Na podlagi drugega odstavka 37. člena zakona o carinski službi (Uradni list RS, št. 56/99) izdaja minister za finance
P R A V I L N I K
o ravnanju z zaupnimi podatki in o načinu varovanja zaupnih podatkov v carinski službi
I. SPLOŠNI DOLOČBI
1. člen
Ta pravilnik določa način ravnanja z zaupnimi podatki iz 35. člena zakona o carinski službi (Uradni list RS, št. 56/99 - v nadaljevanju: ZCS) in drugimi zaupnimi podatki službe ter način varovanja teh podatkov z namenom, da se prepreči nepooblaščen dostop in obdelava zaupnih podatkov.
2. člen
V tem pravilniku uporabljeni izrazi imajo naslednji pomen:
1. zaupni podatki: osebni in drugi podatki, vsebovani v evidencah iz 35. člena ZCS ter drugi zaupni podatki, ki jih določi generalni direktor;
2. dokumenti: vsi napisani, narisani, natisnjeni, razmnoženi, fotografirani, fotokopirani, fonografirani ali magnetno, optično oziroma kako drugače zapisani zaupni podatki;
3. obravnavanje podatkov: postopki in procesi zbiranja, obdelave, hrambe, posredovanja, uporabe in uničenja podatkov;
4. računalniško obravnavanje podatkov: obravnavanje podatkov s pomočjo računalnika in z napravami, ki rabijo pomnilnik za shranjevanje celega ali dela računalniškega programa, in vseh ali dela podatkov, ki so potrebni za izvajanje tega programa.
II. SPLOŠNI VARNOSTNI UKREPI
3. člen
Zaradi varovanja zaupnih podatkov so delavci Carinske uprave Republike Slovenije (v nadaljevanju: carinske uprave) dolžni izvajati naslednje splošne varnostne ukrepe:
1. kadar zapuščajo svoje delovne prostore, morajo zakleniti pisalne mize, omare, blagajne in pisarne, v katerih hranijo zaupne podatke;
2. dokumentov ne smejo puščati na pisalnih mizah v prisotnosti oseb, ki niso zaposlene v carinski upravi;
3. dosledno morajo izvajati postopek prijave oziroma odjave s svojim osebnim geslom na začetku oziroma ob zaključku računalniškega obravnavanja podatkov, oziroma z uporabo gesla preprečiti dostop nepooblaščenim osebam do dokumentov;
4. z vsebino zaupnih podatkov delavci, ki te podatke obravnavajo, ne smejo seznaniti drugih nepooblaščenih oseb;
5. po končani izdelavi dokumentov z zaupnimi podatki morajo poskrbeti za uničenje pomožnega gradiva (npr. poskusnih oziroma neuspešnih izpisov, matric, izračunov in grafikonov, skic ipd.), ki so ga uporabili oziroma ki je nastalo pri izdelavi dokumenta;
6. upoštevati morajo druge predpise, ki jih zavezujejo, kako naj pri svojem delu ravnajo z zaupnimi podatki.
III. VAROVANJE PROSTOROV
4. člen
Prostori, v katerih se obravnavajo zaupni podatki, morajo biti varovani z organizacijskimi, fizičnimi in tehničnimi ukrepi, ki nepooblaščenim onemogočajo dostop do medijev in naprav, s katerimi se zaupni podatki obravnavajo.
Varnostni ukrepi morajo v prostorih, v katerih se obravnavajo osebni podatki in zaupni podatki, določeni za “državno tajnost” ali “uradno tajnost” stopnje “strogo zaupno”, omogočati popolno kontrolo in evidentiranje vstopov v te prostore.
5. člen
Delo in gibanje v objektih carinske uprave poteka v skladu s hišnim redom oziroma z drugimi navodili generalnega direktorja oziroma direktorja carinskega urada ter ob upoštevanju požarnovarstvenih ukrepov, ki jih za te objekte predpisuje akt o varovanju pred požarom. Za prostore, v katerih je nameščena informacijska in telekomunikacijska oprema za obravnavanje zaupnih podatkov, pa veljajo še naslednja pravila:
1. zadrževanje delavcev v teh prostorih, razen tistih, ki so v njem zaposleni, ali je njihova prisotnost nujno potrebna za nemoteno opravljanje delovnih nalog, ni dovoljeno;
2. obiski zunanjih strank so dovoljeni samo z odobritvijo predstojnika ali odgovorne osebe in v spremstvu najmanj enega delavca carinske uprave;
3. obiski serviserjev informacijske ali telekomunikacijske opreme, so dovoljeni samo na poziv vzdrževalne službe; serviserja pa mora med obiskom nadzorovati delavec carinske uprave ali delavec varnostne službe;
4. prepoved kajenja in uporabe odprtega ognja;
5. prepoved nameščanja začasne električne napeljave;
6. hramba gorljivih snovi samo v količinah, ki so nujno potrebne za nemoten potek dela;
7. ognjevarne omare, v katerih so shranjeni mediji, morajo biti vedno zaprte.
IV. VAROVANJE STROJNE IN PROGRAMSKE OPREME
6. člen
Strojno in programsko opremo, ki je v carinski upravi namenjena za informacijsko in telekomunikacijsko obravnavanje zaupnih podatkov (v nadaljevanju: strojna in programska oprema) je dovoljeno uporabljati le za izvajanje nalog carinske službe.
7. člen
Strojno in programsko opremo lahko uporablja le delavec carinske uprave, za izvajanje nalog, za katere je odgovoren. Poleg neposrednih uporabnikov imajo dostop do te opreme tudi delavci, ki opremo vzdržujejo in pogodbeno vezani zunanji vzdrževalci.
Vsako okvaro oziroma izpad strojne ali programske opreme, ki zahteva poseg usposobljenega vzdrževalca, je potrebno takoj javiti sektorju, ki odloči, v skladu s predpisanim režimom vzdrževanja, kako se bo okvara odpravila.
8. člen
Dostop do strojne in programske opreme mora biti varovan tako, da dovoljuje dostop samo za to vnaprej določenim delavcem carinske uprave.
Vsak poseg, spreminjanje ali dopolnjevanje strojne in programske opreme je dovoljeno samo na podlagi odobritve pooblaščenega delavca sektorja za informatiko.
9. člen
Pristop k evidencam, ki vsebujejo zaupne podatke, ki so določeni za “državno tajnost” ali “uradno tajnost” stopnje “strogo zaupno” in osebne podatke, se varuje s sistemom identifikacije uporabnika.
Pri izdelavi dokumenta, ki vsebuje podatke iz prvega odstavka tega člena, se na originalu označi, v koliko izvodih je bil izdelan (napisan, natiskan, narisan, razmnožen) in komu je bil posredovan. Vsak izvod takega dokumenta mora imeti svojo evidenčno številko.
Če je gradivo iz prvega odstavka tega člena sestavljeno iz več listov ali če ima priloge, mora biti vsaka stran označena z vrsto tajnosti in stopnjo zaupnosti ali zvezana tako, da listov ali prilog ni mogoče iztrgati.
V. POSREDOVANJE ZAUPNIH PODATKOV DRUGIM UPORABNIKOM
10. člen
Zaupne podatke je dovoljeno prenašati z informacijskimi, telekomunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim preprečuje obravnavanje zaupnih podatkov.
Zaupne podatke se lahko posreduje samo tistim, ki vložijo pisno vlogo in izkažejo pravni interes (ustrezna zakonska osnova, pooblastilo v zakonu), ki daje pravico do vpogleda, oziroma s pisno privolitvijo ali zahtevo tistega, na katerega se ti podatki nanašajo.
Posredovane podatke se sme uporabljati samo za namen, za katerega so bili dani. Carinska uprava ima pravico, da nadzoruje varovanje tako posredovanih podatkov.
VI. ODGOVORNOST ZA IZVAJANJE UKREPOV IN POSTOPKOV VAROVANJA
11. člen
Za neposredno izvajanje postopkov in ukrepov za varovanje osebnih in zaupnih podatkov so odgovorni: generalni direktor, namestnik generalnega direktorja, direktorji carinskih uradov ter vsi vodje organizacijskih enot.
Osebe iz prejšnjega odstavka so dolžne:
1. poslovanje organizacijskih enot carinske uprave organizirati tako, da zagotovijo spoštovanje določb tega pravilnika in drugih predpisov o zavarovanju zaupnih podatkov;
2. seznaniti delavce z dolžnostjo varovati zaupne podatke.
12. člen
Vsak delavec, ki se v okviru opravljanja dela na carinski upravi seznani z zaupnimi podatki, mora izvajati predpisane postopke in ukrepe za varstvo in zavarovanje podatkov. Obveznost varovanja zaupnih podatkov ne preneha s prenehanjem delovnega razmerja v carinski upravi.
Z vsebino dokumentov delavec, ki jih uporablja pri svojem delu, ne sme seznaniti drugih uslužbencev carinske uprave ali tretjih oseb, razen po predhodnem dovoljenju generalnega direktorja oziroma direktorja carinskega urada, kadar je to nujno potrebno za opravljanje delovnih nalog.
Delavci carinske uprave, ki so ugotovili, da se je z zaupnimi podatki seznanila nepoklicana oseba, so to dolžni nemudoma sporočiti generalnemu direktorju ali direktorju carinskega urada.
Če se dokument izgubi ali pogreši, je uslužbenec carinske uprave dolžan o tem brez odlašanja obvestiti generalnega direktorja oziroma direktorja carinskega urada, sam pa ukreniti vse potrebno, da se ugotovijo okoliščine, v katerih je dokument izginil, ter da se odstranijo škodljive posledice in zavarujejo sledi.
13. člen
Ta pravilnik začne veljati petnajsti dan po objavi v Uradnem listu Republike Slovenije.
Št. 418-11/02
Ljubljana, dne 16. aprila 2002.
Minister
za finance
mag. Anton Rop l. r.