Na podlagi sedmega odstavka 35.b člena in za izvrševanje 35.c člena, 35.d člena ter druge alineje tretjega odstavka 43.b člena Zakona o tajnih podatkih (Uradni list RS, št. 50/06 – uradno prečiščeno besedilo, 9/10, 60/11, 8/20 in 18/23 – ZDU-1O) Vlada Republike Slovenije izdaja
o varnostnem preverjanju in izdaji varnostnega dovoljenja organizaciji
Ta uredba podrobneje določa način in postopek ugotavljanja izpolnjevanja pogojev za izdajo varnostnega dovoljenja, vrste varnostnih dovoljenj in vsebino varnostnega vprašalnika za organizacije iz tretjega odstavka 1. člena Zakona o tajnih podatkih (Uradni list RS, št. 50/06 – uradno prečiščeno besedilo, 9/10, 60/11, 8/20 in 18/23 – ZDU-1O; v nadaljnjem besedilu: zakon) ter ureja postopek vmesnega varnostnega preverjanja, postopek izdaje in preklica varnostnega dovoljenja ter postopek izdaje in preklica varnostnega dovoljenja organizacijam za dostop do tujih tajnih podatkov.
(vrste varnostnih dovoljenj)
Organizacija obravnava in varuje tajne podatke na način in le do določene stopnje tajnosti, kar glede na vsebino predloga podrobno opredeli pristojni organ v izdanem varnostnem dovoljenju:
– varnostno dovoljenje za obravnavanje in varovanje tajnih podatkov stopnje tajnosti INTERNO v lastnem upravnem območju;
– varnostno dovoljenje za obravnavanje in varovanje tajnih podatkov stopnje tajnosti INTERNO v upravnem območju organa, za katerega organizacija izvaja tajno naročilo ali sodeluje v postopku izvajanja tajnega naročila (v nadaljnjem besedilu: naročnik);
– varnostno dovoljenje za obravnavanje in varovanje tajnih podatkov stopnje tajnosti INTERNO v lastnem upravnem območju ter tajnih podatkov stopnje tajnosti ZAUPNO in višje v varnostnem območju naročnika;
– varnostno dovoljenje za obravnavanje in varovanje tajnih podatkov stopnje tajnosti ZAUPNO in višje v varnostnem območju naročnika;
– varnostno dovoljenje za obravnavanje in varovanje tajnih podatkov stopnje tajnosti ZAUPNO in višje v lastnem varnostnem območju.
II. VARNOSTNO DOVOLJENJE ORGANIZACIJE
(začetek postopka za ugotavljanje izpolnjevanja pogojev)
(1) Pristojni predlagatelj poda predlog za začetek postopka varnostnega preverjanja za izdajo varnostnega dovoljenja organizaciji na obrazcu P-1, ki je kot Priloga 1 sestavni del te uredbe. Predlogu priloži izpolnjena varnostni vprašalnik za organizacije in soglasje za varnostno preverjanje organizacije, ki sta na obrazcih P-2 in P-3 kot Priloga 2 in Priloga 3 sestavna dela te uredbe, in druge listine iz tretjega odstavka 35.a člena zakona ter soglasji za preverjanje povezanih oseb organizacije iz 15. točke 2. člena zakona na obrazcih P-4 in P-5, ki sta kot Priloga 4 in Priloga 5 sestavna dela te uredbe.
(2) Če pristojni predlagatelj poda predlog za organizacijo, ki ni pravna oseba, ki na trgu samostojno opravlja pridobitno dejavnost kot svojo izključno dejavnost in je njena lastnica Republika Slovenija, tajne podatke pa bo obravnavala pri naročniku, se varnostno preverjanje opravi le za osebe, ki bodo sodelovale pri tajnem naročilu tajne narave.
(3) Nacionalni varnostni organ v primerih iz prejšnjega odstavka na zaprosilo pristojnega predlagatelja izda potrdilo, da organizacija izpolnjuje pogoje za varno obravnavanje tajnih podatkov pri naročniku.
(preverjanje izpolnjevanja pogojev)
(1) Preden začne pristojni organ postopek varnostnega preverjanja organizacije, pri nacionalnem varnostnem organu preveri:
– ali so bila organizaciji izdana varnostna dovoljenja in njihovo veljavnost;
– ali so bila organizaciji varnostna dovoljenja zavrnjena, preklicana oziroma ali je organizacija v postopku vmesnega varnostnega preverjanja.
(2) Za osebe, ki bodo v organizaciji imele dostop do tajnih podatkov stopnje tajnosti ZAUPNO ali višje, pristojni predlagatelj predloži zahtevane podatke ter izpolnjene obrazce, določene v predpisih, ki urejajo postopek varnostnega preverjanja in izdajo dovoljenj za dostop do tajnih podatkov.
(3) Za osebe, ki bodo imele v organizaciji dostop do tajnih podatkov stopnje tajnosti INTERNO, pristojni predlagatelj poleg zahtevanih podatkov iz prejšnjega odstavka predloži zahtevane podatke ter izpolnjene obrazce, določene v predpisih, ki urejajo postopek varnostnega preverjanja in izdajo dovoljenj za dostop do tajnih podatkov, vključno s soglasjem za izvedbo varnostnega preverjanja oseb na obrazcu P-6, ki je kot Priloga 6 sestavni del te uredbe.
(4) Uradna oseba pristojnega organa zaradi ugotavljanja izpolnjevanja pogojev iz drugega odstavka 35.b člena zakona v organizaciji, ki bo tajne podatke obravnavala in varovala v lastnem upravnem ali varnostnem območju, opravi ogled prostorov ter preveri ustreznost njihovega varovanja v skladu z uredbo, ki ureja varovanje tajnih podatkov.
(izdaja varnostnega dovoljenja)
(1) Če v postopku varnostnega preverjanja ni bilo ugotovljeno neizpolnjevanje predpisanih pogojev iz drugega odstavka 35.b člena zakona oziroma če ne obstajajo razlogi, ki bi vzbujali utemeljen dvom glede ustreznosti varovanja tajnih podatkov, pristojni organ preverjeni organizaciji izda varnostno dovoljenje.
(2) Ob ugotovljenem neizpolnjevanju predpisanih pogojev iz drugega odstavka 35.b člena zakona oziroma če obstajajo razlogi, ki bi vzbujali utemeljen dvom glede ustreznosti varovanja tajnih podatkov, pristojni organ izda odločbo, s katero zavrne izdajo varnostnega dovoljenja.
(3) Pristojni organ o izdanih varnostnih dovoljenjih ali zavrnjenih predlogih za izdajo varnostnega dovoljenja obvesti nacionalni varnostni organ. Obvestilo mora vsebovati podatke iz 3. in 4. točke prvega odstavka 43.e člena zakona.
(1) Če pristojni predlagatelj ali nacionalni varnostni organ na podlagi spremenjenih okoliščin oceni, da obstaja utemeljen dvom glede izpolnjevanja predpisanih pogojev za varno obravnavanje in varovanje tajnih podatkov v organizaciji, oziroma če obstajajo razlogi, ki bi vzbujali utemeljen dvom glede ustreznosti varovanja tajnih podatkov, pristojnemu organu predlaga izvedbo postopka vmesnega varnostnega preverjanja organizacije. Pristojni organ lahko postopek vmesnega varnostnega preverjanja začne tudi po uradni dolžnosti.
(2) Pristojni predlagatelj, nacionalni varnostni organ ali pristojni organ mora organizacijo, za katero predlaga vmesno varnostno preverjanje, s tem tudi pisno seznaniti. Pristojni organ pa organizacijo, ki jo je treba vmesno varnostno preveriti, pozove k podaji soglasja za vmesno varnostno preverjanje na obrazcu P-7, ki je kot Priloga 7 sestavni del te uredbe, ter jo hkrati opozori na posledice neizpolnitve soglasja iz petega odstavka 35.d člena zakona.
(3) Če pristojni predlagatelj, naročnik ali nacionalni varnostni organ oziroma pristojni organ oceni, da organizacija zaradi spremenjenih okoliščin ne izpolnjuje več pogojev za varno obravnavanje in varovanje tajnih podatkov, lahko pristojnemu inšpektoratu predlaga, da odredi nujne ukrepe za zagotovitev varovanja tajnih podatkov.
(4) Ob ugotovljenem neizpolnjevanju predpisanih pogojev iz drugega odstavka 35.b člena zakona oziroma če obstajajo razlogi, ki bi vzbujali utemeljen dvom glede ustreznosti varovanja tajnih podatkov, pristojni organ izda odločbo, s katero varnostno dovoljenje organizaciji prekliče. Če je organizacija imetnica še drugih varnostnih dovoljenj, se prekličejo tudi ta dovoljenja, če zanje glede na ugotovitve vmesnega varnostnega preverjanja niso več izpolnjeni pogoji za varno obravnavanje in varovanje tajnih podatkov. Če v postopku vmesnega varnostnega preverjanja neizpolnjevanje predpisanih pogojev iz drugega odstavka 35.b člena zakona oziroma morebitni obstoj razlogov, ki bi vzbujali utemeljen dvom glede ustreznosti varovanja tajnih podatkov, niso potrjeni, varnostna dovoljenja ostanejo v veljavi.
(5) Pristojni organ o preklicu varnostnega dovoljenja obvesti pristojnega predlagatelja, naročnika in nacionalni varnostni organ. Obvestilo, poslano nacionalnemu varnostnemu organu, mora vsebovati podatke iz 3. točke prvega odstavka 43.e člena zakona.
(nadzor med izvajanjem tajnega naročila)
(1) Organizacija ves čas trajanja tajnega naročila omogoči naročniku in pristojnemu organu preverjanje izvajanja postopkov in ukrepov za obravnavanje in varovanje tajnih podatkov.
(2) Za preverjanje izvajanja postopkov in ukrepov obravnavanja in varovanja tajnih podatkov se smiselno uporabljajo določbe uredbe, ki ureja notranji nadzor nad izvajanjem zakona in drugih predpisov, sprejetih na njegovi podlagi.
III. VARNOSTNO DOVOLJENJE ORGANIZACIJE ZA DOSTOP DO TUJIH TAJNIH PODATKOV
(vrste varnostnih dovoljenj)
Organizacija obravnava in varuje tajne podatke zveze NATO in tajne podatke Evropske unije (v nadaljnjem besedilu: tuji tajni podatki) na način in le do določene stopnje tajnosti, kar podrobno opredeli nacionalni varnostni organ v izdanem varnostnem dovoljenju organizaciji za dostop do tujih tajnih podatkov:
– varnostno dovoljenje za obravnavanje in varovanje tujih tajnih podatkov stopnje tajnosti INTERNO v lastnem upravnem območju;
– varnostno dovoljenje za obravnavanje in varovanje tujih tajnih podatkov stopnje tajnosti INTERNO v upravnem območju naročnika;
– varnostno dovoljenje za obravnavanje in varovanje tujih tajnih podatkov stopnje tajnosti INTERNO v lastnem upravnem območju ter tajnih podatkov stopnje tajnosti ZAUPNO in višje v varnostnem območju naročnika;
– varnostno dovoljenje za obravnavanje in varovanje tujih tajnih podatkov stopnje tajnosti ZAUPNO in višje v varnostnem območju naročnika;
– varnostno dovoljenje za obravnavanje in varovanje tujih tajnih podatkov stopnje tajnosti ZAUPNO in višje v lastnem varnostnem območju.
(predlog za izdajo varnostnega dovoljenja)
(1) Pristojni predlagatelj poda predlog za izdajo varnostnega dovoljenja organizaciji za dostop do tujih tajnih podatkov na obrazcu P-8, ki je kot Priloga 8 sestavni del te uredbe.
(2) Za osebe, ki bodo v organizaciji imele dostop do tujih tajnih podatkov stopnje tajnosti INTERNO oziroma bodo v organizaciji dostopale do tujih tajnih podatkov stopnje tajnosti ZAUPNO ali višje, pristojni predlagatelj predloži zahtevane podatke ter izpolnjene obrazce, določene v predpisih, ki urejajo postopek varnostnega preverjanja in izdajo dovoljenj za dostop do tajnih podatkov.
(1) Nacionalni varnostni organ izda organizaciji varnostno dovoljenje za dostop do tujih tajnih podatkov, če slednja izpolnjuje pogoje iz prvega odstavka 43.d člena zakona. V primeru neizpolnjevanja v zakonu določenih pogojev se izdaja varnostnega dovoljenja za dostop do tujih tajnih podatkov zavrne.
(2) Varnostno dovoljenje za dostop do tujih tajnih podatkov se vroči organizaciji in pristojnemu predlagatelju.
(3) Nacionalni varnostni organ na podlagi pisnega predloga pristojnega predlagatelja ali na predlog naročnika izda organizaciji potrdilo o veljavnem varnostnem dovoljenju za dostop do tujih tajnih podatkov, skupaj s prevodom v angleškem jeziku.
(4) Če je v času veljavnosti varnostnega dovoljenja organizacije za dostop do tujih tajnih podatkov zoper organizacijo uveden postopek vmesnega varnostnega preverjanja iz 35.d člena zakona, ji pristojni predlagatelj oziroma naročnik z izdajo pisnega sklepa do zaključka postopka vmesnega varnostnega preverjanja onemogoči obravnavanje in varovanje tujih tajnih podatkov ter o tem obvesti nacionalni varnostni organ. Organizacija pa je dolžna o izdanem sklepu obvestiti vse organe, za katere izvaja naročilo tajne narave.
(preklic varnostnega dovoljenja)
(1) Če organizacija, ki ji je bilo izdano varnostno dovoljenje za dostop do tujih tajnih podatkov, ne izpolnjuje več pogojev iz 43.d člena zakona, pristojni organ, pristojni predlagatelj ali naročnik o tem pisno obvesti nacionalni varnostni organ. Obvestilo se šteje kot predlog za preklic varnostnega dovoljenja za dostop do tujih tajnih podatkov.
(2) Predlog iz prejšnjega odstavka vsebuje te podatke: podatke o organizaciji, navedbo mednarodne organizacije za dostop do tujih tajnih podatkov, za katere je bilo dovoljenje izdano, stopnjo tajnosti, številko varnostnega dovoljenja in razlog za preklic varnostnega dovoljenja.
(3) Preklic varnostnega dovoljenja za dostop do tujih tajnih podatkov se vroči organizaciji, ki ji je bilo dovoljenje preklicano, pristojnemu predlagatelju in naročniku.
Z dnem uveljavitve te uredbe preneha veljati Uredba o načinu in postopku ugotavljanja pogojev za izdajo varnostnega dovoljenja organizaciji (Uradni list RS, št. 70/07).
Ta uredba začne veljati petnajsti dan po objavi v Uradnem listu Republike Slovenije.
Št. 00701-4/2024
Ljubljana, dne 17. oktobra 2024
EVA 2023-1535-0001
Vlada Republike Slovenije