Poświadczenia bezpieczeństwa w spółkach zależnych od Skarbu Państwa. Jest lepiej niż było, ale pozostają luki

Jeszcze miesiąc temu opinię publiczną zajmowała kwestia poświadczenia bezpieczeństwa marszałka Sejmu, Włodzimierza Czarzastego. Nierozstrzygnięta pozostaje także sprawa szefa BBN, Sławomira Cenckiewicza – jego przypadek ma rozpatrzyć Naczelny Sąd Administracyjny w kwietniu.

Wcześniej opisywaliśmy również sytuację w Polskich Sieciach Elektroenergetycznych. Według źródeł XYZ jeden z kluczowych menedżerów – Daniel Wagner – nie posiadał poświadczenia bezpieczeństwa. Spółka nie odniosła się do tych informacji.

Przeczytaj: Sterownia PSE w reportażu to darmowy prezent dla obcych służb. W tle kontrowersje wokół szefa bezpieczeństwa

Problem nie dotyczy jednak wyłącznie pojedynczych przypadków. Kluczowe jest to, czy systemowo zarówno spółki Skarbu Państwa, jak i ich kierownictwo mają dostęp do informacji niejawnych zgodnie z obowiązującymi standardami.

W pamięci pozostaje także spór wokół byłego prezesa Orlenu, Daniela Obajtka, który przez długi czas nie posiadał poświadczenia. Od tamtej sytuacji minęło kilka lat – sprawdziliśmy, czy system został uporządkowany.

32 spółki o znaczeniu strategicznym

Punktem wyjścia była odpowiedź Ministerstwa Aktywów Państwowych. W Polsce funkcjonują 32 spółki uznawane za strategiczne z punktu widzenia gospodarki i bezpieczeństwa państwa.

Są to w kolejności alfabetycznej: Agencja Rozwoju Przemysłu, Enea, Exatel, Giełda Papierów Wartościowych, Grupa Azoty, Grupa Lotos, JSW, KGHM, Krajowa Spółka Cukrowa, PGE, PKP PLK, Poczta Polska, PAP, Polska Grupa Górnicza, Polska Grupa Lotnicza, PGZ, Państwowa Wytwórnia Papierów Wartościowych, PFR, Polski Holding Nieruchomości, Polski Holding Obronny, Orlen, Polskie Elektrownie Jądrowe, PGNiG, PKP, LOT, Polskie Radio, PKO BP i Pekao SA, PZU, Tauron, Totalizator Sportowy i Węglokoks.

To podmioty zarządzające infrastrukturą krytyczną, energią, finansami lub komunikacją – czyli obszarami szczególnie wrażliwymi z punktu widzenia państwa.

Kancelaria tajna – fundament systemu

Kluczowym elementem systemu ochrony informacji niejawnych jest tzw. kancelaria tajna. To wyodrębniona komórka organizacyjna, odpowiedzialna za obieg, przechowywanie i ewidencję materiałów niejawnych. W praktyce oznacza to, że każda informacja o klauzuli „tajne” lub „ściśle tajne” powinna trafiać do takiej jednostki, a dostęp do niej mają wyłącznie osoby z odpowiednimi poświadczeniami.

Kancelaria działa pod nadzorem pełnomocnika ds. ochrony i obsługiwana jest przez wyspecjalizowany personel. To ona odpowiada za kontrolę dostępu i bezpieczeństwo dokumentów.

Jak podał w odpowiedzi MAP, „kancelarie tajne co do zasady funkcjonują w jednostkach organizacyjnych, w których są przetwarzane informacje niejawne o klauzuli »tajne« lub »ściśle tajne«. Jako jednostkę organizacyjną rozumieć należy podmioty wymienione w art. 1 ust. 2 przywołanej powyżej ustawy. Oznacza to, że decyzję o utworzeniu kancelarii tajnej podejmuje każda jednostka organizacyjna we własnym zakresie” [podkreślenie nasze – red.].

Kodeks Dobrych Praktyk mówi jedno. Praktyka pozostaje rozproszona

System wydawałby się spójny, gdyby nie kluczowa rozbieżność między wytycznymi a ich stosowaniem. Ministerstwo Aktywów Państwowych przygotowało bowiem Kodeks Dobrych Praktyk Nadzoru Właścicielskiego – dokument, który ma porządkować standardy funkcjonowania spółek z udziałem Skarbu Państwa.

W części dotyczącej zarządów wskazano, że w przypadku spółek o istotnym znaczeniu dla gospodarki państwa organ prowadzący postępowanie kwalifikacyjne powinien rozważyć, czy kandydaci powinni posiadać poświadczenie bezpieczeństwa lub przynajmniej poddać się procedurze sprawdzającej. Na poziomie zapisów oznacza to uznanie, że dostęp do informacji niejawnych może być elementem kompetencyjnym kadry zarządzającej. Kluczowe jest jednak słowo „rozważyć”.

W praktyce decyzja nie jest obowiązkowa ani ustandaryzowana. Ministerstwo pozostawia ją organowi prowadzącemu postępowanie kwalifikacyjne – najczęściej radzie nadzorczej.

Jak wskazuje MAP, to właśnie ten organ ma ocenić, czy w danej spółce istnieje potrzeba posiadania poświadczeń przez członków zarządu, ponieważ najlepiej zna specyfikę działalności i poziom ryzyka. Resort deklaruje jednocześnie, że będzie egzekwował stosowanie zapisów Kodeksu przez rady nadzorcze. Nie zmienia to jednak faktu, że system pozostaje zdecentralizowany, a decyzje mają charakter uznaniowy. W efekcie standard dostępu do informacji niejawnych w spółkach strategicznych nie jest jednolity, lecz zależy od interpretacji i praktyki poszczególnych organów nadzorczych.

Bezpieczeństwo personalne jako luka systemowa

Były szef Agencji Wywiadu i wieloletni oficer ABW, płk Grzegorz Małecki, nie ma wątpliwości – członkowie władz strategicznych spółek powinni posiadać poświadczenia bezpieczeństwa. Kluczowe pytanie, jakie stawia, dotyczy jednak ich funkcji.

– Z punktu widzenia bezpieczeństwa państwa to narzędzie weryfikacji osób powoływanych do władz spółek. Jednocześnie umożliwia wykonywanie obowiązków związanych z dostępem do informacji niejawnych. W przypadku spółek działających w sektorach takich jak energetyka czy transport, dostęp do takich informacji jest uzasadniony – wskazuje płk Grzegorz Małecki.

W jego ocenie procedura powinna być standardem. Osoby obejmujące kluczowe stanowiska powinny przechodzić postępowanie sprawdzające i uzyskiwać stosowne poświadczenia.

Nadzór formalny, wiedza ograniczona

Z odpowiedzi Ministerstwa Aktywów Państwowych wynika jednak inny obraz systemu. Resort pozostawia decyzję o konieczności posiadania poświadczeń organom spółek, a jednocześnie sam nie prowadzi ewidencji w tym zakresie.

Jeszcze ciekawsze jest to, MAP nie dysponuje danymi dotyczącymi tego, którzy członkowie zarządów podległych spółek posiadają dostęp do informacji niejawnych. Kompetencje te przypisane są Agencji Bezpieczeństwa Wewnętrznego oraz Służbie Kontrwywiadu Wojskowego.

W praktyce oznacza to, że organ nadzorczy nie ma pełnej wiedzy o stanie bezpieczeństwa personalnego w spółkach o znaczeniu strategicznym – mimo że sam wskazuje w Kodeksie Dobrych Praktyk na zasadność posiadania takich poświadczeń w określonych przypadkach. Dodatkowo ABW i SKW nie mają obowiązku informowania MAP o prowadzonych postępowaniach sprawdzających wobec członków władz spółek.

Świadectwa przemysłowe poza kontrolą właścicielską

Podobny model dotyczy świadectw bezpieczeństwa przemysłowego. To instrument obejmujący nie tylko zarządy, ale również osoby odpowiedzialne za ochronę informacji – pełnomocników, administratorów systemów czy kierowników jednostek.

„Ewidencję w tym zakresie prowadzi Agencja Bezpieczeństwa Wewnętrznego, która ma kompetencje do wydawania świadectw bezpieczeństwa przemysłowego” – brzmi odpowiedź MAP.

W efekcie nadzór właścicielski nad bezpieczeństwem personalnym w spółkach Skarbu Państwa ma ograniczony charakter. Decyzje są rozproszone, a dostęp do informacji – fragmentaryczny. Z perspektywy systemowej trudno mówić o jednolitym standardzie. Bardziej adekwatne wydaje się określenie: nadzór formalny przy ograniczonej kontroli operacyjnej.

Odpowiedzi spółek. Niejednolity obraz bezpieczeństwa

Kluczowe pytanie dotyczy praktyki – czyli tego, kto faktycznie posiada poświadczenia bezpieczeństwa w strategicznych spółkach. W tym celu skierowaliśmy szczegółowe zapytania do wszystkich podmiotów ujętych w wykazie.

Zakres pytań był jednolity. Dotyczył posiadania świadectwa bezpieczeństwa przemysłowego, funkcjonowania kancelarii tajnej oraz tego, czy członkowie ścisłego kierownictwa – zarządów i rad nadzorczych – dysponują poświadczeniami wydanymi przez ABW lub SKW.

Część spółek... nie odpowiedziała. Wśród nadesłanych odpowiedzi pojawiły się natomiast rozbieżności, które utrudniają ocenę systemu jako spójnego.

Na przykładzie Agencji Rozwoju Przemysłu widać skalę problemu. Z przekazanych informacji wynika, że poświadczenie bezpieczeństwa posiada jedynie kierownik jednostki organizacyjnej – w tym przypadku wiceprezes Ilona Deręgowska. W pięcioosobowym zarządzie oraz równie licznej radzie nadzorczej oznacza to, że dostęp do informacji niejawnych ma tylko jedna osoba z najwyższego kierownictwa.

ARP wskazała również, że nie posiada kancelarii tajnej. Zamiast tego funkcjonuje kancelaria materiałów niejawnych, umożliwiająca przetwarzanie informacji o klauzuli „poufne”.

„Posiadane przez ARP S.A. świadectwo „tajne” trzeciego stopnia, zgodnie z ustawą, nie uprawnia do przetwarzania informacji o tej klauzuli na terenie jednostki organizacyjnej, co tym samym wyklucza konieczność tworzenia kancelarii tajnej” – czytamy w odpowiedzi.

Przypadek ARP pokazuje, że formalne spełnienie wymogów nie musi oznaczać szerokiego dostępu do informacji niejawnych wśród kadry zarządzającej. Tylko że w praktyce zakres uprawnień jest ograniczony, a organizacja systemu bezpieczeństwa zależy od interpretacji przepisów i decyzji podejmowanych na poziomie poszczególnych spółek.

Spółki z pełnym dostępem. Standardy zaczynają się różnicować

Na tle niejednolitych odpowiedzi części podmiotów wyraźnie rysuje się grupa spółek, w których system bezpieczeństwa ma bardziej uporządkowany charakter.

Kancelarię tajną oraz świadectwo bezpieczeństwa przemysłowego posiadają m.in. Exatel, PKP PLK, Polskie Elektrownie Jądrowe, PGE oraz Tauron. W tych przypadkach członkowie zarządów albo już dysponują poświadczeniami, albo są w trakcie procedur ich uzyskiwania. Na szczególną uwagę zasługuje Tauron, gdzie – zgodnie z przekazaną informacją – wszyscy członkowie zarządu posiadają poświadczenia bezpieczeństwa. Analogiczna sytuacja występuje w Jastrzębskiej Spółce Węglowej, Państwowej Wytwórni Papierów Wartościowych oraz Polskich Liniach Lotniczych LOT.

Relatywnie wysoki poziom transparentności zaprezentował Polski Holding Obronny. Spółka przekazała szczegółowe informacje dotyczące posiadanych świadectw oraz prowadzonych procedur. PHO posiada szeroki zakres uprawnień, a dodatkowo trwa postępowanie przed Agencją Bezpieczeństwa Wewnętrznego w sprawie uzyskania świadectwa bezpieczeństwa przemysłowego drugiego stopnia dla klauzuli NATO SECRET. Wniosek w tej sprawie złożono 1 kwietnia 2025 r. Poświadczenia bezpieczeństwa posiadają również obaj członkowie zarządu spółki.

Orlen – zmiana standardu względem przeszłości

Wyraźną zmianę widać także w przypadku Orlenu. Z przekazanych informacji wynika, że wszyscy członkowie zarządu oraz rady nadzorczej posiadają odpowiednie poświadczenia bezpieczeństwa lub upoważnienia do dostępu do informacji niejawnych.

Spółka wskazuje również, że funkcję kierownika jednostki organizacyjnej pełni wyznaczony uchwałą zarządu „kierownik przedsiębiorcy”. Osoba ta dysponuje poświadczeniem bezpieczeństwa do klauzuli „tajne”, a także dostępem do informacji niejawnych międzynarodowych na poziomie NATO SECRET oraz SECRET UE.

Niepełna transparentność i selektywne ujawnianie danych

Część spółek znajduje się nadal na etapie budowy systemu bezpieczeństwa. Polska Grupa Lotnicza oraz Poczta Polska są w trakcie uzyskiwania świadectwa bezpieczeństwa przemysłowego. W przypadku pytania o poświadczenia członków władz odpowiedzi jednak nie udzielono – spółki powołały się na tajemnicę przedsiębiorstwa.

Podobną postawę przyjęły PKP oraz Polski Holding Nieruchomości. Brak uzasadnienia dla odmowy utrudnia ocenę rzeczywistego poziomu zabezpieczeń – zwłaszcza że inne podmioty, jak Polski Holding Obronny, nie miały oporów przed przekazaniem szczegółowych informacji.

Rozszerzająca interpretacja tajemnicy

Jeszcze dalej poszedł KGHM, który wskazał, że ujawnienie informacji mogłoby naruszyć przepisy o ochronie informacji niejawnych lub prywatność, a także negatywnie wpłynąć na bezpieczeństwo organizacji w kontekście sytuacji geopolitycznej.

Jednocześnie spółka potwierdziła, że kandydaci do zarządu powinni posiadać poświadczenie bezpieczeństwa co najmniej do klauzuli „poufne” lub wyrazić zgodę na procedurę sprawdzającą.

Krajowa Grupa Spożywcza ograniczyła się do lakonicznego komunikatu, wskazując, że informacje w tym zakresie mogą być ujawniane wyłącznie przez właściwe organy państwowe. Podobnie odpowiedziało PKO BP.

Co z tego wszystkiego wynika?

Z zebranych danych wynika, że większość spółek oraz członków ich władz posiada poświadczenia bezpieczeństwa. Z punktu widzenia państwa jest to rozwiązanie racjonalne – szczególnie w sektorach infrastruktury krytycznej, takich jak energetyka, transport czy obronność.

W niektórych przypadkach – jak Poczta Polska – może to budzić wątpliwości na pierwszy rzut oka. W praktyce jednak spółka ta pełni funkcje istotne także w sytuacjach nadzwyczajnych, w tym potencjalnego konfliktu zbrojnego.

Jednocześnie zasadne pozostaje pytanie o zakres stosowania tych wymogów w podmiotach o mniejszym znaczeniu strategicznym, takich jak Krajowa Spółka Cukrowa.

Obraz wyłaniający się z analizy jest niejednoznaczny. Z jednej strony większość spółek wdrożyła mechanizmy ochrony informacji niejawnych i zapewniła dostęp do nich członkom kierownictwa. Z drugiej strony – brak jednolitych standardów, ograniczona transparentność oraz rozproszony nadzór powodują, że system ma charakter fragmentaryczny. W praktyce oznacza to, że poziom bezpieczeństwa zależy nie tylko od przepisów, ale przede wszystkim od decyzji podejmowanych w poszczególnych spółkach i ich organach nadzorczych.

Zdaniem eksperta

Borys Budka: Nie stosujmy jednego szablonu

Dla mnie to oczywiste, że posiadanie poświadczenia bezpieczeństwa powinno być zasadą w SSP. Ostateczna decyzja należy jednak do organu zatrudniającego. Zależy ona od specyfiki spółki – natomiast w przypadku podmiotów strategicznych zasady powinny zostać ujednolicone.

Trzeba jednak pamiętać, że spółka spółce nierówna. Są podmioty w 100 proc. zależne od Skarbu Państwa, ale są też spółki akcyjne, w których MAP jest jedynie akcjonariuszem – czasem mniejszościowym.

MAP, poprzez swoich przedstawicieli w radach nadzorczych, ma realny wpływ na wymogi konkursowe w procesie wyłaniania zarządów. Z tego względu uważam, że obecne rozwiązanie jest co do zasady właściwe. Jestem przeciwnikiem stosowania jednego, uniwersalnego szablonu dla wszystkich spółek, ponieważ Skarb Państwa posiada udziały w tak wielu podmiotach, że takie podejście nie byłoby optymalne.

Widzę wyraźną różnicę między np. Orlenem a Krajową Spółką Cukrową. Jednocześnie szef MAP – po konsultacji z koordynatorem ds. służb specjalnych – mógłby ujednolicić praktyki w spółkach kluczowych dla bezpieczeństwa państwa.

Borys Budka

Europoseł, były Minister Skarbu Państwa

Główne wnioski

1. Z zebranych informacji wynika, że władze większości spółek istotnych z punktu widzenia interesów państwa posiadają poświadczenia bezpieczeństwa. Dotyczy to przede wszystkim prezesów oraz członków zarządów. Nie jest to jednak standard powszechny – w części analizowanych podmiotów takich poświadczeń brakuje. Podobnie wygląda kwestia infrastruktury. Większość spółek dysponuje kancelariami niejawnymi, umożliwiającymi bezpieczne przetwarzanie informacji o określonych klauzulach. Również tutaj nie ma jednak pełnej jednolitości.
2. Istotnym ograniczeniem pozostaje poziom transparentności. Część spółek nie udzieliła odpowiedzi na pytania, a inne odmówiły przekazania danych dotyczących poświadczeń członków władz lub funkcjonowania kancelarii tajnych, powołując się na przepisy o ochronie informacji niejawnych.
3. Były minister skarbu państwa, Borys Budka, wskazuje, że posiadanie poświadczeń powinno być zasadą w spółkach skarbu państwa. Jednocześnie podkreśla, że zakres tych wymogów powinien uwzględniać specyfikę działalności poszczególnych podmiotów.