Na podlagi 12. člena zakona o varstvu osebnih podatkov (Uradni list RS, št. 8/90, 38/90 in Uradni list RS, št. 19/91) in 99. člena zakona o upravi (Uradni list RS, št. 67/94) izdaja minister za obrambo
P R A V I L N I K
o vodenju in varovanju osebnih podatkov v ministrstvu za obrambo
I. SPLOŠNE DOLOČBE
1. člen
(namen pravilnika)
S tem pravilnikom se v skladu z zakonom določajo: vodenje in vzdrževanje zbirk osebnih podatkov v ministrstvu za obrambo (v nadaljnjem besedilu: ministrstvo), čas uporabe in hranjenja osebnih podatkov, prenos osebnih podatkov v ministrstvu in zunaj njega ter iz države, varstvo pravic posameznika, varovanje osebnih podatkov in nadzor.
2. člen
(pomen izrazov)
V tem pravilniku uporabljeni izrazi imajo naslednji pomen:
– osebni podatek je podatek, ki kaže na lastnosti, stanja ali razmerja posameznika, ne glede na obliko, v kateri je izražen;
– zbirka osebnih podatkov je zbirka, ki vsebuje osebne podatke (npr.: evidenca, register, baza podatkov, seznam ipd.), ki se vodi v knjigi, kartoteki ali računalniško in je namenjena izvajanju nalog na delovnem področju ministrstva;
– katalog zbirk osebnih podatkov je seznam vseh posameznih zbirk osebnih podatkov, ki jih upravlja ministrstvo;
– posameznik je določena ali določljiva fizična oseba, na katero se nanaša osebni podatek;
– upravljalec zbirk osebnih podatkov je ministrstvo;
– skrbnik zbirke osebnih podatkov je posamezna organizacijska enota ministrstva, ki je odgovorna za vzpostavitev, vodenje, vzdrževanje in hranjenje zbirke osebnih podatkov;
– organizacijska enota je skupen izraz za organe v sestavi, uprave in službe ministrstva ter uprave za obrambo z izpostavami;
– predstojnik je vodja posamezne organizacijske enote;
– odgovorna oseba je oseba znotraj posamezne organizacijske enote, ki jo določi predstojnik za opravljanje nalog s področja vodenja, vzdrževanja in varovanja zbirk osebnih podatkov;
– skrbnik kataloga zbirk osebnih podatkov ministrstva je služba za informatiko.
II. VODENJE IN VZDRŽEVANJE ZBIRK OSEBNIH PODATKOV
3. člen
(vzpostavitev zbirke osebnih podatkov)
V ministrstvu se lahko zbirajo, obdelujejo in hranijo le tisti osebni podatki, ki so določeni z zakonom.
Zbiranje, obdelovanje ali hramba osebnih podatkov v nasprotju s prejšnjim odstavkom pomeni kršitev delovnih obveznosti.
4. člen
(vodenje in vzdrževanje zbirke osebnih podatkov v organizacijski enoti)
Posamezna organizacijska enota je lahko sočasno skrbnik ene ali več zbirk osebnih podatkov.
Predstojnik organizacijske enote določi odgovorno osebo oziroma osebe, ki je oziroma so zadolžene za strokovno in ažurno vodenje posamezne ali posameznih zbirk osebnih podatkov.
Skrbnik kataloga zbirk osebnih podatkov ministrstva vodi seznam odgovornih oseb iz prejšnjega odstavka za celotno ministrstvo.
5. člen
(skrbniki in uporabniki zbirk osebnih podatkov)
Skrbniki posameznih zbirk osebnih podatkov ministrstva in organizacijske enote ministrstva, ki imajo pravico uporabljati posamezne zbirke osebnih podatkov ali njihove dele, so določeni v prilogi 1 tega pravilnika.
6. člen
(vodenje in vzdrževanje kataloga zbirk osebnih podatkov)
Služba za informatiko skrbi za ažurno vzdrževanje kataloga zbirk osebnih podatkov ministrstva, daje strokovno pomoč organizacijskim enotam na tem področju z vidika vodenja kataloga zbirk osebnih podatkov, skrbi za prijavljanje zbirk osebnih podatkov Ministrstvu za pravosodje in opravlja druge naloge, določene s tem pravilnikom.
Vodja službe za informatiko določi znotraj službe organizacijsko enoto in odgovorno osebo, ki je odgovorna za opravljanje operativnotehničnih in organizacijskih nalog s področja varstva osebnih podatkov. Praviloma odgovorna oseba sočasno opravlja tudi naloge tajnika komisije za varstvo osebnih podatkov (v nadaljevanju: komisija), ki jo imenuje minister za obrambo.
III. ČAS UPORABE IN HRANJENJA OSEBNIH PODATKOV
7. člen
(čas uporabe in hranjenja osebnih podatkov)
Osebni podatki se lahko uporabljajo in shranjujejo le toliko časa, dokler je to potrebno za dosego namena, zaradi katerega je bila konkretna zbirka osebnih podatkov tudi vzpostavljena.
Za vsako zbirko osebnih podatkov morata biti določena čas, v katerem se bo uporabljala in rok hranjenja.
8. člen
(izbris ali uničenje osebnih podatkov)
Osebne podatke, ki se v posamezni zbirki osebnih podatkov uporabljajo in shranjujejo določen čas, je treba po preteku tega časa obvezno izbrisati, če so računalniško vodeni ali uničiti, če gre za knjige ali kartoteke.
Izbris ali uničenje osebnih podatkov opravi tričlanska komisija, ki jo imenuje predstojnik organizacijske enote, ki je skrbnik zbirke osebnih podatkov. Komisija o uničenju osebnih podatkov sestavi in podpiše zapisnik, en izvod zapisnika pošlje skrbniku kataloga zbirk osebnih podatkov.
IV. PRENOS OSEBNIH PODATKOV
9. člen
(varovanje prenosa osebnih podatkov)
V ministrstvu je dovoljeno osebne podatke prenašati z informacijskimi, telekomunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim osebam preprečujejo njihovo prilaščanje ali uničenje ter neupravičeno seznanjanje z njihovo vsebino.
10. člen
(pravne podlage za prenos osebnih podatkov)
Posamezni skrbnik zbirke osebnih podatkov lahko osebne podatke uporabnikom v ali izven ministrstva posreduje le pod pogoji in na način, določen s tem pravilnikom. V vsakem konkretnem primeru mora predstojnik posamezne organizacijske enote, ki je skrbnik zbirke osebnih podatkov, preveriti ustreznost pravne podlage za posredovanje osebnih podatkov in zavrniti vsak zahtevek ali prošnjo, kjer pravna podlaga ni izkazana.
11. člen
(kontrola prenosa osebnih podatkov)
Za vsako zbirko osebnih podatkov, ne glede na to, kako je vodena, se mora v primeru prenosa osebnih podatkov izven ministrstva zagotoviti možnost ugotavljanja:
– kateri osebni podatki, kdaj in kako so bili posredovani;
– komu so bili osebni podatki posredovani;
– za kakšne namene so bili osebni podatki posredovani.
Odgovorna oseba je dolžna voditi posebno evidenco o posredovanju osebnih podatkov, iz katere morajo biti razvidna dejstva, navedena v prejšnjem odstavku.
12. člen
(prenos osebnih podatkov uporabnikom znotraj ministrstva)
V ministrstvu vsak skrbnik zbirke osebnih podatkov določene ali vse osebne podatke iz zbirke osebnih podatkov lahko posreduje v uporabo tudi drugim organizacijskim enotam znotraj ministrstva, ki niso naštete v prilogi 1 tega pravilnika, če jih te potrebujejo pri svojem delu, vendar le za namene, določene z zakonom. O konkretni prošnji odloča predstojnik organizacijske enote, ki je skrbnik zbirke osebnih podatkov. V primeru spora odloča komisija.
Vsak skrbnik zbirke osebnih podatkov tekoče seznanja službo za informatiko o vseh spremembah iz prejšnjega odstavka.
13. člen
(prenos osebnih podatkov uporabnikom izven ministrstva)
O prenosu posamezne zbirke osebnih podatkov, katere upravljalec je ministrstvo, uporabnikom izven ministrstva, odloča minister za obrambo na predlog skrbnika zbirke osebnih podatkov.
Služba za informatiko o prenosih iz prejšnjega odstavka vodi posebno evidenco.
14. člen
(prenos osebnih podatkov iz države)
Osebni podatki iz zbirk osebnih podatkov, katerih upravljalec je ministrstvo, se v tujino lahko posredujejo le pod pogoji in na način, določenimi z zakonom.
V. VARSTVO PRAVIC POSAMEZNIKA
15. člen
(varstvo pravic posameznika)
O zahtevku posameznika do vpogleda, prepisa, dopolnitve ali izbrisa osebnega podatka, vsebovanega v katerikoli zbirki osebnih podatkov, katere upravljalec je ministrstvo, v skladu z zakonom odloča v ministrstvu komisija iz 6. člena tega pravilnika.
Organizacijska enota ministrstva, ki prejme pisno ali na zapisnik dano ustno izraženo zahtevo posameznika iz prejšnjega odstavka, jo takoj, najkasneje pa prvi naslednji delovni dan, pošlje komisiji.
Komisija ugotovi, ali so izpolnjeni zakonski pogoji, da se posamezniku omogoči vpogled oziroma posreduje izpis podatkov, ki so vsebovani v zbirki osebnih podatkov in ki se nanašajo nanj, ter ga o tem obvesti v zakonsko določenem roku.
VI. VAROVANJE OSEBNIH PODATKOV
16. člen
(ukrepi in postopki)
Varovanje osebnih podatkov se v ministrstvu izvaja s pravnimi, organizacijskimi in operativno-tehničnimi ukrepi in postopki, ki:
– preprečujejo nepooblaščen ali neregistriran dostop do prostorov, strojev in programske opreme oziroma slučajno ali namerno nepooblaščeno uničenje osebnih podatkov, njihovo spremembo ali izgubo;
– preprečujejo nepooblaščeno obdelavo in posredovanje osebnih podatkov ter nepooblaščeno uporabo osebnih podatkov;
– omogočajo varno hrambo in posredovanje osebnih podatkov;
– omogočajo ugotavljanje kaj, kdaj, kako, komu in zakaj so bili določeni osebni podatki posredovani.
17. člen
(varovanje računalniško vodenih osebnih podatkov)
Osebni podatki, ki se v posameznih zbirkah osebnih podatkov vodijo in obdelujejo v računalniškem sistemu ministrstva, se varujejo v skladu s predpisi o zaščiti in varovanju informacijskega sistema ministrstva.
18. člen
(varnostni ukrepi)
Zaradi varovanja osebnih podatkov, ki so v zbirkah osebnih podatkov, katerih upravljalec je ministrstvo, delavci ministrstva izvajajo naslednje varnostne ukrepe:
– kadar zapuščajo svoje delovne prostore, morajo zaklepati pisalne mize, omare, blagajne in pisarne, v katerih hranijo osebne podatke;
– dokumentov z osebnimi podatki ne smejo puščati na mizah v prisotnosti oseb, ki niso zaposlene v ministrstvu;
– po izdelavi dokumentov z osebnimi podatki uničijo pomožno gradivo (matrice, izračune, grafikone, skice, poskusne oziroma neuspešne izpise), ki so ga uporabili oziroma ki je nastalo pri izdelavi dokumentov.
19. člen
(dostop in gibanje v objektih in prostorih, kjer se vodijo in obdelujejo osebni podatki)
Dostop in gibanje v objektih in prostorih, v katerih se vodijo in obdelujejo osebni podatki, je dovoljen le zaposlenim, ki neposredno delajo na takšnih opravilih, drugim delavcem ministrstva pa le v primeru, ko jim to odobri predstojnik organizacijske enote.
20. člen
(varovanje osebnih podatkov v primeru poslovanja s strankami)
Zbirke osebnih podatkov se v ministrstvu praviloma hranijo v objektih in prostorih, ki niso namenjeni za poslovanje s strankami, sicer pa morajo biti od strank fizično ločene in ustrezno varovane.
Pri poslovanju s strankami mora biti tehnična oprema nameščena tako, da stranke nimajo neposrednega vpogleda na ekran oziroma na izpis z osebnimi podatki.
Stranke, obiskovalci, poslovni partnerji in drugi se smejo v objektih in prostorih iz prejšnjega in tega člena zadrževati samo v navzočnosti pooblaščenih delavcev ministrstva, ki v skladu s sistemizacijo oziroma formacijo delajo na delovnih mestih v teh prostorih.
21. člen
(odgovornost predstojnikov za izvajanje varnostnih ukrepov in postopkov)
Za neposredno izvajanje načrtovanih postopkov in ukrepov za varovanje osebnih podatkov so odgovorni predstojniki posameznih organizacijskih enot, ki morajo:
– poslovanje svojih organizacijskih enot organizirati tako, da zagotovijo varovanje osebnih podatkov v ministrstvu;
– seznaniti delavce z dolžnostjo varovanja osebnih in zaupnih podatkov;
– ukreniti vse potrebno, da se prepreči neupravičena raba osebnih podatkov.
22. člen
(odgovornost delavcev ministrstva pri varovanju osebnih podatkov)
Delavci ministrstva morajo varovati osebne podatke, za katere so zvedeli oziroma so se z njimi seznanili pri opravljanju svojega dela ali dolžnosti.
Dolžnost varovanja osebnih podatkov ne preneha s prenehanjem delovnega razmerja v ministrstvu.
23. člen
(ravnanje pri izgubi ali prenonsa osebnih podatkov nepooblaščenim osebam)
Delavci ministrstva z vsebino zbirk osebnih podatkov, ki jih uporabljajo pri svojem delu, ne smejo seznaniti drugih delavcev ministrstva, razen pod pogoji in na način, določenimi s tem pravilnikom.
Delavci ministrstva, ki ugotovijo, da se je z vsebino dokumentov iz prejšnjega odstavka seznanila nepooblaščena oseba, morajo to nemudoma sporočiti predstojniku. V takem primeru mora delavec na dokumentu oziroma v posebni evidenci dokumenta označiti, kdo in kdaj je imel vpogled v njegovo vsebino.
Če se dokument z osebnimi podatki izgubi oziroma pogreši, mora delavec ministrstva o tem brez odlašanja obvestiti predstojnika, sam pa ukreniti vse potrebno, da se ugotovijo okoliščine, v katerih je dokument izginil, in da se zavarujejo sledi.
24. člen
(omogočanje vpogleda v zbirke osebnih podatkov tujcem)
Tujcem je dovoljen vpogled v zbirke osebnih podatkov, katerih upravljalec je ministrstvo, če tako določa zakon oziroma mednarodna pogodba.
VII. NADZOR
25. člen
(nadzor)
Nadzor nad izvajanjem določb tega pravilnika opravljata Inšpektorat Republike Slovenije za obrambo in Inšpektorat Republike Slovenije za varstvo pred naravnimi in drugimi nesrečami.
VIII. KONČNI DOLOČBI
26. člen
(uskladitev ukrepov in postopkov)
Vse organizacijske enote ministrstva morajo uskladiti ukrepe in postopke, določene s tem pravilnikom, v treh mesecih po njegovi uveljavitvi.
27. člen
(začetek veljavnosti pravilnika)
Ta pravilnik začne veljati petnajsti dan po objavi v Uradnem listu Republike Slovenije.
Št. 012-128/96
Ljubljana, dne 22. novembra 1996.
Jelko Kacin l. r.
Minister
za obrambo
