Na podlagi 59. člena Zakona o policiji (Uradni list RS, št. 102/04 – uradno prečiščeno besedilo) izdaja minister za notranje zadeve
P R A V I L N I K
o načinu vodenja policijskih evidenc
I. SPLOŠNE DOLOČBE
1. člen
(vsebina pravilnika)
S tem pravilnikom se ureja način vodenja policijskih evidenc, določenih v Zakonu o policiji, katerih upravljavka je policija (v nadaljnjem besedilu: evidence) in pristojnost za neposredno izvajanje določb tega pravilnika. Vodenje evidenc obsega tudi vzdrževanje evidenc, hranjenje podatkov evidenc in virov, iz katerih so bili podatki vneseni v evidence ter posredovanje podatkov iz evidenc.
2. člen
(pomen izrazov)
V tem pravilniku uporabljeni izrazi imajo naslednji pomen:
– lastnik evidence je notranja organizacijska enota generalne policijske uprave, ki je na podlagi notranje delitve dela v policiji nosilka nalog policije, o katerih se zbirajo podatki v evidenci;
– skrbnik evidence je organizacijska enota generalne policijske uprave, ki je odgovorna za obdelavo osebnih podatkov;
– uporabnik osebnih podatkov je delavec policije, ki ima dovoljenje, da uporablja osebne podatke pri opravljanju svojih delovnih nalog;
– organizacijska enota je skupen izraz za organizacijske enote in notranje organizacijske enote policije;
– vodja je delavec policije, ki vodi organizacijsko enoto;
– medij je digitalni ali analogni nosilec podatkov, kakor tudi katerikoli drugi nosilec podatkov, na katerem so zapisani osebni podatki (npr. kartoteke, itn.);
– vir je vhodni dokument, na osnovi katerega so bili vneseni osebni podatki v evidenco;
– katalog evidenc je katalog zbirk osebnih podatkov po zakonu o varstvu osebnih podatkov;
– skrbnik kataloga evidenc je notranja organizacijska enota generalne policijske uprave, pristojna za informatiko in telekomunikacije.
3. člen
(priloga)
Sestavni del tega pravilnika je podrobneje določen način vodenja posameznih policijskih evidenc, ki je objavljen skupaj z njim (Priloga št. 1).
4. člen
(katalog evidenc)
Skrbnik kataloga evidenc skrbi za vzdrževanje kataloga evidenc policije, prijavlja evidence policije državnemu organu, pristojnemu za varstvo osebnih podatkov, objavlja katalog evidenc policije na internetni strani policije in opravlja druge naloge v zvezi z vodenjem kataloga.
Generalni direktor policije, na predlog vodje notranje organizacijske enote generalne policijske uprave, pristojne za informatiko in telekomunikacije (v nadaljnjem besedilu: urad), določi odgovorno osebo za opravljanje operativno-tehničnih in organizacijskih nalog s področja vodenja kataloga.
5. člen
(komisija za varstvo osebnih podatkov)
Generalni direktor policije imenuje komisijo, ki izvaja naloge, ki jih v zvezi z uresničevanjem pravic posameznikov policiji kot upravljavcu evidenc nalaga zakon o varstvu osebnih podatkov.
Komisijo sestavljajo predsednik, po en predstavnik lastnikov evidenc in član iz urada, ki opravlja tudi naloge tajnika komisije. Za hrambo gradiva komisije je odgovoren tajnik komisije.
Komisija lahko predlaga generalnemu direktorju policije, da pooblasti posameznega člana za vodenje posameznih postopkov z delovnega področja komisije.
II. VODENJE IN VZDRŽEVANJE EVIDENC
6 člen
(vzpostavitev evidence)
Evidenco na podlagi lastnikove zahteve vzpostavi urad.
V okviru evidenc se lahko zbirajo, obdelujejo, hranijo, posredujejo in uporabljajo (v nadaljnjem besedilu: obdelava) le tisti osebni podatki, ki so določeni z zakonom.
Osebni podatki se smejo obdelovati samo za namene, določene z zakonom, in ne smejo biti uporabljeni na način, ki ni združljiv s temi nameni.
7. člen
(lastnik in skrbnik evidenc)
Lastnik evidenc in skrbnik evidenc sta določena v prilogi.
Organizacijska enota je lahko lastnica ene ali več evidenc.
Če je več lastnikov posamezne evidence ali več skrbnikov posamezne evidence, je odgovorni lastnik oziroma skrbnik, za obdelavo osebnih podatkov tisti, ki je v prilogi naveden prvi.
Odgovorni lastnik ali lastnik evidence je dolžan izdelati strokovna navodila za vodenje evidence, skrbnik evidence pa ustrezna tehnična navodila za uporabo računalniške aplikacije, ki so priloga strokovnih navodil.
8. člen
(obdelava podatkov)
Obdelavo osebnih podatkov izvajajo uporabniki. Vsak uporabnik je dolžan, skladno s svojimi delovnimi nalogami, skrbeti za vestno, strokovno in ažurno obdelavo.
Nadzor nad obdelavo podatkov izvaja vodja lokalnega informacijskega sistema. Nadzor izvaja s pomočjo programske opreme, kakor tudi na drug ustrezen način.
Podatki, ki skladno z določili zakona o varstvu osebnih podatkov sodijo v kategorijo občutljivih osebnih podatkov, morajo biti v evidencah posebej označeni. Pri obdelavi občutljivih osebnih podatkov je uporabnik dolžan spoštovati in izvajati posebne varnostne ukrepe, določene v predpisu o varovanju podatkov policije. Lastnik evidence določi postopek zbiranja občutljivih osebnih podatkov in morebitne druge ukrepe pri obdelavi teh podatkov.
9. člen
(dodelitev dostopa do podatkov)
Postopek dostopa do podatkov iz evidenc mora zagotoviti avtomatsko ugotavljanje in preverjanje identitete in pooblastil uporabnika evidence (v nadaljnjem besedilu: osebno geslo) ter evidentiranje posameznih dostopov do podatkov.
Obdelava je dovoljena samo z uporabo uporabnikovega osebnega gesla.
Uporabniku se osebno geslo dodeli glede na njegove delovne naloge, pri tem pa se mu določi dostop do minimalnega obsega podatkov, ki jih potrebuje za opravljanje svojih delovnih nalog. Obseg podatkov in vrsto dostopa do podatkov, za določene vrste uporabnikov, določi lastnik evidence (npr. vnos, spreminjanje, vpogled, posredovanje, brisanje, statistične obdelave, analize podatkov itn.).
Postopek dodelitve gesla uporabniku se izvede na osnovi pisnega zahtevka direktorja oziroma vodje notranje organizacijske enote generalne policijske uprave oziroma direktorja policijske uprave ali komandirja policijske postaje, v kateri uporabnik dela. Dodelitev gesla izvede delavec urada, ki vodi področje zaščite podatkov (v nadaljnjem besedilu: glavni skrbnik gesel) ali delavci policije, ki jih pooblasti glavni skrbnik gesel.
Uporabnik izven policije lahko pridobi osebne podatke iz evidenc, do katerih je zakonsko upravičen, na enak način kot uporabnik. Dodelitev gesel se izvede na podlagi pisne zahteve, posredovane generalnemu direktorju policije.
Določbe tega člena se smiselno uporabljajo tudi v primeru, ko se evidenca ali del evidence vodi na nedigitalnem mediju.
Način ugotavljanja, preverjanja in evidentiranja identitete, pooblastil in dostopov uporabnikov do evidenc določa predpis o varovanju podatkov policije.
III. HRAMBA PODATKOV IN VIROV
10. člen
(hranjenje)
Podatki v evidencah se hranijo v okviru rokov, določenih v Zakonu o policiji. Takoj po preteku roka hrambe se podatki v evidencah blokirajo.
Če se evidenca ukine, se dostop do podatkov blokira.
Po blokiranju se podatki v evidencah lahko obdelujejo le za razvrščanje, odbiranje, označevanje in hrambo arhivskega gradiva, in sicer na način, določen v predpisih o varstvu dokumentarnega in arhivskega gradiva. Generalni direktor določi osebe, ki lahko obdelujejo podatke po tem odstavku.
Dokumentarno gradivo v elektronski obliki, ki je bilo uporabljeno kot vir, se po vnosu in preveritvi točnosti zapisanih podatkov izbriše, razen če predpisi določajo drugače. Postopek izbrisa podatkov mora biti sestavni del programske opreme za obdelavo policijske evidence, izbris podatkov pa mora biti avtomatsko evidentiran.
Dokumentarno gradivo v fizični obliki, ki je bilo uporabljeno kot vir, se po vnosu in preveritvi točnosti vnesenih podatkov uniči, razen če predpisi določajo drugače. Uničenje dokumentarnega gradiva se izvede po postopku, določenem v predpisu o varovanju podatkov policije.
Dokumenti, ki so nastali kot izhodni dokumenti obdelave, se hranijo skladno s predpisi, ki urejajo poslovanje organov javne uprave z dokumentarnim gradivom.
11. člen
(dostop do arhiviranih ali blokiranih podatkov)
Uporabnik lahko izjemoma pridobi arhivirane ali blokirane podatke iz evidenc na osnovi izkazanega zakonitega namena za obdelavo arhiviranih podatkov.
Izpisi arhiviranih ali blokiranih podatkov na medije se obravnavajo v skladu s predpisi, ki urejajo poslovanje organov javne uprave z dokumentarnim gradivom.
Generalni direktor policije določi osebe, ki lahko uporabnikom posredujejo blokirane podatke.
12. člen
(izbris ali uničenje osebnih podatkov)
Izbris ali uničenje osebnih podatkov iz policijskih evidenc se izvede v primeru pisne ugotovitve napake ali pomote pri obdelavi podatkov, po postopku, določenem v predpisu o varovanju podatkov policije.
Podatki se izbrišejo ali uničijo, kadar izbris ali uničenje po izvršenem postopku odbiranja javnega arhivskega gradiva zahteva državna arhivska služba, pristojna za podatke policijskih evidenc.
IV. POSREDOVANJE OSEBNIH PODATKOV
13. člen
(posredovanje osebnih podatkov posamezniku)
Posamezniku se posreduje osebne podatke, ki se nanašajo nanj, neposredno na osnovi zakona o varstvu osebnih podatkov.
14. člen
(posredovanje osebnih podatkov)
Lastnik ali uporabnik lahko osebne podatke, katerih upravljavka je policija, posreduje posameznikom ali drugim uporabnikom izven policije, če je tako določeno z zakonom in ti izkažejo zakonit interes.
Podatki se posredujejo:
– drugim posameznikom, ki so do posredovanja upravičeni na osnovi zakona in izkazanega pravnega interesa (v nadaljevanju besedila: upravičena oseba) in;
– pravnim osebam, skladno z zakonom (v nadaljevanju besedila: upravičena pravna oseba).
Iznos osebnih podatkov izven države se lahko izvede skladno z zakonom in tem pravilnikom.
Uporabnik lahko podatke iz evidence posreduje drugim delavcem policije, če ti izkažejo upravičen razlog za dostop do podatka. Uporabnik, ki posreduje zahtevane podatke, posredovanje zabeleži skladno z določili 18. člena tega pravilnika.
15. člen
(upravičena oseba in pisna zahteva)
Za posredovanje podatkov mora upravičena oseba, vložiti pisno zahtevo. Zahteva se lahko pošlje v elektronski obliki skladno s predpisi, ki urejajo elektronko poslovanje.
Iz pisne zahteve mora nedvoumno izhajati, da upravičena oseba brez zahtevanih podatkov ne bo mogla uveljaviti svojih pravic.
Pisna zahteva mora vsebovati:
– osebne podatke vlagatelja;
– natančen opis okoliščin (podatke o kraju, času dogodka, osebnem položaju vlagatelja v dogodku, in podobno);
– vrsto podatkov, ki jih vlagatelj potrebuje za uveljavljanje pravic;
– obrazložen namen uporabe podatkov (zakaj in kje namerava uporabiti podatke).
Obrazec pisne zahteve, ki vsebuje podatke iz prejšnjega odstavka, je sestavni del tega pravilnika in je objavljen skupaj z njim (OBR 1).
Upravičena oseba v pisni zahtevi nedvoumno opredeli namen in praviloma navede pravno podlago, na osnovi katere bo uveljavljala svoje pravice.
16. člen
(podatki in namen posredovanja)
Policija lahko posreduje upravičeni osebi le tiste podatke, ki jih je zbrala ob obravnavanju dogodka ali ob izvrševanju nalog policije in katerih upravljavka je.
Posredovani podatki morajo biti točni in ažurni, posreduje pa se najmanjši možen obseg podatkov, ki še zagotovi upravičeni osebi uveljavljanje njenih pravic.
Pred posredovanjem podatkov vodja ali od njega pooblaščeni delavec odloči o upravičenosti zahteve in posredovanja podatkov.
Če je zahteva za posredovanje upravičena, se posamezniku posredujejo naslednji podatki:
– priimek in ime osebe;
– rojstni datum (če brez njih ni mogoče identificirati osebe);
– prebivališče (stalno ali začasno) ter
– izjemoma, če tako izhaja iz vloge, drugi osebni in neosebni podatki.
Obrazec, na katerem se posredujejo podatki iz prejšnjega odstavka, je sestavni del tega pravilnika in je objavljen skupaj z njim (OBR 2).
Neupravičeno zahtevo se s sklepom zavrne.
Ob posredovanju podatkov se upravičeno osebo pisno opozori, da se posredovani podatki smejo uporabljati samo za namen, izkazan v pisnem zahtevku. Če namerava vlagatelj pisne zahteve uporabiti posredovane osebne podatke za drug namen, mora predhodno pridobiti privolitev policije.
17. člen
(elektronsko posredovanje podatkov upravičenim pravnim osebam)
V primeru vzpostavitve elektronskega posredovanja podatkov iz evidenc upravičenim pravnim osebam, ki so do podatkov iz evidenc upravičeni na podlagi zakona, se način posredovanja osebnih podatkov določi s pogodbo ali drugim aktom o posredovanju osebnih podatkov, v katerem se določi organizacijske, tehnične in varnostne elemente posredovanja podatkov.
V primeru posamične vloge za posredovanje podatkov uporabnikom iz prejšnjega odstavka mora vodja preveriti pravno podlago in zakonit interes za posredovanje osebnih podatkov.
Posredovanje podatkov se zabeleži v skladu z 18. členom tega pravilnika.
18. člen
(razvid)
Za vsako evidenco se mora ne glede na to, kako je vodena, v primeru posredovanja osebnih podatkov, zagotoviti možnost ugotavljanja:
– kateri osebni podatki, kdaj in kako so bili posredovani;
– komu so bili osebni podatki posredovani;
– za kakšne namene so bili osebni podatki posredovani.
Za vsako posredovanje osebnih podatkov policije se v poseben razvid zabeležijo podatki, navedeni v prejšnjem odstavku.
Razvid se za evidence, ki se vodijo na centralnem računalniku policije, vodi centralno, v drugih primerih pa v okviru sistema poslovanja z dokumentarnim gradivom.
V. VARSTVO PRAVIC POSAMEZNIKA
19. člen
(varstvo pravic posameznika)
Vpogled in prepis osebnih podatkov, izpis osebnih podatkov, seznam subjektov, katerim so bili posredovani osebni podatki, dopolnitev ali popravek osebnih podatkov ter druge pravice posameznika, se izvajajo skladno z zakonom o varstvu osebnih podatkov, ne glede na medij, na katerem so osebni podatki.
20. člen
(viri in metode obdelave)
Posamezniku, ki zahteva informacijo o viru, na katerem temeljijo zapisi, ki jih o posamezniku vsebuje evidenca, in o metodi obdelave, komisija posreduje informacije, če takšni viri obstajajo in če za to ni zakonskih ovir.
VI. PRISTOJNOST
21. člen
(pristojnost)
Za neposredno izvajanje določb tega pravilnika so pristojni direktorji oziroma vodje notranjih organizacijskih enot generalne policijske uprave, direktorji policijskih uprav in komandirji policijskih postaj.
Uporabniki morajo obdelovati podatke evidenc v skladu s predpisi, ki urejajo vodenje evidenc in varovanje podatkov policije, ter varovati zaupnost osebnih podatkov, za katere so zvedeli ali so se z njimi seznanili pri opravljanju dela.
Dolžnost varovanja zaupnosti osebnih podatkov ne preneha s prenehanjem delovnega razmerja v policiji.
22. člen
(ravnanje pri izgubi ali prenosu osebnih podatkov)
Delavci policije z vsebino evidenc, ki jih uporabljajo pri svojem delu, ne smejo seznaniti drugih delavcev policije, razen pod pogoji in na način, določenim s tem pravilnikom.
Delavci policije, ki ugotovijo, da se je z vsebino evidence seznanila nepooblaščena oseba, morajo to nemudoma sporočiti vodji. V takem primeru mora delavec policije nepooblaščeno seznanitev z osebnimi podatki zabeležiti skladno z določbo 18. člena tega pravilnika.
Če se medij z osebnimi podatki izgubi ali pogreši, mora delavec policije o tem takoj obvestiti vodjo, ki ukrene vse potrebno, da se ugotovijo okoliščine, v katerih je medij izginil.
VII. KONČNI DOLOČBI
23. člen
Vse organizacijske enote policije morajo uskladiti ravnanje in postopke z evidencami s tem pravilnikom v treh mesecih po njegovi uveljavitvi.
24. člen
Ta pravilnik začne veljati petnajsti dan po objavi v Uradnem listu Republike Slovenije.
Št. 28-016-3/2004-33
Ljubljana, dne 28. oktobra 2004.
EVA 2004-1711-0051
dr. Rado Bohinc l. r.
Minister
za notranje zadeve