Državni zavod za statistiku
1463
Na temelju članka 71. stavka 2. Zakona o službenoj statistici (»Narodne novine«, broj 25/20) glavni ravnatelj Državnog zavoda za statistiku donosi
NAPUTAK
O NAČINU ZAŠTITE POVJERLJIVIH STATISTIČKIH PODATAKA U DRŽAVNOM ZAVODU ZA STATISTIKU
I. OPĆE ODREDBE
Članak 1.
Ovim Naputkom uređuju se postupci i načini primjene fizičkih, tehničkih i organizacijskih mjera kojima se osigurava fizička, tehnička i logička zaštita povjerljivih statističkih podataka od neovlaštenog pristupa, izmjene, gubitka, iznošenja ili uništenja te ostala pitanja važna za sigurnost i zaštitu povjerljivih statističkih podataka prikupljenih za proizvodnju službene statistike iz djelokruga Državnog zavoda za statistiku (u daljnjem tekstu: Zavod).
Članak 2.
Mjere zaštite povjerljivih statističkih podataka u smislu ovoga Naputka obuhvaćaju pravila i postupke kojima se osigurava zaštita identifikacijskih podataka o statističkim jedinicama u procesu prikupljanja, obrade i dostave, a uključuju osobito:
– zaštitu prostorija u kojima su smješteni/pohranjeni statistički podaci koja obuhvaća kontrolu ulaska i izlaska
– zaštitu pristupa opremi informatičkih tehnologija (u daljnjem tekstu: IT-oprema) te mrežnim poslužiteljima, uređajima i medijima koji se koriste za pohranu povjerljivih statističkih podataka u elektroničkom obliku
– zaštitu pristupa povjerljivim statističkim podacima putem sigurnosnih dozvola i ovlaštenja
– evidentiranje događaja koji se odnosi na pristup, korištenje i iznošenje povjerljivih statističkih podataka
– vođenje evidencija o dozvolama i ovlaštenjima zaposlenika koji u obavljanju poslova imaju pristup povjerljivim statističkim podacima
– obvezu potpisivanja izjave o statističkoj povjerljivosti te
– druga pitanja koja se odnose na sigurnost i zaštitu povjerljivih statističkih podataka.
Članak 3.
(1) Mjere za zaštitu povjerljivih statističkih podataka određene ovim Naputkom dužni su primjenjivati svi zaposlenici Zavoda.
(2) Odredbe ovoga Naputka odnose se i na druge fizičke ili pravne osobe kojima je na temelju ugovora ili ovlaštenja povjereno obavljanje pojedinih poslova ili zadataka u vezi s aktivnostima službene statistike.
Članak 4.
Pojmovi koji se koriste u ovome Naputku, a imaju rodno značenje odnose se jednako na muški i ženski rod.
II. PRIKUPLJANJE PODATAKA
Članak 5.
(1) Zavod ima pravo, radi obavljanja službene statistike, prikupljati i spajati podatke iz svih raspoloživih izvora.
(2) Zavod obrađuje podatke o statističkim jedinicama u skladu sa Zakonom o službenoj statistici (u daljem tekstu: Zakon), na temelju Programa statističkih aktivnosti Republike Hrvatske, Godišnjega provedbenog plana, posebnog zakona ili odluke Vlade Republike Hrvatske (u daljnjem tekstu: statistički podaci) prikupljene putem:
– statističkih obrazaca u tiskanom obliku
– statističkih obrazaca u elektroničkom obliku
– prijenosa/pristupa administrativnim izvorima podataka i metodom promatranja i praćenja.
(3) Statistička jedinica je osnovna jedinica promatranja, to jest fizička osoba, kućanstvo, gospodarski subjekt i druga poduzeća, na koju se podaci odnose.
(4) Pod povjerljivim statističkim podacima smatraju se podaci koji omogućavaju izravnu ili neizravnu identifikaciju statističkih jedinica, pri čemu se otkrivaju pojedine informacije.
Članak 6.
Ustrojstvena jedinica Zavoda iz čijeg djelokruga su prikupljeni statistički podaci dužna je osigurati da se provede postupak odvajanja identifikatora statističkih jedinica od varijabli sadržaja u skladu sa Zakonom.
III. ORGANIZACIJA FIZIČKE I TEHNIČKE ZAŠTITE PROSTORIJA I OPREME KOJA SE KORISTI ZA POHRANU POVJERLJIVIH STATISTIČKIH PODATAKA
Članak 7.
Službene prostorije i IT oprema Zavoda osiguravaju se i štite u skladu s propisima kojima se uređuje područje zaštite osoba i imovine, mjere i standardi informacijske sigurnosti za područje fizičke i tehničke sigurnosti, te internim aktima Zavoda iz tog područja.
Zaštita statističkih podataka prikupljenih putem statističkih obrazaca u tiskanom obliku
Članak 8.
(1) Povjerljivi statistički podaci prikupljeni putem statističkih obrazaca u tiskanom obliku pohranjuju se i čuvaju u prostorijama Zavoda, u zaključanim ormarima ili zaštićenim policama do završetka faze unosa, uređenja i kodiranja.
(2) Pristup prostorijama iz stavka 1. ovoga članka imaju samo zaposlenici Zavoda koji obavljaju poslove obrade podataka te druge fizičke ili pravne osobe kojima je na temelju ugovora povjereno obavljanje pojedinih zadataka u vezi s aktivnostima službene statistike.
(3) Prostorije iz stavka 1. ovoga članka moraju se zaključavati.
(4) Statistički obrasci u tiskanom obliku koji sadrže podatke prikupljene u statističkim istraživanjima uništavaju se nakon završetka procesa obrade na način i postupkom kojim se osigurava njihova zaštita od neovlaštenog otkrivanja ili otuđenja.
Zaštita statističkih podataka prikupljenih putem statističkih obrazaca u elektroničkom obliku
Članak 9.
(1) Povjerljivi statistički podaci prikupljeni putem statističkih obrazaca u elektroničkom obliku pohranjuju se i čuvaju na poslužiteljima, uređajima i medijima za pohranu podataka u elektroničkom obliku.
(2) Prostorije za smještaj poslužitelja, uređaja i medija za pohranu statističkih podataka u elektroničkom obliku (u daljnjem tekstu: zaštićene prostorije) određuje glavni ravnatelj posebnom odlukom, na prijedlog načelnika sektora u čijem djelokrugu su informatički poslovi.
(3) Ulaz u zaštićene prostorije iz stavka 2. ovoga članka dopušten je samo osobama koje u tim prostorijama obavljaju poslove svog radnog mjesta te osobama s posebnom dozvolom za ulazak.
(4) Posebnu dozvolu za ulazak daje načelnik sektora u čijem su djelokrugu informatički poslovi.
Članak 10.
(1) Na vrata zaštićenih prostorija mora se postaviti znak zabrane pristupa neovlaštenim osobama, jasno vidljiv iz smjera ulaženja u prostoriju.
(2) Ulazak u zaštićene prostorije mora biti kontroliran odgovarajućim tehničkim sredstvima.
Članak 11.
Zaštićene prostorije moraju imati:
– uređaje za automatsko otkrivanje, dojavu i gašenje požara suhim postupkom (plinom)
– osiguranu vlažnost i temperaturu u skladu s uputama proizvođača opreme i pravilima struke te
– upozorenje o zabrani unošenja nagrizajuće i lako hlapljive tekućine, eksplozivnih sredstava i sličnih opasnih ili štetnih tvari.
Članak 12.
(1) Statistički podaci koje Zavod prikuplja i obrađuje u skladu s Godišnjim provedbenim planom, a koji nisu pohranjeni u skladu s člancima 8. i 9. ovoga Naputka pohranjuju se i čuvaju na osobnim računalima smještenima u uredima ustrojstvenih jedinicama Zavoda koja su zadužene za njihovo prikupljanje i obradu.
(2) Pristup osobnim računalima iz stavka 1. ovoga članka imaju samo zaposlenici Zavoda kojima su osobna računala povjerena radi obavljanja poslova njihova radnog mjesta.
(3) Računala iz stavka 1. ovoga članka su podešena tako da traže prijavu korisnika prije početka rada.
(4) Odredbe stavaka 1., 2. i 3. ovoga članka na odgovarajući se način primjenjuju i na prijenosna računala.
Zaštita statističkih podataka prikupljenih iz administrativnih izvora podataka i metodom promatranja i praćenja
Članak 13.
Odredbe ovoga Naputka primjenjuju se i na statističke podatke prikupljene od posjednika administrativnih izvora podataka i metodom promatranja i praćenja od trenutka kada su podaci dostavljeni Zavodu.
IV. PRISTUP POVJERLJIVIM STATISTIČKIM PODACIMA
Članak 14.
(1) Pristup povjerljivim statističkim podacima Zavoda koji se nalaze na poslužiteljima, uređajima i medijima za pohranu podataka u elektroničkom obliku dopušten je uz dozvolu:
– zaposlenicima ustrojstvenih jedinica Zavoda koji te podatke koriste za potrebe obrade, proizvodnje i diseminacije službene statistike iz njihovog djelokruga rada
– zaposlenicima ustrojstvene jedinice Zavoda nadležne za računala i mrežne poslužitelje te drugim zaposlenicima Zavoda koji se brinu o održavanju opreme i informacijskog sustava.
(2) Dozvole za zaposlenike Zavoda iz stavka 1. alineja 1. ovoga članka daje voditelj ustrojstvene jedinice iz čijeg su djelokruga povjerljivi podaci, uz prethodnu suglasnost nadređenog načelnika sektora.
(3) Dozvole za zaposlenike Zavoda iz stavka 1. alineja 2. ovoga članka daje načelnik sektora nadležnog za informatičke tehnologije.
Članak 15.
(1) Pristup povjerljivim statističkim podacima koji se nalaze na osobnom računalu u ustrojstvenoj jedinici ili na prijenosnom računalu dopušten je isključivo zaposleniku ustrojstvene jedinice koji koristi osobno ili prijenosno računalo u svrhu obavljanja statističkih aktivnosti u okviru poslova njegovog radnog mjesta.
(2) Udaljeni pristup s prijenosnog računala povjerljivim statističkim podacima koji se nalaze na osobnom računalu zaposlenika ili na poslužiteljima, uređajima i medijima za pohranu podataka u elektroničkom obliku priključenim na prijenosno računalo zaposlenika, dopušten je isključivo zaposleniku kojem je prijenosno računalo povjereno radi obavljanja poslova njegova radnog mjesta.
Članak 16.
(1) Zaposlenici Zavoda kojima je dopušten pristup povjerljivim statističkim podacima koji se nalaze na poslužiteljima, uređajima i medijima za pohranu podataka u elektroničkom obliku te osobnim i prijenosnim računalima prijavljuju se na sustav prije korištenja i odjavljuju nakon završetka korištenja, uz uporabu odgovarajućega korisničkog imena i pripadnih lozinki.
(2) Zaposlenici iz stavka 1. ovoga članka dužni su čuvati korisničke podatke za spajanje u sustav, na način koji onemogućava pristup drugim osobama.
Članak 17.
Svaki pristup povjerljivim statističkim podacima koji se nalaze na poslužiteljima, uređajima i medijima za pohranu podataka u elektroničkom obliku te osobnim ili prijenosnim računalima mora biti automatski zabilježen korisničkim imenom, datumom i vremenom prijave i odjave, a u slučaju pokušaja neovlaštenog pristupa tim podacima, i s mjestom s kojeg je takav pristup pokušan, ako je to moguće.
Članak 18.
Zaposlenik Zavoda dužan je bez odgode izvijestiti neposredno nadređenog rukovoditelja i osobu odgovornu za provedbu mjera osiguranja informatičkog sustava Zavoda o svakom pokušaju neovlaštenog pristupa, otkrivanja, izmjene i uništavanja povjerljivih statističkih podataka.
Članak 19.
(1) Zaposleniku kojemu je prijenosno računalo povjereno radi obavljanja poslova njegova radnog mjesta dopustiti će se pristup informatičkom sustavu Zavoda korištenjem udaljenog pristupa – virtualne privatne mreže Zavoda uz korištenje VPN softvera Zavoda.
(2) Pristup informatičkom sustavu iz stavka 1. ovoga članka mora biti automatski zabilježen korisničkim imenom, datumom i vremenom prijave i odjave.
(3) Pristup zaposlenika informatičkom sustavu Zavoda s privatnog računala ili računala koje nije u vlasništvu Zavoda nije dopušten.
Članak 20.
(1) Pristup povjerljivim statističkim podacima dopušten je isključivo u skladu sa zakonskim i drugim propisima kojima se uređuje područje službene statistike.
(2) Radi sprječavanja namjernog otkrivanja povjerljivih statističkih podataka iz stavka 1. ovoga članka svi sustavi koji obrađuju povjerljive statističke podatke moraju biti postavljeni na način:
– da se pohrana podataka na medije za pohranu podataka u elektroničkom obliku može obavljati samo na točno određenim mjestima u sustavu
– da se ispis povjerljivih podataka (dokument, tabela i sl.) može obavljati samo na točno određenim mjestima u sustavu
– da se provjera prikladnosti mjera i metoda zaštite povjerljivih statističkih podataka od otkrivanja (logička kontrola) poduzima prije nego se rezultati službene statistike učine dostupnima korisnicima.
V. SIGURNOSNO POHRANJIVANJE POVJERLJIVIH STATISTIČKIH PODATAKA
Članak 21.
(1) Sigurnosno pohranjivanje povjerljivih statističkih podataka u elektroničkom obliku je obvezno i sadrži postupak pohranjivanja sigurnosnog primjerka podataka za slučaj gubitka, oštećenja ili uništenja tih podataka na način da se omogući njihov povrat.
(2) Sigurnosno pohranjivanje provodi se u skladu s važećim aktima Zavoda iz područja informacijske sigurnosti koji se odnose na upravljanje informacijskim i komunikacijskim sustavima.
Članak 22.
(1) Glavni ravnatelj Zavoda obvezan je imenovati osobu koja je odgovorna za provedbu mjera osiguranja informatičkog sustava, sigurnosnog pohranjivanja podataka i sprječavanje neovlaštenog pristupa podacima sustava.
(2) Osoba iz stavka 1. ovoga članka ima pravo drugim zaposlenicima Zavoda dodjeljivati, mijenjati i ukidati ovlasti za rad u sustavu, a dio svojih ovlasti, koje se odnose na pojedino područje, može dodijeliti i drugim zaposlenicima.
VI. OBVEZE I ODGOVORNOSTI ZAPOSLENIKA ZAVODA
Članak 23.
(1) Zaposlenik Zavoda koji u obavljanju poslova svoga radnog mjesta koristi IT opremu za pristup povjerljivim statističkim podacima dužan je:
– svoju lozinku za pristup osobnom računalu i/ili drugom elektroničkom uređaju na kojem se nalaze povjerljivi statistički podaci držati u tajnosti
– mijenjati lozinku najmanje jednom u 60 dana
– odmah promijeniti lozinku ukoliko postoji sumnja da je njegova lozinka poznata drugim osobama
– izvršiti odjavu na računalu ili zaključati računalo ukoliko prestaju s radom bilo na duže ili na kraće vrijeme.
(2) Zabranjeno je koristiti tuđa korisnička imena i lozinke za pristup povjerljivim statističkim podacima.
Članak 24.
(1) Zaposlenik Zavoda koji na svom radnom mjestu obavlja poslove u vezi s aktivnostima službene statistike dužan je prije početka rada upoznati se s odredbama propisa i drugih internih akata koje se odnose na povjerljivost i zaštitu statističkih podataka te informacijsku sigurnost.
(2) Zaposlenik iz stavka 1. ovoga članka, prije početka rada, potpisuje izjavu o povjerljivosti na Obrascu – izjava o statističkoj povjerljivosti koji je sastavni dio internog akta o zaštiti osobnih podataka.
(3) Propisi i drugi interni akti iz stavka 1. ovoga članka objavljuju se na intranet stranici Zavoda, na jednom mjestu, pregledno i lako uočljivo.
Članak 25.
Neposredni rukovoditelj dužan je odmah pisanim putem obavijestiti ustrojstvenu jedinicu Zavoda nadležnu za infor¬matičke sustave u slučaju kada djelatniku koji ima dozvolu za pristup povjerljivim statističkim podacima prestaje radni odnos, kada se premješta na rad u drugu ustrojstvenu jedinicu Zavoda ili je privremeno udaljen iz službe, kako bi se njegova ovlaštenja u informatičkom sustavu Zavoda mogla ukinuti ili promijeniti u skladu s potrebama novog radnog mjesta ili novog stanja.
Članak 26.
(1) Zavod je dužan voditi evidencije o:
– izdanim dozvolama i ovlaštenjima za pristup prostorijama i uređajima na kojima su pohranjeni povjerljivi statistički podaci
– dozvolama/ovlaštenjima za pristup povjerljivim statističkim podacima radi obavljanja poslova svog radnog mjesta.
(2) Evidencije pristupa iz stavka 1. ovoga članka revidiraju se minimalno jednom godišnje (početkom kalendarske godine).
Članak 27.
Evidencije iz članka 26. ovoga Naputka vodi ustrojstvena jedinica Zavoda nadležna za informatičke tehnologije i provedbu poslova vezanih za informacijsku sigurnost.
Članak 28.
(1) Zaposlenik Zavoda je odgovoran za sve aktivnosti izvršene na osobnom računalu na njegovom radnom mjestu, u lokalnim računalnim mrežama Zavoda uporabom njegovog korisničkog imena i lozinke.
(2) Zaposlenik je odgovoran za sve aktivnosti izvršene na dodijeljenom prijenosnom računalu uporabom njegovog korisničkog imena i lozinke, te korisničkog imena i lozinke za udaljeni pristup računalnoj mreži Zavoda.
VII. PRIJELAZNE I ZAVRŠNE ODREDBE
Članak 29.
Glavni ravnatelj donijet će odluku iz članka 9. ovoga Naputka u roku od 30 dana od dana stupanja na snagu ovoga Naputka.
Članak 30.
Radi zadovoljavanja sigurnosnih kriterija za sve informatičke i komunikacijske sustave Zavoda koji se koriste za prijenos, pristup, obradu te pohranu povjerljivih statističkih podataka, izrađuje se dokumentacija vezana za informacijsku sigurnost i procjenu uspješnosti implementacije sigurnosnih mjera utvrđenih tim dokumentima.
Članak 31.
(1) Nadzor nad provođenjem odredbi ovoga Naputka obavljaju glavni ravnatelj, zamjenik glavnog ravnatelja, načelnici sektora i ostali nadređeni službenici Zavoda.
(2) Nadzor nad provođenjem odredbi ovoga Naputka obavlja i voditelj Odbora za upravljanje sustavom informacijske sigurnosti.
Članak 32.
Ovaj Naputak stupa na snagu osmoga dana od dana objave u »Narodnim novinama«.
Klasa: 950-03/21-01/1
Urbroj: 555-01-02-03-21-3
Zagreb, 5. srpnja 2021.
Glavna ravnateljica
Lidija Brković, v. r.