Uradni list

Številka 67
Uradni list RS, št. 67/2014 z dne 19. 9. 2014
Uradni list

Uradni list RS, št. 67/2014 z dne 19. 9. 2014

Kazalo

2816. Pravilnik o zaščiti podatkov policije, stran 7558.

Na podlagi 119. člena Zakona o nalogah in pooblastilih policije (Uradni list RS, št. 15/13) in v povezavi s 25. členom Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo) izdaja minister za notranje zadeve
P R A V I L N I K
o zaščiti podatkov policije
I. SPLOŠNE DOLOČBE
1. člen
(vsebina)
Ta pravilnik določa način vodenja evidenc, ki jih upravlja policija, pristojne osebe, ki bodo ocenile, ali bi razkritje določenega varovanega podatka policije povzročilo škodo organu, organizacijske in logično-tehnične postopke ter ukrepe za varovanje varovanih podatkov policije.
2. člen
(pomen izrazov)
V tem pravilniku uporabljeni izrazi imajo naslednji pomen:
1. informacijski in telekomunikacijski sistem policije (v nadaljnjem besedilu: ITSP): urejena celota podatkov in informacij, metod in sredstev za neposredno opravljanje informacijske dejavnosti ter telekomunikacijska infrastruktura, ki se kot zaprt uporabniški sistem uporablja za izvedbo nalog policije;
2. dnevnik dela: dnevnik, v katerem so evidentirani vsi dostopi do podatkov v ITSP in omogoča naknadno ugotavljanje sledljivosti dela uporabnika;
3. dokument: vsi napisani, narisani, natisnjeni, razmnoženi, fotografirani, fotokopirani, fonografirani ali magnetno, optično oziroma kako drugače zapisani podatki;
4. evidenca: zbirka (register, razvid, kartoteka) podatkov, ki vsebuje sistematično urejene podatke in se vodi z informacijsko ali klasično tehnologijo ter je namenjena izvajanju nalog policije;
5. informacijski varnostni dogodek: vsak dogodek, ki lahko vpliva na varnost podatkov v informacijskem sistemu ali delovanje informacijskega sistema;
6. katalog evidenc: katalog zbirk osebnih podatkov po zakonu, ki ureja varstvo osebnih podatkov;
7. lokalni informacijski sistem (v nadaljnjem besedilu: LIS): urejena celota podatkov in informacij, metod in sredstev za neposredno izvajanje informacijske dejavnosti, s pomočjo katere enote policije na eni ali več delovnih postajah ali strežnikih obdelujejo podatke;
8. medij: vse vrste sredstev, na katerih so zapisani podatki;
9. obdelava podatkov: postopki in procesi zbiranja, hrambe, posredovanja, uporabe, uničenja in drugega delovanja v zvezi s podatki;
10. odgovorni nosilec evidence: notranja organizacijska enota generalne policijske uprave, ki je na podlagi notranje delitve dela v policiji nosilka nalog policije, o katerih se zbirajo podatki v evidenci;
11. računalniška obdelava podatkov: obdelava podatkov s pomočjo računalnika in z napravami, ki rabijo pomnilnik za shranjevanje celega ali dela računalniškega programa, in vseh ali dela podatkov, ki so potrebni za izvajanje tega programa;
12. skrbnik evidence: notranja organizacijska enota generalne policijske uprave, odgovorna za obdelavo osebnih podatkov;
13. telekomunikacijska zveza: vzpostavljena povezava za prenos elektromagnetnih signalov po žičnih ali optičnih nosilcih ali z radijskimi signali;
14. uporabnik ITSP: uslužbenec policije, ki uporablja varovane podatke pri opravljanju svojih delovnih nalog;
15. varnostni profil: določa obseg dostopa uporabnikov ali skupin uporabnikov do podatkov evidenc in možnosti njihove obdelave;
16. vir: vhodni dokument, na osnovi katerega so bili vneseni podatki v evidenco;
17. vodja enote: generalni direktor policije, vodja notranje organizacijske enote generalne policijske uprave, direktor policijske uprave, vodja notranje organizacijske enote policijske uprave ter komandir območne policijske postaje;
18. vodja LIS: uslužbenec policije, ki skrbi za varno obdelavo podatkov v okviru LIS.
3. člen
(varovan podatek)
(1) Varovan podatek je osebni podatek ali drug obdelovan podatek, ki ni tajen, njegovo razkritje nepoklicanim osebam pa bi povzročilo škodo državnemu organu, poteku uradnih postopkov ali fizičnim ali pravnim osebam, zato morajo njegovo obdelavo spremljati določeni varnostni ukrepi in postopki. Varovani podatki policije so zlasti podatki:
1. ki jih policija zbira in obdeluje v svojih evidencah;
2. o policistih na delovnih mestih iz tretjega odstavka 45. člena Zakona o organiziranosti in delu v policiji (Uradni list RS, št. 15/13 in 11/14) in na drugih delovnih mestih, ki so izpostavljena dodatnim tveganjem in so kot taka določena v aktu o organizaciji in sistemizaciji;
3. o ogroženih uslužbencih policije;
4. o uslužbencih policije, ki pri izvajanju policijskih nalog zaradi svoje varnosti uporabljajo sredstva ali listine, s katerimi se prikrije njihova prepoznavnost ali prava identiteta;
5. o notranjevarnostnih postopkih in ukrepih policije;
6. o osebah, ki policiji pomagajo pri opravljanju njenih nalog ali prostovoljno posredujejo informacije o kaznivih dejanjih, njihovih storilcih in drugih aktivnostih, ki kažejo na kazniva dejanja;
7. o specifičnih ukrepih, metodah, tehnikah in sredstvih, ki jih policija uporablja za opravljanje njenih nalog;
8. o dokumentih policije, iz katerih je mogoče ugotoviti taktiko in metodiko dela policije ali bi njihovo razkritje lahko otežilo ali onemogočilo izvajanje policijskih nalog.
(2) Obdelavo varovanih podatkov morajo spremljati varnostni ukrepi in postopki, določeni s tem pravilnikom in pravilnikom, ki ureja notranjo varnost v policiji.
II. POOBLASTILA
4. člen
(oseba, odgovorna za evidenco)
Generalni direktor policije na predlog vodje notranje organizacijske enote generalne policijske uprave, ki je odgovorni nosilec evidence, določi osebo, odgovorno za posamezno evidenco, ki skrbi, da je obdelava osebnih podatkov v evidenci v skladu s predpisi in navodili.
5. člen
(skrbnik kataloga evidenc)
Generalni direktor policije, na predlog direktorja Urada za informatiko in telekomunikacije (v nadaljnjem besedilu: urad), določi skrbnika kataloga evidenc, ki skrbi za vzdrževanje kataloga evidenc, prijavlja evidence, ki jih vodi policija, državnemu organu, pristojnemu za varstvo osebnih podatkov, objavlja katalog evidenc na spletni in intranetni strani policije ter opravlja druge naloge v zvezi z vodenjem kataloga.
6. člen
(pooblaščenec za varstvo osebnih podatkov)
(1) Generalni direktor policije na predlog direktorja urada določi pooblaščence za vodenje postopkov, ki jih v zvezi z uresničevanjem pravic posameznikov na področju osebnih podatkov v policiji kot upravljavcu evidenc nalaga zakon.
(2) Pooblaščencem iz prejšnjega odstavka pri delu strokovno pomoč nudijo odgovorne osebe iz 4. člena tega pravilnika.
7. člen
(glavni skrbnik varnostnih profilov)
(1) Generalni direktor policije za upravljanje z varnostnimi profili pooblasti uslužbenca urada (v nadaljnjem besedilu: glavni skrbnik varnostnih profilov).
(2) Varnostni profil dodeli glavni skrbnik varnostnih profilov ali uslužbenec policije, ki ga določi glavni skrbnik varnostnih profilov. Postopek se izvede pisno ali z ustrezno programsko opremo, ki omogoča sledljivost postopka.
8. člen
(vodja LIS)
(1) Vodje enot določijo število LIS, notranje organizacijske enote, ki jih sestavljajo, ter vodje LIS.
(2) Naloge vodje LIS so:
1. svetovanje in pomoč uporabnikom ITSP;
2. skrb za varno uporabo opreme ITSP;
3. oblikovanje in vodenje seznama opreme ITSP, seznama uporabnikov in njihovih pravic;
4. opravljanje manjših vzdrževalnih del na opremi ITSP;
5. sodelovanje pri instalacijah delovnih postaj;
6. prijava okvar strojne in programske opreme;
7. skrb za kopijo podatkov LIS, ki niso zajeti v sistem centralnega kopiranja;
8. druge naloge v zvezi z varovanjem LIS.
9. člen
(vodja informacijske varnosti)
(1) Za izvajanje predpisov o varovanju podatkov v ITSP so odgovorni vodja informacijske varnosti in lokalni vodje informacijske varnosti. Njihove naloge so:
1. nadzor stanja na področju varovanja podatkov v ITSP;
2. nadzor izvajanja varnostnih ukrepov pri varovanju podatkov;
3. odrejanje ukrepov za zagotavljanje varnosti podatkov v ITSP;
4. vodenje razvida informacijskih varnostnih dogodkov;
5. vodenje seznamov pooblastil za samostojen vstop v prostore ITSP, v katerih so nameščene ključne sestavine ITSP;
6. druge naloge v zvezi z varovanjem ITSP.
(2) Lokalni vodja informacijske varnosti mora o vseh informacijskih varnostnih dogodkih v LIS obveščati vodjo informacijske varnosti in notranjo organizacijsko enoto, pristojno za zaščito podatkov.
(3) Razvid gesel oziroma osebnih šifer, ki niso sestavni del osrednjega sistema kontrole in evidentiranja dostopa do varovanih podatkov in drugih virov ITSP, vodi za svojo notranjo organizacijsko enoto lokalni vodja informacijske varnosti, hrani pa ga v kovinski omari, ki je tehnično varovana, ali v zaklenjeni ter zapečateni kovinski blagajni s šifro.
10. člen
(skrbnik kriptografske opreme)
(1) Generalni direktor policije določi skrbnika kriptografske opreme, ki je odgovoren za upravljanje s kriptografsko opremo ter za pravilno obdelovanje in hranjenje kriptografskega materiala.
(2) S kriptografsko opremo smejo upravljati le za to usposobljeni uslužbenci policije.
11. člen
(pristojnost enote, pristojne za zaščito podatkov)
(1) Notranja organizacijska enota, pristojna za zaščito podatkov, je v skladu s tem pravilnikom pristojna za:
1. pripravo informacijske varnostne politike;
2. izdelavo načrtov varovanja, ocen varnostnih tveganj in varnostnih navodil v ITSP;
3. določanje standardov za informacijsko in komunikacijsko opremo, namenjeno varovanju in zaščiti podatkov v ITSP;
4. izvajanje nadzora dostopov do ITSP;
5. upravljanje s sistemom kontrole in evidentiranja dostopa do podatkov in drugih virov ITSP;
6. upravljanje z dnevnikom dela (v nadaljnjem besedilu: upravljavec dnevnika dela);
7. upravljanje z razvidom uporabnikov ITSP, iz katerega morajo biti razvidne pravice uporabnika ITSP, ki dostopa do posameznih podatkov;
8. potrjevanje povezovanja preko namenskih povezovalnih točk v ITSP;
9. upravljanje z varnostnimi mehanizmi in varnostnimi pregradami ITSP;
10. določanje načinov neposredne povezave in varovanje te povezave;
11. odobritev uporabe kriptografske opreme;
12. pripravljanje mnenj, na osnovi katerih generalni direktor odloča, ali lahko izjemoma s sistemom kontrole in evidentiranja dostopa do podatkov in drugih virov LIS upravlja notranja organizacijska enota, ki uporablja določen LIS;
13. druge naloge v zvezi z zaščito podatkov policije.
(2) Notranja organizacijska enota, pristojna za zaščito podatkov, vodi razvid oseb, pristojnih za izvajanje nalog iz 4., 8., 9. in 10. člena tega pravilnika. Razvid vsebuje podatke o osebnem imenu uslužbenca policije, notranji organizacijski enoti, v kateri je zaposlen, in pristojnosti oziroma nalogi.
12. člen
(posegi v ITSP)
Notranja organizacijska enota, pristojna za vzdrževanje ITSP, mora pred vsakim posegom, ki spreminja arhitekturo ITSP, pridobiti pisno mnenje notranje organizacijske enote, pristojne za zaščito podatkov.
13. člen
(oprema, vgrajena v ITSP)
(1) Informacijska in komunikacijska oprema, ki je vgrajena v ITSP, mora biti skladu s standardi, ki jih določi urad.
(2) Informacijska in komunikacijska oprema mora biti praviloma v lasti policije. Če oprema ni v lasti policije, se lahko uporablja ob predhodnem soglasju notranje organizacijske enote, pristojne za vzdrževanje ITSP.
(3) Kdo sme vgrajevati, vzdrževati in odstranjevati strojno opremo v ITSP, določi notranja organizacijska enota, pristojna za vzdrževanje ITSP, v soglasju z notranjo organizacijsko enoto, pristojno za zaščito podatkov.
14. člen
(usposabljanje)
(1) Opremo ITSP lahko uporabljajo le za to usposobljeni uslužbenci policije. Poleg neposrednih uporabnikov imajo dostop do opreme ITSP tudi uslužbenci policije, ki to opremo vzdržujejo, ter osebe iz 23. člena tega pravilnika.
(2) Administratorji ter drugi uporabniki ITSP morajo biti usposobljeni za delo v ITSP. Njihovo usposabljanje zagotovi urad.
15. člen
(navodila)
Na predlog odgovornega nosilca evidence generalni direktor policije izda strokovna navodila za vodenje evidence. Skrbnik evidence najkasneje ob vzpostavitvi evidence izda tehnična navodila za uporabo računalniške aplikacije.
16. člen
(napake)
Vsako okvaro oziroma izpad strojne ali programske opreme, ki zahteva poseg usposobljenega vzdrževalca, je treba takoj javiti uradu, ki v skladu s predpisanim režimom vzdrževanja odloči, kako se bo okvara odpravila.
17. člen
(varnostne kopije)
(1) V skladu z oceno varnostnih tveganj ITSP urad izvaja varnostno kopiranje programske opreme in podatkov, vključenih v ITSP, preko avtomatiziranega in centraliziranega sistema za izdelavo varnostnih kopij, ki deluje v skladu z ustreznimi mednarodnimi varnostnimi standardi.
(2) Izjema so podatki, shranjeni v sistemu za obravnavanje tajnih podatkov v ITSP, ki se varnostno kopirajo ločeno od sistema iz prejšnjega odstavka, v skladu z navodili za delovanje sistema za obravnavanje tajnih podatkov.
III. SPLOŠNI VARNOSTNI UKREPI
18. člen
(varovanje ITSP)
(1) Ukrepi varovanja ITSP morajo zagotavljati zaupnost, celovitost in razpoložljivost podatkov, ki se obdelujejo v ITSP, ter celovitost in razpoložljivost ITSP.
(2) V ITSP se podatki varujejo zlasti z ukrepi in postopki, s katerimi se:
1. uporabnikom ITSP dostop do podatkov omejuje na podatke, ki jih potrebujejo za izvajanje delovnih nalog, v skladu z njihovimi pooblastili;
2. preprečuje razkritje podatkov nepoklicanim osebam;
3. preprečuje nepooblaščeno obdelavo podatkov;
4. omogoča poznejše ugotavljanje, kdaj so bili posamezni podatki obdelovani, komu so bili posredovani in kdo je podatke obdeloval oziroma posredoval;
5. omogoča usposabljanje in ozaveščanje uporabnikov ITSP.
19. člen
(varovanje podatkov)
Zaradi varovanja podatkov uslužbenci policije izvajajo predvsem naslednje splošne varnostne ukrepe:
1. kadar zapuščajo svoje delovne prostore, morajo zakleniti pisalne mize, omare, blagajne in pisarne, v katerih hranijo varovane podatke;
2. dokumentov ali medijev z varovanimi podatki ne smejo puščati na odprtih površinah pisarniške opreme ali drugih mestih, kjer so dostopne nepoklicanim osebam;
3. navodila za uporabo računalniško vodenih evidenc morajo hraniti tako, da niso dostopna nepoklicanim osebam;
4. dosledno morajo izvajati postopek prijave oziroma odjave s svojim osebnim geslom na začetku oziroma ob zaključku dostopa do varovanih podatkov;
5. terminali, delovne postaje ITSP in druga oprema z zasloni, ki se uporablja za obdelavo podatkov, mora imeti zaslone nameščene tako, da je nepoklicanim osebam onemogočen pogled na podatke, če zaslona tako ni mogoče namestiti, pa mora biti ta v času prisotnosti nepoklicane osebe ugasnjen ali v fazi ohranjevalnika zaslona;
6. po končani izdelavi dokumentov z varovanimi podatki morajo poskrbeti za uničenje pomožnega gradiva (poskusnih oziroma neuspešnih izpisov, matric, izračunov in grafikonov, skic ipd.), ki so ga uporabili oziroma ki je nastalo pri izdelavi dokumenta.
20. člen
(ključne sestavine ITSP)
(1) Ključne sestavine ITSP se morajo nahajati v varovanem območju ali komunikacijski omari, ki izpolnjuje pogoje za varovano območje.
(2) Dovoljenje za samostojen vstop v prostor, v katerem so nameščene ključne sestavine ITSP, izda vodja enote.
(3) Druge osebe lahko v prostor, v katerem so nameščene ključne sestavine ITSP, vstopajo le v spremstvu oseb iz prejšnjega odstavka.
21. člen
(varovanje ITSP opreme zunaj varovanega oziroma upravnega območja)
Uslužbenci policije so z opremo ITSP, s katero se obdelujejo varovani podatki, zunaj varovanega oziroma upravnega območja dolžni ravnati na način, ki onemogoča, da bi oprema prišla v roke nepoklicani osebi. Oprema ITSP mora biti ves čas pod fizičnim nadzorom ali znotraj zaklenjenega prostora, da je preprečen nepooblaščen dostop in zagotovljena varnost opreme.
22. člen
(pogodbe o vzdrževanju in servisiranju)
Vse pogodbe in postopki v zvezi z vzdrževanjem in servisiranjem opreme, prostorov, sredstev in objektov policije morajo vsebovati varnostne zahteve in pogoje, ki jih mora izpolnjevati vzdrževalno osebje oziroma oprema izvajalca vzdrževanja in servisiranja.
23. člen
(zunanji izvajalci vzdrževanja)
(1) Kadar je v obdelavo podatkov ali v izgradnjo oziroma vzdrževanje infrastrukture ITSP vključen zunanji izvajalec, mora biti dolžnost varovanja varovanih podatkov policije vključena v pogodbo, s katero se uredijo razmerja in odnosi med policijo in izvajalcem pogodbenih del.
(2) Izvajalčev delavec mora s pisno izjavo potrditi, da je seznanjen z dolžnostjo varovanja varovanih podatkov policije, s katerimi se bo seznanil pri izvajanju pogodbenih del. Pisna izjava je sestavni del pogodbene dokumentacije.
(3) Nosilce podatkov je zaradi vzdrževanja dovoljeno posredovati zunanjemu izvajalcu. Preden je nosilec izročen zunanjemu izvajalcu, morajo biti podatki z nosilca izbrisani v skladu s standardi in predpisi.
(4) Dostop zunanjih izvajalcev v ITSP lahko poteka samo nadzorovano pod pogoji, ki omogočajo ustrezno zaščito in rekonstrukcijo dostopa. Nadzor se izvaja fizično, z beleženjem aktivnosti in z drugimi standardnimi varnostnimi mehanizmi v ITSP. Če ustreznega nadzora ni mogoče zagotoviti, dostop zunanjih izvajalcev ni dovoljen.
(5) V primerih oddaljenega dostopa mora imeti izvajalec ustrezno urejeno okolje, iz katerega poteka dostop. Zahteva po ustreznosti mora biti vključena v pogodbo. Ustreznost potrdi urad s sklepom.
IV. VAROVANJE PROSTOROV
24. člen
(ukrepi)
Prostori, v katerih se obdelujejo varovani podatki, morajo biti varovani z organizacijskimi, fizičnimi in tehničnimi ukrepi, ki nepooblaščenim onemogočajo dostop do medijev in naprav, s katerimi se varovani podatki obdelujejo.
25. člen
(delo in gibanje v prostorih z opremo ITSP)
Gibanje in delo v objektih policije poteka v skladu s hišnim redom, za prostore, v katerih je nameščena oprema ITSP, pa veljajo še naslednja pravila:
1. zadrževanje uslužbencev policije v teh prostorih, razen tistih, ki so v njih zaposleni ali je njihova prisotnost nujno potrebna za nemoteno opravljanje delovnih nalog, ni dovoljeno;
2. obiski zunanjih strank (demonstracije, ogledi ipd.) so dovoljeni samo z odobritvijo vodje enote in v spremstvu najmanj enega uslužbenca policije;
3. vzdrževanje opreme ITSP s strani zunanjih izvajalcev je dovoljeno samo po predhodnem dogovoru z notranjo organizacijsko enoto, pristojno za vzdrževanje ITSP, izvajalce pa mora med obiskom spremljati vodja LIS oziroma uslužbenec, ki ga določi vodja enote.
26. člen
(požarna varnost)
Poleg požarnovarnostnih ukrepov, ki jih za objekte policije predpisuje požarni red, velja za prostore, v katerih je nameščena oprema ITSP, še naslednje:
1. prepoved uporabe odprtega ognja;
2. prepoved nameščanja začasne električne napeljave;
3. hramba gorljivih snovi samo v količinah, ki so nujno potrebne za nemoten potek dela;
4. ognjevarne omare, v katerih so shranjeni mediji, morajo biti vedno zaprte.
V. VAROVANJE OPREME
27. člen
(uporaba opreme ITSP)
Opremo ITSP je dovoljeno uporabljati le za izvajanje nalog policije. Uporaba v druge namene je dopustna le izjemoma, s predhodnim dovoljenjem vodje enote.
28. člen
(škodljiva programska oprema)
(1) ITSP mora biti učinkovito zaščiten pred računalniškimi virusi in drugo škodljivo programsko opremo.
(2) Sum ali zaznava škodljive programske opreme je informacijski varnostni dogodek.
29. člen
(programska oprema)
(1) Za vso programsko opremo, vgrajeno v ITSP, mora notranja organizacijska enota, pristojna za vzdrževanje ITSP, določiti:
1. kdo jo sme brisati, kopirati ali spreminjati;
2. kje se hranijo kopije programske opreme;
3. kdo je odgovoren za ažurnost kopij.
(2) Kadar je program, ki je namenjen obdelavi varovanih podatkov policije, samoiniciativno izdelal uslužbenec policije, ki ni vključen v organiziran in načrtovan razvoj programov, mora program pred vključitvijo v uporabo potrditi urad.
30. člen
(programi in licence)
(1) Program, ki ga za potrebe ITSP policija kupi od proizvajalcev programske opreme, mora biti opremljen z licenco, ki policiji dovoljuje namestitev in uporabo programa na načrtovanem številu lokacij v notranjih organizacijskih enotah policije.
(2) Vse izvorne zapise programov ITSP in licenčno dokumentacijo hrani urad.
VI. KONTROLA IN EVIDENTIRANJE DOSTOPA DO VAROVANIH PODATKOV IN DRUGIH VIROV ITSP
31. člen
(kontrola in evidentiranje dostopa)
(1) Dostop do varovanih podatkov mora biti varovan tako, da preveri identiteto uporabnika in njegova pooblastila za dostop ter dostop evidentira.
(2) Vsak uporabnik mora imeti lastni uporabniški račun, ki ga enolično identificira, in ga je dolžan varovati. Zloraba ali sum zlorabe uporabniškega računa je informacijski varnostni dogodek.
(3) Kontrola in evidentiranje dostopa do podatkov lahko temelji na metodah, ki omogočajo zanesljiv in nedvoumen postopek identifikacije (pametna kartica ipd.).
(4) V izjemnih primerih ima lahko skupina uporabnikov skupen uporabniški račun, če nalog ni mogoče izvajati drugače, vendar mora biti s posebnim postopkovnikom, ki ureja uporabo skupnih uporabniških računov, zagotovljeno, da je možno identificirati konkretnega uporabnika in rekonstruirati njegovo delo. Ustreznost postopkovnika potrdi urad.
32. člen
(osebna gesla)
Kadar kontrola in evidentiranje dostopa do varovanih podatkov temelji na osebnem geslu, si mora geslo določiti uporabnik sam, v skladu z informacijsko varnostno politiko.
33. člen
(dodelitev varnostnega profila)
(1) Uporabniku se varnostni profil dodeli glede na njegove delovne naloge, pri čemer se mu določi dostop do najmanjšega obsega podatkov, ki ga potrebuje za opravljanje svojih delovnih nalog.
(2) Postopek dodelitve varnostnega profila uporabniku se izvede na pisni zahtevek vodje enote.
(3) Varnostne profile potrdi generalni direktor policije ali oseba, ki jo pooblasti.
(4) Organizacijska enota ministrstva, pristojnega za notranje zadeve (v nadaljnjem besedilu: ministrstvo), pristojna za kadrovske zadeve, mora o sklenitvi ali prenehanju delovnega razmerja ter premestitvi posameznega uporabnika ITSP takoj obvestiti notranjo organizacijsko enoto policije, pristojno za vodenje razvida uporabnikov ITSP.
(5) Uporabniki izven policije lahko pridobijo osebne podatke iz evidenc, do katerih so upravičeni na podlagi zakona. Varnostni profil se jim dodeli v skladu s pogodbo ali drugim aktom iz 49. člena tega pravilnika.
34. člen
(dnevnik dela)
(1) Upravljavec dnevnika dela določi podrobnejši način vodenja in vsebino podatkov, ki se vodijo v dnevniku dela, ter način evidentiranja izvedbenih in kontrolnih posegov v ITSP.
(2) Generalni direktor policije lahko na predlog upravljavca dnevnika dela za spremljanje določenih podatkov iz dnevnika dela pisno pooblasti posameznega uslužbenca policije.
VII. VAROVANJE POVEZAV ITSP Z DRUGIMI INFORMACIJSKIMI SISTEMI IN SVETOVNIM SPLETOM
35. člen
(varovanje tehničnih povezav z drugimi sistemi)
(1) Dostop do informacijsko telekomunikacijskih sistemov drugih državnih organov ali pravnih oseb (v nadaljnjem besedilu: drugi informacijsko telekomunikacijski sistemi) imajo lahko le tisti uslužbenci policije, ki dostop potrebujejo zaradi izvajanja svojih delovnih nalog.
(2) ITSP sme imeti vzpostavljene tehnične povezave z drugimi informacijsko telekomunikacijskimi sistemi, če so povezave varovane tako, da se nepoklicanim osebam onemogoči dostop do varovanih podatkov ali naprav ITSP.
(3) Povezovalne točke morajo biti opremljene z varnostnimi pregradami in drugimi varnostnimi mehanizmi, ki onemogočajo zlorabe ITSP.
(4) Elektronska izmenjava varovanih podatkov z drugimi državnimi organi ali pravnimi osebami se izvaja z vzpostavitvijo dostopne točke ITSP v drugem državnem organu ali pravni osebi in z vzpostavitvijo dostopne točke drugega informacijsko telekomunikacijskega sistema v policiji.
(5) ITSP nima povezave z drugim informacijsko telekomunikacijskim sistemom, če je od njega fizično ločen ali če je z njim fizično povezan, vendar logično ločen in zaščiten tako, da ni omogočena izmenjava podatkov med sistemoma.
36. člen
(varnostne pregrade)
(1) Dostop uporabnikov ITSP do podatkov in drugih virov svetovnega spleta ter drugih informacijskih sistemov je dovoljen le preko skupnih, ustrezno varovanih priključnih točk ITSP.
(2) Na priključni točki iz prejšnjega odstavka mora biti nameščena varnostna pregrada, ki mora omogočati:
1. upravljanje dostopov uslužbencev policije do drugih informacijskih sistemov ali svetovnega spleta;
2. upravljanje dostopov uporabnikov drugih informacijskih sistemov do varovanih podatkov in naprav, s katerimi se ti podatki obdelujejo;
3. zaznavanje in preprečevanje poskusov dostopov zunanjih uporabnikov svetovnega spleta do varovanih podatkov policije;
4. zaznavanje in preprečevanje poskusov vdorov v ITSP;
5. preprečevanje in odkrivanje poskusov vnosov računalniških virusov;
6. kriptozaščito prenosov varovanih podatkov policije preko infrastrukture drugega informacijskega sistema ali svetovnega spleta.
37. člen
(priključitev mimo varnostne pregrade)
(1) Generalni direktor policije lahko na pisni predlog vodje enote, ki zaradi nemotenega izvajanja nalog policije potrebuje delovno postajo, ki je na svetovni splet priključena mimo varnostne pregrade, odobri tak način priključitve.
(2) Delovna postaja, ki je s svetovnim spletom povezana mimo varnostne pregrade, ne sme biti povezana z ITSP, na njej ne smejo biti shranjeni varovani podatki, nameščena pa mora biti zaščita pred škodljivimi vsebinami.
VIII. PRENOS VAROVANIH PODATKOV
38. člen
(elektronski prenos podatkov)
Prenos varovanih podatkov po telekomunikacijskih zvezah, ki povezuje lokacije organizacijskih enot policije ali lokacije drugih pooblaščenih uporabnikov varovanih podatkov policije, mora biti varovan s postopki in ukrepi, ki nepooblaščenim preprečujejo prilaščanje, spreminjanje ali uničenje ter neupravičeno seznanjanje z vsebino podatkov.
39. člen
(fizični prenos podatkov)
Policija dokumente ali medije z varovanimi podatki prenaša s kurirsko pošto, po priporočeni pošti s povratnico ali elektronsko.
IX. VODENJE IN VZDRŽEVANJE EVIDENC TER OBDELAVA PODATKOV
40. člen
(odgovorni nosilec in skrbnik evidenc)
(1) Odgovorni nosilec evidenc in skrbnik evidenc sta določena v aktu o notranji organizaciji, sistemizaciji, delovnih mestih in nazivih v policiji.
(2) Organizacijska enota je lahko odgovorna nosilka ene ali več evidenc.
41. člen
(vzpostavitev evidence)
Evidenco na podlagi zahteve odgovornega nosilca evidence vzpostavi skrbnik.
42. člen
(obdelava podatkov)
(1) Uslužbenec policije lahko varovane podatke uporablja le za opravljanje z zakonom določenih nalog in v skladu s predpisi, ki urejajo način obdelovanja posameznih podatkov.
(2) Vsak uporabnik ITSP je dolžan, v skladu s svojimi delovnimi nalogami, skrbeti za vestno, strokovno in ažurno obdelavo podatkov.
X. HRAMBA, DOSTOP DO BLOKIRANIH PODATKOV IN IZBRIS PODATKOV
43. člen
(roki hranjenja in ukinitev evidence)
(1) Podatki v evidencah se hranijo v okviru rokov, določenih v zakonu. Takoj po preteku roka hrambe se podatki v evidencah blokirajo.
(2) Če se evidenca ukine, se dostop do podatkov blokira.
(3) Po blokiranju se podatki v evidencah lahko obdelujejo le za razvrščanje, odbiranje, označevanje in hrambo dokumentarnega gradiva na način, določen v predpisih o varstvu dokumentarnega in arhivskega gradiva. Generalni direktor policije določi osebe, ki lahko obdelujejo podatke v skladu s tem odstavkom.
(4) Dokumentarno gradivo v elektronski obliki, ki je bilo uporabljeno kot vir, se po vnosu in preveritvi točnosti zapisanih podatkov obravnava v skladu s predpisi o dokumentarnem gradivu. Postopek izbrisa podatkov mora biti sestavni del programske opreme za obdelavo policijske evidence, izbris podatkov pa mora biti avtomatsko evidentiran.
(5) Dokumentarno gradivo v fizični obliki, ki je bilo uporabljeno kot vir, se po vnosu in preveritvi točnosti vnesenih podatkov obravnava v skladu s predpisi o dokumentarnem gradivu.
(6) Dokumenti, ki so nastali kot izhodni dokumenti obdelave, se hranijo v skladu s predpisi, ki urejajo poslovanje organov javne uprave z dokumentarnim gradivom.
44. člen
(dostop do arhiviranih ali blokiranih podatkov)
(1) Uporabnik lahko izjemoma pridobi arhivirane ali blokirane podatke iz evidenc na osnovi izkazanega zakonitega namena za obdelavo arhiviranih podatkov.
(2) Izpis arhiviranih ali blokiranih podatkov na medije se izvede v skladu s predpisi, ki urejajo poslovanje organov javne uprave z dokumentarnim gradivom.
45. člen
(izbris ali uničenje varovanih podatkov)
(1) Izbris ali uničenje varovanih podatkov iz policijskih evidenc se izvede v primeru pisne ugotovitve napake ali pomote pri obdelavi podatkov.
(2) Izbris na podlagi pisnega zahtevka vodje enote lahko izvede oseba, ki ima avtorizacijo za brisanje, dodeljeno s strani glavnega skrbnika varnostnih profilov.
XI. POSREDOVANJE PODATKOV POSAMEZNIM OSEBAM
46. člen
(posredovanje lastnih osebnih podatkov)
Posamezniku se posreduje osebne podatke, ki se nanašajo nanj, neposredno na podlagi zakona, ki ureja varstvo osebnih podatkov.
47. člen
(posredovanje osebnih podatkov drugih oseb)
(1) Policija lahko osebne podatke iz evidenc, ki jih upravlja, posreduje fizičnim osebam, ki so do posredovanja upravičene na podlagi zakona in izkazanega pravnega interesa, ter pravnim osebam v skladu z zakonom (v nadaljnjem besedilu: upravičena oseba). Pravnega interesa ni treba izkazati, kadar je zahtevani podatek informacija javnega značaja.
(2) Iznos osebnih podatkov izven države se lahko izvede v skladu z zakonom in tem pravilnikom.
(3) Za posredovanje podatkov mora upravičena oseba vložiti pisno zahtevo. Zahtevo lahko pošlje tudi v elektronski obliki, v skladu s predpisi, ki urejajo elektronsko poslovanje.
(4) Iz pisne zahteve mora nedvoumno izhajati, da upravičena oseba brez zahtevanih podatkov ne bo mogla uveljaviti svojih pravic.
(5) Pisna zahteva mora vsebovati:
– osebne podatke vlagatelja;
– natančen opis okoliščin (podatke o kraju, času dogodka, osebnem položaju vlagatelja v dogodku in podobno);
– vrsto podatkov, ki jih vlagatelj potrebuje za uveljavljanje pravic;
– obrazložen namen uporabe podatkov (zakaj in kje namerava uporabiti podatke).
48. člen
(podatki in namen posredovanja)
(1) Policija lahko posreduje upravičeni osebi le tiste podatke, ki jih je zbrala ob obravnavanju dogodka ali ob izvrševanju nalog in katerih upravljavka je.
(2) Posredovani podatki morajo biti točni in ažurni. Policija posreduje najmanjši možen obseg podatkov, ki upravičeni osebi še zagotovi uveljavljanje njenih pravic.
(3) Pred posredovanjem podatkov vodja enote odloči o upravičenosti zahteve in posredovanja podatkov.
(4) Če je zahteva za posredovanje upravičena, se upravičeni osebi posredujejo naslednji podatki:
– osebno ime osebe;
– rojstni datum (če brez njega ni mogoče identificirati osebe);
– prebivališče (stalno ali začasno) ter
– izjemoma, če tako izhaja iz vloge, drugi podatki.
(5) Ob posredovanju podatkov se upravičeno osebo pisno opozori, da se smejo posredovani podatki uporabljati samo za namen, izkazan v pisni zahtevi.
49. člen
(elektronsko posredovanje podatkov upravičenim pravnim osebam)
(1) Če se vzpostavi elektronsko posredovanje podatkov iz evidenc državnim organom oziroma pravnim osebam, ki so do podatkov iz evidenc upravičeni na podlagi zakona, se način posredovanja podatkov določi s pogodbo ali drugim aktom o posredovanju podatkov, v katerem se določi organizacijske, tehnične in varnostne elemente posredovanja podatkov.
(2) V primeru posamične vloge za posredovanje podatkov uporabnikom iz prejšnjega odstavka mora vodja enote preveriti pravno podlago za posredovanje podatkov.
(3) Posredovanje podatkov se zabeleži v skladu z 51. členom tega pravilnika.
50. člen
(mnenje o razkritju varovanega podatka)
V primeru dvoma o upravičenosti dostopa do varovanega podatka policije, mnenje, ali bi razkritje določenega varovanega podatka policije povzročilo škodo organu, poteku uradnih postopkov ali fizičnim oziroma pravnim osebam, poda komisija. Njene člane na predlog generalnega direktorja policije imenuje minister, pristojen za notranje zadeve.
51. člen
(razvid)
(1) Če se posredujejo osebni podatki, je treba za vsako evidenco ne glede na to, kako je vodena, zagotoviti možnost ugotavljanja:
– kateri osebni podatki, kdaj in kako so bili posredovani;
– komu so bili osebni podatki posredovani;
– na kakšni podlagi so bili osebni podatki posredovani,
– za kakšne namene so bili osebni podatki posredovani.
(2) Za vsako posredovanje osebnih podatkov policije se v poseben razvid zabeležijo podatki, navedeni v prejšnjem odstavku.
(3) Razvid se za evidence, ki se vodijo na centralnem računalniku policije, vodi centralno, v drugih primerih pa v okviru sistema poslovanja z dokumentarnim gradivom.
XII. VARSTVO PRAVIC POSAMEZNIKA
52. člen
(elektronska zahteva za uveljavljanje pravic posameznika)
Zahteva za uveljavljanje pravic posameznika se lahko vloži tudi v elektronski obliki. Dostop do elektronske zahteve je mogoč na spletni strani policije.
53. člen
(spremljanje in evidentiranje aktivnosti uporabnika)
(1) Kadar je na varnostni pregradi vključena oprema, ki omogoča spremljanje in evidentiranje aktivnosti posameznega uporabnika ITSP, mora biti vsak uslužbenec policije, preden uporabi povezavo z drugim informacijskim sistemom ali svetovnim spletom, o tem na nedvoumen in jasen način opozorjen.
(2) Varnostna pregrada mora, kadar je uporabljena oprema iz prejšnjega odstavka, na spremljanje in evidentiranje dostopov opozoriti tudi zunanje uporabnike svetovnega spleta in uporabnike drugih informacijskih sistemov, preden se povežejo z viri ITSP.
54. člen
(pisna izjava)
(1) Uslužbenec policije ob sklenitvi delovnega razmerja ali premestitvi na delovno mesto, na katerem bo obdeloval varovane podatke, s pisno izjavo potrdi, da je seznanjen s predpisi, ki v policiji urejajo varovanje podatkov.
(2) Pisne izjave uslužbencev hrani notranja organizacijska enota ministrstva, pristojna za kadrovske zadeve, v centralni kadrovski evidenci.
XIII. NADZOR NAD IZVAJANJEM UKREPOV IN POSTOPKOV VAROVANJA
55. člen
(nadzor)
(1) Nadzor nad izvajanjem tega pravilnika opravljata notranji organizacijski enoti, pristojni za nadzor in zaščito podatkov.
(2) Za nadzor nad obdelavo podatkov je odgovoren vodja enote, iz katere je uporabnik ITSP.
56. člen
(obveščanje o informacijskem varnostnem dogodku)
(1) Uslužbenec policije, ki zazna informacijski varnostni dogodek, mora o tem nemudoma obvestiti vodjo informacijske varnosti oziroma lokalnega vodjo informacijske varnosti. Ta je dolžan obvestiti notranjo organizacijsko enoto, pristojno za zaščito podatkov, ter notranjo organizacijsko enoto, pristojno za notranjo varnost.
(2) Uslužbenec policije je dolžan izvesti prve nujne ukrepe za preprečitev nadaljnjih škodljivih posledic in zavarovanje sledi.
XIV. PREHODNA IN KONČNI DOLOČBI
57. člen
Odločbe o določitvi vodij LIS, izdane na podlagi Pravilnika o zaščiti podatkov policije (Uradni list RS, št. 17/11 in 15/13 – ZNPPol), ostanejo v veljavi.
58. člen
Z dnem uveljavitve tega pravilnika se preneha uporabljati Pravilnik o zaščiti podatkov policije (Uradni list RS, št. 17/11 in 15/13 – ZNPPol).
59. člen
Ta pravilnik začne veljati petnajsti dan po objavi v Uradnem listu Republike Slovenije.
Št. 007-243/2014
Ljubljana, dne 12. septembra 2014
EVA 2014-1711-0032
dr. Gregor Virant l.r.
Minister
za notranje zadeve