Uredba o varovanih podatkih pristojnega nacionalnega organa za informacijsko varnost

Varovani podatek mora biti jasno in nedvoumno označen v skladu z določbami tega člena, ne glede na nosilec, na katerem je shranjen. Če je varovani podatek na dokumentu v fizični obliki, mora biti predpisana oznaka vsaj na prvi oziroma naslovni strani dokumenta in se mora jasno razlikovati od drugih zapisov. Za zapis oznake se uporabijo poudarjene velike tiskane črke v velikosti pisave 14, ki morajo biti večje od črk drugih zapisov. Če je varovani podatek na drugih nosilcih (na primer zemljevidi, fotografije, CD/DVD, USB-ključ) varovanih podatkov, morata biti oznaki varovanega podatka in njegove stopnje na nosilcu podatkov vidno natiskani, natipkani, napisani, naslikani, nalepljeni ali kako drugače pritrjeni s primernimi sredstvi.

Za označevanje varovanih podatkov se uporablja oznaka »VAROVANI PODATEK URSIV« različnih stopenj.

Oznake varovanih podatkov so naslednje: VAROVANI PODATEK URSIV 1. STOPNJE, VAROVANI PODATEK URSIV 2. STOPNJE in VAROVANI PODATEK URSIV 3. STOPNJE.

Varovani podatek z oznako »VAROVANI PODATEK URSIV 3. STOPNJE« se lahko deli v skupnosti, vendar ne javno. Prejemnik varovanega podatka lahko tega deli z drugim posameznikom, ki je zaposlen v prejemniku in s svojim pogodbenim partnerjem, vendar v obeh primerih le, če je izkazana njuna potreba po seznanitvi.

Varovani podatek z oznako »VAROVANI PODATEK URSIV 2. STOPNJE« se lahko deli le s posamezniki v prejemniku varovanega podatka, če je izkazana njihova potreba po seznanitvi.

Ne glede na določbe prejšnjega odstavka lahko prejemnik varovanega podatka z oznako »VAROVANI PODATEK URSIV 2. STOPNJE« tak podatek v omejenem obsegu deli v skupnosti, ko je to potrebno zaradi odvračanja neposredne nevarnosti za varnost omrežij in informacijskih sistemov zavezancev iz 6. člena ZInfV-1 ter za izvedbo nujnih ukrepov kibernetske obrambe, če nevarnosti ni mogoče odvrniti drugače. Omejeni obseg pomeni, da se ne razkrijejo pošiljatelj podatka in druge informacije, ki niso nujne za odvračanje neposredne nevarnosti za varnost omrežij in informacijskih sistemov zavezancev ter izvedbo nujnih ukrepov kibernetske obrambe. Pri tem mora prejemnik o nadaljnjem deljenju tega varovanega podatka obvestiti pristojni nacionalni organ.

Varovani podatek z oznako »VAROVANI PODATEK URSIV 1. STOPNJE« lahko prejmejo le natančno določeni posamezniki, ki so neposredni naslovniki takega podatka in so zaposleni pri subjektu, ki je del skupnosti iz 4. točke 3. člena te uredbe. Deljenje takega podatka z osebami, ki niso med naslovniki, ni dovoljeno.

Prejemniki varovanega podatka tega ne smejo deliti z drugimi subjekti ali posamezniki zunaj obsega, določenega za posamezne oznake stopenj varovanega podatka v skladu z določbami tega člena.

Če pristojni nacionalni organ oceni, da ne gre več za varovani podatek v skladu z zakonom, ki ureja informacijsko varnost, je treba oznako iz prvega odstavka tega člena prečrtati ali kako drugače označiti, da podatek ne šteje več za varovanega. Ob prečrtani oznaki se navedeta datum označitve, da se podatek ne šteje več za varovanega, in podpis osebe, ki je določila prenehanje statusa varovanega podatka.

Če pristojni nacionalni organ oceni, da je treba označitev varovanega podatka spremeniti, je treba oznako iz tretjega odstavka tega člena prečrtati in varovani podatek označiti s spremenjeno oznako. Ob prečrtani oznaki in novi oznaki se navedeta datum spremembe označitve in podpis osebe, ki je izvedla spremembo.

V primerih iz prejšnjega in devetega odstavka pristojni nacionalni organ v petih delovnih dneh obvesti prejemnike takega podatka.

Oznaka »VAROVANI PODATEK URSIV« ne nadomešča oznake semaforskega protokola. Podatek, označen po navedenem protokolu, to oznako ohrani. Dodatna oznaka podatka z »VAROVANI PODATEK URSIV« ne sme biti nižja od primerljive oznake semaforskega protokola.