Za pristup cjelovitom i ažurnom tekstu ovog dokumeta, molimo:

Na temelju članka 8. stavka 4. Zakona o zaštiti osobnih podataka ("Narodne novine" broj 103/2003.) Vlada Republike Hrvatske je uz prethodno mišljenje Agencije za zaštitu osobnih podataka, na sjednici održanoj 30. lipnja 2004. godine, donijela

UREDBU

O NAČINU POHRANjIVANjA I POSEBNIM MJERAMA TEHNIČKE ZAŠTITE POSEBNIH KATEGORIJA OSOBNIH PODATAKA

(Objavljeno u "Narodnim novinama", br. 139 od 06 listopada 2004)

I. OPĆE ODREDBE

Članak 1.

Ovom Uredbom određuju se mjere, sredstva i uvjeti pohranjivanja, osiguranja i zaštite te prijenosa posebnih kategorija osobnih podataka i zbirki takvih podataka, mjere održavanja i provjere ispravnosti rada računalne, telekomunikacijske i programske opreme sustava za vođenje zbirki posebnih kategorija osobnih podataka (u daljnjem tekstu: sustav), osiguranje radnih prostorija u kojima je smještena ta oprema, osobe ovlaštene za provedbu predviđenih mjera te osobe odgovorne za nadzor nad provedbom tih mjera.
Odredbe ove Uredbe na odgovarajući se način primjenjuju i na zbirke posebnih kategorija osobnih podataka koje se ručno obrađuju.

Članak 2.

Pojedini izrazi u ovoj Uredbi imaju sljedeće značenje:
1. Sustav za vođenje zbirke osobnih podataka je sustav koji se sastoji od računalne, telekomunikacijske, upravljačke i programske opreme, te svih osobnih podataka koji se tim sustavom unose, pohranjuju i prenose.
2. Računalo za vođenje zbirke je računalo u koje je ugrađena upravljačka i programska oprema sustava za vođenje zbirke osobnih podataka.
3. Središnje računalo zbirke je računalo u koje je ugrađena upravljačka i programska oprema za obradu i pohranu zbirke osobnih podataka.
4. Razvojno računalo je računalo u koje je ugrađena potrebna upravljačka i programska oprema u razvitku, oprema koja se provjerava, te oprema potpuno jednaka opremi ugrađenoj u računala za vođenje zbirke osobnih podataka.
5. Administrator zbirke osobnih podataka je osoba ovlaštena brinuti o sustavu za upravljanje zbirkama osobnih podataka i o svim vidovima osiguranja i pohranjivanja podataka.
6. Administrator mrežnog sustava je osoba ovlaštena brinuti o telekomunikacijskoj opremi, pristupnim putevima, mreži, modemskim i drugim vezama između računalnih sustava.
7. Administrator upravljačkog sustava je osoba ovlaštena brinuti o ugradnji i ispravnom radu upravljačkog sustava i druge upravljačke programske opreme.
8. Uređaj za neprekidno napajanje je uređaj koji u slučaju prekida ili nestanka električne energije omogućava nesmetan nastavak rada računala i druge opreme kroz određeno kratko vrijeme, tako da se poslovi u tijeku mogu završiti bez opasnosti za cjelovitost informacija koje se tim računalom i opremom obrađuju, a računalo i druga oprema u tom vremenu mogu uredno utrnuti.
9. Pohranjivanje podataka sustava je postupak pohranjivanja sigurnosnog primjerka podataka za slučaj gubitka, oštećenja ili uništenja podataka.
10. Povrat pohranjenih podataka je postupak vraćanja podataka u prethodno stanje sa sigurnosnog primjerka nakon gubitka, oštećenja ili uništenja podataka pri čemu tako vraćen skup podataka mora biti u posljednjem sukladnom stanju i bez gubitka informacija.
11. Obnavljanje rada računalnog sustava je skup postupaka za povratak računalnog sustava i svih započetih poslova u posljednje sukladno stanje tog sustava.
12. Ponovno uključivanje sustava u rad je skup postupaka za uključivanje računalnog sustava u rad nakon neuobičajenog prekida rada tog sustava.

II. MJERE ZAŠTITE

Priključenje računala i druge opreme sustava

Članak 3.

Priključenje računalne, telekomunikacijske i druge opreme sustava na energetsku mrežu obavlja se prema uputama proizvođača te opreme, u skladu s važećim tehničkim normama.

Obveza uporabe uređaja za neprekidno napajanje

Članak 4.

Računala za vođenje zbirki osobnih podataka i središnja računala zbirki priključuju se na energetsku mrežu preko uređaja za neprekinuto napajanje.

Modemski priključci za pristup sustavu

Članak 5.

Modemski priključci i njihovi brojevi, koji se koriste za pristup sustavu na kojem su pohranjene zbirke posebnih kategorija osobnih podataka, ne objavljuju se u telefonskim imenicima i ne smiju biti dostupni preko službe za davanje telefonskih brojeva.

Smještanje, postavljanje i ugradnja računala i računalne mreže

Članak 6.

Računala za vođenje zbirki osobnih podataka, središnja računala zbirki i računalnu mrežu smješta, postavlja i ugrađuje stručna osoba uz odobrenje voditelja zbirke osobnih podataka, u skladu s važećim normama, standardima i tehničkim uputama, prema projektu.
Po jedan primjerak projektne dokumentacije iz stavka 1. ovog članka čuva se u radnim prostorijama voditelja zbirke osobnih podataka i izvršitelja obrade ukoliko postoji, na sigurnom mjestu, a dostavlja na uvid Agenciji za zaštitu osobnih podataka.

Mehanizmi za osiguranje posebnih kategorija osobnih podataka

Članak 7.

Računalo za vođenje zbirki za obradu posebnih kategorija osobnih podataka i središnje računalo sustava mora biti opremljeno:
- mehanizmom za sigurnosno prijavljivanje za rad s mogućnošću pohrane podataka o prijavljivanju za rad kako bi se pristup računalima mogao nadzirati i ograničiti,
- mehanizmom za sprječavanje neovlaštenog iznosa i unosa podataka uporabom prijenosnih informatičkih medija, komunikacijskih priključaka i priključaka za ispis podataka,
- mehanizmom zaštite od računalnih virusa i drugih štetnih programa,
- mehanizmom kriptološkog osiguranja posebnih kategorija osobnih podataka na prijenosnim informatičkim medijima za pohranu i u toku prijenosa takvih podataka informatičkim i telekomunikacijskim sustavima.
Pristup prostorijama s računalnom i telekomunikacijskom opremom

Članak 8.

Računalna i telekomunikacijska oprema postavlja se i ugrađuje u posebno zaštićene prostorije određene projektom.
U prostorije u kojima se nalaze središnja računala zbirke osobnih podataka ili računala za vođenje zbirki osobnih podataka smiju ulaziti samo ovlaštene osobe s posebnom dozvolom za ulaz.
Voditelj zbirke osobnih podataka ili izvršitelj obrade uz suglasnost voditelja zbirke osobnih podataka određuje ovlaštene osobe koje smiju ulaziti u prostorije iz stavka 2. ovoga članka.
Prostorije iz stavka 2. ovog članka moraju biti opremljene sustavom video nadzora i elektroničkim dvostranim sustavom za kontrolu prolaza na ulaznim vratima kako bi se pristup takvim prostorijama i boravak u njima mogao ograničiti i nadzirati.
Pristup podacima sustava

Članak 9.

Pristup podacima pohranjenim u zbirkama osobnih podataka dozvoljen je ovlaštenim službenicima i namještenicima voditelja zbirke ili izvršitelja obrade (u daljnjem tekstu: ovlašteni zaposlenici), ovlaštenim osobama zaduženim za održavanje i razvitak sustava za vođenje zbirki osobnih podataka (u daljnjem tekstu: ovlašteni stručnjaci).
Voditelj zbirke osobnih podataka određuje osobe iz stavka 1. ovoga članka. Izvršitelj obrade nema ovlast za određivanje osoba iz stavka 1. ovog članka.
Zahtjev za pristup ili obradu te zahtjev za prestanak ovlasti za pristup zbirkama osobnih podataka ili obradu osobnih podataka podnosi se voditelju zbirke osobnih podataka koji daje ili ukida dozvolu za pristup zbirkama.
Pristup u telekomunikacijski, računalni i aplikacijski sustav

Članak 10.

Pristup u telekomunikacijski, računalni i aplikacijski sustav za vođenje zbirki osobnih podataka ili obradu podataka iz zbirki dozvoljen je uz uporabu odgovarajućih korisničkih imena i pripadnih propusnica.
Obveza uporabe jedinstvenih korisničkih imena i propusnica za pristup sustavu

Članak 11.

Pristup podacima pohranjenim u zbirkama osobnih podataka dozvoljen je uporabom dodijeljenoga jedinstvenog korisničkog imena i propusnice.
Ukinuto korisničko ime ne smije se dodijeliti drugoj osobi.
Korisničko ime i pripadna propusnica ne smiju se odati i dati na uporabu drugoj osobi.

Članak 12.

Način dodjeljivanja i obvezu izmjene propusnice određuje voditelj zbirke osobnih podataka.
Evidencija, praćenje pristupa i pokušaja neovlaštenog pristupa sustavu

Članak 13.

Svaki pristup telekomunikacijskom i računalnom sustavu za vođenje zbirki osobnih podataka mora biti automatski zabilježen korisničkim imenom, nadnevkom i vremenom prijave i odjave.
Svaki pokušaj neovlaštenog pristupa sustavu mora biti automatski zabilježen korisničkim imenom, nadnevkom i vremenom, a ako je to moguće i mjestom s kojeg je takav pristup pokušan.
Izvršitelj obrade, administrator mrežnog sustava, administrator računala i administrator zbirke osobnih podataka dužni su obavijestiti čelnika voditelja zbirke osobnih podataka o svakom pokušaju neovlaštenog pristupa sustavu.
Mjere zaštite od požara

Članak 14.

Računalna i telekomunikacijska oprema sustava mora biti smještena u prostorijama koje imaju uređaje za otkrivanje požara i automatsku dojavu o izbijanju požara.
Prostorije u kojima je smještena oprema iz stavka 1. ovoga članka moraju imati uređaje za automatsko gašenje požara (temeljene na uporabi plina halona i sl.), a u blizini, ispred i u tim prostorijama, na vidljivim i lako uočljivim mjestima moraju biti izvješene upute o postupcima u slučaju izbijanja požara.