Na podlagi 119. člena Zakona o nalogah in pooblastilih policije (Uradni list RS, št. 15/13, 23/15 – popr., 10/17, 46/19 – odl. US, 47/19 in 153/21– odl. US) minister za notranje zadeve izdaja
o spremembah in dopolnitvah Pravilnika o zaščiti podatkov policije
V Pravilniku o zaščiti podatkov policije (Uradni list RS, št. 67/14) se 1. člen spremeni tako, da se glasi:
(1) Ta pravilnik določa organizacijske in logistično-tehnične postopke ter ukrepe za zavarovanje varovanih podatkov policije, informacijskega in telekomunikacijskega sistema policije (v nadaljnjem besedilu: ITSP) in način vodenja zbirk osebnih podatkov, katerih upravljavec je policija.
(2) Organizacijski in logistično-tehnični postopki ter ukrepi iz prejšnjega odstavka veljajo tudi za javne uslužbence ministrstva, pristojnega za notranje zadeve (v nadaljnjem besedilu: ministrstvo), ki za izvajanje nalog uporabljajo strežniško infrastrukturo ITSP ali neposredno dostopajo do varovanih podatkov policije v ITSP, če tako določa zakon (v nadaljnjem besedilu: uporaba ITSP).«.
2. člen se spremeni tako, da se glasi:
Izrazi, uporabljeni v tem pravilniku, pomenijo:
1. »dnevnik obdelave« je zbirka o dejanjih obdelave podatkov, ki omogoča sledljivost in naknadno rekonstrukcijo obdelave podatkov v ITSP za potrebe izkazovanja zakonitosti obdelave, izvajanja notranjega nadzora, nadzorov ali drugih zakonsko določenih preverjanj s strani nadzornega organa ali drugih pristojnih organov, zagotavljanja celovitosti in varnosti osebnih podatkov ter odpravljanja napak v delovanju informacijskega sistema ali pri obdelavi osebnih podatkov;
2. »dokument« pomeni napisane, narisane, natisnjene, razmnožene, fotografirane, fotokopirane, fonografirane ali magnetno, optično oziroma kako drugače zapisane podatke;
3. »evidenca« je zbirka, ki pomeni vsak strukturiran niz osebnih podatkov, dostopnih v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;
4. »evidenca dejavnosti obdelave« je evidenca dejavnosti obdelave osebnih podatkov policije skladno z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES in z zakonom, ki ureja varstvo osebnih podatkov na področju obravnavanja kaznivih dejanj;
5. »informacijska in komunikacijska oprema« je strojna in programska oprema, vgrajena v ITSP;
6. »informacijski varnostni dogodek« je vsak dogodek, ki lahko vpliva na varnost, tajnost, celovitost in razpoložljivost ITSP ter podatkov, ki se v njem obdelujejo;
7. »ITSP« je urejena celota podatkov in informacij, metod in sredstev za neposredno opravljanje informacijske dejavnosti ter telekomunikacijska infrastruktura, ki se kot zaprt uporabniški sistem uporablja za izvedbo nalog policije in nalog ministrstva, pri katerih se uporablja ITSP;
8. »lokalni informacijski sistem« (v nadaljnjem besedilu: LIS) je urejena celota podatkov in informacij, metod in sredstev za neposredno izvajanje informacijske dejavnosti, s pomočjo katere enote policije na eni ali več delovnih postajah ali strežnikih lokalno obdelujejo podatke v ITSP;
9. »medij« pomeni vse vrste sredstev, na katerih so zapisani podatki;
10. »obdelava podatkov« je vsako dejanje ali niz dejanj, ki se izvaja v zvezi s podatki ali nizi podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;
11. »pooblaščenec za varstvo osebnih podatkov« je oseba, odgovorna za vodenje postopkov, ki jih v zvezi z uresničevanjem pravic posameznikov na področju osebnih podatkov v policiji kot upravljavcu evidenc nalagajo predpisi, ki urejajo varstvo osebnih podatkov;
12. »računalniška obdelava podatkov« je obdelava podatkov s pomočjo računalnika in z napravami, ki rabijo pomnilnik za shranjevanje celega ali dela računalniškega programa, in vseh ali dela podatkov, ki so potrebni za izvajanje tega programa;
13. »tehnični skrbnik ITSP« je notranja organizacijska enota generalne policijske uprave, ki opravlja naloge na področju celovitega načrtovanja, razvoja, upravljanja, varovanja in vzdrževanja ITSP ter evidenc, katerih upravljavec je policija;
14. »telekomunikacijska zveza« je vzpostavljena povezava za prenos elektromagnetnih signalov po žičnih ali optičnih nosilcih ali z radijskimi signali;
15. »uporabnik ITSP« je uslužbenec policije ali ministrstva, ki pri svojem delu uporablja ITSP;
16. »upravljavec evidence« je notranja organizacijska enota generalne policijske uprave, ki je vsebinska nosilka nalog policije, na podlagi katerih se obdelujejo podatki iz evidence;
17. »varnostni profil« je informacijska rešitev, ki določa obseg dostopa uporabnikov ali skupin uporabnikov do podatkov evidenc in možnosti njihove obdelave;
18. »varovan podatek policije« je osebni podatek ali drug obdelovan podatek, ki ni tajen, njegovo razkritje nepoklicanim osebam pa bi povzročilo škodo državnemu organu, poteku uradnih postopkov ali fizičnim ali pravnim osebam, zato morajo njegovo obdelavo spremljati določeni varnostni ukrepi in postopki;
19. »vir« je vhodni dokument, na podlagi katerega so bili vneseni podatki v evidenco;
20. »vodja enote« je generalni direktor policije, vodja notranje organizacijske enote generalne policijske uprave, direktor policijske uprave, vodja notranje organizacijske enote policijske uprave, načelnik območne policijske postaje ter vodja notranje organizacijske enote ministrstva, kjer se uporablja ITSP;
21. »vodja LIS« je uslužbenec policije, ki skrbi za varno lokalno obdelavo podatkov v ITSP.«.
3. člen se spremeni tako, da se glasi:
(varovan podatek policije)
(1) Varovani podatki policije so zlasti podatki:
1. ki jih policija zbira in obdeluje v svojih evidencah;
2. o policistih na delovnih mestih iz tretjega odstavka 45. člena Zakona o organiziranosti in delu v policiji (Uradni list RS, št. 15/13, 11/14, 86/15, 77/16, 77/17, 36/19, 66/19 – ZDZ, 200/20 in 172/21) in na drugih delovnih mestih, ki so izpostavljena dodatnim tveganjem in so kot taka določena v aktu o organizaciji in sistemizaciji;
3. o ogroženih uslužbencih policije;
4. o uslužbencih policije, ki pri izvajanju policijskih nalog zaradi svoje varnosti uporabljajo sredstva ali listine, s katerimi se prikrije njihova prepoznavnost ali prava identiteta;
5. o notranjevarnostnih postopkih in ukrepih policije;
6. o osebah, ki policiji pomagajo pri opravljanju njenih nalog ali prostovoljno posredujejo informacije o kaznivih dejanjih, njihovih storilcih in drugih aktivnostih, ki kažejo na kazniva dejanja;
7. o specifičnih ukrepih, metodah, tehnikah in sredstvih, ki jih policija uporablja za opravljanje njenih nalog;
8. o dokumentih policije, iz katerih je mogoče ugotoviti taktiko in metodiko dela policije ali bi njihovo razkritje lahko otežilo ali onemogočilo izvajanje policijskih nalog.
(2) Obdelavo varovanih podatkov policije morajo spremljati varnostni ukrepi in postopki, določeni s tem pravilnikom in pravilnikom, ki ureja notranjo varnost v policiji.«.
4. člen se spremeni tako, da se glasi:
(oseba, odgovorna za evidenco)
»(1) Generalni direktor policije na predlog vodje notranje organizacijske enote generalne policijske uprave, ki je upravljavec evidence, določi osebo, odgovorno za izvajanje postopkov in ukrepov za zavarovanje osebnih podatkov v posamezni evidenci.
(2) Oseba, odgovorna za posamezno evidenco, skrbi tudi za točnost podatkov v pripadajoči evidenci dejavnosti obdelav osebnih podatkov.
(3) Uslužbenci policije, ki v skladu s svojimi delovnimi nalogami obdelujejo osebne podatke v evidencah policije, skrbijo, da so osebni podatki v evidencah policije skladni z ugotovitvami, informacijami in podatki, zbranimi pri opravljanju policijskih nalog, in tako čim bolj točni, popolni, posodobljeni in zanesljivi, ter da jih popravijo, dopolnijo, uničijo ali blokirajo, ko izvedo, da je to potrebno.
(4) Pri zagotavljanju pravilnosti in skladnosti podatkov v evidencah policije, uslužbencem policije strokovno pomoč nudijo osebe, odgovorne za posamezno evidenco.«.
5. člen se spremeni tako, da se glasi:
(skrbnik evidenc dejavnosti obdelave)
Generalni direktor policije na predlog direktorja Urada za informatiko in telekomunikacije (v nadaljnjem besedilu: urad) določi skrbnika, ki skrbi za vzdrževanje evidenc dejavnosti obdelave v skladu s predpisi.«.
V 6. členu se prvi odstavek spremeni tako, da se glasi:
»(1) Generalni direktor policije na predlog direktorja urada določi pooblaščence za varstvo osebnih podatkov.«.
V 11. členu se v prvem odstavku v 6. točki besedilo »dnevnik dela« v vseh sklonih nadomesti z besedilom »dnevnik obdelave« v ustreznem sklonu.
Za 12. točko se dodata novi 13. in 14. točka, ki se glasita:
»13. pripravo in organizacijo izvajanja ozaveščanja o varni uporabi informacijske tehnologije;
14. upravljanje s kibernetskimi varnostnimi incidenti;«.
Dosedanja 13. točka postane 15. točka.
V 13. členu se drugi odstavek spremeni tako, da se glasi:
»(2) Informacijska in komunikacijska oprema mora biti praviloma v lasti policije. Če oprema ni v lasti policije, se lahko uporablja le ob predhodnem soglasju notranje organizacijske enote, pristojne za vzdrževanje ITSP, in notranje organizacijske enote za zaščito podatkov.«.
Za tretjim odstavkom se dodata nova, četrti in peti odstavek, ki se glasita:
»(4) Informacijsko in komunikacijsko opremo policije smejo uporabljati le uporabniki ITSP in osebe iz 23. člena tega pravilnika.
(5) Notranja organizacijska enota, pristojna za vzdrževanje ITSP, sme onemogočiti dostop do ITSP uporabniku, za katerega notranja organizacijska enota za zaščito podatkov oceni, da ne ravna v skladu z določbami tega pravilnika.«.
14. člen se spremeni tako, da se glasi:
Uporabniki ITSP morajo biti za delo v ITSP predhodno usposobljeni. Vsak uporabnik ITSP mora enkrat letno opraviti usposabljanje o informacijski varnostni politiki v policiji. Njihovo usposabljanje zagotovi urad.«.
15. člen se spremeni tako, da se glasi:
Na predlog upravljavca evidence generalni direktor policije izda strokovna navodila za vodenje evidence. Tehnični skrbnik ITSP najkasneje ob vzpostavitvi evidence izda tehnična navodila za uporabo računalniške aplikacije.«.
V 19. členu se v napovednem stavku za besedilom »uslužbenci policije« doda besedilo »in ministrstva, ki uporabljajo ITSP,«.
21. člen se spremeni tako, da se glasi:
Uslužbenci policije in ministrstva, ki uporabljajo opremo ITSP, s katero se obdelujejo varovani podatki, morajo ravnati na način, ki onemogoča, da bi oprema prišla v roke nepoklicani osebi. Oprema ITSP mora biti ves čas pod fizičnim nadzorom ali znotraj zaklenjenega prostora, da je preprečen nepooblaščen dostop in zagotovljena varnost opreme.«.
V 22. členu se za besedilom »objektov policije« doda besedilo »ter objektov ministrstva, kjer se uporablja ITSP,«.
V 23. členu se v naslovu črta beseda »vzdrževanja«.
V prvem odstavku se za besedilom »odnosi med policijo« doda besedilo »oziroma ministrstvom«.
V četrtem odstavku se črta besedilo »fizično,«.
V 25. členu se v napovednem stavku za besedilom »objektih policije« doda besedilo »in ministrstva, kjer se uporablja ITSP,«.
V 1. točki se za besedilom »uslužbencev policije« doda besedilo »in ministrstva«.
V 26. členu se v napovednem stavku za besedilom »objekte policije« doda besedilo »in ministrstva«.
V 27. členu se v prvem stavku pred piko doda besedilo »in nalog ministrstva, pri katerih se uporablja ITSP«.
V 33. členu se v četrtem odstavku za besedilom »Organizacijska enota ministrstva,« črta besedilo »pristojnega za notranje zadeve (v nadaljnjem besedilu: ministrstvo),«.
34. člen se spremeni tako, da se glasi:
(1) Upravljavec dnevnika obdelave določi podrobnejši način vodenja dnevnika obdelave in način evidentiranja izvedbenih ter kontrolnih posegov v ITSP.
(2) Generalni direktor policije lahko na predlog upravljavca dnevnika obdelave za spremljanje določenih podatkov iz dnevnika obdelave pisno pooblasti posameznega uslužbenca policije.«.
V 35. členu se v prvem odstavku za besedilom »uslužbenci policije« doda besedilo »in ministrstva«.
V 36. členu se v drugem odstavku v 1. točki za besedilom »uslužbencev policije« doda besedilo »in ministrstva, ki uporabljajo ITSP,«.
V 37. členu se prvi odstavek spremeni tako, da se glasi:
»(1) Generalni direktor policije ali oseba, ki jo pooblasti, lahko na pisni predlog vodje enote, ki zaradi nemotenega izvajanja nalog potrebuje delovno postajo, ki je na svetovni splet priključena mimo varnostne pregrade, odobri tak način priključitve.«.
V 38. členu se za besedilom »lokacije organizacijskih enot policije« dodata vejica in beseda »ministrstva«.
39. člen se črta.
40. člen se spremeni tako, da se glasi:
(upravljavec evidence in tehnični skrbnik ITSP)
(1) Upravljavec evidence in tehnični skrbnik ITSP sta določena v aktu o notranji organizaciji, sistemizaciji, delovnih mestih in nazivih.
(2) Organizacijska enota je lahko upravljavec ene ali več evidenc.«.
41. člen se spremeni tako, da se glasi:
Evidenco na podlagi zahteve upravljavca evidence vzpostavi tehnični skrbnik ITSP.«.
V 42. členu se prvi odstavek spremeni tako, da se glasi:
»(1) Varovani podatki policije se lahko uporabljajo le za opravljanje z zakonom določenih nalog in v skladu s predpisi, ki urejajo način obdelovanja posameznih podatkov.«.
V 43. členu se prvi odstavek spremeni tako, da se glasi:
»(1) Podatki v evidencah se hranijo v okviru rokov, določenih v zakonu. Po preteku roka hrambe se podatki, katerih upravljavec je policija, v skladu z zakonom blokirajo, anonimizirajo, brišejo oziroma psevdonimizirajo.«.
46., 47. in 48. člen se črtajo.
52. člen se črta.
V 53. členu se v prvem odstavku za besedilom »uslužbenec policije« doda besedilo »in ministrstva, ki uporablja ITSP«.
V 54. členu se v prvem odstavku za besedilom »Uslužbenec policije« doda besedilo »in ministrstva, ki uporablja ITSP,«.
V 55. členu se v prvem odstavku za besedo »pravilnika« doda besedilo »v policiji«.
Za prvim odstavkom se doda nov drugi odstavek, ki se glasi:
»(2) Nadzor nad izvajanjem tega pravilnika v ministrstvu opravlja vodja organizacijske enote, kjer se uporablja ITSP.«.
Dosedanji drugi odstavek postane tretji odstavek.
56. člen se spremeni tako, da se glasi:
(obveščanje o informacijskem varnostnem dogodku)
(1) Uporabnik ITSP, ki zazna informacijski varnostni dogodek, mora o tem nemudoma obvestiti vodjo LIS ali vodjo informacijske varnosti v policiji. Vodja LIS, ki izve za informacijski varnostni dogodek, mora o tem obvestiti notranjo organizacijsko enoto policije, pristojno za zaščito podatkov, o informacijskih varnostnih dogodkih, ki so jih zaznali uporabniki iz policije, pa tudi notranjo organizacijsko enoto policije, pristojno za notranjo varnost.«.
(2) Uporabnik ITSP mora izvesti prve nujne ukrepe za preprečitev nadaljnjih škodljivih posledic in zavarovanje sledi.«.
Ta pravilnik začne veljati petnajsti dan po objavi v Uradnem listu Republike Slovenije.
Št. 007-638/2021
Ljubljana, dne 7. marca 2022
EVA 2021-1711-0084