Na podlagi 12. člena zakona o varstvu osebnih podatkov (Uradni list RS, št. 8/90 in 19/91) in 139. člena zakona o notranjih zadevah (Uradni list SRS, št. 28/80, 38/88, 27/89 ter Uradni list RS, št. 19/91, 4/92) izdaja minister za notranje zadeve
PRAVILNIK
o določanju zaupnih podatkov in o varovanju zaupnih in osebnih podatkov
I. SPLOŠNE DOLOČBE
1. člen
S tem pravilnikom se določajo podatki, katerih upravljalec je Ministrstvo za notranje zadeve Republike Slovenije (v nadaljnjem besedilu: MNZ) in ki pomenijo državno, uradno, ali poslovno tajnost, stopnje zaupnosti teh podatkov, kriteriji za določanje vrste tajnosti in stopnje zaupnosti podatkov MNZ, postopki in pooblastila za določanje zaupnih podatkov ter varovanje osebnih in zaupnih podatkov v MNZ, ki obsega organizacijske in tehnične postopke in ukrepe, s katerimi MNZ preprečuje naključno ali nepooblaščeno uničenje osebnih in zaupnih podatkov kakor tudi nepravilno, zlonamerno ali nepooblaščeno uporabo, prilaščanje, odstopanje, prikrivanje, spreminjanje ali poškodovanje osebnih in zaupnih podatkov, katerih upravljalec je MNZ.
2. člen
V tem pravilniku uporabljeni izrazi imajo naslednji pomen:
1. zaupen podatek: podatek, operativno-tehnično in drugo materialno sredstvo, objekt, ukrep in postopek službe MNZ, ki je razglašen za tajnost, ker je tako pomemben, da bi z njegovo izdajo nastale ali bi lahko nastale škodljive posledice za varnost države ali delovanje MNZ;
2. osebni podatek: podatek, ki kaže na lastnosti, stanja ali razmerja posameznika, ne glede na obliko, v kateri je izražen;
3. posameznik: določena ali določljiva fizična oseba, na katero se nanaša osebni podatek;
4. zbirka podatkov: zbirka, ki vsebuje osebne ali zaupne podatke (npr. evidenca, register, baza podatkov), ki se vodi računalniško ali klasično in je namenjena izvajanju delovnih nalog MNZ;
5. obravnavanje podatkov: postopki in procesi zbiranja, obdelave in uporabe podatkov;
6. dokument: vsi pisni, tiskani, risani in posneti podatki;
7. medij: vse vrste sredstev, na katerih so zapisani podatki;
8. operativno-tehnično in drugo materialno sredstvo: vsa premična sredstva in stvari, ki so po tehnični sistemizaciji MNZ predvidene za delovanje služb MNZ;
9. objekt: vse vrste zgradb ter drugih objektov nad in pod zemljo, ki jih uporabljajo službe MNZ;
10. ukrep, postopek: zaznave, sporočila, informacije, odredbe in ukazi s področja dela MNZ.
11. lastnik podatkov: služba v MNZ, ki ima pravico in dolžnost vzpostaviti ali organizirati obravnavanje, hrambo in posredovanje zbirk osebnih ali zaupnih podatkov MNZ.
II. DOLOČANJE VRSTE TAJNOSTI IN STOPNJE ZAUPNOSTI PODATKOV
3. člen
Vrsto tajnosti in stopnjo zaupnosti podatkov določa minister, za svoje delovno področje pa tudi poveljnik policije, direktor službe ali vodja druge samostojne organizacijske enote MNZ ter komandir policijske postaje (v nadaljnjem besedilu: predstojnik).
Vrsta tajnosti in stopnja zaupnosti podatkov še določi ob nastanku posameznega dokumenta, vzpostavitvi zbirke podatkov oziroma na začetku izvajanja ukrepov in postopkov služb MNZ.
Vsak delavec MNZ je dolžan v okviru svojih pristojnosti in po določilih tega pravilnika presojati pomen dokumentov, operativno tehničnih in drugih materialnih sredstev, zgradb, ukrepov in predstojniku predlagati določitev njihove tajnosti in zaupnosti.
4. člen
Vrsto tajnosti in stopnjo zaupnosti podatka lahko spremeni ali prekliče le oseba iz prvega odstavka prejšnjega člena tega pravilnika.
MNZ ne sme spreminjati vrste tajnosti in stopnje zaupnosti podatkov, ki jih določijo drugi organi in organizacije.
Podatki, ki so določeni za "vojaško tajnost", se po tem pravilniku obravnavajo kot "uradna tajnost" enake stopnje zaupnosti.
Podatki, ki so določeni za "poslovno tajnost", se po tem pravilniku obravnavajo kot "uradna tajnost" – "zaupno", če predstojnik ne določi drugače.
III. VRSTE TAJNOSTI IN STOPNJE ZAUPNOSTI PODATKOV MNZ
5. člen
Vrste tajnosti zaupnih podatkov MNZ so:
– državna tajnost;
– uradna tajnost.
Glede na varnostni pomen podatka imajo podatki, ki so določeni za uradno tajnost, tri stopnje zaupnosti:
– strogo zaupno;
– zaupno;
– interno.
6. člen
Državna tajnost so podatki MNZ, ki so določeni za državno tajnost in ki so tako pomembni, da bi z njihovo izdajo nastale ali bi očitno lahko nastale škodljive posledice za varnost države ali njene politične ali gospodarske koristi.
Državna tajnost so:
– varnostne ocene, na katerih sloni varnostna in obrambna politika Republike Slovenije;
– načrti za organiziranje in delovanje služb MNZ v izrednih varnostnih razmerah, neposredni vojni nevarnosti in vojni;
– načrti in organizacija varovanja določenih oseb in objektov;
– letni programi dela in poročila o delu VIS;
– načrti, organizacija in sredstva kriptografskega zavarovanja podatkov;
– načrti in organizacija sistema identifikacijskih in avtorizacijskih znakov (gesel) uporabnikov informacijskega in telekomunikacijskega sistema organov za notranje zadeve Republike Slovenije (v nadaljnjem besedilu: ITSONZ).
7. člen
Uradna tajnost so podatki MNZ, ki so določeni za uradno tajnost in so tako pomembni, da bi z njihovo izdajo nastale ali bi lahko nastale hujše škodljive posledice za delovanje služb MNZ.
Podatkom, ki so določeni za uradno tajnost, se glede na njihov pomen določi stopnja zaupnosti: strogo zaupno, zaupno ali interno.
Uradna tajnost – strogo zaupno – so:
– aktivnosti služb MNZ, katerih razkritje nepoklicani osebi bi onemogočilo ali odložilo izvršitev uradne naloge ali pripomoglo k izvršitvi kaznivega dejanja;
– operativni ukrepi, dejanja in metode, ki jih izvajajo službe MNZ, da se prepreči storitev kaznivega dejanja, odkrije ali prime storilca kaznivega dejanja (racije, zasede);
– programi dela, analize, poročila in konkretne akcije s področja notranje zaščite MNZ;
– načrti zavarovanja in varnostnih ukrepov za objekte, ki so varovani s signalno-tehničnimi napravami;
– načrti in organizacija telekomunikacijskega sistema MNZ;
– radioplani MNZ;
– načrt načina, časa in smeri dostavljanja službene pošte MNZ;
– načrti nalog in ukrepov posameznih služb MNZ v neposredni vojni nevarnosti in vojni;
– listine zaupnega poveljevanja;
– evidenca posebnih operativnih metod in sredstev;
– evidenca gesel uporabnikov ITSONZ. Uradna tajnost – zaupno – so:
– letni programi dela in letna poročila posameznih služb MNZ;
– gradivo in zapisniki kolegija ministra in kolegijev služb MNZ;
– poročila o inšpekcijskem nadzoru v organizacijskih enotah MNZ;
– dokumentacija o preizkusu strokovnega znanja delavcev MNZ;
– kadrovska in zdravstvena dokumentacija posameznega delavca MNZ;
– izvorni zapis programske opreme, ki je za potrebe ITSONZ izdelana v MNZ;
– fonetični indeks oseb;
– kazenska evidenca;
– evidenca osumljencev kaznivih dejanj;
– evidenca osumljencev prekrškov;
– evidenca iskanih in nadzorovanih oseb;
– evidenca legitimiranih oseb;
– evidenca operativnih informacij;
– evidenca daktiloskopiranih in fotografiranih oseb;
– evidenca dogodkov. Uradna tajnost – interno – so:
– strokovna navodila za opravljanje delovnih nalog MNZ;
– navodila za uporabo zbirk zaupnih podatkov;
– delovni materiali za zakonske in podzakonske predpise, ki jih pripravlja MNZ;
– analitična, statistična in druga gradiva o delu služb MNZ oziroma varnostnih problemih in pojavih, ki so namenjena internemu informiranju;
– telefonski, telex in telefax imenik MNZ ter imenik elektronske pošte MNZ.
IV. UKREPI IN POSTOPKI ZA VAROVANJE OSEBNIH IN ZAUPNIH PODATKOV
8. člen
Z ukrepi in postopki varovanja osebnih in zaupnih podatkov se v MNZ:
– varujejo dokumenti, objekti, operativno-tehnična in druga sredstva ter programska in strojna oprema;
– zagotavlja varno obravnavanje in hrambo osebnih in zaupnih podatkov;
– zagotavlja varno posredovanje in prenos osebnih in zaupnih podatkov;
– omogoča naknadno ugotavljanje, kdaj so bili posamezni osebni in zaupni podatki obravnavani in kdo jih je obravnaval, in sicer za obdobje, za katero se posamezni podatki hranijo.
1. Splošni varnostni ukrepi
9. člen
Zaradi varovanja zaupnih in osebnih podatkov so zaposleni v MNZ dolžni izvajati splošne varnostne ukrepe s tem,
– da, kadar zapuščajo svoje delovne prostore, zaklepajo pisalne mize, omare, blagajne in pisarne, v katerih hranijo zaupne ali osebne podatke;
– da dokumentov z zaupnimi in osebnimi podatki ne puščajo na mizah v prisotnosti oseb, ki niso zaposlene v MNZ;
– da o aktivnosti, ki je usmerjena v odkrivanje ali nepooblaščeno uničenje osebnih in zaupnih podatkov, kakor tudi o nepravilni, zlonamerni ali nepooblaščeni uporabi, prilaščanju, odstopanju, prikrivanju, spreminjanju ali poškodovanju osebnih in zaupnih podatkov iz zbirk podatkov MNZ takoj obvestijo predstojnika, sami pa poskušajo tako aktivnost preprečiti;
– da po končani izdelavi zaupnih dokumentov in dokumentov z osebnimi podatki uničijo pomožno gradivo (npr. matrice, izračune in grafikone, skice, poskusne oziroma neuspešne izpise ipd.), ki so ga uporabili oziroma ki je nastalo pri izdelavi dokumenta;
– da se ravnajo po drugih predpisih MNZ, ki jih zavezujejo, kako naj v konkretnih primerih ravnajo z dokumenti z osebnimi in zaupnimi podatki.
2. Prostori
10. člen
Prostori, v katerih se informacijsko ali telekomunikacijsko obravnavajo osebni in zaupni podatki, morajo biti varovani z organizacijskimi ter fizičnimi in/ali tehničnimi ukrepi, ki morajo nepooblaščenim onemogočiti dostop do podatkov.
Varnostni ukrepi morajo v prostorih, v katerih se informacijsko ali telekomunikacijsko obravnavajo podatki, ki so razglašeni za državno tajnost ali uradno tajnost stopnje strogo zaupno, omogočati popoln nadzor nad delom in gibanjem v teh prostorih.
3. Strojna oprema
11. člen
Opremo, ki je v MNZ sistemizirana za informacijsko in telekomunikacijsko obravnavanje, hrambo in prenos podatkov (v nadaljnjem besedilu: strojna oprema), je dovoljeno uporabljati le za izvajanje delovnih nalog MNZ.
Uporaba strojne opreme je dovoljena le med rednim delovnim časom ali med izvajanjem delovnih nalog, h katerim je delavec razporejen po nalogu predstojnika.
Zunanji sodelavci lahko inštalirajo ali vzdržujejo strojno opremo MNZ na poziv ali z dovoljenjem Uprave za informatiko in telekomunikacije MNZ (v nadaljnjem besedilu: UIT) ter pod nadzorom pristojnega delavca MNZ.
12. člen
Dostop do strojne opreme imajo le ustrezno usposobljeni delavci MNZ, ki opremo uporabljajo v okviru tehnične sistemizacije delovnih mest, in delavci MNZ, ki opremo vzdržujejo.
4. Programska oprema
13. člen
V MNZ se za računalniško obravnavanje in prenos podatkov lahko uporablja le programska oprema, ki je skladna s standardi ITSONZ.
Skladnost programske opreme s standardi ITSONZ ugotovi UIT sama ali v sodelovanju z zunanjimi organi ali organizacijami, pooblaščenimi za standardizacijo delovnih pripomočkov v državni upravi.
14. člen
Programska oprema, ki jo za potrebe ITSONZ ministrstvo kupi od proizvajalcev oziroma prodajalcev programske opreme, mora biti opremljena z licenco, ki MNZ dovoljuje inštaliranje in uporabo programov na načrtovanem številu lokacij v službah MNZ.
Vse izvorne zapise programske opreme ITSONZ in licenčno dokumentacijo o programski opremi ITSONZ hrani UIT.
5. Gesla
15. člen
Uporaba programske opreme in dostop do osebnih in zaupnih podatkov ITSONZ morata biti varovana z gesli za avtorizacijo in identifikacijo uporabnikov programov in podatkov.
Sistem gesel mora omogočati naknadno ugotavljanje, kateri uporabnik je v določenem času z določene točke ITSONZ obravnaval osebne ali zaupne podatke, in sicer za obdobje, za katero se posamezni podatki hranijo.
Gesla lahko veljajo največ tri mesece.
Evidenco gesel vodi Center za zavarovanje podatkov UIT MNZ.
6. Vzdrževanje opreme
16. člen
Inštalacijske, vzdrževalne in druge posege v strojno in programsko opremo, ki je v uporabi v MNZ, lahko opravijo le strokovno-tehnični delavci UIT in drugi delavci ministrstva, ki so pooblaščeni za izvajanje teh nalog.
Zunanji sodelavci lahko inštalirajo ali vzdržujejo strojno in programsko opremo MNZ le pod nadzorom pooblaščenega delavca UIT.
Vse okvare oziroma izpadi opreme morajo biti evidentirani v UIT MNZ, odpravljeni pa v skladu s pravili vzdrževanja, ki so predpisani v MNZ.
7. Dokumenti
17. člen
Dokumenti z zaupnimi podatki morajo biti na vidnem mestu označeni z vrsto tajnosti in stopnjo zaupnosti. Tako označbo morajo imeti tudi vse njihove priloge.
18. člen
Pri izdelavi dokumenta, ki vsebuje podatke, ki so "državna tajnost" ali "uradna tajnost", stopnje "strogo zaupno", se na originalu označi, v koliko izvodih je bil izdelan (napisan, natiskan, narisan, razmnožen) in komu je bil posredovan. Vsak izvod takega dokumenta mora imeti svojo evidenčno številko.
Če je gradivo iz prvega odstavka tega člena sestavljeno iz več listov ali če ima priloge, mora biti vsaka stran označena z vrsto tajnosti in stopnjo zaupnosti ali zvezana tako, da listov ali prilog ni mogoče iztrgati.
19. člen
Dokumenti z oznakami "državna tajnost" in "uradna tajnost" – "strogo zaupno" morajo biti vedno zaklenjeni v železnih omarah, ki so tehnično varovane, ali v zaklenjenih ter zapečatenih železnih blagajnah s šifro, razen če niso pod neposredno kontrolo delavca, ki mu je bilo tako gradivo dano v delo.
V prostore, v katerih se obravnavajo dokumenti iz prvega odstavka tega člena, je dovoljen vstop le delavcem, ki jih izdelujejo, uporabljajo ali varujejo.
20. člen
Po izdelavi zaupnega dokumenta z oznako "državna tajnost" ali "uradna tajnost" – "strogo zaupno" je potrebno komisijsko uničiti pomožno gradivo (npr. matrice, izračune in grafikone, skice, poskusne oziroma neuspešne izpise ipd.), ki je nastalo pri izdelavi dokumenta.
O komisijskem uničenju materiala iz prvega odstavka tega člena sestavi komisija zapisnik, ki ga podpišejo vsi člani komisije.
Komisijo, ki jo sestavljajo trije člani, določi predstojnik.
Postopek uničevanja dokumentov z oznako "uradna tajnost" – "zaupno" in "uradna tajnost" – "interno" določi predstojnik.
9. Prenos osebnih in zaupnih podatkov
21. člen
Osebne in zaupne podatke je dovoljeno prenašati z informacijskimi, telekomunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim preprečujejo prilaščanje ali uničenje osebnih in zaupnih podatkov ter neupravičeno seznanjanje z njihovo vsebino.
Po nezaščitenih komunikacijskih sredstvih je prepovedano komunicirati s podatki, ki so "državna tajnost" ali "uradna tajnost" – "strogo zaupno".
22. člen
Medije z zaupnimi dokumenti MNZ dostavlja s kurirjem.
Delavec, ki odpravlja pošto, mora kurirja seznaniti z vrsto in stopnjo zaupnosti dokumenta in z ukrepi za varovanje take pošte.
Dokumenti z zaupnimi in osebnimi podatki morajo biti ustrezno kuvertirani.
Za prenos zaupne pošte mora kurir uporabljati kovček ali torbo s primernimi varnostnimi mehanizmi.
Za prenos dokumentov, ki so "državna tajnost" ali "uradna tajnost" – "strogo zaupno", mora biti kurir oborožen ali imeti oboroženo spremstvo.
23. člen
Pisemske ovojnice, na katerih so oznake zaupnosti, odpre naslovnik ali predstojnik oziroma oseba, ki jo on pooblasti, kadar je taka pošta naslovljena na organizacijsko enoto.
V. ODGOVORNOST ZA IZVAJANJE VARNOSTNIH UKREPOV IN POSTOPKOV
24. člen
Za neposredno izvajanje načrtovanih postopkov in ukrepov za varovanje osebnih in zaupnih podatkov so odgovorni predstojniki.
Predstojniki so dolžni:
– poslovanje svojih služb organizirati tako, da zagotovijo spoštovanje določb tega pravilnika in notranjih aktov o zavarovanju podatkov v MNZ;
– seznaniti delavce z dolžnostjo, varovati osebne in zaupne podatke;
– v primeru dejavnosti, ki je usmerjena v ogrožanje integritete osebnih in zaupnih podatkov, takoj ukreniti vse, da se tako ogrožanje onemogoči oziroma prepreči.
25. člen
Delavec MNZ je dolžan varovati osebne in zaupne podatke, za katere je zvedel oziroma bil z njimi seznanjen pri opravljanju svojega dela.
Dolžnost, varovati zaupne podatke, ne preneha s prenehanjem delovnega razmerja v MNZ.
Dovoljenje, da in komu sme delavec MNZ ali oseba, ki ji je prenehalo delovno razmerje v MNZ, razkriti posamezne zaupne podatke, daje minister za notranje zadeve.
26. člen
Dolžnost, varovati zaupne podatke, traja, dokler minister za notranje zadeve oziroma organ ali organizacija, od katerega zaupen podatek izvira, ne odloči, da je prenehala potreba po varovanju tajnosti in zaupnosti določenega podatka.
27. člen
Z vsebino zaupnih dokumentov ali dokumentov z osebnimi podatki delavec, ki dokumente uporablja pri svojem delu, ne sme seznaniti drugih delavcev MNZ, razen po predhodnem dovoljenju ministra ali osebe, ki jo on pooblasti, če je to nujno potrebno za opravljanje delovnih nalog.
Delavci MNZ, ki so ugotovili, da se je z vsebino dokumentov iz prejšnjega odstavka seznanila nepoklicana oseba, so to dolžni nemudoma sporočiti neposrednemu predstojniku. V takem primeru mora delavec na dokumentu oziroma v posebni evidenci kot prilogi dokumenta označiti, kdo in kdaj je imel vpogled v njegovo vsebino.
Če se dokument z zaupnimi ali osebnimi podatki izgubi ali pogreši, je delavec MNZ dolžan o tem brez odlašanja obvestiti predstojnika, sam pa ukreniti vse potrebno, da se ugotovijo okoliščine, v katerih je dokument izginil, ter da se odstranijo škodljive posledice in zavarujejo sledi.
28. člen
Tujcem je dovoljen vpogled v dokumente z zaupnimi in osebnimi podatki MNZ, če tako določa zakon oziroma mednarodna pogodba.
29. člen
Delavec MNZ, ki krši dolžnost varovanja zaupnih in osebnih podatkov, je disciplinsko odgovoren za hujšo kršitev delovnih obveznosti in dolžnosti.
VI. NADZOR NAD IZVAJANJEM VARNOSTNIH UKREPOV IN POSTOPKOV
30. člen
Inšpekcijo nad izvajanjem tega pravilnika opravlja Center za zavarovanje podatkov UIT MNZ.
VII. KONČNE DOLOČBE
31. člen
Z dnem, ko začne veljati ta pravilnik, preneha veljati Pravilnik o določanju tajnih podatkov, o uporabi in čuvanju teh podatkov ter o načinu njihovega varovanja (0l/l-Z-184/1-88 z dne 31. 5. 1988).
32. člen
Ta pravilnik prične veljati petnajsti dan po objavi v Uradnem listu Republike Slovenije.
Št. 0319-S-177/92
Ljubljana, dne 22. januarja 1993.
Igor Bavčar l. r.
Minister
za notranje zadeve