Na podlagi 14. člena zakona o varstvu osebnih podatkov (Uradni list RS, št. 59/99, 57/01 in 59/01) ter na podlagi 67. člena Statuta Občine Preddvor (Uradno glasilo Občine Preddvor, št. 2/99) izdaja župan Občine Preddvor

PRAVILNIK

o varovanju zaupnih in osebnih podatkov ter o varovanju dokumentarnega gradiva v občinski upravi Občine Preddvor

I. SPLOŠNE DOLOČBE

1. člen

S tem pravilnikom se določajo organizacijski ter tehnični postopki in ukrepi za varovanje zaupnih in osebnih podatkov v občinski upravi Občine Preddvor z namenom, da se prepreči nepooblaščen dostop, obdelava, uporaba, uničenje, spreminjanje in posredovanje zaupnih in osebnih podatkov.

2. člen

V tem pravilniku uporabljeni izrazi imajo naslednji pomen:

1. zaupen podatek - podatek, ki je razglašen za tajnost, ker je tako pomemben, da bi z njegovim razkritjem lahko nastale škodljive posledice za delovanje občinske uprave;

2. osebni podatek - podatek, ki kaže na lastnosti, stanja ali razmerja posameznika ne glede na obliko, v kateri je izražen;

3. zbirka podatkov - zbirka, ki vsebuje zaupne ali osebne podatke (npr. evidenca, register, baza podatkov), ki se vodi s sredstvi za avtomatsko obdelavo podatkov ali s klasičnimi sredstvi in je namenjena izvajanju nalog občinske uprave;

4. obdelava podatkov - postopki in procesi zbiranja, shranjevanja, spreminjanja, združevanja, uporabe, videnja in posredovanja podatkov;

5. dokumenti so vsi pisni, tiskani, risani in posneti podatki;

6. nosilec podatkov - vse vrste sredstev, na katerih so zapisani ali posneti podatki;

7. varovani prostori - vsi prostori v katerih se nahajajo nosilci zaupnih ali osebnih podatkov ali prostori v katerih je oprema preko katere je mogoč dostop do teh podatkov.

3. člen

Vsi dokumenti morajo biti obravnavani v skladu z zakonom o varovanju osebnih podat-kov (Uradni list RS, št. 59/99, 57/01 in 59/01) ter uredbo o poslovanju organov javne uprave z dokumentarnim gradivom (Uradni list RS, št. 91/01).

4. člen

Podatek določi za tajnega, ob pogojih in na način, določenih z zakonom o tajnih podatkih (Uradni list RS, št. 87/01) in s tem pravilnikom, pooblaščena oseba. Pooblaščene osebe občine so župan, tajnik in osebe, zaposlene v organu, ki jih je za to pisno pooblastil predstojnik tega organa.

Pooblaščene osebe iz prejšnjega odstavka pooblastila ne morejo prenašati na tretje osebe.

5. člen

Vrste tajnosti zaupnih podatkov so:

1. državna tajnost - podatki, ki so določeni za državno tajnost in ki so tako pomembni, da bi z njihovo izdajo nastale, ali bi očitno lahko nastale škodljive posledice za varnost države ali njene politične ali gospodarske koristi.

2. uradna tajnost - podatki, ki so določeni za uradno tajnost in so tako pomembni, da bi z njihovo izdajo nastale ali bi lahko na-stale hujše škodljive posledice za delova-nje organov občine. Podatkom, ki so dolo-čeni za uradno tajnost, se glede na njihov pomen določi stopnja zaupnosti: strogo zaupno, zaupno ali interno.

- Uradna tajnost - strogo zaupno - so: načrti nalog, ukrepov zavarovanja in varnostnih ukrepov v neposredni vojni nevarnosti in evidenca gesel uporabnikov in supervisorska gesla

- Uradna tajnost - zaupno - so: gradivo in zapisniki kolegija, kadrovska in zdravstvena dokuURADNO mentacija posameznega delavca občine, dokumentacija o preizkusu strokovnega znanja delavcev občine, letni programi dela in letna poročila posameznih delavcev občine, evidenca disciplinskih ukrepov delavcem občine in izvorni zapis programske opreme, ki je izdelana za lastne potrebe

- Uradna tajnost - interno - so: strokovna navodila za opravljanje delovnih nalog, navodila za uporabo zbirk zaupnih podatkov delovni materiali za odloke in druge predpise, ki jih pripravlja občina, analitična, statistična in druga gradiva o delu oziroma problemih in pojavih, ki so namenjeni internemu informiranju in interni imeniki.

3. osebni podatki se lahko obdelujejo samo v skladu z zakonom ali na podlagi pisne privolitve posameznika. Z osebnimi podatki se, glede na njihovo vsebino, ravna kot s podatki »uradna tajnost - strogo zaup-no«, »uradna tajnost - zaupno« ali »urad-na tajnost - interno« (npr. interni telefonski imenik, seznam zaposlenih, ki so na dopustu).

Stopnjo zaupnosti zbirk osebnih podatkov določi tajnik občine. Zbirke osebnih podatkov, ki se obdelujejo v skladu z zakonom, se varujejo s stopnjo zaupnosti, ki je višja ali enaka kot »uradna tajnost - zaupno«.

II. VAROVANJE PROSTOROV IN RAČUNALNIŠKE OPREME

6. člen

Prostori, v katerih se nahajajo nosilci zaupnih ali osebnih podatkov, strojna in programska oprema (varovani prostori), morajo biti varovani z organizacijskimi ter fizičnimi in tehničnimi ukrepi, ki onemogočajo nepooblaščenim osebam dostop do podatkov.

Dostop je mogoč le v rednem delovnem času, izven tega časa pa le z dovoljenjem tajnika občine.

Za prostore, kjer se hranijo nosilci podatkov z oznako »državna tajnost« in »uradna tajnost - strogo zaupno«, morajo varnostni ukrepi omogočiti popoln nadzor nad delom in gibanjem v teh prostorih.

Ključi varovanih prostorov se uporabljajo in hranijo v skladu s hišnim redom. Ključi se ne puščajo v ključavnicah v vratih od zunanjih strani.

Varovani prostori se morajo ob odsotnosti delavcev zaklepati.

Izven delovnega časa morajo biti omare in pisarne mize z nosilci podatkov zaklenjene, računalniki in druga strojna oprema izklopljeni in fizično ali programsko zaklenjeni.

Zaposleni ne smejo puščati nosilcev zaupnih ali osebnih podatkov na mizah v prisotnosti oseb, ki nimajo pravice vpogleda vanje.

Nosilci zaupnih ali osebnih podatkov, ki se nahajajo izven zavarovanih prostorov (hodniki, skupni prostori) morajo biti stalno zaklenjeni.

7. člen

S štampiljkami, papirjem z glavo organov Občine Preddvor in drugimi pripomočki, s katerimi bi bilo mogoče ponarediti dokumente, je potrebno ravnati, kot s zaupnimi podatki.

8. člen

Nosilcev podatkov z oznako »državna tajnost« in »uradna tajnost - strogo zaupno« zaposleni ne smejo odnašati izven prostorov Občinskega urada, ostale nosilce podatkov, ki vsebujejo zaupne podatke, pa samo z dovoljenjem tajnika ali župana občine.

9. člen

V prostorih, ki so namenjeni poslovanju s strankami, morajo biti nosilci podatkov in računalniški prikazovalniki nameščeni tako, da stranke nimajo vpogleda vanje.

10. člen

Vzdrževanje in popravila strojne računalniške in druge opreme je dovoljeno samo z vednostjo tajnika občine, izvajajo pa ga lahko samo pooblaščeni servisi in vzdrževalci, ki imajo z občino sklenjeno ustrezno pogodbo.

11. člen

Vzdrževalci prostorov, strojne in programske opreme, obiskovalci in poslovni partnerji se smejo gibati v teh prostorih samo v prisotnosti s strani tajnika občine pooblaščene osebe.

Zaposleni, kot je čistilka in ostalo pomožno osebje, se lahko izven delovnega časa gibljejo samo v tistih varovanih prostorih, kjer je onemogočen vpogled v podatke (nosilci podatkov so shranjeni v zaklenjenih omarah in pisalnih mizah, računalniki in druga strojna oprema so izklopljeni ali kako drugače fizično ali programsko zaklenjeni).

III. VAROVANJE SISTEMSKE IN APLIKATIVNO PROGRAMSKE RAČUNALNIŠKE OPREME TER PODATKOV, KI SE OBDELUJEJO Z RAČUNALNIŠKO OPREMO

12. člen

Dostop do programske opreme mora biti varovan tako, da dovoljuje dostop samo za to v naprej določenim zaposlenim ali pravnim ali fizičnim osebam, ki v skladu s pogodbo opravljajo dogovorjene storitve.

13. člen

Popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme je dovoljeno le na podlagi odobritve tajnika občine, izvajajo pa ga lahko samo pooblaščeni servisi ter organizacije in posamezniki, ki imajo z občino ali s pogodbeno organizacijo sklenjeno ustrezno pogodbo. Izvajalci morajo spremembe in dopolnitve sistemske in aplikativne programske opreme ustrezno dokumentirati.

14. člen

Za shranjevanje in varovanje aplikativne programske opreme veljajo enaka določila, kot za ostale podatke iz tega pravilnika.

15. člen

Vsebina diskov mrežnega strežnika in lokalnih delovnih postaj, kjer se nahajajo pomembni podatki, se vsakodnevno preveri glede na prisotnost računalniških virusov. Ob pojavu računalniškega virusa se tega čimprej odpravi s pomočjo pogodbenega vzdrževalca strojne opreme, obenem pa se ugotovi vzrok pojava virusa.

Vsi podatki in programska oprema, ki so namenjeni uporabi v računalniškem informacijskem sistemu, in prispejo na medijih za prenos računalniških podatkov ali preko telekomunikacijskih kanalov, morajo biti pred uporabo preverjeni glede prisotnosti računalniških virusov.

16. člen

Zaposleni ne smejo inštalirati programske opreme brez vednosti osebe, zadolžene za delovanje računalniškega informacijskega sistema.

Prav tako ne smejo odnašati programske opreme iz prostorov Občinskega urada brez odobritve tajnika ali župana občine.

17. člen

Pristop do podatkov preko aplikativne programske opreme se varuje s sistemom gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov. Tajnik občine določi režim dodeljevanja hranjenja in spreminjanja gesel.

18. člen

Vsa gesla in postopki, ki se uporabljajo za vstop in administriranje mreže osebnih računalnikov (supervisorska gesla), administriranje elektronske pošte in administriranje aplikativnih programov se hranijo v zapečatenih ovojnicah in se jih varuje kot »uradna tajnost - strogo zaupno«. Uporabi se jih samo v izrednih okoliščinah oziroma ob nujnih primerih.

Vsaka uporaba vsebine zapečatenih ovojnic se dokumentira. Po vsaki takšni uporabi se določi nova vsebina gesel.

19. člen

Za potrebe restavriranja računalniškega sistema ob okvarah in ob drugih izjemnih situacijah se zagotavlja redna izdelava kopij vsebine mrežnega strežnika in lokalnih postaj (če so podatki tam).

Te kopije se hranijo v zato določenih mestih, ki morajo biti varna pred poplavami in elektromagnetnimi motnjami, v okviru predpisanih klimatskih pogojev, ognjevarna ter zaklenjena.

IV. SPREJEM IN POSREDOVANJE ZAUPNIH IN OSEBNIH PODATKOV

20. člen

Zaupne in osebne podatke je dovoljeno prenašati z informacijskimi, telekomunikacijskimi in drugimi sredstvi le ob izvajanju postopkov in ukrepov, ki nepooblaščenim preprečujejo prilaščanje ali uničenje podatkov ter neupravičeno seznanjanje z njihovo vsebino.

21. člen

Podatke, ki so državna tajnost ali uradna tajnost - strogo zaupno in se prenašajo po komunikacijskih kanalih ali fizično na računalniških medijih, je potrebno med prenosom napraviti nečitljive s ustreznimi standardiziranimi kriptografskimi metodami.

22. člen

Zbirajo in obdelujejo se lahko samo tisti osebni podatki, ki imajo ustrezno zakonsko osnovo.

Za vse ostale osebne podatke je potrebno pridobiti pisno privolitev posameznika, na katerega se podatki nanašajo.

Opis zbirk osebnih podatkov, katerih upravljalec je občina, se vodi v katalogu podatkov v skladu z zakonom o varstvu osebnih podatkov.

Osebni podatki se posredujejo samo tistim uporabnikom, ki se izkažejo z ustrezno zakonsko osnovo ali pisno privolitvijo posameznika, na katerega se podatki nanašajo.

Za vsako posredovanje osebnih podatkov mora upravičenec vložiti pisno vlogo, na kateri mora biti navedena zakonska osnova za pridobitev osebnih podatkov, ali predložiti pisno privolitev posameznika. Vsako posredovanje osebnih podatkov se beleži v evidenco posredovanj, ki mora vsebovati pregled zahtevkov, kateri podatki so bili posredovani, komu in kdaj.

V. BRISANJE PODATKOV

23. člen

Po preteku roka hranjenja se podatki brišejo.

24. člen

Za brisanje podatkov iz računalniških medijev se uporabi takšna metoda brisanja, da je nemogoča restavracija vseh ali dela brisanih podatkov.

Podatki na klasičnih medijih (listine, kartoteke, register, seznam,... ) se uničijo na način, ki onemogoča čitanje vseh ali dela uničenih podatkov.

Na enak način se uničuje pomožno gradivo (npr. matrice, izračune in grafikone, skice, poskusne oziroma neuspešne izpise ipd.).

Prepovedano je odmetavati odpadne nosilce podatkov z zaupno vsebino v koše za smeti ali jih odnašati iz prostorov Občinskega urada.

VI. UKREPANJE OB SUMU NEPOOBLAŠČENEGA DOSTOPA

25. člen

Zaposleni so dolžni o aktivnostih, ki so povezane z odkrivanjem ali nepooblaščenim uničenjem zaupnih podatkov, zlonamerni ali nepooblaščeni uporabi, prilaščanju, spreminjanju ali poškodovanju takoj obvestiti tajnika ali župana občine, sami pa poskušajo takšno aktivnost preprečiti.

VII. ODGOVORNOST ZA IZVAJANJE VARNOSTNIH UKREPOV IN POSTOPKOV

26. člen

Za izvajanje postopkov in ukrepov za varovanje zaupnih in osebnih podatkov je odgovoren tajnik občine ter pooblaščene osebe.

27. člen

Vsak, ki obdeluje zaupne in osebne podatke, je dolžan izvajati predpisane postopke in ukrepe za zavarovanje podatkov in varovati podatke, za katere je zvedel oziroma bil z njimi seznanjen pri opravljanju svojega dela. Obveza varovanja podatkov ne preneha s prenehanjem delovnega razmerja.

Pred nastopom dela na delovno mesto, kjer se obdelujejo podatki s stopnjo zaupnosti, ki je višja ali enaka od »uradna tajnost - zaupno«, mora zaposleni podpisati posebno izjavo, ki ga zavezuje k varovanju poklicne skrivnosti in vsebuje pouk o posledicah kršitve.

Zunanji sodelavci smejo opravljati samo storitve obdelave zaupnih in osebnih podatkov v okviru naročnikovih pooblastil in jih ne smejo obdelovati ali drugače uporabljati za noben drug namen. Medsebojne pravice in obveznosti se urejajo s pogodbo, ki mora vsebovati tudi pogoje in ukrepe za zagotovitev varstva zaupnih ali osebnih podatkov.

28. člen

Za kršitev določil prejšnjega člena so zaposleni disciplinsko odgovorni, ostali pa na temelju pogodbenih obveznosti.

VIII. KONČNE DOLOČBE

29. člen

Ta pravilnik prične veljati dan po objavi v Uradnem glasilu Občine Preddvor.

Številka: pr 14/02

Datum: 12. 8. 2002

Župan Občine Preddvor: Miran Zadnikar