Na podlagi druge alinee prvega odstavka 107. člena in prvega odstavka 91. člena Ustave Republike Slovenije izdajam
o razglasitvi Zakona o spremembah in dopolnitvah Zakona o tajnih podatkih (ZTP-E)
Razglašam Zakon o spremembah in dopolnitvah Zakona o tajnih podatkih (ZTP-E), ki ga je sprejel Državni zbor Republike Slovenije na seji dne 29. januarja 2020.
Št. 003-02-1/2020-3
Ljubljana, dne 6. februarja 2020
Borut Pahor
O SPREMEMBAH IN DOPOLNITVAH ZAKONA O TAJNIH PODATKIH (ZTP-E)
1. člen
V Zakonu o tajnih podatkih (Uradni list RS, št. 50/06 – uradno prečiščeno besedilo, 9/10 in 60/11) se besedilo 2. člena spremeni tako, da se glasi:
»Posamezni izrazi, uporabljeni v tem zakonu, imajo naslednji pomen:
1. tajni podatek je dejstvo ali sredstvo z delovnega področja organa, ki se nanaša na javno varnost, obrambo, zunanje zadeve ali obveščevalno in varnostno dejavnost države, ki ga je treba zaradi razlogov, določenih v tem zakonu, zavarovati pred nepoklicanimi osebami, in ki je v skladu s tem zakonom določeno in označeno za tajno;
2. tajni podatek tuje države je podatek, ki ga je Republiki Sloveniji oziroma njenim organom posredovala tuja država oziroma njen organ ali mednarodna organizacija v pričakovanju, da bo ostal tajen, ter podatek, ki je rezultat sodelovanja Republike Slovenije oziroma njenih organov s tujo državo ali mednarodno organizacijo oziroma njenimi organi in za katerega se dogovori, da mora ostati tajen;
3. dokument je vsak napisan, narisan, natisnjen, razmnožen, posnet, fotografiran, magneten, optičen ali kakšen drugačen zapis tajnega podatka;
4. medij je vsako sredstvo, ki vsebuje tajne podatke;
5. kriptografska rešitev je strojna oziroma programska oprema ter s tem povezani sestavni deli, ki so namenjeni kriptografski zaščiti tajnih podatkov;
6. kriptografski material so kriptografski ključi v vseh oblikah, kriptografske naprave oziroma strojna in programska oprema, namenjena kriptografski zaščiti podatkov ter priročniki in dokumentacija o kriptografskem materialu in kriptografiji;
7. določanje tajnih podatkov je dejanje ali postopek, s katerim se podatek v skladu s tem zakonom oceni za tajnega in se mu določita stopnja in rok tajnosti ali s katerim se mu stopnja tajnosti spremeni ali prekliče;
8. prenehanje tajnosti podatka je sprememba tajnega podatka v podatek, ki je dostopen v skladu s splošnimi predpisi, ki urejajo poslovanje organa;
9. dostop do tajnega podatka je seznanitev osebe s tajnim podatkom ali možnost osebe pridobiti tajni podatek;
10. varnostno preverjanje je poizvedba, ki jo v postopku pridobivanja dovoljenja za dostop do tajnih podatkov ali varnostnega dovoljenja organizacije ter v postopku vmesnega varnostnega preverjanja opravi pristojni organ in katere namen je zbrati podatke o morebitnih varnostnih zadržkih;
11. varnostni zadržki so ugotovitve varnostnega preverjanja, iz katerih izhaja, da obstajajo utemeljeni dvomi o zanesljivosti ali verodostojnosti osebe za obravnavanje in varovanje tajnih podatkov;
12. ogrožanje vitalnih interesov države je ogrožanje njene ustavne ureditve, neodvisnosti, ozemeljske celovitosti, obrambne sposobnosti in javne varnosti;
13. obravnavanje tajnih podatkov je določanje, označevanje, dostop do, uporaba, evidentiranje, razmnoževanje, posredovanje, prenos, uničevanje nosilcev tajnih podatkov ter drugi ukrepi in postopki, povezani z delom s tajnimi podatki;
14. varovanje tajnih podatkov je uporaba ukrepov in postopkov za obravnavanje, hrambo, arhiviranje in nadzor nad tajnimi podatki v njihovem življenjskem ciklu, ki pripomorejo k odvračanju in odkrivanju namernega in naključnega nepooblaščenega razkritja ali izgube takih podatkov;
15. povezana oseba je zakoniti zastopnik, prokurist, član uprave, lastnik ali delničar, ki ima v lasti vsaj 25-odstotni lastniški ali upravljavski delež organizacije;
16. osnovno usposabljanje je usposabljanje, na katerem se udeleženec seznani s predpisi in postopki, ki urejajo področje nacionalnih in tujih tajnih podatkov;
17. dodatno usposabljanje je usposabljanje, ki se izvaja v skladu z letnim programom in obsega povzetek osnovnega usposabljanja, novosti ter ugotovitve opravljenih inšpekcijskih nadzorov na področju tajnih podatkov;
18. varnostno vrednotenje je postopek preverjanja skladnosti varnostnih ukrepov z vsemi varnostnimi zahtevami;
19. varnostno ovrednotenje je zaključek postopka preverjanja skladnosti varnostnih ukrepov z vsemi varnostnimi zahtevami;
20. javna varnost zajema varnost nacionalnega ozemlja, zaščito življenja ljudi in njihove lastnine ter uresničevanje temeljnih funkcij družbe;
21. predstojnik organa v ministrstvu je minister, če ima ministrstvo organ v sestavi, je predstojnik organa predstojnik organa v sestavi ministrstva, razen v 22.f, 35.a in 38. členu tega zakona, kjer je predstojnik organa v sestavi ministrstva minister.«.
Besedilo 3. člena se spremeni tako, da se glasi:
»V zvezi z opravljanjem svoje funkcije lahko do tajnih podatkov brez dovoljenja za dostop do tajnih podatkov dostopa:
– predsednik republike;
– predsednik vlade;
– poslanec;
– generalni sekretar Državnega zbora;
– državni svetnik;
– minister in predstojnik vladne službe, ki je neposredno odgovoren predsedniku vlade;
– sodnik;
– sodnik Ustavnega sodišča;
– državni tožilec;
– generalni državni odvetnik in namestnik generalnega državnega odvetnika;
– varuh človekovih pravic;
– namestnik varuha človekovih pravic po posebnem pooblastilu varuha za izvrševanje nadzora v konkretni zadevi;
– guverner in namestnik guvernerja Banke Slovenije;
– član Računskega sodišča;
– član Fiskalnega sveta;
– predsednik in član Državne revizijske komisije;
– zagovornik načela enakosti;
– informacijski pooblaščenec.
Ne glede na določbo prejšnjega odstavka lahko v zvezi z opravljanjem svoje funkcije do tajnih podatkov tuje države ali mednarodne organizacije brez dovoljenja za dostop do tujih tajnih podatkov dostopa:
– predsednik republike;
– predsednik vlade;
– predsednik državnega sveta;
– predsednik vrhovnega sodišča;
– poslanec;
– minister;
– generalni sekretar vlade;
– sodnik in državni tožilec;
– sodnik Ustavnega sodišča;
– varuh človekovih pravic;
– namestnik varuha človekovih pravic po posebnem pooblastilu varuha za izvrševanje nadzora v konkretni zadevi;
– informacijski pooblaščenec.
Osebe iz tega člena lahko dostopajo do tajnih podatkov po opravljenem osnovnem usposabljanju in s podpisom izjave, da so seznanjene s tem zakonom in drugimi predpisi, ki urejajo varovanje tajnih podatkov, ter da se zavezujejo s tajnimi podatki ravnati v skladu s temi predpisi.«.
Za 16. členom se doda nov 16.a člen, ki se glasi:
O nadaljnjem obstoju stopnje tajnosti tajnega podatka odloča organ, ki je vsebinsko pristojen za področje, na katerega se tajni podatek nanaša, če je organ ali organizacija, v kateri je bila stopnja tajnosti podatka določena, prenehala obstajati ali poslovati in:
– nima pravnega naslednika ali
– na podlagi veljavnih predpisov niti organ niti organizacija ali njun pravni naslednik nista pooblaščena za določanje stopnje tajnosti.
V primeru spora o pristojnosti iz prejšnjega odstavka odloča Vlada Republike Slovenije (v nadaljnjem besedilu: vlada), če ni z zakonom drugače določeno.«.
V četrtem odstavku 17. členu se v četrtem odstavku besedilo »Vlada Republike Slovenije (v nadaljnjem besedilu: vlada)« nadomesti z besedo »Vlada«.
Besedilo 22.g člena se spremeni tako, da se glasi:
»Postopek varnostnega preverjanja za izdajo dovoljenja se začne na pisni predlog predlagatelja za osebo, ki jo je treba varnostno preveriti (v nadaljnjem besedilu: preverjana oseba). Pisni predlog mora vsebovati osebno ime in rojstni datum preverjane osebe ter podatke o stopnji tajnosti tajnih podatkov, za dostop do katerih je dan predlog za izdajo dovoljenja.
Predlagatelj mora predlogu priložiti pisno soglasje preverjane osebe za varnostno preverjanje, potrdilo o opravljenem osnovnem oziroma dodatnem usposabljanju s področja varovanja tajnih podatkov, ki ne sme biti starejše od dveh let, pisno izjavo o seznanitvi s tem zakonom in predpisi, izdanimi na njegovi podlagi, ter zaprto ovojnico z izpolnjenim varnostnim vprašalnikom preverjane osebe.
Potrdilo o opravljenem osnovnem oziroma dodatnem usposabljanju s področja tajnih podatkov mora vsebovati vsaj osebno ime, rojstni datum oziroma drug ustrezen identifikacijski znak osebe, vrsto usposabljanja (osnovno ali dodatno) ter navedbo organa ali organizacije, ki je izvedla usposabljanje.
Nacionalni varnostni organ izvaja usposabljanje oseb, odgovornih za izvajanje strokovnih nalog na področju tajnih podatkov v organih in organizacijah.
Program, način in izvajalce izvajanja osnovnega usposabljanja, način in izvajalce izvajanja dodatnega usposabljanja ter način usposabljanja oseb, odgovornih za izvajanje strokovnih nalog na področju tajnih podatkov v organih in organizacijah, predpiše vlada.«.
Besedilo 25.b člena se spremeni tako, da se glasi:
»Če je pri osebi, ki ima veljavno dovoljenje za dostop do tajnih podatkov katerekoli stopnje tajnosti, podan sum obstoja varnostnega zadržka iz 27. člena tega zakona, se opravi vmesno varnostno preverjanje.
Vmesno varnostno preverjanje se opravi na predlog predstojnika organa ali organizacije, v kateri oseba opravlja funkcijo ali izvaja naloge. Postopek vmesnega varnostnega preverjanja se lahko začne tudi po uradni dolžnosti, če pristojni organ ugotovi, da je treba glede na obstoječe dejansko stanje zaradi javne koristi začeti postopek.
Nacionalni varnostni organ lahko da pristojnemu organu predlog za vmesno varnostno preverjanje osebe, če pri nadzoru iz sedme alineje tretjega odstavka 43.b člena tega zakona ugotovi sum varnostnega zadržka iz 27. člena tega zakona. O tem mora obvestiti predstojnika organa ali organizacije, kjer je oseba, za katero predlaga vmesno varnostno preverjanje, zaposlena.
Postopek vmesnega varnostnega preverjanja je enak postopku, kot ga ta zakon določa za izdajo dovoljenja za dostop do tajnih podatkov posamezne stopnje tajnosti, pri čemer pa pristojni organ še posebej preveri dejstva in okoliščine, ki so povezane s posameznim varnostnim zadržkom.
Če pristojni organ pri vmesnem varnostnem preverjanju ugotovi varnostni zadržek, mora osebi preklicati vsa veljavna dovoljenja za dostop do tajnih podatkov. Odločba o preklicu dovoljenja za dostop do tajnih podatkov se vroči osebi, ki ji je bilo dovoljenje za dostop do tajnih podatkov preklicano, organu ali organizaciji, v kateri oseba opravlja funkcijo ali izvaja naloge, in predlagatelju postopka ter se o tem obvesti nacionalni varnostni organ.«.
Besedilo 35.a člena se spremeni tako, da se glasi:
»Postopek izdaje varnostnega dovoljenja iz prejšnjega člena se začne na podlagi pisnega predloga predstojnika:
1. organa iz drugega odstavka 1. člena tega zakona za organizacije, ki izvajajo naročilo tega organa oziroma sodelujejo v postopku izvajanja naročila tajne narave tega organa;
2. ministrstva, pristojnega za gospodarstvo, za organizacije, ki potrebujejo varnostno dovoljenje zaradi sodelovanja na javnih razpisih tuje države ali mednarodne organizacije ali izvedbe naročila tuje države ali mednarodne organizacije;
3. nacionalnega varnostnega organa za primere, ki niso določeni v 1. in 2. točki tega odstavka.
Iz predloga mora izhajati način obravnavanja in varovanja tajnih podatkov v okviru izvajanja naročila, ki je lahko v prostorih naročnika ali v prostorih organizacije.
Predlagatelj mora predlogu za začetek postopka varnostnega preverjanja priložiti izpolnjen varnostni vprašalnik za organizacije in naslednje listine:
1. podatke o registraciji organizacije;
2. pisno soglasje organizacije za varnostno preverjanje;
3. podatke o stopnji, vrsti in načinu obravnavanja in varovanja tajnih podatkov, za dostop do katerih je podan predlog za izdajo varnostnega dovoljenja;
4. pisno soglasje naročnika, če bo organizacija obravnavala in varovala nacionalne tajne podatke v njegovih prostorih;
5. seznam oseb in predloge za izdajo dovoljenj za dostop do tajnih podatkov zaposlenim v organizaciji, ki bodo zaradi izvedbe tajnega naročila ali sodelovanja v postopku tajnega naročila potrebovali dostop do tajnih podatkov;
6. seznam delovnih mest, kjer se zahteva dostop do tajnih podatkov;
7. pisno soglasje oseb, zaposlenih v organizacijah, za preverjanje podatkov iz šestega odstavka 35.b člena tega zakona, ki bodo zaradi izvedbe tajnega naročila oziroma sodelovanja v postopku tajnega naročila potrebovale dostop do tajnih podatkov stopnje tajnosti INTERNO.
Varnostni vprašalnik iz prejšnjega odstavka obsega:
1. osnovne podatke o organizaciji (naziv, naslov, pošta, občina, upravna enota, matična številka, davčna številka, davčni zavezanec, pravno organizacijska oblika, število zaposlenih, registrski organ, datum vpisa, poreklo kapitala, vrsta lastnine);
2. podatke o lastništvu, ustanoviteljih, zakonitih zastopnikih, nadzornem svetu;
3. podatke o osebi iz 4. točke drugega odstavka 35.b člena tega zakona (osebno ime, EMŠO ter položaj osebe);
4. podatke o delovnih mestih, kjer se zahteva dostop do tajnih podatkov;
5. podatke o številu oseb, ki bodo zaradi izvedbe tajnega naročila ali sodelovanja v postopku tajnega naročila potrebovali dostop do tajnih podatkov;
6. podatke o načinu obravnavanja in varovanja tajnih podatkov, ki je lahko v prostorih organizacije ali v prostorih naročnika;
7. razlog zaradi katerega organizacija potrebuje varnostno dovoljenje;
8. podatke o tem, da organizacija ni v kazenskem postopku zaradi suma storitve kaznivega dejanja v zvezi s podkupovanjem ali zaradi takega kaznivega dejanja ni bila pravnomočno obsojena, da zoper organizacijo ni uveden ali začet postopek prisilne poravnave, stečajni postopek, likvidacijski postopek ali drug postopek, katerega posledica ali namen je lahko prenehanje poslovanja organizacije, da organizacija na dan preverjanja pogojev izpolnjuje obvezne dajatve in druge denarne nedavčne obveznosti, ki jih pobira Finančna uprava Republike Slovenije v skladu s predpisi ter da organizacija ni bila kaznovana za kaznivo dejanje v zvezi z opravljanjem gospodarske dejavnosti oziroma gospodarskim poslovanjem;
9. podatke o že izdanih varnostnih dovoljenjih.
Organizacija mora pred zaključkom postopka varnostnega preverjanja organu, pristojnemu za izdajo varnostnega dovoljenja, predložiti:
1. akt iz četrtega odstavka 38. člena tega zakona ter mnenje nacionalnega varnostnega organa o skladnosti akta s tem zakonom in predpisi, sprejetimi na njegovi podlagi;
2. mnenje nacionalnega varnostnega organa o ustreznosti varnostnotehnične opreme, vgrajene v varnostno območje, ter postopkov in ukrepov varovanja varnostnega območja, če bodo tajne podatke stopnje tajnosti ZAUPNO ali višje obravnavali in varovali v prostorih organizacije;
3. sklep, v katerem določi prostore upravnega oziroma varnostnega območja, če bo organizacija obravnavala in varovala tajne podatke v lastnih prostorih;
4. sklep o imenovanju osebe iz 4. točke drugega odstavka 35.b člena tega zakona.
Pri izdelavi akta iz četrtega odstavka 38. člena tega zakona se smiselno upoštevajo določbe drugega odstavka 38. člena tega zakona glede na to, ali gre za obravnavanje in varovanje tajnih podatkov v prostorih naročnika ali v prostorih organizacije.«.
Besedilo 35.b člena se spremeni tako, da se glasi:
»Varnostno preverjanje organizacije se opravi tako, da organ, pristojen za izdajo varnostnega dovoljenja, preveri navedbe v vprašalniku za varnostno preverjanje z namenom preveritve podatkov iz tretjega odstavka prejšnjega člena in izpolnjevanja pogojev iz drugega odstavka tega člena ter zbira podatke o organizaciji, na katero se podatki nanašajo, iz uradnih evidenc ali pri drugih organih, organizacijah ali osebah, ki o teh podatkih kaj vedo.
Pristojni organ v postopku varnostnega preverjanja preveri, ali:
1. organizacija izpolnjuje fizične, organizacijske in tehnične pogoje za obravnavanje in varovanje tajnih podatkov v skladu s tem zakonom in predpisi, sprejetimi na njegovi podlagi;
2. so osebe, ki bodo v organizaciji imele dostop do tajnih podatkov, varnostno preverjene in imajo dovoljenje za dostop do tajnih podatkov ali izpolnjujejo pogoje za dostop do tajnih podatkov stopnje tajnosti INTERNO;
3. organizacija zagotavlja, da bo dostop do tajnih podatkov dovoljen samo tistim osebam, ki morajo imeti vpogled v te podatke po svoji službeni dolžnosti zaradi uresničevanja naročila organa;
4. je organizacija imenovala osebo, pristojno za nadzor in usmerjanje varnostnih ukrepov v zvezi z izvajanjem naročila, usposabljanje oseb, ki imajo dostop do tajnih podatkov, poročanje pristojnemu organu o okoliščinah, ki vplivajo na izdajo varnostnega dovoljenja organizacije, in izvajanje drugih predpisanih ukrepov za varno obravnavanje in varovanje tajnih podatkov;
5. je organizacija registrirana pri pristojnem sodišču ali drugem organu;
6. organizacija ni v kazenskem postopku zaradi suma storitve kaznivega dejanja v zvezi s podkupovanjem ali zaradi takega kaznivega dejanja ni bila pravnomočno obsojena;
7. zoper organizacijo ni uveden ali začet postopek prisilne poravnave, stečajni postopek, likvidacijski postopek ali drug postopek, katerega posledica ali namen je lahko prenehanje poslovanja organizacije;
8. organizacija na dan preverjanja pogojev izpolnjuje obvezne dajatve in druge denarne nedavčne obveznosti, ki jih pobira Finančna uprava Republike Slovenije v skladu s predpisi. Organizacija ne izpolnjuje pogojev iz prejšnjega stavka, če vrednost teh neplačanih zapadlih obveznosti na dan preverjanja pogojev znaša 50 eurov ali več. Šteje se, da organizacija ne izpolnjuje obveznosti tudi, če na dan preverjanja pogojev ni imela predloženih vseh obračunov davčnih odtegljajev za dohodke iz delovnega razmerja za obdobje zadnjih petih let do dneva preverjanja pogojev;
9. organizacija ni bila kaznovana za kaznivo dejanje v zvezi z opravljanjem gospodarske dejavnosti oziroma gospodarskim poslovanjem;
10. povezane osebe niso sodelovale oziroma ne sodelujejo z organizacijami ali skupinami, ki ogrožajo interese Republike Slovenije ali držav članic političnih, obrambnih in varnostnih zvez, katerih članica je Republika Slovenija, ali ni drugih varnostnih zadržkov glede povezanih oseb organizacije.
Pogoje iz prejšnjega odstavka ugotavlja na predlog pristojnega predlagatelja iz prvega odstavka 35.a člena tega zakona organ, pristojen za izdajo varnostnega dovoljenja, ki o zaključku varnostnega preverjanja pisno obvesti nacionalni varnostni organ.
Če je lastnik organizacije v višini vsaj 25 odstotkov druga organizacija, se pogoji iz drugega odstavka tega člena ugotavljajo tudi za povezane osebe druge organizacije.
Predlagatelj postopka in organizacija morata ves čas postopka sodelovati z organom, pristojnim za izdajo varnostnega dovoljenja. Če predlagatelj ali organizacija ne sodelujeta s pristojnim organom, se to šteje za umik predloga.
Oseba, ki bo v organizaciji po službeni dolžnosti imela dostop do tajnih podatkov stopnje tajnosti INTERNO, mora poleg pogojev iz drugega odstavka 31.a člena tega zakona izpolnjevati še naslednje pogoje:
– da ni bila pravnomočno obsojena zaradi naklepnega kaznivega dejanja, katerega storilec se preganja po uradni dolžnosti, na nepogojno kazen zapora v trajanju več kot šest mesecev;
– da zoper njo ni vložena pravnomočna obtožnica zaradi naklepnega kaznivega dejanja, ki se preganja po uradni dolžnosti.
Vlada podrobneje predpiše način in postopek ugotavljanja izpolnjevanja pogojev za izdajo varnostnega dovoljenja, vrste varnostnih dovoljenj in vsebino varnostnega vprašalnika za organizacije.«.
Besedilo 35.c člena se spremeni tako, da se glasi:
»Izdaja varnostnega dovoljenja organizaciji se zavrne ali se veljavna varnostna dovoljenja organizacije prekličejo, če organizacija ne izpolnjuje pogojev iz drugega odstavka 35.b člena tega zakona ali iz razlogov, ki vzbujajo utemeljen dvom glede ustreznosti varovanja tajnih podatkov.«.
Besedilo 35.d člena se spremeni tako, da se glasi:
»Pristojni organ iz drugega odstavka 35. člena tega zakona lahko v organizaciji ves čas veljavnosti varnostnega dovoljenja preverja izpolnjevanje pogojev iz 35.b člena tega zakona.
Če se po izdaji varnostnega dovoljenja pojavijo okoliščine, ki kažejo na to, da organizacija ne izpolnjuje več pogojev iz 35.b člena tega zakona, ali v primeru drugih ugotovitev varnostnega preverjanja, ki vzbujajo utemeljen dvom glede ustreznosti varovanja tajnih podatkov, pristojni organ iz drugega odstavka 35. člena tega zakona opravi postopek vmesnega varnostnega preverjanja.
Vmesno varnostno preverjanje se opravi na predlog pristojnega predlagatelja iz prvega odstavka 35.a člena tega zakona, na predlog nacionalnega varnostnega organa ali po uradni dolžnosti, za kar mora organizacija podati soglasje.
Pri postopku vmesnega varnostnega preverjanja se preverijo vsi pogoji iz 35.b člena tega zakona.
Če organizacija ne da soglasja za uvedbo vmesnega varnostnega preverjanja, se varnostno dovoljenje organizacije prekliče.
Do zaključka postopka vmesnega varnostnega preverjanja mora predlagatelj organizaciji onemogočiti obravnavanje in varovanje tajnih podatkov. O tem mora izdati pisni sklep in obvestiti nacionalni varnostni organ. Organizacija mora o izdanem pisnem sklepu pisno obvestiti vse naročnike, za katere izvaja naročilo, katerega izpolnitev zahteva ali vključuje dostop do tajnih podatkov.
Zoper odločbo, izdano v postopku varnostnega preverjanja organizacije, ni dovoljena pritožba, dovoljen pa je upravni spor, ki ga lahko sprožita predlagatelj ali preverjana organizacija.«.
Besedilo 39. člena se spremeni tako, da se glasi:
»Upravno območje je prostor, določen s sklepom predstojnika organa ali organizacije, v katerem se pod določenimi pogoji obravnavajo tajni podatki do stopnje tajnosti TAJNO in hranijo tajni podatki stopnje tajnosti INTERNO.
Varnostno območje je vidno označen prostor, določen s sklepom predstojnika organa ali organizacije, v katerem se obravnavajo in hranijo tajni podatki stopnje tajnosti ZAUPNO ali višje.
Organ ali organizacija o določitvi upravnega oziroma varnostnega območja obvesti nacionalni varnostni organ.
Tajne podatke se varuje v upravnem ali varnostnem območju na način, ki zagotavlja, da imajo dostop do teh podatkov samo osebe, ki izpolnjujejo pogoje za dostop do tajnih podatkov in ki podatke potrebujejo za izvajanje svojih delovnih nalog ali funkcij.
Vsak organ in organizacija mora določiti, kje se sprejemajo tajni podatki in kdo jih sprejema.
Vlada podrobneje predpiše fizične, organizacijske in tehnične ukrepe ter postopke za varovanje tajnih podatkov.
Za prejemanje in razpošiljanje tajnih podatkov Evropske Unije (v nadaljnjem besedilu: EU) in zveze Nato, se v Republiki Sloveniji vzpostavi registrski sistem.
Registrski sistem EU obsega centralni register EU, ki deluje v okviru ministrstva, pristojnega za zunanje zadeve, in podregistre EU, ki jih s sklepom določi predstojnik organa ali organizacije, na podlagi predhodnega mnenja nacionalnega varnostnega organa. Organ ali organizacija o vzpostavitvi podregistra EU obvesti nacionalni varnostni organ.
Registrski sistem zveze Nato obsega centralni register Nato, podregistre Nato in kontrolne točke Nato. Centralni register Nato deluje v okviru ministrstva, pristojnega za obrambo. Podregistre Nato in kontrolne točke Nato s sklepom določi predstojnik organa ali organizacije, na podlagi predhodnega mnenja nacionalnega varnostnega organa. Organ ali organizacija o vzpostavitvi podregistra Nato oziroma kontrolne točke Nato obvesti nacionalni varnostni organ.
Vlada podrobneje predpiše pogoje in način vzpostavitve centralnih registrov, podregistrov in kontrolnih točk.«.
Za 39. členom se doda nov 39.a člen, ki se glasi:
Tajni podatki v elektronski obliki se smejo obravnavati in hraniti le v komunikacijsko-informacijskih sistemih (v nadaljnjem besedilu: sistemi), ki imajo veljavno varnostno dovoljenje za delovanje sistema najmanj enake stopnje tajnosti, kot je najvišja stopnja tajnosti v njih obravnavanih in hranjenih podatkov.
Nacionalni varnostni organ opravi varnostno vrednotenje sistema, s katerim preveri, ali sistem izpolnjuje fizične, organizacijske in tehnične ukrepe ter postopke za varovanje tajnih podatkov do določene stopnje tajnosti. Če sistem izpolnjuje fizične, organizacijske in tehnične ukrepe ter postopke za varovanje tajnih podatkov, nacionalni varnostni organ izda varnostno dovoljenje za delovanje sistema.
Z varnostnimi ukrepi v sistemih se zagotovi, da so tajni podatki v sistemih zaščiteni pred razkritjem, zlorabo ali izgubo, da so zagotovljene njihova celovitost, razpoložljivost in verodostojnost ter da ni možna zatajitev dostopanja do podatkov.
Varovanje tajnih podatkov v sistemih temelji na postopku obvladovanja tveganj, ki zajema identifikacijo in oceno tveganj, posledice tveganj, ukrepe za zmanjšanje tveganj na sprejemljivo raven ter odgovornost za preostala tveganja.
Vse sestavine sistemov, v katerih se obravnavajo in hranijo tajni podatki stopnje tajnosti ZAUPNO ali višje, morajo biti zaščitene proti neželenemu elektromagnetnemu sevanju.
Elektronski prenos tajnih podatkov izven upravnega ali varnostnega območja je dovoljen le z uporabo kriptografskih rešitev, ki jih je na podlagi postopka ugotavljanja ustreznosti kriptografskih rešitev odobril nacionalni varnostni organ.
Ne glede na prejšnji odstavek se lahko v primeru razglasitve izrednega ali vojnega stanja tajni podatki v elektronski obliki stopnje tajnosti INTERNO, ZAUPNO in TAJNO prenašajo v sistemih, odobrenih za nižjo stopnjo tajnosti, ali v nekriptirani obliki.
Postopek ugotavljanja ustreznosti kriptografskih rešitev za varovanje tajnih podatkov je postopek, v katerem se ugotovi varnostna ustreznost kriptografske rešitve, in se izvaja na podlagi pisnih predlogov, ki jih podajo ministrstvo, pristojno za javno upravo, ministrstvo, pristojno za notranje zadeve, ministrstvo, pristojno za obrambo, ministrstvo, pristojno za zunanje zadeve, Slovenska obveščevalno-varnostna agencija. Nacionalni varnostni organ začne postopek po uradni dolžnosti, če ugotovi ali izve, da je treba glede na obstoječe ali dejansko stanje začeti postopek ugotavljanja ustreznosti kriptografske rešitve za varovanje tajnih podatkov. Postopek in vsebino dokumentacije, ki jo mora vsebovati predlog, določi vlada.
Kriptografsko rešitev lahko za organe iz prejšnjega odstavka razvije ali izdela organizacija, ki ima veljavno varnostno dovoljenje ustrezne stopnje tajnosti za varovanje tajnih podatkov na sedežu organizacije, veljavno še najmanj eno leto od vložitve predloga.
Postopek iz osmega odstavka tega člena lahko traja največ eno leto od prejema popolnega predloga in se konča z varnostnim ovrednotenjem. Izjemoma, zaradi zahtevnosti kriptografske rešitve, se lahko postopek podaljša še za eno leto.
Če nacionalni varnostni organ ugotovi, da so predlagane kriptografske rešitve ustrezne, izda potrdilo o varnostni ustreznosti.
Obravnavanje tajnih podatkov izven varnostnega ali upravnega območja je dovoljeno z uporabo kriptografskih rešitev, za katere je izdano potrdilo o varnostni ustreznosti. Dostop do kriptografskih rešitev in podatkov mora biti ustrezno zaščiten, da ni možen nepooblaščen dostop.
Nacionalni varnostni organ izvaja tudi naslednje naloge za zagotavljanje varovanja tajnih podatkov v sistemih:
– razvoj kriptografskih rešitev,
– zaščita pred neželenim elektromagnetnim sevanjem,
– razdeljevanje kriptografskega materiala.
Vlada podrobneje predpiše fizične, organizacijske in tehnične ukrepe ter postopke za varovanje tajnih podatkov v sistemih.«.
Besedilo 43.b člena se spremeni tako, da se glasi:
»Nacionalni varnostni organ skrbi za sklepanje in izvrševanje mednarodnih pogodb ter sprejetih mednarodnih obveznosti, ki jih je v zvezi z varovanjem tajnih podatkov sklenila ali sprejela Republika Slovenija, ter na tem področju sodeluje z ustreznimi organi tujih držav in mednarodnih organizacij, razen če mednarodna pogodba določa drugače.
Nacionalni varnostni organ usklajuje dejavnosti za zagotavljanje varnosti nacionalnih tajnih podatkov v tujini in tujih tajnih podatkov na območju Republike Slovenije.
V zvezi z izvrševanjem mednarodnih pogodb in sprejetih mednarodnih obveznosti nacionalni varnostni organ opravlja zlasti naslednje naloge:
– izdaja in preklicuje dovoljenja za dostop do tujih tajnih podatkov;
– izdaja in preklicuje varnostna dovoljenja organizacijam za dostop do tujih tajnih podatkov;
– izdaja in preklicuje varnostna dovoljenja za sisteme in naprave za prenos, hranjenje in obdelavo tujih tajnih podatkov v skladu s sprejetimi mednarodnimi pogodbami;
– opravlja naloge organa za varnostno odobritev sistemov, organa za kriptografsko zaščito tujih tajnih podatkov, organa za razdeljevanje kriptografskega materiala in organa za zaščito pred neželenim elektromagnetnim sevanjem naprav v sistemih, v katerih se varujejo tuji tajni podatki, v skladu s sprejetimi mednarodnimi pogodbami;
– ugotavlja, ali posamezni organ ali organizacija za obravnavanje in varovanje tajnih podatkov tujih držav in mednarodnih organizacij izpolnjuje za to predpisane pogoje;
– sprejema in na svoji spletni strani objavlja navodila za izmenjavo in varovanje tajnih podatkov tuje države ali mednarodne organizacije;
– nadzoruje izvajanje fizičnih, organizacijskih in tehničnih ukrepov za varovanje tajnih podatkov tuje države ali mednarodne organizacije ter skladno z ugotovitvami nadzora izdaja obvezna navodila za odpravo ugotovljenih pomanjkljivosti, ki so jih organi dolžni nemudoma izvršiti;
– ugotavlja ustreznost postopkov in ukrepov varovanja tujih tajnih podatkov v organih in organizacijah;
– od pristojnega inšpektorata zahteva izvedbo inšpekcijskega nadzora pri določenem organu ali organizaciji;
– izmenjuje podatke z nacionalnimi varnostnimi organi tujih držav in z mednarodnimi organizacijami.
Pred ali po izdaji dovoljenja iz prve alineje oziroma dovoljenja iz druge alineje prejšnjega odstavka lahko, kadar prejme obvestilo tujega varnostnega organa o varnostnem zadržku, od organa, pristojnega za varnostno preverjanje, zahteva vmesno varnostno preverjanje osebe ali organizacije.
Nacionalni varnostni organ brezplačno pridobiva podatke za osebe v postopku izdaje ali preklica dovoljenja za dostop do tujih tajnih podatkov iz zbirk podatkov naslednjih upravljavcev:
– Ministrstva za notranje zadeve: podatke iz centralnega registra prebivalstva, in sicer: osebno ime, EMŠO, stalno ali začasno prebivališče, naslov za vročanje,
– Zavoda za zdravstveno zavarovanje Slovenije: podatke o zavarovancih, vključenih v obvezno zavarovanje, in sicer: podatke o delodajalcu ter datumu prijave in odjave v pokojninsko in invalidsko zavarovanje.
Nacionalni varnostni organ brezplačno pridobiva podatke za osebe v postopku izdaje ali preklica varnostnega dovoljenja organizacijam za dostop do tujih tajnih podatkov iz zbirk podatkov naslednjega upravljavca:
– Agencije Republike Slovenije za javnopravne evidence in storitve: Poslovni register Slovenije, in sicer: matična številka zasebnika ali pravne osebe, datum vpisa in izbrisa v Poslovni register Slovenije, pravnoorganizacijska oblika.
Ob pridobivanju podatkov iz tega člena oseb, na katere se podatki nanašajo, ni treba predhodno seznaniti.«.
Besedilo 43.c člena se spremeni tako, da se glasi:
»Oseba lahko dostopa do tujih tajnih podatkov stopnje tajnosti INTERNO v skladu z 31.a členom tega zakona oziroma šestim odstavkom 35.b člena tega zakona in po podpisu izjave o seznanitvi s predpisi s področja varovanja tujih tajnih podatkov.
Nacionalni varnostni organ izda dovoljenje iz prve alineje tretjega odstavka prejšnjega člena na predlog predlagateljev iz 22.f člena tega zakona, če ima oseba veljavno dovoljenje iz 22. člena tega zakona in opravlja funkcijo ali izvaja naloge na delovnem mestu, na katerem potrebuje dovoljenje za dostop do tujih tajnih podatkov. Dovoljenje se izda z veljavnostjo za čas, ko oseba potrebuje dostop do tujih tajnih podatkov, vendar ne za dlje, kot velja dovoljenje iz 22. člena tega zakona.
Pisni predlog mora vsebovati: osebno ime, datum in kraj rojstva osebe, za katero se predlaga izdaja dovoljenja za dostop do tujih tajnih podatkov, navedbo tuje države ali mednarodne organizacije, do tajnih podatkov katere naj bi imela oseba dostop, stopnjo tajnosti podatkov ter navedbo delovnega mesta.
Če oseba, ki ji je bilo izdano dovoljenje za dostop do tujih tajnih podatkov, ne izvaja več nalog, pri katerih potrebuje dostop do tujih tajnih podatkov, je predstojnik organa ali organizacije dolžan o tem takoj obvestiti nacionalni varnostni organ.
Nacionalni varnostni organ dovoljenje za dostop do tujih tajnih podatkov prekliče, ko prenehajo obstajati pogoji za njegovo izdajo iz drugega odstavka tega člena.
Organ ali organizacija, pri kateri je oseba v pogodbenem razmerju, hrani dovoljenje za dostop do tujih tajnih podatkov ali izjavo iz prvega odstavka tega člena v kadrovski evidenci te osebe.«.
Besedilo 43.e člena se spremeni tako, da se glasi:
»Za namene izvrševanja pristojnosti in nalog po tem zakonu, drugih zakonih in obvezujočih mednarodnih pogodbah nacionalni varnostni organ brezplačno pridobiva podatke ter upravlja naslednje evidence in obdeluje osebne podatke v njih:
1. evidenco dovoljenj za dostop do tajnih podatkov na podlagi 22. člena tega zakona, ki vsebuje naslednje podatke:
– osebno ime;
– EMŠO;
– organ, kjer je oseba zaposlena;
– organ, ki je izdal dovoljenje;
– stopnja tajnosti podatkov, do katerih ima oseba dostop;
– številka in datum izdaje ter datum veljavnosti dovoljenja;
– datum in organ, ki je opravil preklic dovoljenja;
– datum in organ, ki je zavrnil izdajo dovoljenja;
– datum, organ in številka dopisa, s katerim je obvestil nacionalni varnostni organ, da je začel postopek na podlagi 25.c člena tega zakona;
2. evidenco izdanih dovoljenj za dostop do tujih tajnih podatkov iz prve alineje tretjega odstavka 43.b člena tega zakona, ki vsebuje naslednje podatke:
– osebno ime;
– EMŠO;
– organ ali organizacija, kjer je oseba zaposlena;
– stopnja tajnosti podatkov, do katerih ima oseba dostop;
– številka in datum izdaje ter datum veljavnosti dovoljenja;
– številka in datum izdaje dovoljenja za dostop do tujih tajnih podatkov ter datum njegove veljavnosti;
3. evidenco varnostnih dovoljenj iz 35. člena tega zakona in evidenco varnostnih dovoljenj iz druge alineje tretjega odstavka 43.b člena tega zakona, ki vsebuje naslednje podatke:
– naziv in naslov organizacije;
– organ, ki je izdal varnostno dovoljenje;
– številka in datum izdaje ter datum veljavnosti varnostnega dovoljenja;
– datum, razlog in organ, ki je opravil preklic varnostnega dovoljenja;
– osebno ime, EMŠO ter položaj osebe iz 4. točke drugega odstavka 35.b člena tega zakona;
– številka dovoljenja in stopnja tajnosti podatkov, do katerih ima oseba iz prejšnje alineje pravico dostopa, oziroma za stopnjo tajnosti INTERNO datum podpisa izjave o seznanitvi s predpisi, ki urejajo obravnavanje in varovanje tujih tajnih podatkov;
– navedba, ali gre za obravnavanje in hrambo tajnih podatkov v prostorih naročnika ali v prostorih organizacije;
4. evidenco zavrnjenih predlogov za izdajo varnostnih dovoljenj iz 35. člena tega zakona, ki vsebuje naslednje podatke:
– naziv in naslov organizacije;
– organ, ki je zavrnil izdajo varnostnega dovoljenja;
– datum in razlog zavrnitve izdaje varnostnega dovoljenja;
– navedba, ali gre za obravnavanje in hrambo tajnih podatkov v prostorih naročnika ali v prostorih organizacije;
5. evidenco o opravljenem posebnem delu strokovnega izpita za inšpektorja iz 42.e člena tega zakona, ki vsebuje naslednje podatke:
– osebno ime;
– EMŠO;
– organ, kjer je oseba zaposlena;
– datum in kraj opravljanja izpita;
– dosežek na izpitu (opravil / ni opravil);
6. evidenco začasnih dostopov do tajnih podatkov na podlagi drugega odstavka 30. člena tega zakona, ki vsebuje naslednje podatke:
– osebno ime;
– EMŠO;
– organ, kjer je oseba zaposlena;
– stopnja tajnosti podatkov, do katerih ima oseba dostop;
– številka in datum veljavnosti dovoljenja;
– stopnja tajnosti podatkov, do katerih ima oseba začasen dostop;
– obdobje (trajanje) začasnega dostopa;
7. evidenco upravnih in varnostnih območij v organih in organizacijah, ki vsebuje naslednje podatke:
– ime organa ali organizacije;
– naslov organa ali organizacije;
– tip prostora: upravno ali varnostno območje;
– datum izdaje sklepa o določitvi upravnega ali varnostnega območja;
– številka sklepa o določitvi upravnega ali varnostnega območja;
– številka dokumenta – mnenje o ustreznosti varnostnotehnične opreme, vgrajene v varnostno območje, ter postopkov in ukrepov varovanja varnostnega območja;
– datum preklica sklepa o določitvi upravnega ali varnostnega območja;
8. evidenco centralnih registrov, podregistrov in kontrolnih točk tujih tajnih podatkov, ki vsebuje naslednje podatke:
– organ in ime centralnega registra, podregistra ali kontrolne točke;
– datum varnostne odobritve;
– najvišja stopnja tajnih podatkov, ki se varujejo v centralnem registru, podregistru ali kontrolni točki;
– podatki o vodji centralnega registra, podregistra ali kontrolne točke: ime in priimek ter kontaktni podatki (telefonska številka in elektronski naslov);
– podatki o namestniku vodje centralnega registra, podregistra ali kontrolne točke: ime in priimek ter kontaktni podatki (telefonska številka in elektronski naslov);
9. evidenco varnostnih dovoljenj za delovanje sistema, ki vsebuje naslednje podatke:
– ime organa ali organizacije;
– kontaktni podatki organa ali organizacije;
– ime sistema;
– najvišja stopnja tajnosti podatkov, ki se lahko obravnavajo v sistemu;
– najvišja stopnja tajnosti podatkov, ki se lahko hranijo v sistemu;
– način delovanja;
– ime vodje informacijske varnosti;
– ime upravljavca;
– obdobje veljavnosti dovoljenja;
10. evidenco potrdil o varnostni ustreznosti kriptografskih rešitev, ki vsebuje naslednje podatke:
– ime kriptografske rešitve;
– ime proizvajalca;
– najvišja stopnja tajnosti podatkov, ki se lahko kriptirajo;
– obdobje veljavnosti dovoljenja;
– številka potrdila;
11. evidenco kriptografskega materiala, ki vsebuje naslednje podatke:
– izdajatelj kriptografskega materiala (organ, naslov, skrbnik);
– prejemnik kriptografskega materiala (organ, naslov, skrbnik);
– datum dogodka;
– vrsta dogodka;
– polno ime kriptografskega materiala;
– kratko ime kriptografskega materiala;
– količina kriptografskega materiala;
– številka oziroma številke kriptografskega materiala;
– opombe.
Pristojni organ brezplačno pridobiva podatke, določene v prvem odstavku tega člena:
– za 1. točko prejšnjega odstavka od organov iz prvega odstavka 22. člena tega zakona, za podatke iz tretje alineje 1. točke prejšnjega odstavka od Zavoda za zdravstveno zavarovanje Slovenije;
– za tretjo alinejo 2. točke prejšnjega odstavka od Zavoda za zdravstveno zavarovanje Slovenije;
– za 3. točko prejšnjega odstavka od organov iz 35. člena tega zakona;
– za 4. točko prejšnjega odstavka od organov iz 35. člena tega zakona;
– za 6. točko prejšnjega odstavka od organov iz prvega odstavka 22. člena tega zakona;
– za 7. točko prejšnjega odstavka od organov in organizacij iz tretjega odstavka 39. člena tega zakona;
– za 8. točko prejšnjega odstavka od organov in organizacij iz osmega in devetega odstavka 39. člena tega zakona.
Organi in organizacije morajo nacionalnemu varnostnemu organu poslati podatke iz prejšnjega odstavka v 15 dneh od nastanka ali spremembe podatka.
Organi in organizacije, ki izvajajo usposabljanje, vodijo evidenco izdanih potrdil o udeležbi na osnovnem in dodatnem usposabljanju s področja obravnavanja in varovanja tajnih podatkov, ki vsebuje naslednje podatke:
– osebno ime;
– datum rojstva, oziroma drug ustrezen identifikacijski znak;
– organ ali organizacija, kjer je oseba zaposlena oziroma ki je osebo napotila na usposabljanje;
– datum usposabljanja;
– organ ali organizacija, ki je izvedel usposabljanje;
– številka dokazila.
Upravljanje evidenc iz prvega odstavka tega člena nacionalni varnostni organ izvaja v ločenem komunikacijsko-informacijskem sistemu.
Nacionalni varnostni organ določi pogoje in načine dostopa do komunikacijsko-informacijskega sistema iz prejšnjega odstavka ter način pošiljanja podatkov iz tega člena.
Evidence iz tega člena se trajno hranijo v skladu s predpisi, ki urejajo varstvo dokumentarnega in arhivskega gradiva.
Pristojni organi iz 22. člena tega zakona iz evidence iz 1. točke prvega odstavka tega člena obdelujejo osebne podatke, ki jih potrebujejo pri vodenju postopka za izdajo dovoljenja za dostop do tajnih podatkov po tem zakonu, in sicer z enako vsebino kot nacionalni varnostni organ.
Pristojni organi iz drugega odstavka 35. člena tega zakona iz evidence iz 3. in 4. točke prvega odstavka tega člena obdelujejo osebne podatke, ki jih potrebujejo pri odločanju v postopku izdaje varnostnega dovoljenja po tem zakonu, in sicer z enako vsebino kot nacionalni varnostni organ.
Organi in organizacije lahko podatke iz 1. točke prvega odstavka tega člena, ki jih potrebujejo za vodenje lastne evidence na podlagi prvega odstavka 29. člena tega zakona, pridobijo od nacionalnega varnostnega organa.
Ob pridobivanju podatkov iz tega člena oseb, na katere se podatki nanašajo, ni treba predhodno seznaniti.
Nacionalni varnostni organ podatke iz tretje alineje 1. in 2. točke prvega odstavka tega člena poveže s podatki o delodajalcu ter datumu prijave in odjave v pokojninsko in invalidsko zavarovanje, ki jih pridobi od Zavoda za zdravstveno zavarovanje Slovenije.«.
V 44. členu se v prvem odstavku besedilo »od 1.000.000 do 3.000.000 tolarjev« nadomesti z besedilom od »5.000 do 15.000 eurov«.
V 1. točki se besedilo »drugi odstavek 3. člena« nadomesti z besedilom »tretji odstavek 3. člena«.
V 19. točki se besedilo »prvi in drugi« nadomesti z besedo »tretji«.
V 20. točki se beseda »prvega« nadomesti z besedo »drugega«.
V 21. točki se beseda »prvega« nadomesti z besedo »drugega«.
26. točka se spremeni tako, da se glasi:
»26. če ravna v nasprotju s četrtim in petim odstavkom 39. člena tega zakona;«.
Za 26. točko se doda nova 26.a točka, ki se glasi:
»26.a če ravna v nasprotju s prvim odstavkom 39.a člena tega zakona;«.
28. točka se spremeni tako, da se glasi:
»28. če ne organizira notranjega nadzora nad obravnavanjem tajnih podatkov (41. člen) ali izdajatelju varnostnega dovoljenja ne omogoči preverjanja izpolnjevanja pogojev za izdajo varnostnega dovoljenja (35.b člen);«.
29. in 30. točka se črtata.
Za črtano 30. točko se doda nova 31. točka, ki se glasi:
»31. če nacionalnemu varnostnemu organu ne sporoči podatkov oziroma spremembe podatkov v skladu s tretjim odstavkom 43.e člena tega zakona.«.
V drugem odstavku se besedilo »od 200.000 do 500.000 tolarjev« nadomesti z besedilom »od 1.000 do 3.000 eurov«.
V 44.a členu se v prvem odstavku besedilo »od 500.000 do 1.000.000 tolarjev« nadomesti z besedilom »od 2.000 do 5.000 eurov«.
V drugem odstavku se besedilo »od 100.000 do 300.000 tolarjev« nadomesti z besedilom »od 500 do 2.000 eurov«.
V 45. členu se v prvem odstavku besedilo »od 100.000 do 200.000 tolarjev« nadomesti z besedilom »od 500 do 1.000 eurov«.
V 8. točki se beseda »prvega« nadomesti z besedo »drugega«.
Za 10. točko se dodata novi 11. in 12. točka, ki se glasita:
»11. če ravna v nasprotju s četrtim odstavkom 43.c člena tega zakona;
12. če ravna v nasprotju s četrtim odstavkom 43.d člena tega zakona.«.
PREHODNE IN KONČNE DOLOČBE
Vlada Republike Slovenije v šestih mesecih od uveljavitve tega zakona izda predpise iz petega odstavka spremenjenega 22.g člena, sedmega odstavka spremenjenega 35.b člena, šestega in desetega odstavka spremenjenega 39. člena in štirinajstega odstavka novega 39.a člena zakona.
Nacionalni varnostni organ v skladu z drugim odstavkom novega 39.a člena zakona opravi varnostno vrednotenje vseh sistemov, v katerih se obravnavajo tajni podatki, v dveh letih od uveljavitve tega zakona.
Ta zakon začne veljati petnajsti dan po objavi v Uradnem listu Republike Slovenije.
Št. 040-05/19-26/12
Ljubljana, dne 29. januarja 2020
EPA 882-VIII