rozpowszechnianiem Polskich Norm i innych dokumentów normalizacyjnych oraz zatwierdzaniem i wycofywaniem Polskich Norm oraz innych dokumentów normalizacyjnych należą do Polskiego Komitetu Normalizacyjnego będącego krajową jednostką normalizacyjną. Wobec tego możliwość stosowania się do normy czy certyfikowania się na zgodność z nią powstaje dopiero po "prawnym usankcjonowaniu" - zatwierdzeniu normy przez PKN. Do najpopularniejszych norm międzynarodowych należą normy Międzynarodowej Organizacji Normalizacyjnej (ISO). Stąd niejednokrotnie oznaczenie normy, pozostając w zgodzie z przepisami ustawy z dnia 12 września 2002 roku o normalizacji brzmi PN - ISO. W przypadku, gdy normalizacja ma obejmować zagadnienia związane z szeroko rozumianą elektrotechniką i elektroniką oznaczenie normy obejmować będzie ponadto IEC - jako skrót od anglojęzycznej nazwy Międzynarodowej Komisji Elektrotechnicznej. Wówczas pełne oznaczenie normy brzmieć będzie PN - ISO/IEC. Spośród innych popularnych komisji normalizacyjnych wskazać można na Europejski Komitet Normalizacyjny (CEN), Europejski Komitet Normalizacyjny Elektrotechniki (CENELEC) i Europejski Instytut Norm Telekomunikacyjnych (ETSI). Symbole oznaczające wszystkie normy są oparte na zasadzie wyłączności oraz korzystają z ochrony jak utwory literackie, a autorskie prawa majątkowe do nich przysługują krajowej jednostce normalizacyjnej (art. 5 ust. 5) Jednocześnie, mimo możliwości wprowadzenia normy w języku oryginału musi ona pozostać powszechnie dostępną, co stanowi kolejną cechę charakterystyczną normy. 

       Oprócz elementów charakteryzujących normy a wynikających bezpośrednio z przepisów ustawy z dnia 12 września 2002 roku o normalizacji wyróżnić można również grupę jej cech "pozaustawowych" i odnoszących się raczej do funkcjonowania normy w obrocie. W pierwszej kolejności wskazać należy na brak wartości majątkowej certyfikatu normy, a co za tym idzie wyłączenie jej z obrotu cywilnoprawnego. Certyfikat taki przynależy do danego podmiotu, który certyfikował się na zgodność z normą. Wskazuje on bowiem, że ten a nie inny podmiot spełnia wszelkie wymogi normy. Jako taki nie podlega on zbyciu. Jednocześnie nie ulega wątpliwości, że mimo swego niemajątkowego charakteru może on przynieść określone i wymierne korzyści podmiotowi certyfikowanemu na zgodność z normą. Z podatkowego punktu widzenia wydatki związane z certyfikacją będą stanowić przeto koszt uzyskania przychody od chwili ich poniesienia. 

       Certyfikat na zgodność z normą nie stanowi również żadnego z praw własności intelektualnej, w szczególności brak jest jakichkolwiek podstaw do przyjęcia, że w przypadku certyfikacji określony podmiot uzyskuje licencję. Certyfikat jest li tylko zaświadczeniem o spełnianiu określonych wymogów. Jak już wspomniano nie ma on wartości majątkowej ani nie może być przedmiotem obrotu. Z kolei licencja jest prawem majątkowym na czyichś dobrach niematerialnych (por. Wyrok Naczelnego Sądu Administracyjnego - Ośrodek Zamiejscowy w Szczecinie z dnia 29 września 1999 r., SA/Sz 909/98, Rachunkowość - Poradnik praktyczny 2000/7-8 str. 48). 

       Osobnego rozważenia wymaga kwestia związana z nieuprawnionym posługiwaniem się normą. Zgodnie z treścią art. 24 ustawy z dnia 12 września 2002 roku o normalizacji (Dz. U. z 2002 roku, nr 169, poz. 1384 z późniejszymi zmianami), każdy kto oznacza wyroby znakiem zgodności z Polską Normą bez uzyskania certyfikatu zgodności upoważniającego do takiego oznaczenia lub oznacza znakiem zgodności z Polską Normą wyroby niespełniające odpowiednich wymagań Polskiej Normy lub deklaruje zgodność z Polską Normą wyrobów niespełniających tych wymagań podlega karze grzywny od 20 do 5.000 zł. W zakresie tego przepisu mieści się również nieuprawnione przypisywanie sobie faktu certyfikacji na zgodność z normą. 

       Coraz powszechniejsza praktyka certyfikacji na zgodność z normami mająca na celu zwiększenie konkurencyjności działania, a także praktyczny wpływ norm na prawidłowe funkcjonowanie administracji publicznej, a także jak wskazano na wstępie na spełnianie wymogów określonych w przepisach prawa karze wskazać i usystematyzować cechy charakteryzujące normę. Nie ulega wątpliwości, że stanowi ona swoistą, spisaną "dobrą praktykę" wskazującą na prawidłowość funkcjonowania podmiotu działającego w oparciu o nią. Spośród wszystkich wskazanych cech normy najważniejsze znaczenie praktyczne przypisać należy dobrowolności stosowania się do niej. Wypełnienie wszelkich wymagań wynikających z wdrażanej normy jest niewątpliwie czasochłonne. Wobec tego brak jest jakichkolwiek podstaw do żądania jej wdrożenia. 

       Reasumując, obok dobrowolności stosowania, norma musi być jawna, powszechnie dostępna - niezależnie od języka publikacji, a także "pozanormatywna" - tzn. nie może być aktem prawnym, a jednocześnie musi być niezależna od administracji publicznej oraz od jakiejkolwiek grupy interesów (art. 4 punkt 6). Z kolei proces certyfikacji na zgodność z normą pozwala wskazać na jej niemajątkowy charakter. 

       Nie ulega też wątpliwości, że każda norma pełni również funkcję porządkującą działalność oraz zabezpieczającą na wypadek wystąpienia jakichkolwiek incydentów, a jednocześnie zwiększają wiarygodność prowadzonej działalności. Właśnie wskazane wyżej zastosowania normy powodują coraz większe nią zainteresowanie. 


Artykuł powstał na zlecenie firmy KSK Bezpieczeństwo Sp. z o.o. - www.kskb.pl 
Opublikowany w nr 9/2008 miesięcznika "IT w Administracji" - www.itwadministracji.pl 

- - - - - - - - - - - - - - - - - - - - - - - - -
Tomasz Cygan - Prawnik. Egzaminowany aplikant sądowy. Aplikant adwokacki przy Izbie Adwokackiej w Katowicach. Absolwent Wydziału Prawa i Administracji Uniwersytetu Śląskiego, doktorant w Katedrze Prawa Gospodarczego i Handlowego na Wydziale Prawa i Administracji Uniwersytetu Śląskiego w Katowicach, prawnik Grupy Spółek KSK, wykładowca w Akademii Kompetencji KSK Bezpieczeństwo. Współpracuje w roli konsultanta prawnego w zaawansowanych projektach firmy KSK Bezpieczeństwo Sp. z o.o. w zakresie bezpieczeństwa informacji. Trener i wykładowca na licznych szkoleniach z zakresu bezpieczeństwa informacja i ochrony danych osobowych. Autor publikacji z zakresu tajemnicy przedsiębiorstwa, ochrony danych osobowych oraz normalizacji.

12reasons

Zapisz się, by otrzymać DARMOWY e-mailowy raport