Na osnovu člana 11. stav (5) Zakona o zaštiti ličnih podataka ("Službeni glasnik BiH" broj 49/07) i člana 17. Zakona o Vijeću ministara Bosne i Hercegovine ("Službeni glasnik BiH", broj 30/03, 42/03, 81/06, 76/07, 81/07, 94/07 i 24/08), Vijeće ministara Bosne i Hercegovine, na 93. sjednici održanoj 2. jula 2009. godine, donijelo je

PRAVILNIK

O NAČINU ČUVANjA I POSEBNIM MJERAMA TEHNIČKE ZAŠTITE LIČNIH PODATAKA

(Objavljeno u "Sl. glasnik BiH", br. 67 od 25 avgusta 2009)

POGLAVLjEI. - OPĆE ODREDBE

(Predmet Pravilnika)

Član 1.

Pravilnikom o načinu čuvanja i posebnim mjerama tehničke zaštite ličnih podataka (u daljnjem tekstu: Pravilnik) bliže se propisuje način čuvanja i posebne mjere tehničke zaštite ličnih podataka.

(Pojmovi)

Član 2.

Pojedini pojmovi korišteni u ovom Pravilniku imaju sljedeće značenje:
a) "Administrator zbirke ličnih podataka" je fizičko lice ovlašteno i odgovorno za sistem upravljanja zbirkom ličnih podataka i za osiguranje tajnosti i zaštite obrade ličnih podataka.
b) "Izvršilac" je fizičko lice, zaposleno ili angažirano kod kontrolora koje izvršava poslove vezane za obradu ličnih podataka.

POGLAVLjEII. - NAČIN ČUVANjA LIČNIH PODATAKA

(Način čuvanja)

Član 3.

Način čuvanja ličnih podataka podrazumijeva poduzimanje organizacijskih i tehničkih mjera zaštite ličnih podataka te sačinjavanje plana sigurnosti ličnih podataka.

(Organizacijske mjere zaštite)

Član 4.

(1) Kontrolor treba da osigura organizacijske mjere zaštite ličnih podataka koje obuhvataju: informiranje i obuku uposlenih koji rade na obradi ličnih podataka, fizičke mjere zaštite radnih prostorija i opreme u kojima se vrši obrada ličnih podataka, sprečavanje neovlaštenog umnožavanja, kopiranja i prepisivanja ličnih podataka, uništavanja ličnih podataka i drugo.
(2) Nakon prijema u radni odnos, a prije otpočinjanja obavljanja radnih dužnosti, svako lice koje će u okviru poslova i zadataka obrađivati lične podatke upoznaje se sa mjerama zaštite ličnih podataka.
(3) Prije neposrednog otpočinjanja obavljanja poslova vezanih za obradu ličnih podataka, kontrolor dodatno upoznaje uposlenog sa konkretnim obavezama po pitanju zaštite ličnih podatka.

(Tehničke mjere zaštite)

Član 5.

(1) Kontrolor treba osigurati odgovarajuće mjere tehničke zaštite prostorija i opreme u kojima se vrši obrada ličnih podataka.
(2) Posebnim mjerama tehničke zaštite ličnih podataka treba onemogućiti neovlašten pristup i obradu istih.
(3) Tehničke mjere zaštite ličnih podataka, između ostalog, obuhvataju kontrolu pristupa prostorijama i opremi za obradu ličnih podatka, zaštitu od uništenja i oštećenja ličnih podataka i drugo.

(Plan sigurnosti ličnih podataka)

Član 6.

(1) Plan sigurnosti ličnih podataka sadrži organizacijske i tehničke mjere kojima se mora osigurati:
a) da samo ovlaštena lica mogu znati lične podatke - povjerljivost;
b) da za vrijeme obrade lični podaci ostanu nepromijenjeni, potpuni i ažurni - integritet;
c) da su podaci stalno dostupni, da su na raspolaganju i da se mogu ispravno obrađivati - raspoloživost;
d) da se u svako doba može utvrditi porijeklo ličnih podataka - autentičnost;
e) da se može utvrditi ko, kada, koje je lične podatke i na koji način obrađivao - mogućnost revizije;
f) da je postupak pri obradi ličnih podataka potpun, ažuran i na odgovarajući način evidentiran-transparentnost.
(2) Plan sigurnosti ličnih podataka mora sadržavati kategorije ličnih podataka koje se obrađuju i popis instrumenata zaštite odnosno organizacijske i tehničke mjere zaštite.
(3) Plan sigurnosti ličnih podataka mora biti sačinjen u pismenoj formi, ažuriran i stalno dostupan Agenciji za zaštitu ličnih podataka u Bosni i Hercegovini.

POGLAVLjEIII. - ZAŠTITA LIČNIH PODATAKA U AUTOMATSKOJ OBRADI

(Tehničke mjere)

Član 7.

(1) Kontrolor pri automatskoj obradi ličnih podataka treba da osigura tehničke mjere zaštite ličnih podatka i to:
a) jedinstveno korisničko ime i lozinku sastavljenu od kombinacije minimum šest karaktera, brojeva ili slova;
b) automatsku izmjenu lozinke po utvrđenom vremenskom periodu koji ne može biti duži od šest mjeseci;
c) korisničko ime i lozinka će dozvoljavati pristup samo do dijelova sistema potrebnih izvršiocu za izvršenje njegovih radnih zadataka;
d) automatsko odjavljivanje sa sistema po isteku određenog perioda neaktivnosti, ne duže od 15 minuta, a za ponovno aktiviranje sistema potrebno je nanovo upisati korisničko ime i lozinku;
e) automatsku zabranu pristupa sistemu nakon tri neuspješna pokušaja prijavljivanja na sistem i automatsko upozorenje izvršiocu da potraži instrukciju od administratora zbirke ličnih podataka;
f) efikasnu i sigurnu antivirusnu zaštitu sistema, koje će se stalno ažurirati radi preventive od nepoznate ili neplanirane opasnosti od novih virusa;
g) kompjuterska, programska i ostala neophodna oprema na elektorenergetsku mrežu se priključuje putem uređaja za neprekidno napajanje.
(2) U slučaju iz tačke e. stav (1) ovog člana administrator zbirke ličnih podataka odobrava daljnji pristup sistemu.
(3) Izvršilac koji obavlja kadrovske poslove, treba da izvještava administratora zbirke ličnih podataka o zaposlenju ili angažiranju svakog izvršioca s pravom pristupa informacijskom sistemu, kako bi se dodijelili korisničko ime i lozinka, kao i po prestanku zaposlenja ili angažiranja, da bi se korisničko ime i lozinka izbrisali odnosno zabranio daljnji pristup.
(4) Izvještavanje iz stava (3) ovog člana vrši se i prilikom bilo koje druge promjene radnog statusa izvršioca, koja utiče na nivo ili obim pristupu zbirke ličnih podataka.

(Organizacione mjere)

Član 8.

Kontrolor pri automatskoj obradi ličnih podataka treba da osigura organizacijske mjere zaštite ličnih podataka i to:
a) potpunu tajnost i sigurnost lozinki i ostalih formi za identifikaciju pristupa ličnim podacima;
b) organizacijska pravila za pristup izvršioca internetu koja se odnose na preuzimanje i snimanje dokumenata putem elektronske pošte ili drugih izvora;
c) uništavanje dokumenata koji sadrže lične podatke po isteku roka za obradu;
d) svako