Postani naročnik

Zakonodaja, ki obravnava osebne, tajne in zaupne podatke

27. 9. 2022 | Avtor: dr. Tatjana Hajtnik
A) Zavarovanje osebnih podatkov, dostopnost in roki hrambe

Pri poslovanju vsake organizacije nastajajo tudi podatki, ki se nanašajo na posameznika, torej osebni podatki in ti so še posebej občutljivi. To ne nazadnje dokazuje tudi dejstvo, da imamo v Sloveniji za varovanje osebnih podatkov sprejet samostojen Zakon o varstvu osebnih podatkov1, ki posnema različne evropske direktive s tega področja. Iz prvega člena zakona izhaja, da se določbe ZVOP-1 uporabljajo le pri obdelavi osebnih podatkov, ne glede na to, ali je ta obdelava ročna ali avtomatizirana2. Vsaka obdelava3 osebnih podatkov ima namreč lahko za posledico pravne učinke v zvezi s posameznikom, zato ZVOP-1 postavlja zelo stroge pogoje za ravnanje z osebnimi podatki.

Pomembno: Pri e-poslovanju in posledično e-hrambi gradiva, ki lahko vsebuje tudi osebne podatke, moramo biti še posebno pozorni na:

  • zavarovanje osebnih podatkov s poudarkom na preprečevanju nepooblaščenega dostopa do njih,
  • njihovo dostopnost in prenos po telekomunikacijskih omrežjih ter
  • roke hrambe.
Zavarovanje osebnih podatkov s poudarkom na zagotavljanju nepooblaščenega dostopa do njih

Postopki in ukrepi za zavarovanje osebnih podatkov morajo biti ustrezni glede na tveganje pri ki ga predstavljata obdelava in narava določenih osebnih podatkov, ki se obdelujejo.

ZVOP-14določa, da mora zavarovanje osebnih podatkov obsegati organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se ti podatki varujejo. Naključno ali namerno nepooblaščeno uničevanje, sprememba ali izguba ter nepooblaščena obdelava podatkov se preprečujejo tako, da se:

  • varujejo prostori, oprema in sistemsko-programska oprema, vključno z vhodno-izhodnimi enotami;
  • varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
  • preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;
  • zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;
  • omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov (zagotavljanje revizijske sledi).

Nepooblaščeni dostop do osebnih podatkov in prostorov, kjer se ti obdelujejo, ter sredstev za njihovo obdelavo preprečujemo z uvedbo različnih organizacijskih in tehničnih ukrepov.

Tako tudi ZVOP-1 obravnava npr.:

  • Upravljanje vstopov v prostore in izstopov iz njih:že ZVOP-15predvideva, da lahko organizacija z namenom varovanja premoženja, življenja ali telesa posameznikov ter reda v njenih prostorih zahteva od posameznika, ki namerava vstopiti v prostor ali izstopiti iz njega, da navede vse ali nekatere osebne podatke (osebno ime, številka in vrsta osebnega dokumenta, naslov stalnega ali začasnega prebivališča, zaposlitev, datum, ura) ter razlog vstopa ali izstopa. Navedene podatke mora organizacija voditi v obliki posebne evidence vstopov oz. izstopov v prostore. Istočasno tudi ZVDAGA6določa, da moramo dostope v prostore, kjer se obdeluje oziroma hrani gradivo, obdelovati in imeti o tem ustrezne zapise.
  • Namestitev videonadzornih sistemov: eden izmed načinov zagotavljanja fizične varnosti prostorov in opreme ter gradiva v njem je tudi, pod posebnimi pogoji7, namestitev videonadzornega sistema pred prostorom, ki ga varujemo. Tako lahko nadzorujemo vstope v prostore oziroma izstope iz njih. ZVOP-1 posnetke videonadzornih sistemov obravnava kot zbirke osebnih podatkov, saj lahko vsebujejo npr. posnetek posameznika (slika oziroma glas), datum in čas vstopa in izstopa, lahko pa tudi osebno ime posnetega posameznika.

Rok hrambe podatkov o vstopih v prostore in izstopih iz njih določa ZVOP-1:

Pomembno:

Posnetki videonadzornega sistema se lahko hranijo največ eno leto po nastanku, nato se zbrišejo, če zakon ne določa drugače.8 Druge evidence vstopov v prostore in izstopov iz njih se lahko hranijo največ tri leta od vpisa, nato se zbrišejo ali drugače uničijo, če zakon ne določa drugače.9

Dostop in prenos osebnih podatkov po telekomunikacijskih sredstvih ali omrežju

Pri obdelavi osebnih podatkov, ki so dostopni po telekomunikacijskih sredstvih ali omrežjih, morajo strojna, sistemska in aplikativna programska oprema zagotavljati, da je obdelava osebnih podatkov v zbirkah osebnih podatkov v mejah pooblastil uporabnika osebnih podatkov.10

Še posebno pozornost ZVOP-1 namenja zavarovanju občutljivih11 osebnih podatkov - določa12, da morajo biti ti podatki posebej označeni in zavarovani tako, da je preprečen nepooblaščen dostop do njih.

Pomembno: Kadar se občutljivi osebni podatki prenašajo po telekomunikacijskih omrežjih, se morajo posredovati z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom.13

Zgornjega pravila se moramo zavedati predvsem, kadar se odločamo, da bomo v okviru e-poslovanja in s tem povezanih storitev zajema in e-hrambe gradiva najemali zunanje izvajalce, s katerimi si bomo izmenjevali podatke po telekomunikacijskem omrežju.

Rok hrambe osebnih podatkov

V skladu z ZVOP-114 se osebni podatki lahko shranjujejo le toliko časa, dokler je to potrebno za dosego namena, zaradi katerega so se zbirali ali nadalje obdelovali. Po izpolnitvi namena obdelave se osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo, če niso po zakonu, ki ureja arhivsko gradivo in arhive, opredeljeni kot arhivsko gradivo oziroma če zakon za posamezne vrste osebnih podatkov ne določa drugače.

Pomembno: V skladu z ZVDAGA15, ki ureja arhivsko gradivo, morajo javnopravne osebe izročiti javno arhivsko gradivo arhivu najkasneje 30 let po nastanku gradiva, in sicer tudi gradivo, ki vsebuje osebne podatke vključno z občutljivimi osebnimi podatki.

Nadalje pa ZVDAGA takšno gradivo zavaruje tako, da postavlja roke nedostopnosti za to gradivo in določa16, da javno arhivsko gradivo, ki vsebuje občutljive osebne podatke, postane dostopno za uporabo 75 let po svojem nastanku ali deset let po smrti osebe, na katero se nanaša, če je datum smrti znan. To velja, če ni z drugimi predpisi drugače določeno. Vendar ZVDAGA v 66. členu opredeljuje tudi izjeme glede dostopnosti arhivskega gradiva, ki vsebuje občutljive osebne podatke, in sicer se ti roki lahko skrajšajo ali podaljšajo. O izjemah glede rokov nedostopnosti odloča arhivska komisija, ki jo imenuje Vlada RS.17

Pravilnik o varovanju osebnih podatkov

Upravljavci osebnih podatkov in pogodbeni obdelovalci so dolžni zagotoviti zavarovanje osebnih podatkov z uvedbo različnih organizacijskih, tehničnih in logično-tehničnih postopkov ter ukrepov, kar morajo dokumentirati v internem aktu. V njem morajo predpisati postopke in ukrepe za zavarovanje osebnih podatkov ter določiti osebe, ki so odgovorne za določene zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke.

Na spletni18 strani Informacijske pooblaščenke kot samostojnega državnega nadzornega organa, zadolženega za varstvo osebnih podatkov, je objavljen vzorec pravilnika o varovanju osebnih podatkov. Vendar je vzorec lahko uporaben le kot informativno gradivo za pripravo lastnega pravilnika o zavarovanju osebnih podatkov, kar pomeni, da zgolj prepis vzorca spodaj navedenega vzorca pravilnika ne zadosti zahtevam iz 24. in 25. člena ZVOP-1. Pri pripravi lastnega pravilnika je posamezne organizacijske, tehnične in logično-tehnične postopke in ukrepe za zavarovanje osebnih podatkov treba prilagoditi specifičnosti obdelave podatkov na posameznem področju.

B) Zavarovanje tajnih in zaupnih podatkov na nacionalni ravni

Podobno kot varovanje osebnih podatkov je s posebnim zakonom19 urejeno tudi zavarovanje tajnih in zaupnih podatkov, ki so pomembni za nacionalno varnost.

Tajni podatek: pojem »tajni podatek« se v glavnem uporablja v javni upravi in je lahko glede na možne škodljive posledice za varnost države ali za njene politične ali gospodarske koristi, ki utegnejo nastati, če bi bili razkriti nepoklicani osebi, opredeljen z eno od naslednjih stopenj tajnosti20:

  • strogo tajno,
  • tajno,
  • zaupno,
  • interno.

Da bi bilo zagotovljeno zakonito in varno obravnavanje tajnih podatkov, ZTP določa, da morajo vsi organi in organizacije vzpostaviti sistem postopkov in ukrepov varovanja tajnih podatkov, ki ustreza določeni stopnji tajnosti in onemogoča njihovo razkritje nepoklicanim osebam. Varovanje tajnih podatkov obsega:

  • postopke in ukrepe v zvezi z osebami, ki imajo dostop do tajnih podatkov;
  • seznanitev uporabnikov z ukrepi in postopki varovanja tajnih podatkov;
  • način označevanja stopenj tajnosti ter varovanje dokumentov in medijev, ki vsebujejo tajne podatke;
  • fizične, organizacijske in tehnične ukrepe varovanja prostorov, v katerih se obravnavajo tajni podatki, ter opreme, s katero se obravnavajo tajni podatki;
  • postopke in ukrepe varnega prenosa, razmnoževanja, hrambe in uničenja tajnih podatkov;
  • varovanje komunikacijske in informacijske infrastrukture, s katero se obravnavajo tajni podatki;
  • kontrolo in evidentiranje dostopov do tajnih podatkov ter posredovanja teh podatkov;
  • postopke in ukrepe ob varnostnih incidentih in drugih oblikah ogrožanja zaupnosti, celovitosti in dostopnosti tajnih podatkov ter
  • nadzor nad obravnavanjem in varovanjem tajnih podatkov.

V pomoč za dosego zgoraj naštetih ukrepov je bilo izdanih večje število podzakonskih aktov. Navajamo nekaj pomembnejših, ki natančneje opredeljujejo zahteve za fizično in tehnično varovanje tajnih podatkov:

  • Uredba o varovanju tajnih podatkov v komunikacijsko-informacijskih sistemih (Ur. l. RS, št. 48/07 in 86/11).
  • Uredba o varovanju tajnih podatkov (Ur. l. RS, št. 74/05, 7/11 in 24/11 – popr).
  • Sklep o določitvi pogojev za varnostnotehnično opremo, ki se sme vgrajevati v varnostna območja (Ur. l. RS, št. 94/06).

Koristno: Več o drugih zakonih in predpisih v zvezi s tajnimi podatki najdete na strani Urada Vlade RS za varovanje tajnih podatkov: http://www.uvtp.gov.si/si/zakonodaja_in_dokumenti/veljavni_predpisi/

Izročanje arhivskega gradiva v arhive in dostopnost

Pomembno: ZVDAGA določa21, da morajo javnopravne osebe izročiti javno arhivsko gradivo arhivu najkasneje 30 let po nastanku gradiva, in sicer tudi gradivo:

  • ki vsebuje tajne podatke v skladu z zakonom;
  • ki je posebej varovano kot zaupno, če tako določa zakon ali poslovnik državnega organa ali organa samoupravne lokalne skupnosti.

Arhivsko gradivo se lahko na podlagi 40. člena ZVDAGA zaradi strokovnih razlogov prevzame tudi kasneje, npr. če javnopravna oseba gradivo še potrebuje za operativno delovanje.

Javno arhivsko gradivo, ki vsebuje podatke, ki se nanašajo na državno in javno varnost, obrambo, zunanje zadeve ali obveščevalno in varnostno dejavnost države ter njene gospodarske interese ter poslovne in davčne skrivnosti in katerih razkritje nepoklicani osebi bi lahko povzročilo škodljive posledice za varnost države in drugih oseb ter njihove interese, postane dostopno za uporabo praviloma najkasneje 40 let po nastanku. Vendar ZVDAGA v 66. členu opredeljuje tudi izjeme glede dostopnosti arhivskega gradiva, ki vsebuje tajne podatki, in sicer se ti roki lahko skrajšajo ali podaljšajo. O izjemah glede rokov nedostopnosti odloča arhivska komisija, ki jo imenuje Vlada RS.22

C) Področje zasebnega sektorja (gospodarstvo)

V prejšnjem odstavku smo govorili o zaupnih oz. tajnih podatkih v zvezi z javno upravo in nacionalno varnostjo, vendar ne smemo pozabiti, da tudi v zasebnem sektorju obstajajo podatki zaupne narave. Zakon o gospodarskih družbah23, ki ureja poslovanje zasebnega sektorja, določa, da se za poslovno skrivnost24 štejejo podatki, ki jih kot take določi organizacija (družba) s pisnim sklepom, in tudi podatki, za katere je očitno, da bi nastala občutna škoda, če bi zanje izvedela nepooblaščena oseba.

Koristno: Varovanje podatkov, ki so označeni kot poslovna skrivnost, prepušča zakon25 vsaki družbi tako, da s pisnim sklepom določita način varovanja poslovne skrivnosti in odgovornost oseb, ki morajo varovati poslovno skrivnost.

D) Področje davčnega poslovanja

Posebna skupina zaupnih podatkov pa so podatki, ki izhajajo iz davčnega poslovanja. Zakon o davčnem postopku26 določa, da se vsi podatki zavezancev za davek obravnavajo kot davčna tajnost, in nalaga davčnim organom, da jih varujejo kot zaupne podatke. Ukrepi in postopke za varovanje davčne tajnosti pri davčnem organu podrobneje opredeljuje Zakon o davčnem postopku27.

Zakon o finančni upravi28 pa določa, da se za postopke zbiranja, obdelave, shranjevanja, dajanja, uporabe in hrambe podatkov, vsebovanih v davčnih evidencah, ki so davčna tajnost, uporabljajo določbe zakona, ki ureja varstvo osebnih podatkov, in zakona, ki ureja davčni postopek.

Pomembno: V skladu z Zakonom o davčni službi je arhivsko gradivo, ki ga davčna uprava preda pristojnim arhivom, po predpisih, ki urejajo arhivsko gradivo in arhive s podatki, označenimi z davčno tajnostjo, dostopno v državnih arhivih po 75 letih od nastanka, če ni z zakonom drugače določeno.

E) Še nekaj drugih predpisov, ki obravnavajo zaupne podatke
  • Zakon o elektronskih komunikacijah, ki med drugim ureja pogoje za zagotavljanje elektronskih komunikacijskih omrežij, zaščito tajnosti in zaupnosti elektronskih komunikacij ter hrambo podatkov o prometu elektronskih komunikacij;
  • Zakon o splošnem upravnem postopku /ZUP-UPB2/ (Ur. l. RS, št. 24/2006);
  • Zakon o kazenskem postopku /ZKP-UPB2/ (Ur. l. RS, št. 96/2004).

  1. Zakon o varstvu osebnih podatkov /ZVOP-1-UPB1/ (Ur. l. RS, št. 94/2007)↩︎

  2. Avtomatizirana obdelava je obdelava osebnih podatkov s sredstvi informacijske tehnologije.↩︎

  3. Obdelava osebnih podatkov je npr. zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklicanje, vpogled, uporaba, razkritje s prenosom, sporočanje, razvrstitev ali povezovanje, izbris ali uničenje.↩︎

  4. ZVOP-1-UPB1, 24. člen.↩︎

  5. ZVOP-1-UPB1, 82. člen.↩︎

  6. UVDAG, 5., 16. in 22. člen; ETZ 2.1: 3.3.1.1, ETZ 2.1: 3.3.2.1, ETZ 2.1: ETZ 3.3.2.2↩︎

  7. ZVOP-1-UPB1, 75. člen.↩︎

  8. ZVOP-1-UPB1, 75. člen.↩︎

  9. ZVOP-1-UPB1, 82. člen.↩︎

  10. ZVOP-1-UPB1, 24. člen.↩︎

  11. Občutljivi osebni podatki so podatki o rasnem, narodnem ali narodnostnem poreklu, političnem, verskem ali filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu v kazenske evidence ali evidence, ki se vodijo na podlagi zakona, ki ureja prekrške, in izbrisu iz teh evidenc; občutljivi osebni podatki so tudi biometrične značilnosti, če je z njihovo uporabo mogoče določiti posameznika v zvezi s kakšno od prej navedenih okoliščin.↩︎

  12. ZVOP-1-UPB1, 14. člen.↩︎

  13. ZVOP-1-UPB1, 14. člen.↩︎

  14. ZVOP-1-UPB1, 21. člen.↩︎

  15. ZVDAGA, 40. člen.↩︎

  16. ZVDAGA, 65. člen.↩︎

  17. ZVDAGA, 67. člen.↩︎

  18. http://www.ip-rs.si/fileadmin/user_upload/doc/Vzorec_pravilnika_za_zavarovanje_OP-1.doc.↩︎

  19. Zakon o tajnih podatkih /ZTP-UPB2/ (Ur. l. RS, št. 50/2006).↩︎

  20. ZTP-UPB2, 13. člen.↩︎

  21. ZVDAGA, 40. člen.↩︎

  22. ZVDAGA, 67. člen.↩︎

  23. Zakon o gospodarskih družbah /ZGD-1-UPB3/ (Ur. l. RS, št. 65/2009).↩︎

  24. ZGD-1-UPB3, 39. člen.↩︎

  25. ZGD-1-UPB3, 40. člen.↩︎

  26. Zakon o davčnem postopku (Ur. l. RS, št. 13/11 – uradno prečiščeno besedilo, 32/12, 94/12, 101/13 – ZDavNepr, 111/13, 25/14 – ZFU, 40/14 – ZIN-B, 90/14, 91/15, 63/16, 69/17 in 13/18 – ZJF-H).↩︎

  27. Zakon o davčnem postopku (Ur. l. RS, št. 13/11 – uradno prečiščeno besedilo, 32/12, 94/12, 101/13 – ZDavNepr, 111/13, 25/14 – ZFU, 40/14 – ZIN-B, 90/14, 91/15, 63/16, 69/17 in 13/18 – ZJF-H).↩︎

  28. Zakon o finančni upravi (Ur. l. RS, št. 25/14).↩︎

Nazaj

Piškotki

Za dobro delovanje spletnih strani potrebujemo piškotke. Več informacij o piškotkih je na voljo tukaj.