Pravilnik o zaščiti podatkov policije

703. Pravilnik o zaščiti podatkov policije

Na podlagi 57. in 59. člena Zakona o policiji (Uradni list RS, št. 66/09 – uradno prečiščeno besedilo in 22/10) in v povezavi s 25. členom Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo) izdaja ministrica za notranje zadeve

P R A V I L N I K
o zaščiti podatkov policije

I. SPLOŠNI DOLOČBI

1. člen

(vsebina pravilnika)

S tem pravilnikom se določa način vodenja policijskih evidenc, katerih upravljavka je policija (v nadaljnjem besedilu: evidence), organizacijske in logično-tehnične postopke ter ukrepe za varovanje varovanih podatkov policije.

2. člen

(pomen izrazov)

V tem pravilniku uporabljeni izrazi imajo naslednji pomen:

1.

varovan podatek: osebni podatek, ali drug obdelovan podatek, ki ni tajni podatek, njegovo razkritje nepoklicanim osebam pa bi povzročilo škodo organu, poteku uradnih postopkov ali fizičnim oziroma pravnim osebam, zato mora njegovo obdelavo spremljati izvajanje določenih varnostnih ukrepov in postopkov;

2.

evidenca: zbirka (register, razvid, kartoteka) podatkov, ki vsebuje sistematično urejene podatke in se vodi z informacijsko ali klasično tehnologijo ter je namenjena izvajanju nalog policije;

3.

dokument: vsi napisani, narisani, natisnjeni, razmnoženi, fotografirani, fotokopirani, fonografirani ali magnetno, optično oziroma kako drugače zapisani podatki;

4.

medij: vse vrste sredstev, na katerih so zapisani podatki;

5.

obdelava podatkov: postopki in procesi zbiranja, hrambe, posredovanja, uporabe, uničenja in drugega delovanja v zvezi s podatki;

6.

računalniška obdelava podatkov: obdelava podatkov s pomočjo računalnika in z napravami, ki rabijo pomnilnik za shranjevanje celega ali dela računalniškega programa, in vseh ali dela podatkov, ki so potrebni za izvajanje tega programa;

7.

informacijski in telekomunikacijski sistem policije (v nadaljnjem besedilu: ITSP): urejena celota podatkov in informacij, metod in sredstev za neposredno opravljanje informacijske dejavnosti ter telekomunikacijska infrastruktura, ki se kot zaprt uporabniški sistem uporablja za izvedbo nalog policije;

8.

lokalni informacijski sistem (v nadaljnjem besedilu: LIS): urejena celota podatkov in informacij, metod in sredstev za neposredno izvajanje informacijske dejavnosti, s pomočjo katere organizacijske enote policije na eni ali več delovnih postajah ali strežnikih obdelujejo podatke;

9.

vodja LIS: delavec policije, ki skrbi za varno obdelavo podatkov v okviru LIS;

10.

vodja enote: vodja notranje organizacijske enote generalne policijske uprave, direktor policijske uprave, vodja notranje organizacijske enote policijske uprave ter komandir policijske postaje;

11.

telekomunikacijska zveza: vzpostavljena povezava za prenos elektromagnetnih signalov po žičnih ali optičnih nosilcih ali z radijskimi signali;

12.

odgovorni nosilec evidence: organizacijska enota generalne policijske uprave, ki je na podlagi notranje delitve dela v policiji nosilka nalog policije, o katerih se zbirajo podatki v evidenci;

13.

skrbnik evidence: organizacijska enota generalne policijske uprave, ki je odgovorna za obdelavo osebnih podatkov;

14.

uporabnik ITSP: delavec policije, ki uporablja varovane podatke pri opravljanju svojih delovnih nalog;

15.

varnostni profil: določa obseg dostopa uporabnikov ali skupin uporabnikov do podatkov evidenc in možnosti njihove obdelave;

16.

vir: vhodni dokument, na osnovi katerega so bili vneseni podatki v evidenco;

17.

katalog evidenc: katalog zbirk osebnih podatkov po zakonu, ki ureja varstvo osebnih podatkov;

18.

informacijski varnostni dogodek: vsak dogodek, ki lahko vpliva na varnost podatkov v informacijskem sistemu ali delovanje informacijskega sistema;

19.

dnevnik dela: dnevnik, v katerem so evidentirani vsi dostopi do podatkov v ITSP in ki omogoča naknadno ugotavljanje sledljivosti dela uporabnika.

II. POOBLASTILA

3. člen

(odgovorna oseba evidence)

(1)

Generalni direktor policije na predlog vodje notranje organizacijske enote generalne policijske uprave, ki je odgovorni nosilec evidence, določi osebo, odgovorno za posamezno evidenco.

(2)

Odgovorna oseba iz prejšnjega odstavka skrbi, da je obdelava osebnih podatkov v evidenci skladna s predpisi in navodili.

4. člen

(skrbnik kataloga evidenc)

(1)

Generalni direktor policije, na predlog direktorja Urada za informatiko in telekomunikacije GPU (v nadaljnjem besedilu: urad), določi skrbnika kataloga evidenc za opravljanje operativno-tehničnih in organizacijskih nalog s področja vodenja kataloga.

(2)

Skrbnik kataloga evidenc skrbi za vzdrževanje kataloga evidenc, prijavlja evidence, ki jih vodi policija, državnemu organu, pristojnemu za varstvo osebnih podatkov, objavlja katalog evidenc na spletni in intranetni strani policije in opravlja druge naloge v zvezi z vodenjem kataloga.

5. člen

(pooblaščenec za varstvo osebnih podatkov)

(1)

Generalni direktor policije na predlog direktorja urada določi pooblaščenca za vodenje posameznih postopkov, ki jih v zvezi z uresničevanjem pravic posameznikov na področju osebnih podatkov policiji kot upravljavcu evidenc nalaga zakon.

(2)

Pooblaščencu pri delu strokovno pomoč nudijo odgovorne osebe iz 3. člena tega pravilnika.

(3)

Pooblaščenec pisno poroča generalnemu direktorju policije o uresničevanju pravic posameznikov v roku, ki je določen za izdelavo letnega poročila o delu policije.

6. člen

(glavni skrbnik varnostnih profilov)

(1)

Generalni direktor policije za upravljanje z varnostnimi profili pooblasti delavca urada (v nadaljnjem besedilu: glavni skrbnik varnostnih profilov).

(2)

Varnostni profil dodeli glavni skrbnik varnostnih profilov ali delavec policije, ki ga določi glavni skrbnik varnostnih profilov. Postopek se izvede pisno ali z ustrezno programsko opremo, ki omogoča sledljivost postopka.

7. člen

(vodja lokalnega informacijskega sistema)

(1)

Vodje enot določijo število LIS, katere notranje organizacijske enote jih sestavljajo ter vodje LIS.

(2)

Naloge vodje LIS so:

1.

svetovanje in pomoč uporabnikom ITSP;

2.

skrb za varno uporabo opreme ITSP;

3.

oblikovanje in vodenje seznama opreme ITSP, seznama uporabnikov in njihovih pravic;

4.

opravljanje manjših vzdrževalnih del na opremi ITSP;

5.

sodelovanje pri instalacijah delovnih postaj;

6.

prijava okvar strojne in programske opreme;

7.

skrb za kopijo podatkov LIS, ki niso zajeti v sistem centralnega kopiranja;

8.

druge naloge v zvezi z varovanjem lokalnega informacijskega sistema.

8. člen

(vodja informacijske varnosti)

(1)

Za izvajanje predpisov o varovanju podatkov v ITSP so odgovorni vodja informacijske varnosti in lokalni vodje informacijske varnosti. Njihove naloge so:

1.

nadzor stanja na področju varovanja podatkov v ITSP;

2.

nadzor izvajanja varnostnih ukrepov pri varovanju podatkov;

3.

odrejanje ukrepov za zagotavljanje varnosti podatkov v ITSP;

4.

vodenje razvida informacijskih varnostnih dogodkov;

5.

vodenje seznamov pooblastil za samostojen vstop v prostore ITSP, v katerih so nameščene ključne sestavine ITSP;

6.

druge naloge v zvezi z varovanjem ITSP.

(2)

Vodja informacijske varnosti mora o vseh informacijskih varnostnih dogodkih obveščati organizacijsko enoto, pristojno za zaščito podatkov.

(3)

Lokalni vodja informacijske varnosti mora o vseh informacijskih varnostnih dogodkih v LIS obveščati vodjo informacijske varnosti in organizacijsko enoto, pristojno za zaščito podatkov.

(4)

Razvid gesel oziroma osebnih šifer, ki niso sestavni del osrednjega sistema kontrole in evidentiranja dostopa do varovanih podatkov in drugih virov ITSP, vodi za svojo organizacijsko enoto lokalni vodja informacijske varnosti, hrani pa ga v kovinski omari, ki je tehnično varovana, ali v zaklenjeni ter zapečateni kovinski blagajni s šifro.

9. člen

(skrbnik kriptografske opreme)

(1)

Generalni direktor policije določi za vsako lokacijo, kjer se nahaja kriptografska oprema, skrbnika kriptografske opreme in osebe, ki imajo dostop do kriptografske opreme.

(2)

Skrbnik kriptografske opreme je odgovoren za upravljanje s kriptografsko opremo ter za pravilno obdelovanje in hranjenje kriptografskega materiala.

(3)

Dostop do kriptografske opreme je dovoljen le osebam iz prvega odstavka tega člena.

(4)

Upravljanje kriptografske opreme smejo izvajati le ustrezno usposobljeni delavci policije.

10. člen

(pristojnost)

(1)

Organizacijska enota, pristojna za zaščito podatkov, je po tem pravilniku pristojna za:

1.

pripravo informacijske varnostne politike;

2.

izdelavo načrtov varovanja, ocen varnostnih tveganj in varnostnih navodil v ITSP;

3.

določanje standardov za informacijsko in komunikacijsko opremo, namenjeno varovanju in zaščiti podatkov v ITSP;

4.

izvajanje nadzora dostopov do ITSP;

5.

upravljanje s sistemom kontrole in evidentiranja dostopa do podatkov in drugih virov ITSP;

6.

upravljanje z dnevnikom dela (v nadaljnjem besedilu: upravljavec dnevnika dela);

7.

upravljanje z razvidom uporabnikov ITSP, iz katerega morajo biti razvidne pravice uporabnika ITSP, ki dostopa do posameznih podatkov;

8.

potrjevanje povezovanja preko namenskih povezovalnih točk v ITSP;

9.

upravljanje z varnostnimi mehanizmi in varnostnimi pregradami ITSP;

10.

določanje načinov neposredne povezave in varovanje te povezave;

11.

odobritev uporabe kriptografske opreme;

12.

pripravljanje mnenj, na osnovi katerih generalni direktor odloča, ali lahko izjemoma s sistemom kontrole in evidentiranja dostopa do podatkov in drugih virov LIS upravlja organizacijska enota, ki uporablja določen LIS;

13.

druge naloge v zvezi z zaščito podatkov policije.

(2)

Organizacijska enota, pristojna za zaščito podatkov, vodi razvid oseb, pristojnih za izvajanje nalog iz 3., 7., 8. in 9. člena tega pravilnika. Razvid vsebuje podatke o osebnem imenu delavca policije, organizacijski enoti in pristojnosti oziroma nalogi.

11. člen

(posegi v ITSP)

Organizacijska enota, pristojna za vzdrževanje ITSP, mora pred vsakim posegom v ITSP pridobiti mnenje organizacijske enote, pristojne za zaščito podatkov.

12. člen

(oprema, vgrajena v ITSP)

(1)

Informacijska in komunikacijska oprema, ki je vgrajena v ITSP, mora biti v skladu s standardi, ki jih določi urad.

(2)

Oprema, namenjena obdelavi podatkov v ITSP, mora biti praviloma v lasti policije. Če oprema ni v lasti policije, se lahko uporablja ob predhodnem soglasju organizacijske enote, pristojne za vzdrževanje ITSP.

(3)

Za strojno opremo, ki se vgrajuje v ITSP, mora organizacijska enota, pristojna za vzdrževanje ITSP, na podlagi soglasja organizacijske enote, pristojne za zaščito podatkov, določiti, kdo jo sme vgrajevati, vzdrževati in odstranjevati.

13. člen

(usposabljanje)

(1)

Opremo ITSP lahko uporabljajo le ustrezno usposobljeni delavci policije. Poleg neposrednih uporabnikov imajo dostop do opreme ITSP tudi delavci policije, ki to opremo vzdržujejo, ter osebe iz 22. člena tega pravilnika.

(2)

Administratorji ter drugi uporabniki ITSP morajo biti usposobljeni za delo v ITSP.

(3)

Usposabljanja iz prejšnjega odstavka je dolžan zagotoviti urad.

14. člen

(navodila)

(1)

Urad mora vsem vodjem LIS zagotoviti pisna navodila o načinu uporabe strojne in programske opreme ter o ukrepih v primeru izpada ali okvare.

(2)

Odgovorni nosilec evidence je dolžan izdelati strokovna navodila za vodenje evidence, skrbnik evidence pa ustrezna tehnična navodila za uporabo računalniške aplikacije, ki so priloga strokovnih navodil. Navodila se izdelajo in objavijo najkasneje ob vzpostavitvi evidence in se objavijo na intranetni strani policije.

15. člen

(napake)

Vsako okvaro oziroma izpad strojne ali programske opreme, ki zahteva poseg usposobljenega vzdrževalca, je treba takoj javiti uradu, ki v skladu s predpisanim režimom vzdrževanja odloči, kako se bo okvara odpravila.

Pravilnik o zaščiti podatkov policije

Časovnica