ПУТ ОД ХИЉАДУ КИЛОМЕТАРА ПОЧИЊЕ ПРВИМ КОРАКОМ - ИМПЛЕМЕНТИРАЈТЕ ЗАКОН О ТАЈНОСТИ ПОДАТКА
ПИТАЊЕ: Шта је то тајни податак?
ОДГОВОР: Тајни податак је штићени податак <видети више> у складу са Законом о тајности података <видети више> и односи се на јавне политике из области националне безбедности, одбране, спољних и унутрашњих послова, обавештајно-безбедносних послова, вођење истрага, као и на поверљиве набавке. <видети више> Не успостављање система заштите тајних података у органу јавне власти представља угрожавање националне безбедности и кривично дело. <видети више>
- Модел одлуке о одређивању степена тајности у органу јавне власти (са прегледом података)
- Обавезе које произилазе из Закона о тајности података
- Примери лоше праксе система рада са тајним подацима
ПИТАЊЕ: Да ли је потребан сертификат за рад са тајним подацима?
ОДГОВОР: Да, у складу са чланом 42. Закона о тајности података физичко и правно лице има право приступа тајним подацима који су неопходни за обављање послова из делокруга његовог рада и који су по степену тајности одређени у сертификату за приступ тајним подацима. <видети више>
Посебно напомињемо да безбедносни сертификат морају поседовати руководиоци органа јавне власти, овлашћено лице за одређивање степена тајности, руковалац тајним подацима (сви запослени који раде у организационој јединици – руковалац тајним подацима), припадници унутрашње контроле, као и шефови кабинета, запослени у кабинетима, државни службеници на положају и друга постављена лица. <видети више>
Поред напред наведеног физичка лица морају да се налазе на листи "Потребно да зна", док правна лица морају да се налазе на листи "Потребно поделити са".<видети више>
ПИТАЊЕ: Ко може бити руковалац тајним подацима?
ОДГОВОР: Руковалац тајним податком је физичко лице или организациона јединица органа јавне власти, који предузима мере заштите тајних података у складу са одредбама Закона о тајности података Модел Одлуке о одређивању руковаоца тајним подацима и Руковалац тајним подацима - инфолист.
Лице које је овлашћено као руковалац тајним подацима, не може истовремено бити и лице које је овлашћено да обавља и послове унутрашње контроле.
Препорука за одређивање руковаоца тајним подацима:
- У министарствима одређују се секретаријати (евентуално кабинети министра).
- У јединицама локалне самоуправе одређују се организационе јединице које су задужене на пословима планирања одбране (евентуално секретаријати организационих јединица).
- У судовима одређују се секретари судова.
- У тужилаштвима одређују се лица на основу одлуке главног тужиоца.
- У јавним предузећима одређују се организационе јединице које су задужене на пословима планирања одбране.
Одлука о одређивању руковаоца тајним подацима не подразумева истовремено и овлашћење за креирање тајних података.
Руководилац органа јавне власти на основу функције коју обавља има обавезу вршења дужности руковаоца тајним подацима до ступања на снагу Одлуке о одређивању руковаоца тајним подацима.
У органима јавне власти чија организациона структура подразумева мањи број запослeних лица руководилац органа јавне власти истовремено обавља и функцију руковаоца тајним подацима.
ПИТАЊЕ: Како се подноси захтев за издавање сертификата за приступ тајним подацима?
ОДГОВОР: Захтев за издавање сертификата за физичка и правна лица подноси се у складу са чланом 51. и 52. Закона о тајности података.<видети више>
- Модел захтева за физичка лица.
- Модел захтева за правна лица.
- Препоруке органима јавне власти о поступању са правним лицима у поступку сертификације.
ПИТАЊЕ: Да ли физичко/правно лице може директно да поднесе захтев Канцеларији Савета за националну безбедност и заштиту тајних података?
ОДГОВОР: Не. Захтев за издавање сертификата може да поднесе само руководилац органа јавне власти за физичко лице запослено у органу јавне власти.
Захтев за сертификацију правних лица и физичких лица која су запослена у правном лицу може поднети само орган јавне власти који планира уговорну сарадњу са правним лицем. <видети више>
Правна лица која оснива држава или се финансирају у целини, односно у претежном делу из буџета, пре подношења захтева за издавање сертификата потребно је да доставе мишљење Министарства правде, да се сматрају органом јавне власти у смислу Закона о тајности података.
ПИТАЊЕ: Која документација се доставља уз захтев за издавање сертификата?
ОДГОВОР: У прилогу захтева за издавање сертификата за приступ тајним подацима достављају се попуњени безбедносни упитници за физичка или правна лица.
Уз безбедносни упитник (како за физичка лица тако и за правна лица) може бити достављена и одговарајућа документација којом се ближе објашњава, односно доказује нека промена која је настала, а која је везана за неко од питања из безбедносног упитника (нпр. за физичка лица - Венчани лист, Решење о разводу брака, Извод из катастра непокретности, Решење о наслеђивању итд; односно за правна лица - Извод из АПР-а, Биланс стања, Биланс успеха, Финансијски извештај, Ревизорски извештај...). Само физичко лице, односно правно лице процењује које ће документе доставити уз безбедносни упитник. <видети више>
Уз безбедносни упитник лице може приложити додатну документацију до тренутка док безбедносни упитник не стигне до Канцеларије Савета за националну безбедност и заштиту тајних података; односно Канцеларија Савета за националну безбедност и заштиту тајних података може захтевати допуну документације до тренутка прослеђења захтева органу надлежном за вршење безбедносне провере, односно орган надлежан за вршење безбедносне провере у току вршења безбедносне провере може такође захтевати допуну документације. <видети више>
ПИТАЊЕ: Где се могу преузети безбедносни упитници?
ОДГОВОР: Безбедносни упитници (основни и посебни безбедносни упитници) могу се преузети на сајту Канцеларије Савета за националну безбедност и заштиту тајних података у рубрици: ,,ДОКУМЕНТА/ Обрасци".
ПИТАЊЕ: Који безбедносни упитници се попуњавају за физичка лица запослена у органу јавне власти?
ОДГОВОР: Физичка лица запослена у органу јавне власти попуњавају основни безбедносни упитник за приступ тајним подацима степена тајности ,,ПОВЕРЉИВО“ (ОБУ-1 до ОБУ-1_08), aко се сертификат захтева за приступ тајним подацима степена тајности ,,СТРОГО ПОВЕРЉИВО“ и ,,ДРЖАВНА ТАЈНА“ попуњава се и посебан безбедносни упитник (ПБУ-1).
ПИТАЊЕ: Који безбедносни упитници се попуњавају за правна лица и физичка лица запослена у правном лицу?
ОДГОВОР: Законски заступник правног лица за приступ тајним подацима степена тајности ,,ИНТЕРНО“ и ,,ПОВЕРЉИВО“ попуњава основни безбедносни упитник за правна лица (од ОБУ-2 до ОБУ-2_01).
Ако се сертификат захтева за приступ тајним подацима степена тајности ,,СТРОГО ПОВЕРЉИВО“ и ,,ДРЖАВНА ТАЈНА“ попуњава се и посебан безбедносни упитник (ПБУ-2).
Поред основног безбедносног упитника за правна лица, законски заступник попуњава и безбедносни упитник за физичко лице.
Физичка лица запослена у правном лицу попуњавају основни безбедносни упитник за приступ тајним подацима степена тајности ,,ИНТЕРНО“ и ,,ПОВЕРЉИВО“ (ОБУ-1 до ОБУ-1_08).
Ако се сертификат захтева за приступ тајним подацима степена тајности ,,СТРОГО ПОВЕРЉИВО“ и ,,ДРЖАВНА ТАЈНА“ попуњава се и посебан безбедносни упитник (ПБУ-1).
- Модел основног безбедносног упитника за правна лица (ОБУ-2 до ОБУ-2_01 и ПБУ-2)
- Модел основног безбедносног упитника за физичка лица (ОБУ-1 до ОБУ-8 и ПБУ-1)
ПИТАЊЕ: Како се попуњава основни безбедносни упитник за физичко/правно лице?
ОДГОВОР: Основни и посебни безбедносни упитник за физичка/правна лица попуњавају се у складу са Упутством за попуњавање. Упутство за попуњавање налази се на сајту Канцеларије Савета за националну безбедност и заштиту тајних података у рубрици: Упутство за попуњавање упитника
ПИТАЊЕ: Шта подразумева поступак издавања сертификата?
ОДГОВОР: У складу са чланом 70. Закона о тајности података, на поступак издавања сертификата примењује се Закон о општем управном поступку: кораци у поступку издавања сертификата су подношење захтева, покретање безбедносне провере, вршење безбедносне провере од стране надлежних органа, доношење решења и издавање сертификата за приступ тајним подацима. <видети више>
Поред тога поступак издавања сертификата правним лицима подразумева промену пословне политике правног лица - успостављање система заштите тајних података, односно испуњавање посебних мера заштите тајних података, које се односе на начин и поступак утврђивања испуњености организационих и техничких услова за чување тајних података достављених правном или физичком лицу по основу уговорног односа. За утврђивање испуњавања ових услова приликом издавања сертификата сходно степену тајности одговорна је Канцеларија Савета за националну безбедност и заштиту тајних података. <видети више>
ПИТАЊЕ: Како и где се може преузети сертификат за приступ тајним подацима?
ОДГОВОР: Сертификат за приступ тајним подацима преузима се лично, након одслушаног безбедносног брифинга у просторијама Канцеларије Савета за националну безбедност и заштиту тајних података на адреси Немањина бр. 22-26, Београд.<видети више>
Лице коме се издаје сертификат за приступ тајним подацима дужно је да потпише изјаву да је лично преузео сертификат (изјава се попуњава у Канцеларији Савета), као и да му је одржан безбедносни брифинг (да је упознат са минималним захтевима за коришћење и заштиту тајних података). <видети више>
У складу са Законом о заштити података о личности, након завршетка процеса издавања сертификата за приступ тајним подацима, лицу се враћа његов безбедносни упитник.
Уколико лице не потпише изјаву, поступак издавања сертификата се обуставља.
ПИТАЊЕ: У ком року се преузима сертификат након пријема решења?
ОДГОВОР: Након пријема решења и истека рока за жалбу потребно је контактирати Канцеларију Савета за националну безбедност и заштиту тајних података, ради заказивања термина за издавање сертификата, email за заказивање термина је : termini.sertifikati@nsa.gov.rs
ПИТАЊЕ: Да ли се само на основу решења може остварити приступ тајним подацима?
ОДГОВОР: Приступ тајним подацима је могућ само на основу сертификата за приступ тајним подацима издатог у законом уређеном поступку, тј. решење не замењује сертификат. <видети више>
ПИТАЊЕ: Шта значи поседовати сертификат за приступ тајним подацима за правна лица?
ОДГОВОР: Правно лице мора имати извршену безбедносну проверу за законског заступника и запослене, да има израђене процедуре за рад са тајним подацима који су му уступљени од органа јавне власти и да има акредитован простор за чување тајних података одговарајућег степена тајности. <видети више>
Поред ових услова орган јавне власти може захтевати и додатне услове за чување тајних података приликом закључивања уговора који садржи тајне податке. <видети више>
Сертификовање правних лица омогућава њихов несметан приступ тајним подацима Републике Србије и учешће на расписаним тендерима у државама са којима Република Србија има закључене и ратификоване међународне споразуме о размени и узајамној заштити тајних података. <видети више>
Најчешћи проблем у пракси представља што већина правних лица има безбедносне провере и сертификате за запослене а за простор има само капацитете за чување тајних података ,,ИНТЕРНО". У пракси правна лица преузимају тајне податке степена тајности ,,СТРОГО ПОВЕРЉИВО" и чувају у својим просторима као пословну тајну што представља непоштовање прописа о тајности података односно угрожавање националне безбедности и кривично дело.
ПИТАЊЕ: Који су први кораци у имплементацији Закона o тајности података у органу јавне власти који претходе отпочињању процеса сертификације?
ОДГОВОР: Први кораци у имплементацији Закона o тајности података у органу јавне власти подразумевају доношење следећих правних аката: <видети више>
- Одлука о одређивању тајних података у органу јавне власти
- Одлука о одређивању руковаоца тајним подацима
- Листа "Потребно да зна"
- Листа "Потребно поделити са"
- Одлука о одређивању унутрашње контроле
- Модел Акта о безбедности информационо-комуникационог система
- Евиденције за рад са тајним подацима
- Пример модела гантограма
Поред доношења наведених одлука, потребно је да орган јавне власти устроји евиденције у складу са чл. 82. Закона о тајности података и чл. 8. Уредбa о садржини, облику и начину вођења евиденција за приступ тајним подацима <видети више>, чл. 10. и 13. Уредба о начину и поступку означавања тајности података, односно докумената <видети више> , чл. 17. ст. 2. Уредба о посебним мерама физичко-техничке заштите тајних података. <видети више>
ПИТАЊЕ: Да ли је довољно предузети само први корак у имплементацији Закона о тајности података, да би се сматрало да је Закон имплеметиран?
ОДГОВОР: Не. Да би се Закон сматрао имплементираним потребно је донети читав низ одлука, акредитовати простор за чување тајних података <видети више>, успоставити ИКТ систем од посебног значаја за рад са тајним подацима <видети више> , редовно спроводити унутрашњу контроле <видети више> , да запослени прођу одговарајуће обуке и да се ради на подизању безбедносне свести и културе у органу јавне власти. <видети више>
- Одлука о одређивању Административне зоне
- Одлука о одређивању Безбедносне зоне
- Одлука о овлашћеном лицу за одређивање тајних података
- Одлука о промени степена тајности
- Одлука о опозиву тајности - периодична процена
- Одлука о престанку тајности истеком рока
- Модел извештаја приликом достављања извештаја о раду са тајним подацима
- Посебне мере физичко-техничке заштите тајних података - скрипта
- Унутрашња контрола над радом са тајним подацима - приручник
ПИТАЊЕ: Да ли органи јавне власти, судови и тужилаштва у раду са тајним подацима могу да користе е-канцеларијско пословање у обради докумената који су одређени као тајни подаци у складу са Законом о тајности података?
ОДГОВОР: Не, у конкретном случају искључиво се примењује Закон о тајности података ("Службени гласник РС", бр. 104/2009), Уредба о начину и поступку означавања тајности података односно докумената (Службени гласник РС", бр. 8/2011) и Уредба о посебним мерама физичко-техничке заштите тајних података (Службени гласник РС", бр. 97/11).
Указујемо да Уредба о канцеларијском пословању органа јавне власти, као и Упутство о канцеларијском пословању органа државне управе (Службени гласник РС", бр. 10/93, 14/93-испр., 67/2016, 3/2017 и 20/2022-др.упутство) уређује пријем, отварање, евидентирање и архивирање тајних података у органима државне управе.
Такође, на основу Судског пословника (Службени гласник РС", бр. 110/2009, 70/2011, 19/2012, 89/2013, 96/2015, 104/2015, 113/2015-испр., 39/2016, 56/2016, 77/2016, 16/2018, 43/2019, 93/2019 и 18/2022), као и Правилника о управи у јавним тужилаштвима (Службени гласник РС", бр. 110/2009, 87/2010, 5/2012, 54/2017, 14/2018 и 57/2019) се уређује поступање са тајним подацима у судовима и тужилаштвима. <видети више>
ПИТАЊЕ: Ко може бити одређен за унутрашњу контролу за рад са тајним подацима у органу јавне власти?
ОДГОВОР: Унутрашњу контролу у органу јавне власти може обављати и унутрашња организациона јединица у органу јавне власти, која је за те послове одређена актом о унутрашњем уређењу и систематизацији радних места, а непосредну контролу може обављати запослени у тој унутрашњој организационој јединици под условом да има одговарајући сертификат за приступ тајним подацима <видети више>
Сматрамо да у органу јавне власти ако нема успостављен систем унутрашње контроле у смислу члана 84. став 2. (Министарство одбране, Министарство унутрашњих послова, Министарство спољних послова, Безбедносно-информативна агенција и слично) потребно је проширити надлежности интерне ревизије или ФУК-а (Финансијско Управљање Контроле) у сегменту безбедности информација - унутрашње контроле за рад са тајним подацима.
Наравно, да би се успоставила унутрашња контрола потребно је отпочети процес имплементације Закона о тајности података, одредити руковаоца тајних података и донети све потребне одлуке.
Руковалац тајним подацима никако не може бити и унутрашња контрола.
Указујемо да је руководилац органа јавне власти уједно и унутрашња контрола док не успостави систем унутрашње контроле.
Сва лица укључена у процес рада са тајним подацима било да обављају послове руковаоца или унутрашње контроле или да су само корисници тајних података у органу јавне власти морају поседовати одговарајући сертификат и проћи едукације за рад са тајним подацима <видети више>
УНУТРАШЊА КОНТРОЛА НАД РАДОМ СА ТАЈНИМ ПОДАЦИМА - ПРИРУЧНИК
ПИТАЊЕ: Како се поступа у случају губитка, крађе, оштећења, уништења или неовлашћеног откривања тајних података и страних тајних података?
ОДГОВОР : Када дође до сазнања да је дошло до губитка, крађе, оштећења, уништења или неовлашћеног откривања тајних података и страних тајних података, старешина органа јавне власти или овлашћено лице дужно је да без одлагања предузме све потребне мере за утврђивање околности због којих је дошло до губитка, крађе, оштећења, уништења или неовлашћеног откривања тајног податка и страног тајног податка, изврши процену проузроковане штете, као и да предузме потребне мере у циљу отклањања штете и спречавања поновног губитка, крађе, оштећења, уништења или неовлашћеног откривања тајног податка и страног тајног податка.
Препорука Канцеларије Савета за националну безбедност и заштиту тајних података у складу са чл. 35. ст. 3. Закона о тајности података састоји се у испуњавању следећих корака:
- Хитно обавестити орган јавне власти од којег је добијен тајни податак;<видети више>
- Покренути поступак унутрашње контроле у ограну јавне власти (ванредна контрола);
- Обавестити надлежно тужилаштво и Канцеларију Савета за националну безбедност и заштиту тајних података;<видети више>
- Обавестити надлежну службу безбедности, односно Безбедносно-информативну агенцију.
Неопходни кораци за имплементацију Закона о тајности података у органу јавне власти
Водич за имплементацију ЗТП
Водич за добијање сертификата - Правна лица-
Уколико имате потребе за додатним информацијама из области заштите тајних података, стојимо вам на располагању за сваку врсту помоћи из делокруга наше надлежности.
Адреса електронске поште за заказивање онлајн консултацијa: online.konsultacije@nsa.gov.rs
Адреса електронске поште за заказивање актуелних обука: obuke@nsa.gov.rs
Адреса електронске поште за заказивање брифинга: termini.sertifikati@nsa.gov.rs