Na podlagi 37. člena uredbe o vodenju in vzdrževanju centralnega registra prebivalstva ter postopku za pridobivanje in posredovanje podatkov (Uradni list RS, št. 70/00 in 28/02) izdaja minister za notranje zadeve
N A V O D I L O
za elektronsko poslovanje centralnega registra prebivalstva
I. SPLOŠNE DOLOČBE
1. člen
(namen navodila)
To navodilo ureja način elektronskega poslovanja Centralnega registra prebivalstva (v nadaljnjem besedilu: e-CRP), ki obsega register uporabnikov e-CRP, način vodenja evidence o uporabi podatkov Centralnega registra prebivalstva (v nadaljnjem besedilu: CRP) ter postopek registracije uporabnikov e-CRP, kar je urejeno z Varnostno shemo, ter načini dostopa do servisov za izvajanje storitev.
2. člen
(uporabniki e-CRP in odgovorne osebe)
(1) Uporabnik e-CRP je upravljavec zbirke podatkov ali druga pravna ali fizična oseba, ki nastopa kot:
– podatkovni vir, ki z uporabo elektronskega poslovanja ažurira posamezne podatke v podatkovni bazi CRP, za katere je odgovoren v skladu s pooblastili upravljavca CRP za vodenje in vzdrževanje kooperativne podatkovne baze CRP v skladu z 19. členom zakona o centralnem registru prebivalstva in
– uporabnik podatkov CRP, ki dostopa do podatkov ali drugače pridobiva podatke v skladu s katalogom storitev e-CRP preko Varnostne sheme.
(2) Uporabnik e-CRP določi odgovorno osebo, ki je zadolžena za organizacijo elektronskega poslovanja zaposlenih oziroma drugih oseb, ki imajo dostop do podatkov CRP s pomočjo servisov za izvajanje storitev v okviru Varnostne sheme e-CRP in opravljajo transakcije za potrebe uporabnika iz prejšnjega odstavka (v nadaljevanju: referenti). Transakcije servisov lahko opravlja odgovorna oseba sama ali referenti, ki jih je ta pooblastila. V Varnostni shemi se registrira samo odgovorna oseba, medtem ko se ob izvajanju transakcij v dnevnik dela zabeleži vsak dostop ali poskus dostopa tistega, ki je transakcijo izvajal.
(3) Uporabnik e-CRP je dolžan zagotoviti varstvo in zavarovanje osebnih podatkov v skladu z zakonom o varstvu osebnih podatkov.
3. člen
(katalog storitev e-CRP)
Katalog storitev je splošni pregled storitev, ki jih omogoča e-CRP in so dostopne uporabnikom e-CRP preko Varnostne sheme za opravljanje določenih funkcij. Vsaka od teh funkcij je razdeljena na več standardnih storitev. Vsaka storitev je povezana s podatkovno bazo CRP ali s podatkovno bazo Varnostne sheme in z repozitorijem podatkovnih baz iz okolja CRP. Katalog storitev obsega:
– postopek za podatkovni vir iz prve alinee prvega odstavka 2. člena tega navodila,
– postopek za uporabnika e-CRP, ki iz podatkovne baze CRP v izbrani ali vnaprej določeni periodiki pridobiva podatke in spremembe za vodenje in vzdrževanje svoje zbirke podatkov, v kateri hrani podatke o posameznikih po vnaprej določljivih kriterijih,
– vodenje in vzdrževanje evidence oznak pripadnosti uporabniku, katerega zbirka podatkov obsega enote po nedoločljivih kriterijih,
– postopek za uporabnika e-CRP, ki iz podatkovne baze CRP v poljubni ali vnaprej določeni periodiki pridobiva podatke in spremembe za vodenje in vzdrževanje svoje zbirke podatkov, ki obsega enote po nedoločljivih kriterijih, vodi pa oznake pripadnosti iz prejšnje alinee,
– vpogled v osebne podatke za eno osebo z namenom preverjanja identitete posameznika,
– pridobitev podatkov za izdelavo različnih seznamov prebivalcev po zakonsko določenih filtrih (teritorialna opredelitev, starost, spol in drugi avtomatsko določljivi kriteriji),
– izdelava seznamov iz prejšnje alinee, oblikovanih za tisk,
– pridobitev podatkov za vodenje zbirke podatkov na podlagi kontingenta enotnih matičnih številk občana,
– vpogled posameznika v osebne podatke, ki se zbirajo o njem, ali v njegove podatke iz dnevnika dela,
– izdelava tabel, ki niso zajete v programih statističnih raziskovanj in
– drugo, kar bo upravljavec CRP vzpostavil kot standarde znotraj Varnostne sheme.
II. VARNOSTNA SHEMA E-CRP
4. člen
(Varnostna shema)
Varnostna shema je razvid uporabnikov in evidenca uporabe e-CRP, ki v pogojih elektronske izmenjave podatkov, dokumentov in sporočil omogoča voden in strogo nadzorovan dostop do podatkovne baze CRP. Varnostna shema je podatkovna baza, ki jo sestavljajo:
– razvid uporabnikov e-CRP in njihovih vlog, ki služi za kontrolo pravic,
– servisi, ki izvajajo storitve in
– dnevniki dela, namenjeni za sledenje dostopov, spremljanje uporabe podatkov, analize in zaračunavanje storitev.
5. člen
(razvid uporabnikov)
Razvid uporabnikov e-CRP zajema podatke o:
– uporabnikih,
– zakonskih podlagah, na katerih temelji njihova pravica za pridobivanje osebnih podatkov iz CRP,
– namenih, za katere bodo pridobivali podatke iz e-CRP,
– odgovornih osebah, njihovih vlogah in
– aplikacijah.
6. člen
(servis)
Servis je računalniški vmesnik za dostop do storitev e-CRP. Servis izvaja vnaprej pripravljene standardne postopke in storitve, tako da uporabnik e-CRP v okviru svojih pravic transakcijo požene sam, vendar le v obsegu, ki mu ga omogoča Varnostna shema. Servis ima vgrajene iz zakonskih podlag izvirajoče filtre, lahko pa tudi parametre za omejitev zahtevka. Za nestandardni zahtevek uporabnika e-CRP ali za posebno obliko storitve, ki ni v katalogu storitev, vendar jo je možno opraviti po podatkih CRP, se lahko na njegov račun izdela nov servis, ki se lahko tudi standardizira.
7. člen
(dnevniki dela)
Dnevniki dela so tabele, ki upravljavcu CRP omogočajo poznejše ugotavljanje, kdo, kdaj in od kod je dostopil do podatkov CRP ter spremljanje delovanja e-CRP. Poleg sledenja dostopov omogočajo podatki iz dnevnikov dela tudi izvajanje kontrol pravilnosti delovanja Varnostne sheme, izdelavo analiz, poročil in pregledov o uporabi CRP ter zaračunavanje storitev.
III. RAZVID UPORABNIKOV
8. člen
(zahtevek za registracijo)
(1) Uporabnikova pravica do dostopa do e-CRP mora temeljiti na ustrezni zakonski podlagi. Če želi uporabnik pridobivati osebne podatke iz CRP samostojno, neposredno in na način elektronskega poslovanja, vloži pri upravljavcu CRP zahtevek za registracijo. Na zahtevku izpolni vse zahtevane podatke in s podpisom in žigom jamči za njihovo resničnost. Zahtevek vsebuje podatke in informacije o:
– uporabniku,
– zakonskih podlagah in iz njih izhajajočih namenih, na podlagi katerih ima uporabnik pravico do osebnih podatkov in na katerih temelji ta njegova pravica,
– odgovorni osebi in njeni vlogi,
– aplikacijah, ki jih bodo uporabljali odgovorna oseba in referenti, ki jih bo odgovorna oseba pooblastila za delo z aplikacijo ter
– varnostnih ukrepih, skladnih z zahtevami zakona o varstvu osebnih podatkov.
Zahtevek se poda na obrazcu upravljavca CRP, obrazcu pa se priložijo druge specifikacije, opisi posebnosti posameznega zahtevka, komentarji in podobno. V primeru izpolnitve obrazca v elektronski obliki, se lahko opisi iz prilog prenesejo v prirejena polja, če s tem ni poslabšana preglednost in razumljivost zahtevka.
(2) Podatki o uporabniku so:
– polni naziv uporabnika in odgovorna oseba uporabnika, ki podaja zahtevek za vključitev v e-CRP,
– naslov in vrsta naslova,
– davčna številka.
(3) Podatki o zakonski podlagi uporabnika za pridobivanje podatkov iz CRP:
– polno ime zakona in njegova kratica,
– datum objave in številka Uradnega lista Republike Slovenije,
– datum uveljavitve,
– zadevni členi,
– informativni opis morebitnih podzakonskih aktov,
– po potrebi tudi druge specifikacije.
V primeru spremembe, dopolnitve ali popravka zakona, ki vpliva na pridobivanje podatkov po e-CRP, je uporabnik dolžan sporočiti upravljavcu datum objave in številko Uradnega lista Republike Slovenije, v katerem je sprememba, dopolnitev ali popravek, objavljen z datumom uveljavitve.
(4) Podatki o namenih uporabe podatkov:
Na obrazcu se označi eden od namenov, ki so že izpisani na obrazcu, poleg tega pa lahko uporabnik namene tudi podrobneje opiše v prilogi, kjer lahko podrobneje obrazloži svoje zahteve.
(5) Podatki o odgovorni osebi za postopke dela z e-CRP:
– EMŠO,
– osebno ime,
– naslov, na katerem je odgovorna oseba dosegljiva,
– številka telefona, faksa oziroma mobilnega telefona,
– naslov elektronske pošte,
– uporabniško ime uporabnika e-CRP ali druga oznaka uporabnika, ki služi za avtentikacijo uporabnika, (npr. serijska številka kvalificiranega digitalnega potrdila),
– podatki o vlogi odgovorne osebe pri uporabniku,
Če je pri posameznem uporabniku več odgovornih oseb, se podatki izpolnijo za vsako posebej. Uporabnik e-CRP je dolžan upravljavcu CRP sporočiti spremembe podatkov o odgovorni osebi.
(6) Podatki o aplikacijah:
– oznaka in ime aplikacije,
– opis delovanja aplikacije.
(7) Zagotovilo o varnostnih ukrepih, skladnih z zahtevami zakona o varstvu osebnih podatkov:
– ureditev pooblastil,
– ureditev sledenja in arhiviranja vpogledov,
– sprejetje internih aktov za varstvo in zavarovanje osebnih podatkov.
(8) Poleg navedenih podatkov se v Varnostni shemi vodijo tudi drugi podatki, potrebni za vzdrževanje e-CRP, na primer datumi, statusi in različne interne oznake.
9. člen
(opis storitve v zahtevku)
(1) V zahtevku za registracijo poda uporabnik e-CRP opis želenih storitev, razvidnih iz kataloga storitev iz 3. člena tega navodila.
(2) Uporabnik navede:
– opis vsebine do podatkovne ravni in vrsto podatkov,
– zakonske omejitve,
– podroben opis vseh predvidljivih parametrov znotraj zakonske omejitve,
– predviden obseg pridobljenih podatkov,
– sortiranje,
– oblika zapisa ali izpisa,
– predvidena pogostnost,
– medij, na katerem bo uporabnik podatke pridobival,
– druge posebnosti pri zahtevah posameznega uporabnika.
(3) Možnosti iz prejšnjega odstavka so:
– vsebina: podatki, določeni v 11. členu zakona o centralnem registru prebivalstva, ki se vodijo v skladu z uredbo o vodenju in vzdrževanju centralnega registra prebivalstva ter postopku za pridobivanje in posredovanje podatkov,
– vrsta podatkov: večinoma gre za osebne in individualne podatke, lahko pa tudi za agregirane podatke, če gre za vrsto statističnih prikazov, ki niso načrtovani v srednjeročnem ali letnem programu statističnih raziskovanj,
– zakonske omejitve: opis nalog glede na določbe zakona, na podlagi katerega ima uporabnik pravico do pridobivanja podatkov iz CRP, na primer po teritoriju, starosti, spolu ali časovnem preseku,
– parametri znotraj zakonske omejitve: opis nalog, ki jih bo uporabnik izvajal v skladu s prejšnjo alineo, pri tem pa bo potreboval ožji nabor podatkov ali omejil nalogo na primer po teritoriju, starosti, spolu ali časovnem preseku,
– obseg: približno število podatkov iz enkratne transakcije (na primer posamično ali število zapisov pri seznamih in prepisih), pri čemer mora uporabnik navesti vsaj oceno predvidenega obsega,
– sortiranje: na primer teritorialno, po starosti, spolu ali drugih podatkih,
– oblika: pri vpogledovanju bo standardizirana glede na pravico do podatkov, pri drugih vrstah uporabe uporabnik navede želeno shemo, lahko pa tudi oblikovane podatke za neposreden izpis na papir,
– predvidena pogostnost: na primer v realnem času, dnevno, tedensko, mesečno ali po potrebi, pri čemer mora uporabnik navesti vsaj približno oceno pogostnosti,
– medij: na primer interaktiven vpogled, komunikacija med aplikacijami, prepis podatkov s pomočjo informacijske komunikacijske povezave, priprava za prepis na papir, CD, disketo, spletni brkljalnik.
(4) Če je le mogoče, se uporabnik prilagodi standardnim postopkom in storitvam. Če zahteve ni mogoče uvrstiti k že pripravljenim standardnim servisom, jo upravljavec e-CRP lahko izdela posebej v skladu s svojimi možnostmi. Upravljavec e-CRP ima pravico do standardizacije novega servisa za druge uporabnike.
IV. DNEVNIKI DELA
10. člen
(struktura dnevnikov dela)
(1) Dnevnike dela sestavljajo tabele s podatki o zahtevah, filtrih in parametrih servisov ter dostopih do osebnih podatkov CRP. Podatki se v dnevnike dela zapišejo ob vsakem dostopu ali poskusu dostopa v Varnostno shemo. Njihova vsebina se arhivira v skladu z določbami zakona o varstvu osebnih podatkov in zakona o centralnem registru prebivalstva.
(2) Podatki, ki se zapisujejo v dnevnike dela, so namenjeni za:
– vodenje evidenc o dostopih: oznaka referenta, ki je posloval z e-CRP, na kakšen način, za kateri namen in kdaj je opravil transakcijo,
– sledenje poslovanja z e-CRP: osebni podatki, ki jih je referent iz prejšnje alinee vpogledal, prepisal ali kopiral, na kakšen način in kdaj,
– kontrolo pravilnosti delovanja e-CRP: poleg podatkov iz prejšnjih alinei tudi uspešnost dostopa,
– analitične in statistične namene: podatki iz prejšnjih alinei,
– zaračunavanje storitev: zveza s podatki o uporabniku, števci in drugi tehnični podatki.
(3) Upravljavec CRP je dolžan zagotoviti informacije za sledenje uporabe podatkov CRP do izhoda iz Varnostne sheme, nadaljnje sledenje pa je odgovornost uporabnika e-CRP. Odgovornost pri sledenju je v Varnostni shemi urejena dvonivojsko. Vsak uporabnik e-CRP ima določeno in znano odgovorno osebo, ki lahko pooblasti referente za izvajanje transakcij s pomočjo servisov e-CRP, ki so zabeleženi z enolično šifro. Uporabnik e-CRP je dolžan zagotoviti nadaljnje sledenje uporabe osebnih podatkov na strani uporabnika e-CRP.
V. POSTOPEK REGISTRACIJE UPORABNIKA E-CRP
11. člen
(postopek registracije)
(1) Uporabnik e-CRP prične z elektronskim poslovanjem na podlagi predhodnega soglasja ministra, pristojnega za upravo.
(2) Vlagatelj zahtevka za priključitev na e-CRP, posreduje ustrezne podatke po tem navodilu upravljavcu CRP. Pri tem podrobno opiše svoje delo in postopke, na podlagi česar mu upravljavec CRP lahko pomaga pri začetnih aktivnostih z namenom racionalizacije poslovanja ter izboljšanja pretoka in kakovosti podatkov.
12. člen
(komisija)
(1) Minister, pristojen za upravo, imenuje komisijo, ki sprejema tehnične standarde za priključevanje uporabnikov e-CRP, in pripravlja predloge za njihovo priključevanje. Komisijo vodi pooblaščena oseba ministrstva, pristojnega za upravo, sestoji pa se iz treh članov. Poleg vodje komisije, ki je pristojni delavec s področja registracije prebivalstva, jo sestavljata še član s področja upravne informatike ter član s Centra vlade za informatiko. Vsak od članov komisije ima namestnika. Po potrebi lahko komisija k sodelovanju povabi tudi strokovnjake z drugih področij.
(2) Komisija iz prejšnjega odstavka pripravi predlog v roku 30 dni od prejema zahtevka. Če v tem roku predloga ni mogoče pripraviti, o tem obvesti vlagatelja zahtevka in določi nov rok.
(3) Tehnično rešitev uporabnika lahko komisija iz prvega odstavka tega člena sprejme za standard, če oceni, da rešitev ustreza pogojem Varnostne sheme in da bo lahko uporabna tudi za druge uporabnike e-CRP.
(4) Če komisija iz prvega odstavka tega člena ugotovi, da vlagatelj zahtevka ne izpolnjuje pogojev za priključitev na Varnostno shemo, odkloni njegovo vključitev oziroma mu določi ukrepe za odpravo nepravilnosti, predlog za priključitev pa odloži, dokler ne izpolnjuje pogojev.
(5) Pogoji, ki jih mora posamezni uporabnik e-CRP izpolnjevati, da se lahko priključi na Varnostno shemo, so:
– ustreznost njegove pravne podlage,
– izpolnjevanje tehničnih pogojev,
– ureditev varstva in zavarovanja osebnih podatkov glede na določbe zakona o varstvu osebnih podatkov,
– enoličen način identifikacije in zagotovitev avtentifikacije referentov ter korektnost njihovega poslovanja in
– omogočeno sledenje nadaljnje uporabe osebnih podatkov.
(6) Dokazila o izpolnjevanju pogojev iz prejšnjega odstavka se zberejo na obrazcu iz 8. člena in na pisnih izjavah, ki se priložijo temu obrazcu.
13. člen
(usmeritve za delo in izobraževanje)
Upravljavec CRP pripravi usmeritve za delo in izvede izobraževanje, prilagojeno posameznemu uporabniku e-CRP ali skupini uporabnikov e-CRP, ki se opravi pred priključitvijo na Varnostno shemo v sodelovanju z uporabnikom e-CRP.
VI. NAČINI DOSTOPA DO E-CRP
14. člen
(tehnične zadeve)
(1) Način dostopa mora biti urejen v skladu z veljavnimi predpisi, ki urejajo področje elektronskega poslovanja v javni upravi.
(2) Stroške za priklop uporabnikovega računalnika do računalniške infrastrukture Centra Vlade za informatiko nosi uporabnik, ki zaprosi za vključitev v e-CRP.
VII. KONČNA DOLOČBA
15. člen
(veljavnost)
To navodilo začne veljati naslednji dan po objavi v Uradnem listu Republike Slovenije.
Št. 1331/06-009-3/2002-2
Ljubljana, dne 19. novembra 2002.
dr. Rado Bohinc l. r.
Minister
za notranje zadeve