Најчешће постављана питања и одговори

ПИТАЊЕ: Шта је то тајни податак?

ОДГОВОР: Тајни податак је штићени податак <видети више> у складу са Законом о тајности података <видети више> и односи се на јавне политике из области националне безбедности, одбране, спољних и унутрашњих послова, обавештајно-безбедносних послова, вођење истрага, као и на поверљиве набавке. <видети више> Не успостављање система заштите тајних података у органу јавне власти представља угрожавање националне безбедности и кривично дело. <Водич за имплементацију Закона о тајности података>

• Модел одлуке о одређивању степена тајности у органу јавне власти (са прегледом података)
• Обавезе које произилазе из Закона о тајности података
• Примери лоше праксе система рада са тајним подацима
  
  

ПИТАЊЕ: Како се спроводи процедура означавања и одређивања степена тајности у органима јавне власти у Републици Србији, узимајући у обзир утицај, потенцијалну штету и последице непоштовања процедура?

ОДГОВОР: Означавање и одређивање степена тајности података представљају кључни корак у заштити осетљивих информација и очувању интереса Републике Србије. Ова процедура има за циљ да обезбеди безбедност података, уз транспарентност и одговорност органа јавне власти. Поступак означавања и одређивања степена тајности у органима јавне власти у Републици Србији регулисан је Законом о тајности података и подзаконским актима, и обухвата следеће кораке:

1. Доношење формалне одлуке о тајности: Орган јавне власти је у обавези да донесе генеричну или појединачну писмену одлуку о одређивању степена тајности података, уз процену утицаја и потенцијалне штете по интересе Републике Србије у случају откривања, злоупотребе или уништења података.
2. Идентификација категорија података: Подаци се анализирају како би се утврдило да ли испуњавају услове за означавање као тајни, укључујући прописима предивђене категорије података, као и процену могућег утицаја на националну безбедност, јавни интерес, територијални интегритет и економске интересе.
3. Одређивање степена тајности: На основу процене, подаци се категоришу у један од следећих степена тајности: државна тајна, строго поверљиво, поверљиво или интерно, узимајући у обзир озбиљност потенцијалне штете.
4. Означавање података: Подаци добијају јасну ознаку која укључује степен тајности, датум означавања, назив органа који је донео одлуку и правну основу. Ознака мора бити видљива и у складу са прописаним стандардима.
5. Евиденција и контрола: Тајни подаци се уписују у регистар и евиденцију тајних података ради праћења и контроле. Орган јавне власти је у обавези да обезбеди адекватну административну, физичку и информациону безбедност.
6. Ревизија и ажурирање: Ознаке тајности се периодично преиспитују и ревидирају како би се утврдило да ли је потребно задржати, променити или укинути степен тајности.
7. Последице непоштовања процедура: Непоштовање прописаних процедура означавања и заштите тајних података може довести до озбиљних последица, укључујући:

• Казнене мере: Органи јавне власти и одговорна лица могу бити санкционисани у складу са Законом о тајности података (прекршајно и кривично).
• Угрожавање безбедности: Откривање или злоупотреба тајних података може нанети штету националној безбедности, одбрани, унутрашњим и спољним пословима, јавним интересима или економском интегритету Републике Србије.
• Губитак поверења: Недостатак адекватне заштите података може нарушити углед и кредибилитет органа јавне власти.
• Правне импликације: За кршење процедура могу се покренути судски и прекршајни поступци против одговорних лица, као и поступци због повреда радне дисциплине.

Поштовање ове процедуре није само законска обавеза, већ и морална одговорност свих запослених у органима јавне власти како би се осигурала заштита интереса Републике Србије и јачање националне безбедности. Адекватна примена ових корака је темељ поверења, сигурности и професионалности у руковању тајним подацима. Поред тога, ова процедура је кључна за одржавање високог нивоа безбедности, сигурности и интегритета тајних података.

ПИТАЊЕ: Шта је План заштите тајних података у органу јавне власти?

ОДГОВОР: План заштите тајних података у органу јавне власти - представља кључни документ организационе безбедности који дефинише све мере и поступке за заштиту тајних података које орган јавне власти поседује или обрађује. Као такав, он је пресудан за очување интегритета информација и националне безбедности. План има за циљ да осигура да се тајни подаци обрађују, чувају, преносе и уништавају у складу са највишим стандардима безбедности.

Кључне компоненте Плана заштите тајних података:

•     Одговорна лица: Особе задужене за одређивање степена тајности података, руковаоци тајним подацима и оних који су задужени за унутрашњу контролу.
•     Мере заштите: Обухватају физичку, персоналну, информациону (технолошку), индустријску, административну и организациону заштиту.
•     Процедуре: Одређују начин обраде, чувања и уништавања тајних података, као и безбедносне мере које се предузимају при сваком кораку.
•     Евиденције: Органи јавне власти воде евиденције у складу са прописима о тајности података, које омогућавају надзор и ревизију.
•     План поступања у ванредним ситуацијама: Обухвата процедуре и мере које треба предузети у случају напада, злоупотребе или других ванредних ситуација које угрожавају безбедност података.
•     Праћење стања сертификата: Обухвата праћење издатих сертификата за физичка и правна лица, укључујући проверу ваљаности сертификата у контексту њиховог приступа тајним подацима.
•     Рад са правним лицима: Управа и сарадња са правним лицима код поверљивих набавки, посебно у области индустријске безбедности, који укључују безбедност информација и технологија у производним и сервисним процесима.

Обавезе које произлазе из Плана:

•     Усаглашеност са стандардима безбедности: Обавеза органа да се усагласи са националним и међународним стандардима у области информационе безбедности, посебно у области безбедности ИТ система који обрађују тајне податке.
•     Обавезна обука: Редовна обука запослених који имају приступ тајним подацима, како би се осигурало да су сви усклађени са најновијим мерама и процедурама.
•     Систем мониторинга и ревизије: Систем за праћење и ревизију који осигурава да се све мере заштите примењују на адекватан начин.
•     Редовна ревизија и ажурирање: Ревизија и ажурирање плана у складу са новим претњама, технолошким напредцима и променама у законодавству.

План заштите тајних података је основни стуб организационе безбедности у сваком органу јавне власти. Он омогућава правилно управљање тајним подацима и осигурава њихову заштиту, што је од кључног значаја за очување националне безбедности. Иако сам План није директно прописан Законом о тајности података, он се сматра имплицитно обавезним као део комплетног система заштите тајних података, који мора бити у складу са важећим законима и прописима.

ПИТАЊЕ: Шта подразумева процена претње за безбедност тајног податка (самопроцена)?

ОДГОВОР: Процена претње за безбедност тајног податка, позната као самопроцена, представља континуиран процес који обухвата следеће аспекте:

1. Процена мера безбедности, ризика и усаглашеност са прописима: Процена укључује утврђивање ефикасности постојећих мера заштите тајних података, идентификацију потенцијалних ризика и проверу усклађености са прописима.
2. Разлика између процена претње и процена штете: Постоји јасна разлика између процене претње (члан 30. Закона о тајности података) и процене могуће штете (члан 10, став 3. истог закона):

• Процена претње: Фокусира се на анализу ризика и мере безбедности.
• Процена штете: Разматра потенцијалне последице откривања тајних података по интересе Републике Србије, укључујући националну безбедност, одбрану, унутрашње и спољне послове, јавну безбедности и економску стабилност.

3. Кључни критеријуми за процену претње: У процени претње узимају се у обзир степен тајности података, природа документа, идентификација конкретних претњи и предлог мера заштите.
4. Одговорност старешине органа: Старешина органа јавне власти је одговоран за спровођење процене (самопроцене), уз могућност ангажовања запослених, комисије или стручних тела ради свеобухватног приступа.
5. Унутрашња контрола: Процес укључује редовно праћење и проверу спровођења процена и процедура, за шта је одговоран руководилац органа јавне власти.
6. Обука и едукација запослених: Континуирана обука запослених је од суштинског значаја за развој свести о заштити тајних података, минимизацију људских грешака и адекватан одговор на претње. Обука укључује теме као што су рад са тајним подацима, сајбер хигијена и информациона култура.

Процена претњи је непрекидан процес који подразумева интеграцију обуке, технолошких решења и сарадње како би се обезбедила максимална безбедност и сигурност тајних података и очували интереси Републике Србије.

• ИНФО ЛИСТ - Процена претње за безбедност тајног податка или самопроцена по Закону о инспекцијском надзору и Закону о тајности података
• ОБУКЕ ЗА РАД СА ТАЈНИМ ПОДАЦИМА
• АКТУЕЛНЕ ОБУКЕ

ПИТАЊЕ: Ко може бити руковалац тајним подацима?

ОДГОВОР: Руковалац тајним подацима може бити физичко лице или организациона јединица органа јавне власти која предузима мере заштите тајних података у складу са Законом о тајности података. Руковалац има обавезу да управља и штити тајне податке, као и да предузима све потребне мере за њихову заштиту. Руковалац може бити одређен у складу са специфичним потребама органа и природом података.

Важно: Лице овлашћено као руковалац тајним подацима не може истовремено обављати послове унутрашње контроле. Такође, неопходно је разликовати следећа овлашћења:

• Лице овлашћено за одређивање степена тајности података: Лице које одређује степен тајности података (нпр. 'поверљиво', 'строго поверљиво') у складу са прописима.
• Руковалац тајним подацима: Лице или организациона јединица задужена за управљање, складиштење и заштиту тајних података.
• Унутрашња контрола: Лице или јединица задужена за надзор над примењивањем мера заштите тајних података и проверу усаглашености са прописима.

Модели и одлуке:

• Модел одлуке о овлашћеном лицу за одређивање степена тајности података
• Модел одлуке о одређивању руковаоца тајним подацима
• Одлука о одређивању унутрашње контроле у органу јавне власти
• Руковалац тајним подацима - инфолиста
• Унутрашња контрола у систему заштите тајних података - инфолиста

Препоруке за одређивање руковаоца тајним подацима:

• Министарства: Секретаријати или кабинети министара
• Јединице локалне самоуправе: Организационе јединице задужене за послове планирања одбране (или секретаријати тих јединица)
• Судови: Секретари судова
• Тужилаштва: Лица одређена одлуком главног тужиоца
• Јавна предузећа: Организационе јединице задужене за послове планирања одбране

Пример из праксе: У једном органу јавне власти, како би се обезбедила заштита тајних података, именован је руковалац тајним подацима који је одговоран за управљање, складиштење и заштиту тајних података. Након именовања руковаоца тајним подацима, орган је одредио лице овлашћено за одређивање степена тајности података, које је, у складу са прописима, одредило да се одређени подаци, документи и информације означавају степеном тајности као „ПОВЕРЉИВО” и „СТРОГО ПОВЕРЉИВО”. Такође, за потребе надзора над примењивањем мера заштите тајних података, именована је јединица за унутрашњу контролу, која је задужена за редовну проверу и усаглашеност са прописима.

Напомена:

• Одлука о одређивању руковаоца тајним подацима не укључује овлашћење за креирање тајних података.
• Уколико се не одреде руковалац тајним подацима и унутрашња контрола, руководилац органа јавне власти је одговоран и за те функције.

Дужности руковаоца тајним подацима: Руководилац органа јавне власти има обавезу да врши дужности руковаоца тајним подацима до ступања на снагу одлуке о одређивању руковаоца тајним подацима.

У мањим органима јавне власти: У мањим органима јавне власти, као што су општине или мање државне агенције, руководилац може истовремено обављати и функцију руковаоца тајним подацима, ако је то прописано посебном одлуком органа. Ово је могуће у случајевима када орган нема посебно одређеног руковаоца тајних података.

ПИТАЊЕ: Да ли је исто руковалац тајних података и руковалац личних података? Да ли једно лице може бити и руковалац тајних података и руковалац личних података у органу јавне власти?

ОДГОВОР:

1. Руковалац тајних података и руковалац личних података нису исте функције и не треба их мешати, јер се односе на различите врсте података и различите правне регулативе.

·         Руковалац тајних података је одговорна особа или организациона јединица која управља и штити податке који су означени као тајни (поверљиви, строго поверљиви или државна тајна), у складу са прописима о тајности података. Ова функција је усмерена на обезбеђивање сигурности и заштите тајних података од неовлашћеног откривања, промена или уништавања.

·         Руковалац личним подацима је лице или организациона јединица која управља и штити личне податке (подаци који се односе на идентификовану или идентификујиву физичку особу), у складу са прописима Закона о заштити личних података и других релевантних прописа. Ова функција подразумева обавезу да се лични подаци обрађују на правилан начин, уз поштовање права лица на заштиту личних података и њихову приватност.

2. Да ли једно лице може бити и руковалац тајних података и руковалац личних података?

Да, једно лице може бити и руковалац тајних података и руковалац личних података у органу јавне власти, али је важно да ова особа разуме различите обавезе које произилазе из оба аспекта. Међутим, важно је да се функције управљања тајним подацима и личним подацима не мешају, те да се предузму све мере како би се осигурало да оба типа података буду адекватно заштићена у складу са релевантним законима.

Уколико орган јавне власти одлучи да једно лице обавља обе функције, потребно је осигурати одвојеност у обради података, као и увођење одговарајућих мера контроле и безбедности.

ПИТАЊЕ: Ко може бити одређен за унутрашњу контролу за рад са тајним подацима у органу јавне власти?

ОДГОВОР:

• Унутрашњу контролу у органу јавне власти може обављати и унутрашња организациона јединица у органу јавне власти, која је за те послове одређена актом о унутрашњем уређењу и систематизацији радних места.
• Непосредну контролу може обављати запослени у тој унутрашњој организационој јединици под условом да има одговарајући сертификат за приступ тајним подацима.

Додатни детаљи:

• Уколико у органу јавне власти нема успостављен систем унутрашње контроле у смислу члана 84. став 2. (нпр. Министарство одбране, Министарство унутрашњих послова, Министарство спољних послова, Безбедносно-информативна агенција и слично), потребно је проширити надлежности интерне ревизије или ФУК-а (Финансијско Управљање Контроле) у сегменту безбедности информација - унутрашње контроле за рад са тајним подацима.
• Да би се успоставила унутрашња контрола, потребно је отпочети процес имплементације Закона о тајности података, одредити руковаоца тајних података и донети све потребне одлуке.
• Руковалац тајним подацима никако не може бити и унутрашња контрола.
• Руководилац органа јавне власти је уједно и унутрашња контрола док не успостави систем унутрашње контроле.
• Сва лица укључена у процес рада са тајним подацима, било да обављају послове руковаоца или унутрашње контроле, или су само корисници тајних података у органу јавне власти, морају поседовати одговарајући сертификат и проћи едукацију за рад са тајним подацима.

УНУТРАШЊА КОНТРОЛА НАД РАДОМ СА ТАЈНИМ ПОДАЦИМА - ПРИРУЧНИК

ПИТАЊЕ: Да ли је потребан сертификат за рад са тајним подацима?

ОДГОВОР: Да, у складу са чланом 42. Закона о тајности података, физичка и правна лица која имају приступ тајним подацима морају да поседују безбедносни сертификат. Овај сертификат се издаје на основу степена тајности података који су им потребни за обављање функција, дужности и послова из њиховог делокруга, односно за потребе уговорног односа. <Персонална безбедност - инфолист>

Сертификат за приступ тајним подацима је неопходан за рад са подацима који су ознаке "ПОВЕРЉИВО", "СТРОГО ПОВЕРЉИВО" или "ДРЖАВНА ТАЈНА", у зависности од природе посла. За податке ознаке "интерно" није потребан сертификат, већ је довољна изјава.

Безбедносни сертификат је обавезан за који имају приступ тајним подацима:

• Руководиоце органа јавне власти
• Овлашћена лица за одређивање степена тајности
• Руковаоце тајним подацима (сви запослени који раде са тајним подацима)
• Чланове унутрашње контроле
• Шефове кабинета, запослене у кабинетима, и државне службенике на високим положајима
• Државне службенике и намештенике у органу јавне власти
• Правна лица која имају уговорни однос са органом јавне власти (сертификује се правно лице, запослени у том правном лицу, али и простор за чување тајних података у том правном лицу)

Такође, физичка лица која имају приступ тајним подацима морају бити на листи "Потребно да зна", док правна лица која имају овлашћење за рад са тајним подацима треба да буду на листи "Потребно поделити са".

Овај сертификат је важан за:

• Обезбеђивање безбедности и заштите тајних података
• Спречавање неовлашћеног приступа тајним подацима у складу са Законом о тајности података
• Спречавање угрожавања националне безбедности
  
  

ПИТАЊЕ: Како се подноси захтев за издавање сертификата за приступ тајним подацима?

ОДГОВОР: Захтев за издавање сертификата за приступ тајним подацима у Србији подноси се у складу са Законом о тајности података („Сл. гласник РС”, бр. 104/2009) и подзаконским актима којима се уређује ова област.

• Модел захтева за физичка лица.
• Модел захтева за правна лица.

Захтев за издавање сертификата за приступ тајним подацима може поднети само орган јавне власти у којем је лице запослено, ангажовано или има неки уговорни однос, а не физичко лице самостално, нити правно лице које нема статус органа јавне власти.

Изузетак су правна лица која имају статус органа јавне власти у складу са Законом о тајности података, што значи да су овлашћена да обављају послове у вези са заштитом тајних података и имају прописане обавезе у том домену.

1. Ко подноси захтев?

• Захтев може поднети само орган јавне власти у којем је лице запослено, ангажовано или има уговорни однос.
• Физичко и правно лице НЕ МОЖЕ самостално подносити захтев.

2. Коме се подноси захтев?

• Захтев се подноси Канцеларији Савета за националну безбедност и заштиту тајних података.
• Органи надлежни за провере, Министарство унутрашњих послова и БИА, као и ВБА за запослене у Министарству одбране, НЕ примају захтеве директно – безбедносне провере врше након што их затражи Канцеларија Савета.

3. Шта се прилаже уз захтев?

• Безбедносни упитник – лице за које се тражи сертификат мора га самостално попунити (за правна лица могуће је доставити и додатна документа).
• Захтев органа јавне власти у којем се наводи степен тајности података којима ће лице приступати.

4. Безбедносна провера

• Канцеларија Савета прослеђује захтев надлежним безбедносним службама (нпр. БИА, МУП, ВБА).
• Провера укључује податке из упитника:
• Кривичну евиденцију, финансијску ситуацију, контакте лица, имовинску карту, личне податке, здравствено стање итд.
• друге методе у зависности од степена тајности.

5. Издавање сертификата

• Ако је провера успешна, Канцеларија Савета издаје прво решење, а потом и сертификат.
• Сертификат важи за: поверљиво – 10 година; строго поверљиво – 5 година и државну тајну – 3 године и може бити опозван.

6.  Обавезе носиоца сертификата

• Лице са сертификатом мора поштовати мере заштите тајних података.
• Сертификат се може опозвати ако се утврде неке нове околности које утичу на поседовање сертификата или безбедносне сметње и  ризици.
  
  Препоруке органима јавне власти о поступању са правним лицима у поступку сертификације.

ПИТАЊЕ: Да ли физичко/правно лице може директно да поднесе захтев Канцеларији Савета за националну безбедност и заштиту тајних података?

ОДГОВОР: Не, физичко или правно лице не може директно поднети захтев Канцеларији Савета за националну безбедност и заштиту тајних података. Канцеларија Савета за националну безбедност и заштиту тајних података је стручна служба Владе Републике Србије са статусом правног лица, и према прописима о државној управи, она не ради директно са грађанима и правним лицима, већ само са органима јавне власти.

Постоје одређени услови и процедуре које се морају поштовати:

·         Физичка лица: Захтев за издавање сертификата може поднети само руководилац органа јавне власти за запослене у том органу.

·         Правна лица: Захтев за сертификацију правних лица или физичких лица запослених у правном лицу може поднети само орган јавне власти који планира уговорну сарадњу са тим правним лицем.

·         Правна лица оснивана од стране државе: Ова правна лица пре подношења захтева морају добити мишљење Министарства правде да би се сматрала органом јавне власти у смислу Закона о тајности података.

За више информација: Погледајте модел захтева и мишљење Министарства правде.

ПИТАЊЕ: Која документација се доставља уз захтев за издавање сертификата?

ОДГОВОР: Уз захтев за издавање сертификата за приступ тајним подацима, неопходно је доставити попуњене безбедносне упитнике за физичка или правна лица.

Поред безбедносног упитника, може се приложити додатна документација која потврђује или објашњава релевантне промене у подацима наведеним у упитнику.

За физичка лица:

• Венчани лист
• Решење о разводу брака
• Извод из катастра непокретности
• Решење о наслеђивању
• Извод из матичне књиге рођених
• Акт о усвојењу
• Акт о хранитељству
• Друга документа у вези са подацима из упитника

За правна лица:

• Извод из АПР-а
• Биланс стања и биланс успеха
• Финансијски и ревизорски извештај
• Документ о промени власничке структуре
• Документ о промени директора правног лица
• Остала релевантна документација

Напомена: Ови документи се достављају уколико је дошло до промене околности које нису унете у упитник. Подносилац захтева самостално процењује које документе ће приложити, а додатна документација се може достављати све до пријема безбедносног упитника у Канцеларији Савета.

Канцеларија Савета или надлежни орган могу захтевати допуну документације током процеса обраде и безбедносне провере.

За више информација: 

1. Закон о управном поступку

2. Поступак издавања безбедносног сертификата - скрипта

ПИТАЊЕ: Где могу да преузмем безбедносне упитнике?

ОДГОВОР: Безбедносни упитници, укључујући основни и посебни безбедносни упитник, доступни су за преузимање на веб сајту Канцеларије Савета за националну безбедност и заштиту тајних података. Могу се наћи у  секцији : ,,ДОКУМЕНТА/ Обрасци".

Физичка лица могу да преузму упитнике и доставе их свом послодавцу, који ће затим поднети захтев у њихово име.

Правна лица треба да контактирају орган јавне власти који планира уговорну сарадњу, како би поднели захтев за сертификацију.

ПИТАЊЕ: Који безбедносни упитници се попуњавају за физичка лица запослена у органу јавне власти?

ОДГОВОР: Физичка лица запослена у органу јавне власти попуњавају основни безбедносни упитник за приступ тајним подацима степена тајности ,,ПОВЕРЉИВО“ (ОБУ-1 до ОБУ-1­_08), aко се сертификат захтева за приступ тајним подацима степена тајности ,,СТРОГО ПОВЕРЉИВО“ и ,,ДРЖАВНА ТАЈНА“ попуњава се и посебан безбедносни упитник (ПБУ-1).

• Модел основног безбедносног упитника за физичка лица (ОБУ-1 до ОБУ-8 и ПБУ-1)
  
  
  

ПИТАЊЕ: Који безбедносни упитници се попуњавају за правна лица и физичка лица запослена у правном лицу?

ОДГОВОР: За приступ тајним подацима степена тајности „ПОВЕРЉИВО“, „СТРОГО ПОВЕРЉИВО“ и „ДРЖАВНА ТАЈНА“, попуњавају се следећи безбедносни упитници:

Правна лица:

• За приступ подацима степена тајности „ПОВЕРЉИВО“ – законски заступник попуњава Основни безбедносни упитник за правна лица (ОБУ-2 до ОБУ-2_01).
• За приступ подацима степена тајности „СТРОГО ПОВЕРЉИВО“ и „ДРЖАВНА ТАЈНА“ – поред основног, попуњава се и Посебан безбедносни упитник за правна лица (ПБУ-2).

Физичка лица запослена у правном лицу:

• За приступ подацима степена тајности „ПОВЕРЉИВО“ – запослени попуњавају Основни безбедносни упитник за физичка лица (ОБУ-1 до ОБУ-1_08).
• За приступ подацима степена тајности „СТРОГО ПОВЕРЉИВО“ и „ДРЖАВНА ТАЈНА“ – поред основног, попуњава се и Посебан безбедносни упитник за физичка лица (ПБУ-1).

Модели безбедносних упитника:

• Правна лица (ОБУ-2 до ОБУ-2_01 и ПБУ-2)
• Физичка лица (ОБУ-1 до ОБУ-8 и ПБУ-1)

ПИТАЊЕ: Како се попуњава основни безбедносни упитник за физичко/правно лице?

ОДГОВОР: Основни и посебни безбедносни упитник за физичка/правна лица попуњавају се у складу са Упутством за попуњавање. Упутство за попуњавање налази се на сајту Канцеларије Савета за националну безбедност и заштиту тајних података у рубрици: Упутство за попуњавање упитника

ПИТАЊЕ: Шта подразумева поступак издавања сертификата?

ОДГОВОР: Поступак издавања сертификата, у складу са Законом о тајности података, укључује неколико корака и примењује се Закон о општем управном поступку:

1. Подношење захтева: Први корак је подношење захтева за издавање сертификата.
2. Покретање безбедносне провере: Након подношења захтева, покреће се процес безбедносне провере.
3. Вршење безбедносне провере: Надлежни органи врше безбедносну проверу.
4. Доношење решења: Након провере, доноси се решење о издавању сертификата.
5. Издавање сертификата: На крају, издаје се сертификат за приступ тајним подацима.

Поред тога, поступак издавања сертификата правним лицима укључује промену пословне политике ради успостављања система заштите тајних података и испуњавање посебних мера заштите тајних података. Ове мере укључују утврђивање испуњености организационих и техничких услова за чување тајних података који се достављају правном или физичком лицу по основу уговорног односа. За утврђивање испуњавања ових услова, сходно степену тајности, одговорна је Канцеларија Савета за националну безбедност и заштиту тајних података.

ПИТАЊЕ: Како и где се може преузети сертификат за приступ тајним подацима?

ОДГОВОР: Сертификат за приступ тајним подацима се преузима лично, након што лице одслуша безбедносни брифинг у просторијама Канцеларије Савета за националну безбедност и заштиту тајних података. Адреса је Немањина бр. 22-26, Београд.

Лице које преузима сертификат мора да потпише изјаву да је лично преузело сертификат и да му је одржан безбедносни брифинг. Ова изјава се попуњава у Канцеларији Савета. Лице такође мора бити упознато са минималним захтевима за коришћење и заштиту тајних података.

У складу са Законом о заштити података о личности, након завршетка процеса издавања сертификата, лицу се враћа његов безбедносни упитник. Ако лице не потпише изјаву, поступак издавања сертификата се обуставља.

ПИТАЊЕ: У ком року се преузима сертификат након пријема решења?

ОДГОВОР: Рок за преузимање безбедносног сертификата након пријема решења није експлицитно наведен у Закону о тајности података, али се примењују општа правила управног поступка и безбедносне праксе.

Општи рокови и процедура:

1. Обавештење о издавању решења
• Када се донесе решење о издавању безбедносног сертификата, подносилац захтева добија обавештење.
2. Рок за преузимање сертификата
• У пракси, сертификат треба преузети у разумном року, који обично износи 15 дана од дана обавештења.
• Ако лице у том року не преузме сертификат, надлежни орган може сматрати да је одустало или покренути поступак поништавања.
3. Начин преузимања
• Сертификат се преузима лично, уз доказ о идентитету, у просторијама Канцеларије Савета за НБ и ЗТП
• Потписује се Изјава којом се потврђује да је лице лично преузело сертификат, да је упознато са миниамлним условима за коришћење и заштиту тајних података, као и да је упознато са обавезом чувања тајних података и након престанка рада са тајним подацима.
4. Последице непреузимања
• Ако лице не преузме сертификат у предвиђеном року и не достави оправдан разлог, сертификат може бити поништен или проглашен неважећим.

Иако закон не прописује тачан рок, уобичајена пракса је 15 дана од пријема решења, уз могућност продужења ако постоје оправдани разлози.

Након пријема решења и истека рока за жалбу потребно је контактирати Канцеларију Савета за националну безбедност и заштиту тајних података, ради заказивања термина за издавање сертификата, email за заказивање термина је : termini.sertifikati@nsa.gov.rs

ПИТАЊЕ: Да ли се само на основу решења може остварити приступ тајним подацима?

ОДГОВОР: Не! На основу решења којим се утврђује право и одобрава издавање сертификата за приступ тајним подацима се не може аутоматски остварити приступ тајним подацима. Да би неко лице имало приступ тајним подацима, морају бити испуњена три основна услова:

1. Постојање одговарајућег сертификата за приступ тајним подацима
• Лице мора имати важећи сертификат за приступ тајним подацима одговарајућег степена тајности (Поверљиво, Строго поверљиво, Државна тајна).
2. Постојање листе „Потребно да зна“ (need-to-know принцип)
• Поседовање сертификата за приступ тајним подацима, не подразумева право приступа свим тајним подацима. Лице може имати приступ само оним тајним подацима који су неопходни за извршавање функције и обавављање послова из делокруга његовог рада.
• Ово одобрење даје старешина органа јавне власти или овлашћено лице у институцији која управља тим тајним подацима.
3. Потписана изјава о чувању тајности
• Лице мора писмено прихватити обавезу чувања тајних података и бити упознато са последицама њеног неовлашћеног откривања (дисциплинска, кривична, материјална одговорност) које се даје руковацу тајних података у органу јавне власти ( за степен тајности ИНТЕРНО), односно у просторијама Канцеларије Савета за НБ и ЗТП (за степене ПОВЕРЉИВО, СТРОГО ПОВЕРЉИВО и ДРЖАВНУ ТАЈНУ).

Поред изнетих услова, едукација је такође обавезан услов за приступ тајним подацима у Републици Србији, поред сертификата за приступ тајним подацима, принципа „Потреба да се зна“ и потписане изјаве о чувању тајности. Пре него што лице добије приступ тајним подацима, мора проћи обуку о заштити тајних података. Ова обука обухвата:

1. Правне и нормативне оквире – упознавање са Законом о тајности, подзаконским актима, интерним процедурама и међународним споразумима (ако се ради о страним тајним подацима).
2. Одређивање и означавање тајних података – разлике између степена тајности („Поверљиво“,  „Строго поверљиво“, „Државна тајна“).
3. Начине руковања тајним подацима – чување, пренос, коришћење, умножавање, архивирање и уништавање.
4. Препознавање безбедносних ризика – мере предострожности, поступци у случају безбедносних инцидената, пријављивање сумњивих активности.
5. Одговорности и санкције – дисциплинска, кривична и материјална одговорност за злоупотребу или пропусте у заштити тајних података.

Сертификат за приступ тајним подацима је само један од услова за приступ тајним подацима, али сам по себи не даје право приступа. Уз њега, морају бити испуњени и принцип „Потребно да зна“ и формално прихватање обавезе чувања тајне, као и едукација или обука о заштити тајних података.

 <Персонална безбедност - инфолист>

ПИТАЊЕ: Шта значи поседовати сертификат за приступ тајним подацима за правна лица?

ОДГОВОР: Поседовање сертификата за приступ тајним подацима за правна лица подразумева испуњавање одређених услова и обавеза:

• Безбедносна провера: Правно лице мора имати извршену безбедносну проверу за законског заступника и запослене који ће имати приступ тајним подацима.
• Процедуре за рад са тајним подацима: Правно лице мора имати израђене процедуре за рад са тајним подацима који су му уступљени од органа јавне власти.
• Акредитован простор: Правно лице мора имати акредитован простор за чување тајних података одговарајућег степена тајности.

Поред ових основних услова, орган јавне власти може захтевати и додатне услове за чување тајних података приликом закључивања уговора који садржи тајне податке.

Сертификовање правних лица омогућава њихов несметан приступ тајним подацима Републике Србије и учешће на тендерима у државама са којима Србија има закључене и ратификоване међународне споразуме о размени и узајамној заштити тајних података.

Проблем у пракси често представља то што већина правних лица има безбедносне провере и сертификате за запослене, али за простор имају само капацитете за чување тајних података интерно. У пракси, правна лица често преузимају тајне податке степена тајности "строго поверљиво" и чувају их као пословну тајну, што представља кршење прописа о тајности података и угрожавање националне безбедности, што је кривично дело.

ПИТАЊЕ: Који су најчешћи разлози за одбијање издавања сертификата за приступ тајним податима за физичка и правна лица?

ОДГОВОР: 

1. Безбедносне сметње – Утврђено је да особа представља безбедносни ризик (на пример, повезаност са страним обавештајним службама, радикалним групама, криминалним структурама).
2. Кривичне пресуде – Лице је осуђивано за одређена кривична дела, нарочито она везана за националну безбедност, корупцију или злоупотребу службеног положаја.

3. Прекршајна одговорност – Лице је осуђивано за прекршај предвиђен Законом о тајности података.

1. Непоузданост и нестабилност – Процена да кандидат није довољно одговоран, финансијски стабилан (дугови, честе промене радних места), или да има друге личне карактеристике које га чине подложним притиску или уцени.
2. Скривање података – Лице намерно или ненамерно не пријави све релевантне информације у сврху вршења безбедносне провере (непријављивање контаката са страним држављанима, скривање радног или криминалног досијеа,скривање медицинских података, лажирање информација о образовању..).
3. Страни утицај – Чести контакти или породичне везе са страним држављанима који се могу сматрати безбедносним ризиком.
4. Неповољна историја у раду са тајним подацима – Раније повреде правила о заштити тајних података или неодговорно поступање са поверљивим информацијама (пословна тајна, професионална тајна...)
5. Губитак држављанства - Услов за добијање сертификата за приступ тајним подацима подразумева да лице поседује држављанство Републике Србије.
6. Негативна безбедносна провера – Услов за добијање сертификата за приступ тајним подацима подразумева претходно позитивну безбедносну проверу.

За правна лица, разлози за одбијање издавања сертификата обично укључују:

1. Непоузданост власничке структуре – Ако се утврди да су власници или оснивачи повезани са ризичним субјектима, страним утицајем или криминалним групама.
2. Финансијска нестабилност – Велики дугови, лоша финансијска ситуација или нерегуларно пословање, покретање ликвидације односно стечаја.
3. Кривични поступци против правног лица – Ако је правно лице или њени одговорни руководиоци били предмет кривичних поступака због злоупотребе службеног положаја, корупције, шпијунаже или других безбедносно осетљивих дела.
4. Осуђиваност правног лица за кривична дела и привредне преступе – Ако је у претходном периоду донета правоснажна пресуда против правног лица у кривичном оступку и  поступку за привредни преступ.
5. Недостатак одговарајућих мера заштите тајних података – Ако правно лице нема адекватне техничке и организационе мере заштите тајних података, или их има али их не примењује у складу са прописима којима се уређује заштита тајних података.
6. Пословање са ризичним партнерима – Сарадња са фирмама или лицима који се налазе на црним листама или су под санкцијама.
7. Скривање података - Правно лице намерно или ненамерно не пријави релавантне информације у сврху вршења безбедносне провере.  

8. Негативна безбедносна провера – Услов за добијање сертификата за приступ тајним подацима подразумева претходно позитивну безбедносну проверу за правно лице и за законског заступника.

У случају одбијања захтева, физичко и правно лице може уложити жалбу или поново поднети захтев након одређеног времена, зависно од природе разлога за одбијање.

ПИТАЊЕ: Који су први кораци у имплементацији Закона o тајности података у органу јавне власти који претходе отпочињању процеса сертификације?

ОДГОВОР: Први кораци у имплементацији Закона о тајности података у органу јавне власти подразумевају доношење Плана заштите тајних података, као и следећих правних аката: <видети више>

• Одлука о одређивању тајних података у органу јавне власти
• Одлука о одређивању руковаоца тајним подацима
• Листа "Потребно да зна"
• Листа "Потребно поделити са"
• Одлука о одређивању унутрашње контроле
• Модел Акта о безбедности информационо-комуникационог система
• Евиденције за рад са тајним подацима
• Пример модела гантограма

Поред доношења наведених одлука, потребно је да орган јавне власти устроји евиденције у складу са чл. 82. Закона о тајности података и чл. 8. Уредбa о садржини, облику и начину вођења евиденција за приступ тајним подацима <видети више>, чл. 10. и 13. Уредба о начину и поступку означавања тајности података, односно докумената <видети више> , чл. 17. ст. 2.  Уредба о посебним мерама физичко-техничке заштите тајних података. <видети више>

ПИТАЊЕ: Да ли је довољно предузети само први корак у имплементацији Закона о тајности података, да би се сматрало да је Закон имплеметиран?

ОДГОВОР: Не. Да би се Закон сматрао имплементираним потребно је донети читав низ одлука, акредитовати простор за чување тајних података <видети више>, успоставити ИКТ систем од посебног значаја за рад са тајним подацима <видети више> , редовно спроводити унутрашњу контроле <видети више> , да запослени прођу одговарајуће обуке и да се ради на подизању безбедносне свести и културе у органу јавне власти. <видети више>

• Одлука о одређивању Административне зоне
• Одлука о одређивању Безбедносне зоне
• Одлука о овлашћеном лицу за одређивање тајних података
• Одлука о промени степена тајности
• Одлука о опозиву тајности - периодична процена
• Одлука о престанку тајности истеком рока
• Модел извештаја приликом достављања извештаја о раду са тајним подацима
• Посебне мере физичко-техничке заштите тајних података - скрипта
• Унутрашња контрола над радом са тајним подацима - приручник

ПИТАЊЕ: Да ли органи јавне власти, судови и тужилаштва у раду са тајним подацима могу да користе е-канцеларијско пословање у обради докумената који су одређени као тајни подаци у складу са Законом о тајности података?

ОДГОВОР: Не, у конкретном случају искључиво се примењује:

• Закон о тајности података ("Службени гласник РС", бр. 104/2009),
• Уредба о начину и поступку означавања тајности података односно докумената (Службени гласник РС", бр. 8/2011),
• Уредба о посебним мерама физичко-техничке заштите тајних података (Службени гласник РС", бр. 97/11).

Указујемо да:

• Уредба о канцеларијском пословању органа јавне власти, као и Упутство о канцеларијском пословању органа државне управе (Службени гласник РС", бр. 10/93, 14/93-испр., 67/2016, 3/2017 и 20/2022-др.упутство) уређује пријем, отварање, евидентирање и архивирање тајних података у органима државне управе.
• Судски пословник (Службени гласник РС", бр. 110/2009, 70/2011, 19/2012, 89/2013, 96/2015, 104/2015, 113/2015-испр., 39/2016, 56/2016, 77/2016, 16/2018, 43/2019, 93/2019 и 18/2022), као и Правилник о управи у јавним тужилаштвима (Службени гласник РС", бр. 110/2009, 87/2010, 5/2012, 54/2017, 14/2018 и 57/2019) уређују поступање са тајним подацима у судовима и тужилаштвима.

ПИТАЊЕ: Како се поступа у случају губитка, крађе, оштећења, уништења или неовлашћеног откривања тајних података и страних тајних података?

ОДГОВОР : Када дође до сазнања да је дошло до губитка, крађе, оштећења, уништења или неовлашћеног откривања тајних података и страних тајних података, старешина органа јавне власти или овлашћено лице дужно је да без одлагања предузме све потребне мере за утврђивање околности због којих је дошло до губитка, крађе, оштећења, уништења или неовлашћеног откривања тајног податка и страног тајног податка, изврши процену проузроковане штете, као и да предузме потребне мере у циљу отклањања штете и спречавања поновног губитка, крађе, оштећења, уништења или неовлашћеног откривања тајног податка и страног тајног податка.

Препорука Канцеларије Савета за националну безбедност и заштиту тајних података у складу са чл. 35. ст. 3. Закона о тајности података састоји се у испуњавању следећих корака:

1. Хитно обавестити орган јавне власти од којег је добијен тајни податак;
2. Покренути поступак унутрашње контроле у органу јавне власти (ванредна контрола);
3. Обавестити надлежно тужилаштво и Канцеларију Савета за националну безбедност и заштиту тајних података;
4. Обавестити надлежну службу безбедности, односно Безбедносно-информативну агенцију.

Водич за поступање у случају инцидента са тајним подацима

 

ПИТАЊЕ: Да ли носиоци Плана одбране, органи јединица локалне самоуправе и локална јавна предузећа која учествују у изради и реализацији Плана одбране Републике Србије, имају обавезу да имплементирају Закон о тајности података и доставе годишњи Извештај о раду са тајним подацима Канцеларији Савета за националну безбедност и заштиту тајних података?

ОДГОВОР : ДА! Код Плана одбране, постоји дуализам прописа о одбрани и заштити тајних података. Закон о тајности података прописује обавезе органа јавне власти и правних лица која раде са тајним подацима, укључујући и оне који се односе на одбрану. Сви који раде са тајним подацима морају поштовати прописане стандарде и процедуре заштите тајних података.

• Овај закон такође налаже достављање извештаја Канцеларији Савета за националну безбедност и заштиту тајних података, која је задужена за надзор над имплементацијом безбедносних мера у вези са тајним подацима.
• Сви субјекти који учествују у изради и реализацији Плана одбране Републике Србије дужни су да поштују поред прописа о одбрани и Закон о тајности података, спроводе прописане мере заштите тајних података и достављају годишњи Извештај о раду са тајним подацима Канцеларије Савета за националну безбедност и заштиту тајних података.

Непоштовање и неимплементација Закона о тајности података представља кршење националне безбедности и наношење штете интересима Републике Србије.

<ИНФОЛИСТ ГОДИШЊИ ИЗВЕШТАЈ>  <Примери лоше праксе система рада са тајним подацима>

ПИТАЊЕ: Како физичка и правна лица, која су носиоци Плана одбране на нивоу општине и локалне самоуправе, подносе захтев за добијање сертификата за приступ тајним подацима?

ОДГОВОР: Физичка и правна лица која су носиоци Плана одбране на нивоу општине и локалне самоуправе не подносе захтев директно Канцеларији Савета за националну безбедност. Захтев се подноси преко надлежне општине или органа локалне самоуправе која је одговорна за обједињавање и израду Плана одбране. Ови органи јавне власти затим подносе захтев Канцеларији Савета за националну безбедност за издавање сертификата за приступ тајним подацима.

Канцеларија Савета је једини овлашћени орган за издавање сертификата који омогућава приступ тајним подацима у складу са прописима о заштити тајних података. Захтев се подноси преко органа јавне власти, а Канцеларија Савета иницира безбедносну проверу преко надлежних служби (БИА или Министарство унутрашњих послова) и издаје сертификат на основу оправданости потребе за приступом тајним подацима у оквиру израде и реализације Плана одбране.

У пракси, физичка и правна лица су се директно обраћала Канцеларији Савета за националну безбедност или чак Безбедносно-информативној агенцији са захтевима за издавање сертификата за приступ тајним подацима. Ова пракса је спорна, јер Канцеларија Савета, као стручна служба Владе Републике Србије, није овлашћена по прописима о државној управи да директно сарађује са физичким и правним лицима која нису органи јавне власти.

Поред тога, неке општине и органи локалне самоуправе још увек нису имплементирали Закон о тајности података, па стога понекад упућују физичка и правна лица на Министарство одбране или директно на Канцеларију Савета са захтевима за издавање сертификата. Ова ситуација може довести до недоумица и проблема у поступку планирања одбране на нивоу општина и органа локалне самоуправе, а нарочито уколико општине и органи локалне самоуправе нису имплементирали Закон о тајности података.

ПИТАЊЕ?Шта је стручни надзор у систему заштите тајних података, ко га спроводи и по ком поступку?

Шта је стручни надзор?

ОДГОВОР: Стручни надзор у систему заштите тајних података представља процес стручне процене и верификације примене Закона о тајности података код органа јавне власти, са циљем осигурања усклађености прописа и ефикасности мера заштите. Овај процес омогућава идентификацију потенцијалних ризика и слабости, пружајући стручне препоруке за унапређење система заштите тајних података.

Његов основни циљ је:

• Утврђивање степена имплементације закона;
• Процена мера заштите тајних података;
• Давање препорука за унапређење система заштите.

Важно је напоменути да стручни надзор није инспекцијски надзор, који је искључива надлежност Министарства правде. Овај вид надзора замишљен је као механизам подршке органима јавне власти у примени прописа.

Ко спроводи стручни надзор и како се поступак покреће? Стручни надзор спроводи Канцеларија Савета за националну безбедност и заштиту тајних података, на основу писаног захтева органа јавне власти. Овај вид надзора омогућава органима јавне власти да верификују своје постигнуте резултате у примени Закона о тајности података.

Како се спроводи стручни надзор? Надзор се врши након што је орган јавне власти:

1. Достигао одређени ниво имплементације Закона о тајности података;
2. Спровео унутрашњу контролу.

Обухвата анализу кључних аспеката система заштите тајних података, као што су:

• Имплементација Закона: анализа одлука и документације (укључујући „потребно да зна” листе, план заштите тајних података и годишње извештаје);
• Особље: провера квалификација, обука и одговорности лица задужених за руковање тајним подацима;
• Инфраструктура: увид у капацитете за смештај и заштиту података;
• Технички системи: тестирање функционалности заштитних мера и система за обраду података;
• Примењена регулатива: провера усклађености са законским и подзаконским актима.

Пример: Стручни надзор у раду са страним тајним подацима Стручни надзор такође обухвата рад са страним тајним подацима, где је по закону обавезан једанпут годишње. Овај надзор има за циљ да осигура усклађеност са међународним стандардима и заштиту страних тајних података, који морају бити заштићени на истом нивоу као и домаћи тајни подаци.

Шта се дешава након спроведеног стручног надзора? По завршетку надзора:

• Утврђује се чињенично стање;
• Сачињава се Извештај о извршеном стручном надзору, који садржи налазе и препоруке за унапређење.

Орган јавне власти се позива да отклони недостатке идентификоване током надзора и усклади своје поступање са препорукама из извештаја.

Процену испуњености законом предвиђених услова врши искључиво Канцеларија Савета за националну безбедност и заштиту тајних података, у складу са чланом 86 Закона о тајности података.

<Безбедносне сметње за приступ тајним подацима>

<Систем заштите тајних података- скрипте>

<Поступак издавања сертификата>

Неопходни кораци за имплементацију Закона о тајности података у органу јавне власти

Водич за имплементацију ЗТП 

Водич за добијање сертификата - Правна лица-

Сертификати

Актуелне обуке

Уколико имате потребе за додатним информацијама из области заштите тајних података, стојимо вам на располагању за сваку врсту помоћи из делокруга наше надлежности.

Адреса електронске поште за заказивање онлајн консултацијa: online.konsultacije@nsa.gov.rs

Адреса електронске поште за заказивање актуелних обука: obuke@nsa.gov.rs

Адреса електронске поште за заказивање брифинга: termini.sertifikati@nsa.gov.rs