Pravilnik o zaščiti podatkov policije

2816. Pravilnik o zaščiti podatkov policije

Na podlagi 119. člena Zakona o nalogah in pooblastilih policije (Uradni list RS, št. 15/13) in v povezavi s 25. členom Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo) izdaja minister za notranje zadeve

P R A V I L N I K
o zaščiti podatkov policije

I. SPLOŠNE DOLOČBE

1. člen

(vsebina)

Ta pravilnik določa način vodenja evidenc, ki jih upravlja policija, pristojne osebe, ki bodo ocenile, ali bi razkritje določenega varovanega podatka policije povzročilo škodo organu, organizacijske in logično-tehnične postopke ter ukrepe za varovanje varovanih podatkov policije.

2. člen

(pomen izrazov)

V tem pravilniku uporabljeni izrazi imajo naslednji pomen:

1.

informacijski in telekomunikacijski sistem policije (v nadaljnjem besedilu: ITSP): urejena celota podatkov in informacij, metod in sredstev za neposredno opravljanje informacijske dejavnosti ter telekomunikacijska infrastruktura, ki se kot zaprt uporabniški sistem uporablja za izvedbo nalog policije;

2.

dnevnik dela: dnevnik, v katerem so evidentirani vsi dostopi do podatkov v ITSP in omogoča naknadno ugotavljanje sledljivosti dela uporabnika;

3.

dokument: vsi napisani, narisani, natisnjeni, razmnoženi, fotografirani, fotokopirani, fonografirani ali magnetno, optično oziroma kako drugače zapisani podatki;

4.

evidenca: zbirka (register, razvid, kartoteka) podatkov, ki vsebuje sistematično urejene podatke in se vodi z informacijsko ali klasično tehnologijo ter je namenjena izvajanju nalog policije;

5.

informacijski varnostni dogodek: vsak dogodek, ki lahko vpliva na varnost podatkov v informacijskem sistemu ali delovanje informacijskega sistema;

6.

katalog evidenc: katalog zbirk osebnih podatkov po zakonu, ki ureja varstvo osebnih podatkov;

7.

lokalni informacijski sistem (v nadaljnjem besedilu: LIS): urejena celota podatkov in informacij, metod in sredstev za neposredno izvajanje informacijske dejavnosti, s pomočjo katere enote policije na eni ali več delovnih postajah ali strežnikih obdelujejo podatke;

8.

medij: vse vrste sredstev, na katerih so zapisani podatki;

9.

obdelava podatkov: postopki in procesi zbiranja, hrambe, posredovanja, uporabe, uničenja in drugega delovanja v zvezi s podatki;

10.

odgovorni nosilec evidence: notranja organizacijska enota generalne policijske uprave, ki je na podlagi notranje delitve dela v policiji nosilka nalog policije, o katerih se zbirajo podatki v evidenci;

11.

računalniška obdelava podatkov: obdelava podatkov s pomočjo računalnika in z napravami, ki rabijo pomnilnik za shranjevanje celega ali dela računalniškega programa, in vseh ali dela podatkov, ki so potrebni za izvajanje tega programa;

12.

skrbnik evidence: notranja organizacijska enota generalne policijske uprave, odgovorna za obdelavo osebnih podatkov;

13.

telekomunikacijska zveza: vzpostavljena povezava za prenos elektromagnetnih signalov po žičnih ali optičnih nosilcih ali z radijskimi signali;

14.

uporabnik ITSP: uslužbenec policije, ki uporablja varovane podatke pri opravljanju svojih delovnih nalog;

15.

varnostni profil: določa obseg dostopa uporabnikov ali skupin uporabnikov do podatkov evidenc in možnosti njihove obdelave;

16.

vir: vhodni dokument, na osnovi katerega so bili vneseni podatki v evidenco;

17.

vodja enote: generalni direktor policije, vodja notranje organizacijske enote generalne policijske uprave, direktor policijske uprave, vodja notranje organizacijske enote policijske uprave ter komandir območne policijske postaje;

18.

vodja LIS: uslužbenec policije, ki skrbi za varno obdelavo podatkov v okviru LIS.

3. člen

(varovan podatek)

(1)

Varovan podatek je osebni podatek ali drug obdelovan podatek, ki ni tajen, njegovo razkritje nepoklicanim osebam pa bi povzročilo škodo državnemu organu, poteku uradnih postopkov ali fizičnim ali pravnim osebam, zato morajo njegovo obdelavo spremljati določeni varnostni ukrepi in postopki. Varovani podatki policije so zlasti podatki:

1.

ki jih policija zbira in obdeluje v svojih evidencah;

2.

o policistih na delovnih mestih iz tretjega odstavka 45. člena Zakona o organiziranosti in delu v policiji (Uradni list RS, št. 15/13 in 11/14) in na drugih delovnih mestih, ki so izpostavljena dodatnim tveganjem in so kot taka določena v aktu o organizaciji in sistemizaciji;

3.

o ogroženih uslužbencih policije;

4.

o uslužbencih policije, ki pri izvajanju policijskih nalog zaradi svoje varnosti uporabljajo sredstva ali listine, s katerimi se prikrije njihova prepoznavnost ali prava identiteta;

5.

o notranjevarnostnih postopkih in ukrepih policije;

6.

o osebah, ki policiji pomagajo pri opravljanju njenih nalog ali prostovoljno posredujejo informacije o kaznivih dejanjih, njihovih storilcih in drugih aktivnostih, ki kažejo na kazniva dejanja;

7.

o specifičnih ukrepih, metodah, tehnikah in sredstvih, ki jih policija uporablja za opravljanje njenih nalog;

8.

o dokumentih policije, iz katerih je mogoče ugotoviti taktiko in metodiko dela policije ali bi njihovo razkritje lahko otežilo ali onemogočilo izvajanje policijskih nalog.

(2)

Obdelavo varovanih podatkov morajo spremljati varnostni ukrepi in postopki, določeni s tem pravilnikom in pravilnikom, ki ureja notranjo varnost v policiji.

II. POOBLASTILA

4. člen

(oseba, odgovorna za evidenco)

Generalni direktor policije na predlog vodje notranje organizacijske enote generalne policijske uprave, ki je odgovorni nosilec evidence, določi osebo, odgovorno za posamezno evidenco, ki skrbi, da je obdelava osebnih podatkov v evidenci v skladu s predpisi in navodili.

5. člen

(skrbnik kataloga evidenc)

Generalni direktor policije, na predlog direktorja Urada za informatiko in telekomunikacije (v nadaljnjem besedilu: urad), določi skrbnika kataloga evidenc, ki skrbi za vzdrževanje kataloga evidenc, prijavlja evidence, ki jih vodi policija, državnemu organu, pristojnemu za varstvo osebnih podatkov, objavlja katalog evidenc na spletni in intranetni strani policije ter opravlja druge naloge v zvezi z vodenjem kataloga.

6. člen

(pooblaščenec za varstvo osebnih podatkov)

(1)

Generalni direktor policije na predlog direktorja urada določi pooblaščence za vodenje postopkov, ki jih v zvezi z uresničevanjem pravic posameznikov na področju osebnih podatkov v policiji kot upravljavcu evidenc nalaga zakon.

(2)

Pooblaščencem iz prejšnjega odstavka pri delu strokovno pomoč nudijo odgovorne osebe iz 4. člena tega pravilnika.

7. člen

(glavni skrbnik varnostnih profilov)

(1)

Generalni direktor policije za upravljanje z varnostnimi profili pooblasti uslužbenca urada (v nadaljnjem besedilu: glavni skrbnik varnostnih profilov).

(2)

Varnostni profil dodeli glavni skrbnik varnostnih profilov ali uslužbenec policije, ki ga določi glavni skrbnik varnostnih profilov. Postopek se izvede pisno ali z ustrezno programsko opremo, ki omogoča sledljivost postopka.

8. člen

(vodja LIS)

(1)

Vodje enot določijo število LIS, notranje organizacijske enote, ki jih sestavljajo, ter vodje LIS.

(2)

Naloge vodje LIS so:

1.

svetovanje in pomoč uporabnikom ITSP;

2.

skrb za varno uporabo opreme ITSP;

3.

oblikovanje in vodenje seznama opreme ITSP, seznama uporabnikov in njihovih pravic;

4.

opravljanje manjših vzdrževalnih del na opremi ITSP;

5.

sodelovanje pri instalacijah delovnih postaj;

6.

prijava okvar strojne in programske opreme;

7.

skrb za kopijo podatkov LIS, ki niso zajeti v sistem centralnega kopiranja;

8.

druge naloge v zvezi z varovanjem LIS.

9. člen

(vodja informacijske varnosti)

(1)

Za izvajanje predpisov o varovanju podatkov v ITSP so odgovorni vodja informacijske varnosti in lokalni vodje informacijske varnosti. Njihove naloge so:

1.

nadzor stanja na področju varovanja podatkov v ITSP;

2.

nadzor izvajanja varnostnih ukrepov pri varovanju podatkov;

3.

odrejanje ukrepov za zagotavljanje varnosti podatkov v ITSP;

4.

vodenje razvida informacijskih varnostnih dogodkov;

5.

vodenje seznamov pooblastil za samostojen vstop v prostore ITSP, v katerih so nameščene ključne sestavine ITSP;

6.

druge naloge v zvezi z varovanjem ITSP.

(2)

Lokalni vodja informacijske varnosti mora o vseh informacijskih varnostnih dogodkih v LIS obveščati vodjo informacijske varnosti in notranjo organizacijsko enoto, pristojno za zaščito podatkov.

(3)

Razvid gesel oziroma osebnih šifer, ki niso sestavni del osrednjega sistema kontrole in evidentiranja dostopa do varovanih podatkov in drugih virov ITSP, vodi za svojo notranjo organizacijsko enoto lokalni vodja informacijske varnosti, hrani pa ga v kovinski omari, ki je tehnično varovana, ali v zaklenjeni ter zapečateni kovinski blagajni s šifro.

10. člen

(skrbnik kriptografske opreme)

(1)

Generalni direktor policije določi skrbnika kriptografske opreme, ki je odgovoren za upravljanje s kriptografsko opremo ter za pravilno obdelovanje in hranjenje kriptografskega materiala.

(2)

S kriptografsko opremo smejo upravljati le za to usposobljeni uslužbenci policije.

11. člen

(pristojnost enote, pristojne za zaščito podatkov)

(1)

Notranja organizacijska enota, pristojna za zaščito podatkov, je v skladu s tem pravilnikom pristojna za:

1.

pripravo informacijske varnostne politike;

2.

izdelavo načrtov varovanja, ocen varnostnih tveganj in varnostnih navodil v ITSP;

3.

določanje standardov za informacijsko in komunikacijsko opremo, namenjeno varovanju in zaščiti podatkov v ITSP;

4.

izvajanje nadzora dostopov do ITSP;

5.

upravljanje s sistemom kontrole in evidentiranja dostopa do podatkov in drugih virov ITSP;

6.

upravljanje z dnevnikom dela (v nadaljnjem besedilu: upravljavec dnevnika dela);

7.

upravljanje z razvidom uporabnikov ITSP, iz katerega morajo biti razvidne pravice uporabnika ITSP, ki dostopa do posameznih podatkov;

8.

potrjevanje povezovanja preko namenskih povezovalnih točk v ITSP;

9.

upravljanje z varnostnimi mehanizmi in varnostnimi pregradami ITSP;

10.

določanje načinov neposredne povezave in varovanje te povezave;

11.

odobritev uporabe kriptografske opreme;

12.

pripravljanje mnenj, na osnovi katerih generalni direktor odloča, ali lahko izjemoma s sistemom kontrole in evidentiranja dostopa do podatkov in drugih virov LIS upravlja notranja organizacijska enota, ki uporablja določen LIS;

13.

druge naloge v zvezi z zaščito podatkov policije.

(2)

Notranja organizacijska enota, pristojna za zaščito podatkov, vodi razvid oseb, pristojnih za izvajanje nalog iz 4., 8., 9. in 10. člena tega pravilnika. Razvid vsebuje podatke o osebnem imenu uslužbenca policije, notranji organizacijski enoti, v kateri je zaposlen, in pristojnosti oziroma nalogi.

12. člen

(posegi v ITSP)

Notranja organizacijska enota, pristojna za vzdrževanje ITSP, mora pred vsakim posegom, ki spreminja arhitekturo ITSP, pridobiti pisno mnenje notranje organizacijske enote, pristojne za zaščito podatkov.

13. člen

(oprema, vgrajena v ITSP)

(1)

Informacijska in komunikacijska oprema, ki je vgrajena v ITSP, mora biti skladu s standardi, ki jih določi urad.

(2)

Informacijska in komunikacijska oprema mora biti praviloma v lasti policije. Če oprema ni v lasti policije, se lahko uporablja ob predhodnem soglasju notranje organizacijske enote, pristojne za vzdrževanje ITSP.

(3)

Kdo sme vgrajevati, vzdrževati in odstranjevati strojno opremo v ITSP, določi notranja organizacijska enota, pristojna za vzdrževanje ITSP, v soglasju z notranjo organizacijsko enoto, pristojno za zaščito podatkov.

14. člen

(usposabljanje)

(1)

Opremo ITSP lahko uporabljajo le za to usposobljeni uslužbenci policije. Poleg neposrednih uporabnikov imajo dostop do opreme ITSP tudi uslužbenci policije, ki to opremo vzdržujejo, ter osebe iz 23. člena tega pravilnika.

(2)

Administratorji ter drugi uporabniki ITSP morajo biti usposobljeni za delo v ITSP. Njihovo usposabljanje zagotovi urad.