Na podlagi 57. in 59. člena Zakona o policiji (Uradni list RS, št. 66/09 – uradno prečiščeno besedilo in 22/10) in v povezavi s 25. členom Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo) izdaja ministrica za notranje zadeve
P R A V I L N I K
o zaščiti podatkov policije
I. SPLOŠNI DOLOČBI
1. člen
(vsebina pravilnika)
S tem pravilnikom se določa način vodenja policijskih evidenc, katerih upravljavka je policija (v nadaljnjem besedilu: evidence), organizacijske in logično-tehnične postopke ter ukrepe za varovanje varovanih podatkov policije.
2. člen
(pomen izrazov)
V tem pravilniku uporabljeni izrazi imajo naslednji pomen:
1. varovan podatek: osebni podatek, ali drug obdelovan podatek, ki ni tajni podatek, njegovo razkritje nepoklicanim osebam pa bi povzročilo škodo organu, poteku uradnih postopkov ali fizičnim oziroma pravnim osebam, zato mora njegovo obdelavo spremljati izvajanje določenih varnostnih ukrepov in postopkov;
2. evidenca: zbirka (register, razvid, kartoteka) podatkov, ki vsebuje sistematično urejene podatke in se vodi z informacijsko ali klasično tehnologijo ter je namenjena izvajanju nalog policije;
3. dokument: vsi napisani, narisani, natisnjeni, razmnoženi, fotografirani, fotokopirani, fonografirani ali magnetno, optično oziroma kako drugače zapisani podatki;
4. medij: vse vrste sredstev, na katerih so zapisani podatki;
5. obdelava podatkov: postopki in procesi zbiranja, hrambe, posredovanja, uporabe, uničenja in drugega delovanja v zvezi s podatki;
6. računalniška obdelava podatkov: obdelava podatkov s pomočjo računalnika in z napravami, ki rabijo pomnilnik za shranjevanje celega ali dela računalniškega programa, in vseh ali dela podatkov, ki so potrebni za izvajanje tega programa;
7. informacijski in telekomunikacijski sistem policije (v nadaljnjem besedilu: ITSP): urejena celota podatkov in informacij, metod in sredstev za neposredno opravljanje informacijske dejavnosti ter telekomunikacijska infrastruktura, ki se kot zaprt uporabniški sistem uporablja za izvedbo nalog policije;
8. lokalni informacijski sistem (v nadaljnjem besedilu: LIS): urejena celota podatkov in informacij, metod in sredstev za neposredno izvajanje informacijske dejavnosti, s pomočjo katere organizacijske enote policije na eni ali več delovnih postajah ali strežnikih obdelujejo podatke;
9. vodja LIS: delavec policije, ki skrbi za varno obdelavo podatkov v okviru LIS;
10. vodja enote: vodja notranje organizacijske enote generalne policijske uprave, direktor policijske uprave, vodja notranje organizacijske enote policijske uprave ter komandir policijske postaje;
11. telekomunikacijska zveza: vzpostavljena povezava za prenos elektromagnetnih signalov po žičnih ali optičnih nosilcih ali z radijskimi signali;
12. odgovorni nosilec evidence: organizacijska enota generalne policijske uprave, ki je na podlagi notranje delitve dela v policiji nosilka nalog policije, o katerih se zbirajo podatki v evidenci;
13. skrbnik evidence: organizacijska enota generalne policijske uprave, ki je odgovorna za obdelavo osebnih podatkov;
14. uporabnik ITSP: delavec policije, ki uporablja varovane podatke pri opravljanju svojih delovnih nalog;
15. varnostni profil: določa obseg dostopa uporabnikov ali skupin uporabnikov do podatkov evidenc in možnosti njihove obdelave;
16. vir: vhodni dokument, na osnovi katerega so bili vneseni podatki v evidenco;
17. katalog evidenc: katalog zbirk osebnih podatkov po zakonu, ki ureja varstvo osebnih podatkov;
18. informacijski varnostni dogodek: vsak dogodek, ki lahko vpliva na varnost podatkov v informacijskem sistemu ali delovanje informacijskega sistema;
19. dnevnik dela: dnevnik, v katerem so evidentirani vsi dostopi do podatkov v ITSP in ki omogoča naknadno ugotavljanje sledljivosti dela uporabnika.
II. POOBLASTILA
3. člen
(odgovorna oseba evidence)
(1) Generalni direktor policije na predlog vodje notranje organizacijske enote generalne policijske uprave, ki je odgovorni nosilec evidence, določi osebo, odgovorno za posamezno evidenco.
(2) Odgovorna oseba iz prejšnjega odstavka skrbi, da je obdelava osebnih podatkov v evidenci skladna s predpisi in navodili.
4. člen
(skrbnik kataloga evidenc)
(1) Generalni direktor policije, na predlog direktorja Urada za informatiko in telekomunikacije GPU (v nadaljnjem besedilu: urad), določi skrbnika kataloga evidenc za opravljanje operativno-tehničnih in organizacijskih nalog s področja vodenja kataloga.
(2) Skrbnik kataloga evidenc skrbi za vzdrževanje kataloga evidenc, prijavlja evidence, ki jih vodi policija, državnemu organu, pristojnemu za varstvo osebnih podatkov, objavlja katalog evidenc na spletni in intranetni strani policije in opravlja druge naloge v zvezi z vodenjem kataloga.
5. člen
(pooblaščenec za varstvo osebnih podatkov)
(1) Generalni direktor policije na predlog direktorja urada določi pooblaščenca za vodenje posameznih postopkov, ki jih v zvezi z uresničevanjem pravic posameznikov na področju osebnih podatkov policiji kot upravljavcu evidenc nalaga zakon.
(2) Pooblaščencu pri delu strokovno pomoč nudijo odgovorne osebe iz 3. člena tega pravilnika.
(3) Pooblaščenec pisno poroča generalnemu direktorju policije o uresničevanju pravic posameznikov v roku, ki je določen za izdelavo letnega poročila o delu policije.
6. člen
(glavni skrbnik varnostnih profilov)
(1) Generalni direktor policije za upravljanje z varnostnimi profili pooblasti delavca urada (v nadaljnjem besedilu: glavni skrbnik varnostnih profilov).
(2) Varnostni profil dodeli glavni skrbnik varnostnih profilov ali delavec policije, ki ga določi glavni skrbnik varnostnih profilov. Postopek se izvede pisno ali z ustrezno programsko opremo, ki omogoča sledljivost postopka.
7. člen
(vodja lokalnega informacijskega sistema)
(1) Vodje enot določijo število LIS, katere notranje organizacijske enote jih sestavljajo ter vodje LIS.
(2) Naloge vodje LIS so:
1. svetovanje in pomoč uporabnikom ITSP;
2. skrb za varno uporabo opreme ITSP;
3. oblikovanje in vodenje seznama opreme ITSP, seznama uporabnikov in njihovih pravic;
4. opravljanje manjših vzdrževalnih del na opremi ITSP;
5. sodelovanje pri instalacijah delovnih postaj;
6. prijava okvar strojne in programske opreme;
7. skrb za kopijo podatkov LIS, ki niso zajeti v sistem centralnega kopiranja;
8. druge naloge v zvezi z varovanjem lokalnega informacijskega sistema.
8. člen
(vodja informacijske varnosti)
(1) Za izvajanje predpisov o varovanju podatkov v ITSP so odgovorni vodja informacijske varnosti in lokalni vodje informacijske varnosti. Njihove naloge so:
1. nadzor stanja na področju varovanja podatkov v ITSP;
2. nadzor izvajanja varnostnih ukrepov pri varovanju podatkov;
3. odrejanje ukrepov za zagotavljanje varnosti podatkov v ITSP;
4. vodenje razvida informacijskih varnostnih dogodkov;
5. vodenje seznamov pooblastil za samostojen vstop v prostore ITSP, v katerih so nameščene ključne sestavine ITSP;
6. druge naloge v zvezi z varovanjem ITSP.
(2) Vodja informacijske varnosti mora o vseh informacijskih varnostnih dogodkih obveščati organizacijsko enoto, pristojno za zaščito podatkov.
(3) Lokalni vodja informacijske varnosti mora o vseh informacijskih varnostnih dogodkih v LIS obveščati vodjo informacijske varnosti in organizacijsko enoto, pristojno za zaščito podatkov.
(4) Razvid gesel oziroma osebnih šifer, ki niso sestavni del osrednjega sistema kontrole in evidentiranja dostopa do varovanih podatkov in drugih virov ITSP, vodi za svojo organizacijsko enoto lokalni vodja informacijske varnosti, hrani pa ga v kovinski omari, ki je tehnično varovana, ali v zaklenjeni ter zapečateni kovinski blagajni s šifro.
9. člen
(skrbnik kriptografske opreme)
(1) Generalni direktor policije določi za vsako lokacijo, kjer se nahaja kriptografska oprema, skrbnika kriptografske opreme in osebe, ki imajo dostop do kriptografske opreme.
(2) Skrbnik kriptografske opreme je odgovoren za upravljanje s kriptografsko opremo ter za pravilno obdelovanje in hranjenje kriptografskega materiala.
(3) Dostop do kriptografske opreme je dovoljen le osebam iz prvega odstavka tega člena.
(4) Upravljanje kriptografske opreme smejo izvajati le ustrezno usposobljeni delavci policije.
10. člen
(pristojnost)
(1) Organizacijska enota, pristojna za zaščito podatkov, je po tem pravilniku pristojna za:
1. pripravo informacijske varnostne politike;
2. izdelavo načrtov varovanja, ocen varnostnih tveganj in varnostnih navodil v ITSP;
3. določanje standardov za informacijsko in komunikacijsko opremo, namenjeno varovanju in zaščiti podatkov v ITSP;
4. izvajanje nadzora dostopov do ITSP;
5. upravljanje s sistemom kontrole in evidentiranja dostopa do podatkov in drugih virov ITSP;
6. upravljanje z dnevnikom dela (v nadaljnjem besedilu: upravljavec dnevnika dela);
7. upravljanje z razvidom uporabnikov ITSP, iz katerega morajo biti razvidne pravice uporabnika ITSP, ki dostopa do posameznih podatkov;
8. potrjevanje povezovanja preko namenskih povezovalnih točk v ITSP;
9. upravljanje z varnostnimi mehanizmi in varnostnimi pregradami ITSP;
10. določanje načinov neposredne povezave in varovanje te povezave;
11. odobritev uporabe kriptografske opreme;
12. pripravljanje mnenj, na osnovi katerih generalni direktor odloča, ali lahko izjemoma s sistemom kontrole in evidentiranja dostopa do podatkov in drugih virov LIS upravlja organizacijska enota, ki uporablja določen LIS;
13. druge naloge v zvezi z zaščito podatkov policije.
(2) Organizacijska enota, pristojna za zaščito podatkov, vodi razvid oseb, pristojnih za izvajanje nalog iz 3., 7., 8. in 9. člena tega pravilnika. Razvid vsebuje podatke o osebnem imenu delavca policije, organizacijski enoti in pristojnosti oziroma nalogi.
11. člen
(posegi v ITSP)
Organizacijska enota, pristojna za vzdrževanje ITSP, mora pred vsakim posegom v ITSP pridobiti mnenje organizacijske enote, pristojne za zaščito podatkov.
12. člen
(oprema, vgrajena v ITSP)
(1) Informacijska in komunikacijska oprema, ki je vgrajena v ITSP, mora biti v skladu s standardi, ki jih določi urad.
(2) Oprema, namenjena obdelavi podatkov v ITSP, mora biti praviloma v lasti policije. Če oprema ni v lasti policije, se lahko uporablja ob predhodnem soglasju organizacijske enote, pristojne za vzdrževanje ITSP.
(3) Za strojno opremo, ki se vgrajuje v ITSP, mora organizacijska enota, pristojna za vzdrževanje ITSP, na podlagi soglasja organizacijske enote, pristojne za zaščito podatkov, določiti, kdo jo sme vgrajevati, vzdrževati in odstranjevati.
13. člen
(usposabljanje)
(1) Opremo ITSP lahko uporabljajo le ustrezno usposobljeni delavci policije. Poleg neposrednih uporabnikov imajo dostop do opreme ITSP tudi delavci policije, ki to opremo vzdržujejo, ter osebe iz 22. člena tega pravilnika.
(2) Administratorji ter drugi uporabniki ITSP morajo biti usposobljeni za delo v ITSP.
(3) Usposabljanja iz prejšnjega odstavka je dolžan zagotoviti urad.
14. člen
(navodila)
(1) Urad mora vsem vodjem LIS zagotoviti pisna navodila o načinu uporabe strojne in programske opreme ter o ukrepih v primeru izpada ali okvare.
(2) Odgovorni nosilec evidence je dolžan izdelati strokovna navodila za vodenje evidence, skrbnik evidence pa ustrezna tehnična navodila za uporabo računalniške aplikacije, ki so priloga strokovnih navodil. Navodila se izdelajo in objavijo najkasneje ob vzpostavitvi evidence in se objavijo na intranetni strani policije.
15. člen
(napake)
Vsako okvaro oziroma izpad strojne ali programske opreme, ki zahteva poseg usposobljenega vzdrževalca, je treba takoj javiti uradu, ki v skladu s predpisanim režimom vzdrževanja odloči, kako se bo okvara odpravila.
16. člen
(varnostne kopije)
(1) V skladu z oceno varnostnih tveganj ITSP je organizacijska enota urada, pristojna za vzdrževanje ITSP, dolžna izdelati načrt izdelave varnostnih kopij za programsko opremo in podatke v ITSP. V načrtu morajo biti predvideni izdelovalci varnostnih kopij, roki, način izdelave kopij, mediji, na katerih se kopije hranijo ter drugi podatki, ki so potrebni za učinkovito izdelavo in hrambo kopij.
(2) Varnostne kopije programske opreme in podatkov v ITSP morajo biti shranjene izven objekta, v katerem se nahajajo originali.
III. SPLOŠNI VARNOSTNI UKREPI
17. člen
(varovanje ITSP)
(1) Ukrepi varovanja ITSP morajo zagotavljati zaupnost, celovitost in razpoložljivost podatkov, ki se obdelujejo v ITSP, ter celovitost in razpoložljivost ITSP.
(2) V ITSP se podatki varujejo zlasti z ukrepi in postopki, s katerimi se:
1. uporabnikom ITSP dostop do podatkov omejuje na podatke, ki jih potrebujejo za izvajanje delovnih nalog, v skladu z njihovimi pooblastili;
2. preprečuje razkritje podatkov nepoklicanim osebam;
3. preprečuje nepooblaščeno obdelavo podatkov ter
4. omogoča poznejše ugotavljanje, kdaj so bili posamezni podatki obdelovani, komu so bili posredovani in kdo je podatke obdeloval oziroma posredoval.
18. člen
(varovanje podatkov)
Zaradi varovanja podatkov so delavci policije dolžni izvajati sledeče splošne varnostne ukrepe:
1. kadar zapuščajo svoje delovne prostore, morajo zakleniti pisalne mize, omare, blagajne in pisarne, v katerih hranijo varovane podatke;
2. dokumentov ali medijev z varovanimi podatki ne smejo puščati na odprtih površinah pisarniške opreme ali drugih mestih, kjer so dostopne nepoklicanim osebam;
3. navodila za uporabo računalniško vodenih evidenc morajo hraniti tako, da niso dostopna nepoklicanim osebam;
4. dosledno morajo izvajati postopek prijave oziroma odjave s svojim osebnim geslom na začetku oziroma ob zaključku dostopa do varovanih podatkov, shranjenih v evidencah ITSP;
5. terminali, delovne postaje ITSP in druga oprema z zasloni, ki se uporablja za obdelavo podatkov, mora imeti zaslone nameščene tako, da je nepoklicanim osebam onemogočen pogled na podatke. Če zaslona tako ni mogoče namestiti, mora biti le ta v času prisotnosti nepoklicane osebe ugasnjen ali v fazi ohranjevalnika zaslona;
6. po končani izdelavi dokumentov z varovanimi podatki morajo poskrbeti za uničenje pomožnega gradiva (npr. poskusnih oziroma neuspešnih izpisov, matric, izračunov in grafikonov, skic, ipd.), ki so ga uporabili oziroma ki je nastalo pri izdelavi dokumenta;
7. upoštevati morajo druge predpise, ki jih zavezujejo, kako naj pri svojem delu ravnajo z varovanimi podatki.
19. člen
(ključne sestavine ITSP)
(1) Ključne sestavine ITSP se morajo nahajati v varovanem območju ali komunikacijski omari, ki izpolnjuje pogoje za varovano območje.
(2) Dovoljenje za samostojen vstop v prostor, v katerem so nameščene ključne sestavine ITSP, izda vodja enote na predlog vodje informacijske varnosti ali lokalnega vodje informacijske varnosti.
(3) Druge osebe lahko v prostor, v katerem so nameščene ključne sestavine ITSP, vstopajo le v spremstvu oseb iz prejšnjega odstavka.
20. člen
(varovanje ITSP opreme zunaj varovanega oziroma upravnega območja)
Delavci policije so z opremo ITSP, s katero se obdelujejo varovani podatki, zunaj varovanega oziroma upravnega območja dolžni ravnati na način, ki onemogoča, da bi oprema prišla v roke nepoklicani osebi. Oprema ITSP mora biti ves čas pod fizičnim nadzorom ali znotraj zaklenjenega prostora, da je preprečen nepooblaščen dostop in zagotovljena varnost opreme.
21. člen
(pogodbe o vzdrževanju in servisiranju)
Vse pogodbe in postopki v zvezi z vzdrževanjem in servisiranjem opreme, prostorov, sredstev in objektov morajo vsebovati varnostne zahteve in pogoje, ki jih mora izpolnjevati vzdrževalno osebje oziroma oprema izvajalca vzdrževanja oziroma servisiranja.
22. člen
(zunanji izvajalci vzdrževanja)
(1) Kadar je v obdelavo podatkov ali v izgradnjo oziroma vzdrževanje infrastrukture ITSP vključen zunanji izvajalec, mora biti dolžnost varovanja varovanih podatkov policije vključena v pogodbo, s katero se uredijo razmerja in odnosi med policijo in izvajalcem pogodbenih del.
(2) Izvajalčev delavec mora s pisno izjavo potrditi, da je seznanjen z dolžnostjo varovanja varovanih podatkov policije, s katerimi se bo seznanil pri izvajanju pogodbenih del. Pisna izjava je sestavni del pogodbene dokumentacije.
(3) Nosilce podatkov je zaradi vzdrževanja dovoljeno posredovati zunanjemu izvajalcu. Preden je nosilec predan zunanjemu izvajalcu, morajo biti podatki z nosilca izbrisani v skladu s standardi in predpisi.
23. člen
(seznanitev drugih oseb)
(1) Z vsebino varovanih podatkov delavec policije, ki te podatke obdeluje, ne sme seznaniti drugih oseb, razen pod pogoji in na način, določen z zakonom in tem pravilnikom.
(2) Kadar opravljanje nalog policije zahteva, da se z določenimi varovanimi podatki seznanijo tudi druge osebe, mora delavec policije pred posredovanjem teh podatkov dobiti dovoljenje vodje enote, v kateri je zaposlen, razen kadar gre za seznanitev delavcev policije ali javnih uslužbencev ministrstva, pristojnega za notranje zadeve (v nadaljnjem besedilu: ministrstvo), pristojne za izvajanje nadzora nad opravljanjem nalog policije.
IV. VAROVANJE PROSTOROV
24. člen
(ukrepi)
Prostori, v katerih se obdelujejo varovani podatki, morajo biti varovani z organizacijskimi, fizičnimi in tehničnimi ukrepi, ki nepooblaščenim onemogočajo dostop do medijev in naprav, s katerimi se varovani podatki obdelujejo.
25. člen
(delo in gibanje v prostorih z opremo ITSP)
Delo in gibanje v objektih policije poteka v skladu s hišnim redom, za prostore, v katerih je nameščena oprema ITSP, pa veljajo še naslednja pravila:
1. zadrževanje delavcev policije v teh prostorih, razen tistih, ki so v njem zaposleni ali je njihova prisotnost nujno potrebna za nemoteno opravljanje delovnih nalog, ni dovoljeno;
2. obiski zunanjih strank (demonstracije, ogledi, ipd.) so dovoljeni samo z odobritvijo vodje enote in v spremstvu najmanj enega delavca policije;
3. vzdrževanje opreme ITSP s strani zunanjih izvajalcev je dovoljeno samo po predhodnem dogovoru z organizacijsko enoto, pristojno za vzdrževanje ITSP, izvajalce pa mora med obiskom spremljati vodja LIS oziroma delavec, ki ga določi vodja enote.
26. člen
(požarna varnost)
Poleg požarnovarnostnih ukrepov, ki jih za objekte policije predpisuje požarni red, velja za prostore, v katerih je nameščena računalniška oprema, še naslednje:
1. prepoved uporabe odprtega ognja;
2. prepoved nameščanja začasne električne napeljave;
3. hramba gorljivih snovi samo v količinah, ki so nujno potrebne za nemoten potek dela;
4. ognjevarne omare, v katerih so shranjeni mediji, morajo biti vedno zaprte.
V. VAROVANJE OPREME
27. člen
(uporaba opreme ITSP)
(1) Opremo ITSP je dovoljeno uporabljati le za izvajanje nalog policije.
(2) Uporabo za druge namene dovoli vodja enote.
28. člen
(škodljiva programska oprema)
(1) ITSP mora biti učinkovito zaščiten pred računalniškimi virusi in drugo škodljivo programsko opremo.
(2) Sum ali zaznava škodljive programske opreme je informacijski varnostni dogodek.
29. člen
(programska oprema)
(1) V policiji se za obdelavo podatkov lahko uporablja le tista računalniška programska oprema (v nadaljnjem besedilu: program), ki je predpisana s sistemizacijo tehnične opreme in skladna s standardi ITSP.
(2) Skladnost programov s standardi ITSP ugotovi urad.
(3) Kadar je program, ki je namenjen obdelavi varovanih podatkov policije, samoiniciativno izdelal delavec policije, ki ni vključen v organiziran in načrtovan razvoj programov, mora program pred vključitvijo v uporabo potrditi urad.
(4) Za vso programsko opremo vgrajeno v ITSP, mora organizacijska enota, pristojna za vzdrževanje ITSP, določiti:
1. kdo jo sme brisati, kopirati ali spreminjati;
2. kje se hranijo kopije programske opreme;
3. kdo je odgovoren za ažurnost kopij.
30. člen
(programi in licence)
(1) Program, ki ga za potrebe ITSP policija kupi od proizvajalcev programske opreme, mora biti opremljen z licenco, ki policiji dovoljuje namestitev in uporabo programov na načrtovanem številu lokacij v notranjih organizacijskih enotah policije.
(2) Vse izvorne zapise programov ITSP in licenčno dokumentacijo hrani urad.
VI. KONTROLA IN EVIDENTIRANJE DOSTOPA DO VAROVANIH PODATKOV IN DRUGIH VIROV ITSP
31. člen
(kontrola in evidentiranje dostopa)
(1) Dostop do varovanih podatkov mora biti varovan na način, ki preveri identiteto uporabnika, njegova pooblastila za dostop in dostop evidentira.
(2) Vsak uporabnik mora imeti lastno prijavo, ki ga enolično identificira in katero je dolžan varovati. Zloraba ali sum zlorabe prijave je informacijski varnostni dogodek.
(3) Kontrola in evidentiranje dostopa do podatkov lahko temelji na metodah, ki omogočajo zanesljiv in nedvoumen postopek identifikacije (npr.: pametna kartica, ipd).
32. člen
(osebna gesla)
Kadar kontrola in evidentiranje dostopa do varovanih podatkov temelji na osebnem geslu, si mora geslo določiti uporabnik sam, v skladu z informacijsko varnostno politiko.
33. člen
(dodelitev varnostnega profila)
(1) Uporabniku se varnostni profil dodeli glede na njegove delovne naloge, pri tem pa se mu določi dostop do minimalnega obsega podatkov, ki jih potrebuje za opravljanje svojih delovnih nalog.
(2) Postopek dodelitve varnostnega profila uporabniku se izvede na osnovi pisnega zahtevka vodje enote.
(3) Varnostne profile potrdi generalni direktor policije ali oseba, ki jo pooblasti.
(4) Organizacijska enota ministrstva, pristojna za organizacijo in kadre, mora o sklenitvi ali prenehanju delovnega razmerja ter premestitvi posameznega uporabnika ITSP takoj obvestiti notranjo organizacijsko enoto policije, pristojno za vodenje razvida uporabnikov ITSP.
(5) Uporabniki izven policije lahko pridobijo osebne podatke iz evidenc, do katerih so upravičeni na podlagi zakona. Varnostni profil se jim dodeli v skladu s pogodbo ali drugim aktom iz 50. člena tega pravilnika.
34. člen
(dnevnik dela)
(1) Upravljavec dnevnika dela določi podrobnejši način vodenja in vsebino podatkov, ki se vodijo v dnevniku dela ter način evidentiranja izvedbenih in kontrolnih posegov v ITSP.
(2) Generalni direktor policije lahko na predlog upravljavca dnevnika dela za spremljanje določenih podatkov iz dnevnika dela pisno pooblasti posameznega delavca policije.
VII. VAROVANJE POVEZAV ITSP Z DRUGIMI INFORMACIJSKIMI SISTEMI IN SVETOVNIM SPLETOM
35. člen
(varovanje tehničnih povezav z drugimi sistemi)
(1) Dostop do informacijsko telekomunikacijskih sistemov drugih državnih organov ali pravnih oseb (v nadaljnjem besedilu: drugi informacijsko telekomunikacijski sistemi) imajo lahko le tisti delavci policije, ki to potrebujejo zaradi izvajanja svojih delovnih nalog.
(2) ITSP sme imeti vzpostavljene tehnične povezave z drugimi informacijsko telekomunikacijskimi sistemi, če so povezave primerno varovane, nepoklicane osebe pa nimajo dostopa do varovanih podatkov ali naprav ITSP.
(3) Povezovalne točke morajo biti opremljene z varnostnimi pregradami in drugimi varnostnimi mehanizmi, ki onemogočajo zlorabe ITSP.
(4) Elektronska izmenjava varovanih podatkov z drugimi državnimi organi ali pravnimi osebami se izvaja z vzpostavitvijo dostopne točke ITSP v drugem državnem organu ali pravni osebi in z vzpostavitvijo dostopne točke drugega informacijsko telekomunikacijskega sistema v policiji.
(5) ITSP nima povezave z drugim informacijsko telekomunikacijskim sistemom, če je od njega fizično ločen ali če je z njim fizično povezan, vendar logično ločen in zaščiten v skladu s standardi tako, da ne obstaja možnost, da bi se podatki med sistemoma izmenjevali.
36. člen
(varnostne pregrade)
(1) Dostop uporabnikov ITSP do podatkov in drugih virov svetovnega spleta ter drugih informacijskih sistemov je dovoljen le preko skupnih, ustrezno varovanih priključnih točk ITSP.
(2) Na priključni točki iz prejšnjega odstavka mora biti nameščena varnostna pregrada, ki mora omogočati:
1. upravljanje dostopov delavcev policije do drugih informacijskih sistemov ali svetovnega spleta;
2. upravljanje dostopov uporabnikov drugih informacijskih sistemov do varovanih podatkov in naprav, s katerimi se ti podatki obdelujejo;
3. zaznavanje in preprečevanje poskusov dostopov zunanjih uporabnikov svetovnega spleta do varovanih podatkov policije;
4. zaznavanje in preprečevanje poskusov vdorov v ITSP;
5. preprečevanje in odkrivanje poskusov vnosov računalniških virusov;
6. kriptozaščito prenosov varovanih podatkov policije preko infrastrukture drugega informacijskega sistema ali svetovnega spleta.
37. člen
(priključitev mimo varnostne pregrade)
(1) Generalni direktor policije lahko na pisni predlog vodje enote, ki zaradi nemotenega izvajanja nalog policije potrebuje delovno postajo, ki je na svetovni splet priključena mimo varnostne pregrade, odobri tak način priključitve.
(2) Delovna postaja, ki je s svetovnim spletom povezana mimo varnostne pregrade, ne sme biti povezana z ITSP, na njej ne smejo biti shranjeni varovani podatki, nameščena pa mora biti zaščita pred škodljivimi vsebinami.
VIII. PRENOS VAROVANIH PODATKOV
38. člen
(varovanje prenosa)
Prenos varovanih podatkov po telekomunikacijskih zvezah, ki povezuje lokacije organizacijskih enot policije ali lokacije drugih pooblaščenih uporabnikov varovanih podatkov policije, mora biti varovan s postopki in ukrepi, ki nepooblaščenim preprečujejo prilaščanje, spreminjanje ali uničenje ter neupravičeno seznanjanje z vsebino podatkov.
39. člen
(način prenosa)
(1) Policija dokumente ali medije z varovanimi podatki prenaša s kurirsko pošto, po priporočeni pošti s povratnico ali elektronsko.
(2) Delavec, ki odpravlja pošto, mora kurirja seznaniti z ukrepi za varovanje take pošte.
IX. VODENJE IN VZDRŽEVANJE EVIDENC TER OBDELAVA PODATKOV
40. člen
(odgovorni nosilec in skrbnik evidenc)
(1) Odgovorni nosilec evidenc in skrbnik evidenc sta določena v aktu o notranji organizaciji, sistemizaciji, delovnih mestih in nazivih v policiji.
(2) Organizacijska enota je lahko odgovorna nosilka ene ali več evidenc.
41. člen
(vzpostavitev evidence)
Evidenco na podlagi zahteve odgovornega nosilca evidence vzpostavi skrbnik.
42. člen
(obdelava podatkov)
(1) Delavec policije lahko varovane podatke uporablja le za opravljanje z zakonom določenih nalog in skladno s predpisi, ki urejajo način obdelovanja posameznih podatkov.
(2) Vsak uporabnik ITSP je dolžan, skladno s svojimi delovnimi nalogami, skrbeti za vestno, strokovno in ažurno obdelavo podatkov.
X. HRAMBA, DOSTOP DO BLOKIRANIH PODATKOV IN IZBRIS PODATKOV
43. člen
(roki hranjenja in ukinitev evidence)
(1) Podatki v evidencah se hranijo v okviru rokov, določenih v zakonu. Takoj po preteku roka hrambe se podatki v evidencah blokirajo.
(2) Če se evidenca ukine, se dostop do podatkov blokira.
(3) Po blokiranju se podatki v evidencah lahko obdelujejo le za razvrščanje, odbiranje, označevanje in hrambo arhivskega gradiva, in sicer na način, določen v predpisih o varstvu dokumentarnega in arhivskega gradiva. Generalni direktor policije določi osebe, ki lahko obdelujejo podatke po tem odstavku.
(4) Dokumentarno gradivo v elektronski obliki, ki je bilo uporabljeno kot vir, se po vnosu in preveritvi točnosti zapisanih podatkov obravnava v skladu s predpisi o dokumentarnem gradivu. Postopek izbrisa podatkov mora biti sestavni del programske opreme za obdelavo policijske evidence, izbris podatkov pa mora biti avtomatsko evidentiran.
(5) Dokumentarno gradivo v fizični obliki, ki je bilo uporabljeno kot vir, se po vnosu in preveritvi točnosti vnesenih podatkov obravnava v skladu s predpisi o dokumentarnem gradivu.
(6) Dokumenti, ki so nastali kot izhodni dokumenti obdelave, se hranijo skladno s predpisi, ki urejajo poslovanje organov javne uprave z dokumentarnim gradivom.
44. člen
(dostop do arhiviranih ali blokiranih podatkov)
(1) Uporabnik lahko izjemoma pridobi arhivirane ali blokirane podatke iz evidenc na osnovi izkazanega zakonitega namena za obdelavo arhiviranih podatkov.
(2) Izpis arhiviranih ali blokiranih podatkov na medije se izvede v skladu s predpisi, ki urejajo poslovanje organov javne uprave z dokumentarnim gradivom.
45. člen
(izbris ali uničenje varovanih podatkov)
(1) Izbris ali uničenje varovanih podatkov iz policijskih evidenc se izvede v primeru pisne ugotovitve napake ali pomote pri obdelavi podatkov.
(2) Izbris na podlagi pisnega zahtevka vodje enote lahko izvede oseba, ki ima avtorizacijo za brisanje, dodeljeno s strani glavnega skrbnika varnostnih profilov.
XI. POSREDOVANJE PODATKOV POSAMEZNIM OSEBAM
46. člen
(posredovanje posamezniku)
Posamezniku se posreduje osebne podatke, ki se nanašajo nanj, neposredno na podlagi zakona, ki ureja varstvo osebnih podatkov.
47. člen
(posredovanje fizičnim in pravnim osebam)
(1) Policija lahko osebne podatke iz evidenc, katerih upravljavka je, posreduje fizičnim osebam, ki so do posredovanja upravičeni na osnovi zakona in izkazanega pravnega interesa ter pravnim osebam, skladno z zakonom (v nadaljevanju besedila: upravičena oseba).
(2) V primerih iz tega člena pravnega interesa ni potrebno izkazati, kadar je zahtevani podatek informacija javnega značaja.
(3) Iznos osebnih podatkov izven države se lahko izvede skladno z zakonom in tem pravilnikom.
48. člen
(pisna zahteva)
(1) Za posredovanje podatkov mora upravičena oseba vložiti pisno zahtevo. Zahteva se lahko pošlje tudi v elektronski obliki, skladno s predpisi, ki urejajo elektronsko poslovanje.
(2) Iz pisne zahteve mora nedvoumno izhajati, da upravičena oseba brez zahtevanih podatkov ne bo mogla uveljaviti svojih pravic.
(3) Pisna zahteva mora vsebovati:
– osebne podatke vlagatelja;
– natančen opis okoliščin (podatke o kraju, času dogodka, osebnem položaju vlagatelja v dogodku, in podobno);
– vrsto podatkov, ki jih vlagatelj potrebuje za uveljavljanje pravic;
– obrazložen namen uporabe podatkov (zakaj in kje namerava uporabiti podatke).
(4) Obrazec pisne zahteve iz prejšnjega odstavka je kot priloga 1 sestavni del tega pravilnika in je objavljen skupaj z njim.
(5) Upravičena oseba v pisni zahtevi nedvoumno opredeli namen in praviloma navede pravno podlago, na osnovi katere bo uveljavljala svoje pravice.
(6) Upravičeni osebi ni treba izpolniti pogojev iz drugega in petega odstavka ter četrte alinee tretjega odstavka tega člena, kadar je zahtevani podatek informacija javnega značaja.
49. člen
(podatki in namen posredovanja)
(1) Policija lahko posreduje upravičeni osebi le tiste podatke, ki jih je zbrala ob obravnavanju dogodka ali ob izvrševanju nalog in katerih upravljavka je.
(2) Posredovani podatki morajo biti točni in ažurni. Policija posreduje najmanjši možen obseg podatkov, ki upravičeni osebi še zagotovi uveljavljanje njenih pravic.
(3) Pred posredovanjem podatkov vodja enote odloči o upravičenosti zahteve in posredovanja podatkov.
(4) Če je zahteva za posredovanje upravičena, se upravičeni osebi posredujejo naslednji podatki:
– osebno ime osebe;
– rojstni datum (če brez njega ni mogoče identificirati osebe);
– prebivališče (stalno ali začasno) ter
– izjemoma, če tako izhaja iz vloge, drugi podatki.
(5) Obrazec, na katerem se posredujejo podatki iz prejšnjega odstavka, je kot priloga 2 sestavni del tega pravilnika in je objavljen skupaj z njim.
(6) Neupravičeno zahtevo se s sklepom zavrne.
(7) Ob posredovanju podatkov se upravičeno osebo pisno opozori, da se smejo posredovani podatki uporabljati samo za namen, izkazan v pisni zahtevi. Če namerava vlagatelj pisne zahteve uporabiti posredovane podatke za drug namen, mora predhodno pridobiti privolitev policije.
50. člen
(elektronsko posredovanje podatkov upravičenim pravnim osebam)
(1) V primeru vzpostavitve elektronskega posredovanja podatkov iz evidenc državnim organom oziroma pravnim osebam, ki so do podatkov iz evidenc upravičeni na podlagi zakona, se način posredovanja podatkov določi s pogodbo ali drugim aktom o posredovanju podatkov, v katerem se določi organizacijske, tehnične in varnostne elemente posredovanja podatkov.
(2) V primeru posamične vloge za posredovanje podatkov uporabnikom iz prejšnjega odstavka mora vodja enote preveriti pravno podlago za posredovanje podatkov.
(3) Posredovanje podatkov se zabeleži v skladu z 51. členom tega pravilnika.
51. člen
(razvid)
(1) Za vsako evidenco se mora ne glede na to, kako je vodena, v primeru posredovanja osebnih podatkov, zagotoviti možnost ugotavljanja:
– kateri osebni podatki, kdaj in kako so bili posredovani;
– komu so bili osebni podatki posredovani;
– na kakšni podlagi so bili osebni podatki posredovani,
– za kakšne namene so bili osebni podatki posredovani.
(2) Za vsako posredovanje osebnih podatkov policije se v poseben razvid zabeležijo podatki, navedeni v prejšnjem odstavku.
(3) Razvid se za evidence, ki se vodijo na centralnem računalniku policije, vodi centralno, v drugih primerih pa v okviru sistema poslovanja z dokumentarnim gradivom.
XII. VARSTVO PRAVIC POSAMEZNIKA
52. člen
(elektronska zahteva za uveljavljanje pravic posameznika)
Zahteva za uveljavljanje pravic posameznika se lahko vloži tudi v elektronski obliki. Dostop do elektronske zahteve je mogoč na spletni strani policije.
53. člen
(spremljanje in evidentiranje aktivnosti uporabnika)
(1) Kadar je na varnostni pregradi vključena oprema, ki omogoča spremljanje in evidentiranje aktivnosti posameznega uporabnika ITSP, mora biti vsak delavec policije, preden uporabi povezavo z drugim informacijskim sistemom ali svetovnim spletom, o tem na nedvoumen in jasen način opozorjen.
(2) Varnostna pregrada mora, kadar je uporabljena oprema iz prejšnjega odstavka, na spremljanje in evidentiranje dostopov opozoriti tudi zunanje uporabnike svetovnega spleta in uporabnike drugih informacijskih sistemov, preden se povežejo z viri ITSP.
54. člen
(pisna izjava)
(1) Delavec policije ob sklenitvi delovnega razmerja ali premestitvi na delovno mesto, na katerem bo obdeloval varovane podatke, s pisno izjavo potrdi, da je seznanjen s predpisi, ki v policiji urejajo varovanje podatkov.
(2) Pisne izjave delavcev hrani organizacijska enota, pristojna za zaščito podatkov.
XIII. NADZOR NAD IZVAJANJEM UKREPOV IN POSTOPKOV VAROVANJA
55. člen
(nadzor)
(1) Nadzor nad izvajanjem tega pravilnika opravljata organizacijski enoti, pristojni za nadzor in zaščito podatkov.
(2) Za nadzor nad obdelavo podatkov je odgovoren vodja enote, iz katere je uporabnik ITSP.
56. člen
(obveščanje o informacijskem varnostnem dogodku)
(1) Delavec policije, ki sumi ali zazna informacijski varnostni dogodek, je o tem dolžan nemudoma obvestiti vodjo enote, ta pa vodjo oziroma lokalnega vodjo informacijske varnosti. Slednji je dolžan obvestiti organizacijsko enoto, pristojno za zaščito podatkov, ter organizacijsko enoto, pristojno za notranje preiskave in pomoč policistom.
(2) Delavec policije je dolžan izvesti prve nujne ukrepe za preprečitev nadaljnjih škodljivih posledic in zavarovanje sledi.
XIV. PREHODNE IN KONČNE DOLOČBE
57. člen
Odločbe o določitvi vodij LIS ostanejo v veljavi do izdaje novih odločb.
58. člen
Z dnem uveljavitve tega pravilnika preneha veljati Pravilnik o načinu vodenja policijskih evidenc (Uradni list RS, št. 121/04 in 51/07).
59. člen
Ta pravilnik začne veljati petnajsti dan po objavi v Uradnem listu Republike Slovenije.
Št. 007-317/2010
Ljubljana, dne 7. marca 2011
EVA 2010-1711-0032
Katarina Kresal l.r.
Ministrica
za notranje zadeve
