Personel5 min czytania

Weryfikacja niekaralności personelu — art. 8f KSC

Wymóg ustawowy

Art. 8f ust. 1 ustawy o KSC wprowadza wymóg weryfikacji niekaralności osób realizujących zadania z zakresu systemu zarządzania bezpieczeństwem informacji (art. 8) oraz zgłaszania incydentów (art. 11). Przed rozpoczęciem realizacji tych zadań osoba musi przedstawić podmiotowi kluczowemu lub ważnemu informację z Krajowego Rejestru Karnego stwierdzającą niekaralność za przestępstwa przeciwko ochronie informacji.

Osoba skazana prawomocnym wyrokiem sądu za przestępstwa przeciwko ochronie informacji nie może realizować zadań z zakresu SZBI ani zgłaszania incydentów (art. 8f ust. 4). Kierownik podmiotu dopuszcza osobę do realizacji tych zadań dopiero po otrzymaniu zaświadczenia o niekaralności.

Zakres przestępstw

Weryfikacja obejmuje przestępstwa z rozdziału XXXIII Kodeksu karnego — przestępstwa przeciwko ochronie informacji. Są to przestępstwa bezpośrednio związane tematycznie z cyberbezpieczeństwem.

  • Art. 265 k.k. — ujawnienie informacji niejawnych
  • Art. 266 k.k. — ujawnienie informacji służbowych
  • Art. 267 k.k. — nielegalne uzyskanie informacji
  • Art. 268 k.k. — niszczenie informacji
  • Art. 268a k.k. — niszczenie danych w systemach
  • Art. 269 k.k. — sabotaż komputerowy
  • Art. 269a k.k. — zakłócanie sieci i systemów
  • Art. 269b k.k. — bezprawne wykorzystanie programów i danych

Procedura weryfikacji

Informacje o niekaralności są przechowywane w dokumentacji pracowniczej (w przypadku umowy o pracę) lub w dokumentacji związanej z daną umową (w przypadku umów cywilnoprawnych). Zgodnie z RODO — dotyczą danych o karalności w rozumieniu art. 10 RODO — muszą być należycie chronione.

  1. Przed dopuszczeniem osoby do zadań z art. 8 lub art. 11 — zażądaj zaświadczenia z KRK.
  2. Kierownik podmiotu weryfikuje zaświadczenie i dopuszcza osobę do realizacji zadań.
  3. Przechowuj zaświadczenie w dokumentacji pracowniczej lub umownej, zgodnie z RODO.
  4. Dotyczy to zarówno pracowników, jak i osób na umowach cywilnoprawnych (zlecenie, B2B).

Wyjątki i ponowna weryfikacja

Ustawa przewiduje dwa istotne wyjątki od standardowej procedury weryfikacji:

  • Osoba posiadająca ważne poświadczenie bezpieczeństwa upoważniające do dostępu do informacji niejawnych o klauzuli poufne lub wyższej jest zwolniona z obowiązku przedstawienia zaświadczenia z KRK (art. 8f ust. 3).
  • Podmiot może wezwać osobę do ponownego przedstawienia zaświadczenia, jeżeli poweźmie uzasadnione podejrzenie o skazaniu za przestępstwo przeciwko ochronie informacji (art. 8f ust. 2). Podejrzenie musi być uzasadnione — samo zgłoszenie anonimowe może nie wystarczyć.

Kto podlega weryfikacji

Obowiązek weryfikacji niekaralności dotyczy wszystkich osób realizujących zadania z zakresu systemu zarządzania bezpieczeństwem informacji (SZBI) oraz zgłaszania i obsługi incydentów. W praktyce oznacza to szeroką grupę osób — nie tylko pracowników etatowych, ale również współpracowników zewnętrznych i podwykonawców. Kierownik podmiotu kluczowego lub ważnego jest odpowiedzialny za dopuszczenie tych osób do realizacji zadań dopiero po uzyskaniu potwierdzenia niekaralności.

  • Kierownik podmiotu kluczowego lub ważnego — jako osoba odpowiedzialna za wdrożenie SZBI (art. 8 ust. 1), sam podlega weryfikacji, jeżeli bezpośrednio realizuje zadania z zakresu SZBI
  • Personel kluczowy ds. cyberbezpieczeństwa — administratorzy systemów, analitycy SOC, osoby zarządzające incydentami, specjaliści ds. bezpieczeństwa IT
  • Osoby zgłaszające incydenty do CSIRT-ów — pracownicy odpowiedzialni za kontakt z CSIRT NASK, CSIRT GOV lub CSIRT MON w ramach art. 11
  • Podwykonawcy i osoby na umowach cywilnoprawnych (B2B, zlecenie) — jeżeli realizują zadania z zakresu art. 8 lub art. 11, podlegają identycznym wymogom jak pracownicy etatowi
  • Audytorzy wewnętrzni SZBI — o ile ich rola obejmuje bezpośrednie zadania z zakresu zarządzania bezpieczeństwem informacji

Procedura uzyskania zaświadczenia z KRK

Zaświadczenie o niekaralności uzyskuje się z Krajowego Rejestru Karnego (KRK) prowadzonego przez Ministerstwo Sprawiedliwości. Wniosek można złożyć osobiście w biurze informacyjnym KRK, w wybranym sądzie okręgowym lub elektronicznie za pośrednictwem systemu e-KRK (wymagany profil zaufany lub kwalifikowany podpis elektroniczny). Opłata za wydanie zaświadczenia wynosi 30 zł (wniosek papierowy) lub 20 zł (wniosek elektroniczny).

  1. Osoba składa wniosek o wydanie zaświadczenia z KRK — samodzielnie lub na wezwanie podmiotu. We wniosku należy wskazać zakres zapytania: przestępstwa z rozdziału XXXIII Kodeksu karnego.
  2. Po otrzymaniu zaświadczenia osoba przekazuje je kierownikowi podmiotu kluczowego lub ważnego.
  3. Kierownik weryfikuje treść zaświadczenia — potwierdza brak skazania za przestępstwa przeciwko ochronie informacji.
  4. Po pozytywnej weryfikacji kierownik dopuszcza osobę do realizacji zadań z zakresu SZBI lub obsługi incydentów.
  5. Zaświadczenie jest przechowywane w dokumentacji pracowniczej (umowa o pracę) lub dokumentacji umownej (umowy cywilnoprawne), z zachowaniem wymogów art. 10 RODO dotyczących danych o karalności.

Częstotliwość weryfikacji i konsekwencje

Ustawa o KSC nie określa wprost częstotliwości ponownej weryfikacji niekaralności. Zaświadczenie z KRK jest dokumentem aktualnym na dzień jego wydania — nie ma ustawowego terminu ważności. W praktyce podmioty powinny rozważyć wdrożenie wewnętrznej polityki okresowej weryfikacji, np. co 12 lub 24 miesiące, aby zapewnić ciągłą zgodność z wymogiem art. 8f. Spełnienie tego obowiązku jest jednym z elementów weryfikowanych podczas audytu bezpieczeństwa KSC. Ponowna weryfikacja jest natomiast obowiązkowa w przypadku uzasadnionego podejrzenia skazania (art. 8f ust. 2).

Konsekwencje negatywnego wyniku weryfikacji są jednoznaczne: osoba skazana prawomocnym wyrokiem za przestępstwa z rozdziału XXXIII k.k. nie może realizować zadań z zakresu SZBI ani obsługi incydentów (art. 8f ust. 4). Podmiot musi niezwłocznie odsunąć taką osobę od tych obowiązków. Dopuszczenie osoby skazanej do realizacji zadań może stanowić naruszenie ustawy i skutkować sankcjami w ramach czynności sprawdzających organu właściwego.
FAQ4 pytania

Najczęstsze pytania

Kogo trzeba sprawdzić z KRK w KSC?
Personel SZBI mający dostęp do systemów wykorzystywanych do świadczenia usługi kluczowej/ważnej lub do wrażliwej dokumentacji bezpieczeństwa (art. 8f KSC). W praktyce dotyczy to administratorów systemów krytycznych, osób z uprawnieniami uprzywilejowanymi, personelu SOC, osób odpowiedzialnych za zarządzanie tożsamością, klucze kryptograficzne i dostęp fizyczny do serwerowni.
Ile trzyma zaświadczenie KRK dla potrzeb KSC?
Zaświadczenia o niekaralności z KRK nie mają ustawowo określonej „daty ważności” dla potrzeb KSC, ale dobra praktyka to weryfikacja co 12 miesięcy dla ról uprzywilejowanych i przy każdej zmianie zakresu obowiązków. Rozporządzenie wykonawcze do KSC może określić minimalną częstotliwość — do czasu jego wydania stosujemy zasady proporcjonalności z oceny ryzyka.
Czy można zatrudnić osobę skazaną w obszarze SZBI?
Ustawa zabrania kategorycznie. Osoba skazana prawomocnym wyrokiem za przestępstwa wymienione w art. 8f ust. 4 KSC nie może realizować zadań z zakresu SZBI ani obsługi incydentów — jest to zakaz bezwzględny, niezależny od oceny ryzyka. Kierownik podmiotu ma obowiązek niezwłocznie odsunąć taką osobę od tych zadań.
Jak przechowywać zaświadczenia KRK zgodnie z RODO?
Dane o karalności to dane szczególnej kategorii (art. 10 RODO) — wymagają: (1) wyraźnej podstawy prawnej (art. 8f KSC), (2) zasady minimalizacji — przechowujemy tylko sam fakt niekaralności i datę weryfikacji, nie kopię dokumentu dłużej niż niezbędne, (3) ograniczonego dostępu (IOD, kadry, bezpieczeństwo), (4) retencji zgodnej z celem — zwykle do zakończenia zatrudnienia + okres roszczeń.
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.