varovani podatki in informacijska
TRANSCRIPT
Matevž Petavar
VAROVANI PODATKI IN INFORMACIJSKA
VARNOST V DRŽAVNEM ORGANU
Diplomsko delo visokošolskega študijskega programa Varnost in
policijsko delo
Ljubljana, september 2019
VAROVANI PODATKI IN INFORMACIJSKA
VARNOST V DRŽAVNEM ORGANU
Diplomsko delo
Študent: Matevž Petavar
Študijski program: visokošolski študijski program Varnost in policijsko delo
Mentor: izr. prof. dr. Igor Bernik
I
Zahvala
Pri izdelavi zaključnega dela se zahvaljujem za mentorstvo izrednemu profesorju dr. Igorju
Berniku.
II
Varovani podatki in informacijska varnost v državnem
organu
Ključne besede: varovani podatki, zloraba podatkov, obdelava podatkov, davčna tajnost,
informacijska varnost
Povzetek
Varovani podatki, ki se masovno pridobivajo in obdelujejo v procesih znotraj državnih
organov, kamor sodi tudi Finančna uprava Republike Slovenije (FURS), kot so osebni
podatki, tajni podatki, davčna tajnost in poslovna skrivnost, so izpostavljeni velikemu
tveganju za razkritje in zlorabo. Zato je izrednega pomena informacijska varnost in
definirani postopki varovanja posameznih podatkov ter predpisani posamezni ukrepi in
načini varovanja podatkov. S tega vidika je je predmet raziskovanja v zaključnem delu
ugotavljanje zadostne učinkovitosti politike informacijske varnosti znotraj organa FURS,
ustreznost zagotavljanja varovanja podatkov in ter ustreznost posameznih ukrepov za
dosego varnosti podatkov. V nalogi je raziskano ali imajo v izbranem državnem organu
razdelane definicije glede namenov obdelave osebnih podatkov in ali imajo predpisane
določene obveznosti kot upravljalci in obdelovalci varovanih podatkov. Z vidika pravne
ureditve poslovne skrivnosti, ki zavezuje tudi FURS, je v nalogi predstavljen problem ureditve
temelja poslovne skrivnosti v Sloveniji ter primerjava ureditve poslovne skrivnosti z
izbranimi državami ter na tej podlagi je opravljena preveritev ali je Slovenija implementirala
v svojo zakonodajo Direktivo (EU) 2016/943 Evropskega parlamenta in Sveta z dne 8. junija
2016 o varstvu nerazkritega strokovnega znanja in izkušenj ter poslovnih informacij
(poslovnih skrivnosti) pred njihovo protipravno pridobitvijo, uporabo in razkritjem.
III
Secure data and information security in the state
authority
Keywords: data protection, data abuse, data processing, tax secrecy, information security
Abstract
Secured data, which is mass-produced and processed in procedures in state bodies,
including the Financial Administration of the Republic of Slovenia (FURS), such as personal
data, classified information, tax secrecy and business secrets, are exposed to high risk.
disclosure and abuse. Therefore, information security is very important and defines the
procedures for protecting individual data and prescribes individual measures and methods
of data protection. From this point of view, the subject of the research is in the final work,
in order to determine the adequacy of the effectiveness of the information security policy in
the FURS body, the relevance of providing data protection and the appropriateness of the
individual measures for the achievement of the data security. The task examines whether
the definitions regarding the purposes of processing personal data are processed in the
selected state body and that they have ashieved certain obligations as managers and
processors of protected data. In terms of legal regulation of business secrets, which also
obliges the FURS, it is the task of presenting the problem of regulating the basis for business
secrets in Slovenia and comparison of business secrets with selected countries and on that
basis verification. it was established whether Slovenia implemented Directive (EU)
2016/943 of the European Parliament and of the Council of 8 June 2016 on the protection
of undisclosed professional knowledge and commercial information (business secrets)
before their illegal acquisition, use and disclosure.
IV
Kazalo vsebine
1 Uvod ........................................................................................................................... 1
1.1 Hipoteze ............................................................................................................... 2
1.2 Raziskovalne metode ............................................................................................ 3
2 Podatki in informacije v državnem organu .................................................................. 4
2.1 Osebni podatki ..................................................................................................... 4
2.1.1 Obdelava osebnih podatkov na FURS............................................................. 5
2.1.2 Načela pri obdelavi osebnih podatkov na FURS ............................................. 6
2.1.3 Zbirke osebnih podatkov v FURS .................................................................... 6
2.1.4 Pooblaščena oseba za varstvo podatkov znotraj FURS ................................... 6
2.1.5 Nadzorni organ za varstvo osebnih podatkov ................................................ 7
2.1.6 Kršitev varstva osebnih podatkov in ukrepanje na FURS ................................ 7
2.1.7 Zakonodaja na področju varstva osebnih podatkov ....................................... 8
2.2 Davčna tajnost .................................................................................................... 10
2.2.1 Načela varovanja davčne tajnosti ................................................................ 11
2.2.2 Kršitev varovanja davčne tajnosti ................................................................ 12
2.2.3 Razkritje davčne tajnosti .............................................................................. 12
2.2.4 Zakonodaja na področju davčne tajnosti ..................................................... 15
2.3 Tajni podatki ....................................................................................................... 15
2.3.1 Varovanje tajnih podatkov ........................................................................... 16
2.3.2 Stopnje tajnosti ........................................................................................... 16
2.3.3 Način hranjenja tajnih podatkov v FURS ...................................................... 17
2.3.4 Dostop do tajnih podatkov v FURS ............................................................... 18
2.3.5 Ukrepi za varovanje tajnih podatkov v FURS ................................................ 19
2.3.6 Zakonodaja na področju varovanja tajnih podatkov..................................... 20
2.4 Poslovna skrivnost .............................................................................................. 21
2.4.1 Pravna ureditev poslovne skrivnosti v Republiki Sloveniji ............................ 21
2.4.2 Temelj pojma poslovna skrivnost ................................................................. 22
V
2.4.3 Varovanje poslovne skrivnosti in odgovornost za izdajo poslovne
skrivnosti .................................................................................................... 23
2.4.4 Varovanje poslovne skrivnosti in ukrepi v procesih FURS ............................ 23
2.4.5 Predlog zakona o poslovni skrivnosti in implementacija Direktive EU
2016/943 .................................................................................................... 24
2.4.6 Prikaz ureditve v drugih pravnih sistemih-primerjalna analiza Avstrija ........ 25
2.4.7 Prikaz ureditve v drugih pravnih sistemih-primerjalna analiza Nemčija ....... 26
2.4.8 Prikaz ureditve v drugih pravnih sistemih-primerjalna analiza Madžarska ... 27
2.5 Informacijska varnost ......................................................................................... 28
2.5.1 Varnostna politika FURS .............................................................................. 29
2.5.2 Politike informacijske varnosti FURS ........................................................... 32
2.5.3 Upravljanje pravic dostopov v FURS ............................................................ 36
2.5.4 Zakonodaja na področju informacijske varnosti .......................................... 36
3 Metoda in raziskave ................................................................................................. 39
4 Rezultati ................................................................................................................... 40
5 Razprava .................................................................................................................. 46
6 Zaključek .................................................................................................................. 49
Viri in literatura ............................................................................................................... 51
VI
Kazalo tabel
Tabela 4.1: Število prijav IP in število nadzorov IP v letih 2010-2018 zoper FURS (DURS) . 41
Tabela 4.2: Število opravljenih nadzorov IP v javnem sektorju v RS v primerjavi z številom
prijav in opravljenih nadzorov zoper FURS (DURS) v letih od 2010 do 2018 .... 43
VII
Kazalo grafov
Graf 4.1: Število prijav IP zoper FURS(DURS) v letih 2010 do 2018 ................................... 42
Graf 4.2: Število opravljenih nadzorov IP glede na število prijav IP zoper FURS (DURS) v
letih od 2010 do 2018 .................................................................................... 42
Graf 4.3: Število prijav IP in število nadzorov IP v FURS(DURS) glede na skupno število
nadzorov IP v javnem sektorju v Republiki Sloveniji v letih 2010 do 2018 ....... 44
VIII
Kazalo slik
Slika 2.1: Politike Informacijske varnosti v FURS .............................................................. 30
IX
Uporabljeni simboli in kratice
CEI - Center za elektronsko izobraževanje Slovenske vojske
DURS – Davčna uprava Republike Slovenije
FU – Finančni urad
FURS – Finančna uprava Republike Slovenije
GFU – Generalni finančni urad
IP – Informacijski pooblaščenec
MF – Ministrstvo za finance
MJU – Ministrstvo za javno upravo
NOE – Notranja organizacijska enota
SSZ – Služba za splošne zadeve
UI – Urad za informatiko
USZ – Urad za splošne zadeve
ZFU – Zakon o finančni upravi
1
1 Uvod
Varovani podatki, ki se masovno pridobivajo in obdelujejo v procesih znotraj državnih
organov, kamor sodi tudi Finančna uprava Republike Slovenije (v nadaljevanju FURS), so
izpostavljeni velikemu tveganju za razkritje in zlorabo. Razkritje ali zloraba podatkov
nepooblaščenim osebam ter nezakonito pridobivanje in obdelava podatkov lahko povzroči
škodo državnemu organu in poteku uradnih postopkov in poslovno škodo pri fizičnih in
pravnih osebah. Zato je izrednega pomena informacijska varnost in definirani postopki
varovanja podatkov ter predpisani posamezni ukrepi in načini varovanja podatkov. V nalogi
so podrobneje predstavljeni podatki, ki se pridobivajo in obdelujejo v procesih FURS, kot so
osebni podatki, tajni podatki, davčna tajnost in poslovna skrivnost in ukrepi za zagotavljanje
varovanja podatkov tako pri zajemanju kot pri obdelavi podatkov znotraj delovnih procesov
v FURS. Z analizo pridobljenih prijav se v nalogi ugotavlja, ali so ukrepi znotraj FURS zadostni
in ali znotraj FURS zadostno obvladujejo tveganje za zlorabo podatkov nepooblaščenim
osebam ter nezakonito pridobivanje in obdelavo podatkov.
Glede na to, da so podatki eden najpomembnejših informacij znotraj določenega sistema,
ki jih je potrebno varovati, je problem, kako ustrezno urediti področje informacijske
varnosti znotraj izbranega državnega organa. Zagotovitev varnosti podatkov pa je lahko
problem zaradi različnih dejavnikov, opustitve določenih dejanj ali opustitve določenih
procesov ter neupoštevanja določenih politik. V nalogi je predstavljeno področje
informacijske varnosti, varnostne politike in varnostni ukrepi znotraj FURS in v
raziskovalnem delu obdelano vprašanje ali so varnostne politike in varnostni ukrepi ter
postopki pri obdelavi varovanih podatkov znotraj FURS ustrezni in ali zagotavljajo varnost
podatkov ter predlagati kakšno novo politiko za zagotavljanje varnosti podatkov s
poudarkom na varovanju osebnih podatkov. V nalogi se ugotavlja kakšna je stopnja
zagotavljanja varnosti podatkov in kako je pravno formalno zagotovljena varnost podatkov.
V raziskovalnem delu je na podlagi pridobljenih podatkov predstavljena ugotovitev ali je
znotraj varnostne politike FURS zagotovljena ustrezna varnost podatkov s poudarkom na
varnost osebnih podatkov v poslovnih procesih in obdelavi podatkov v FURS. Z vidika
2
pravne ureditve poslovne skrivnosti, ki zavezuje tudi FURS, je v nalogi predstavljen problem
ureditve temelja poslovne skrivnosti v Sloveniji ter primerjava ureditve poslovne skrivnosti
z izbranimi državami ter na tej podlagi preveritev ali je Slovenija implementirala v svojo
zakonodajo Direktivo (EU) 2016/943 Evropskega parlamenta in Sveta1 (v nadaljevanju
Direktiva EU, 2016/94).
1.1 Hipoteze
H1: Osebni podatki v procesih znotraj FURS so ustrezno varovani.
H2: Tajni podatki so v procesih znotraj FURS ustrezno varovani.
H3: Davčna tajnost je v procesih znotraj FURS ustrezno zagotovljena.
H4: Poslovna skrivnost v Slovenski zakonodaji je ustrezno pravno urejena in
ustrezno varovana v procesih znotraj FURS.
H5: Informacijska varnost v procesih znotraj FURS je ustrezno zagotovljena.
S postavljenimi hipotezami je raziskano ali se prijave zoper razkritje varovanih podatkov s
poudarkom na sum zlorabe osebnih podatkov v obdobju 2010 do 2018 v FURS povečujejo
ali zmanjšujejo, kar je prikazano s trendi in grafi. Na podlagi rezultatov je opravljena analiza
ali je varnostna politika v izbranem organu ustrezna ali ne. V nalogi je predstavljeno ali v
izbranem državnem organu sledijo ugotovljenemu naraščajočemu trendu prijav zoper
sume razkritja varovanih podatkov v raziskanem obdobju ali ne. Na podlagi uporabljenih
raziskovalnih metod je s potrditvijo ali zavrnitvijo postavljenih hipotez izkazano ali je
varovanje podatkov znotraj FURS ustrezno zagotovljeno in ali je vzpostavljena politika
informacijske varnosti znotraj organa FURS in ukrepi in ali so le ti ustrezni ter ustreznost
posameznih ukrepov za dosego varnosti podatkov. V nalogi je raziskano ali imajo v FURS
razdelane definicije glede namenov obdelave osebnih podatkov in ali imajo predpisane
določene obveznosti kot upravljalci in obdelovalci osebnih podatkov in drugih varovanih
1Direktiva (EU) 2016/943 Evropskega parlamenta in Sveta z dne 8. junija 2016 o varstvu nerazkritega strokovnega znanja in izkušenj ter poslovnih informacij (poslovnih skrivnosti) pred njihovo protipravno pridobitvijo, uporabo in razkritjem.
3
podatkov. Nadalje je raziskano ali se na podlagi ugotovitev naraščanja trenda prijav zoper
nepooblaščeno razkritje ali dostopov do varovanih podatkov v zajetem obdobju 2010 do
2018 s poudarkom na osebnih podatkih, bolj upoštevajo določeni varnostni ukrepi in
postopki pri obdelavi varovanih podatkov in ali je bila na osnovi tega bolj natančno izdelana
in dopolnjena politika varovanja podatkov ter na kakšen način je zagotovljena varnost in
zaupnost podatkov ter preprečitev nenamernega oz. nezakonitega uničenja, izgube,
spremembe, nepooblaščenega razkritja ali dostopa do varovanih podatkov, ki so poslani,
shranjeni ali kako drugače obdelani za namen procesov znotraj FURS v okviru poslanstva
FURS. S tega vidika je raziskano tudi varovanje poslovne skrivnosti kot konkurenčne
prednosti posameznega podjetja in sicer z vidika varovanja pridobljenih podatkov v
postopkih znotraj FURS in varstvu nerazkritega strokovnega znanja in izkušenj ter poslovnih
informacij (poslovnih skrivnosti) pred njihovo protipravno pridobitvijo, uporabo in
razkritjem.
1.2 Raziskovalne metode
S pomočjo empirične neeksperimentalne obdelave pridobljenih podatkov so potrjene ali
ovržene hipoteze na podlagi analize prijav sumov zlorabe varovanih podatkov
nepooblaščenim osebam ali drugačna nezakonita obdelava ali zloraba podatkov
informacijskemu pooblaščencu z vidika varovanja osebnih podatkov, analize prijav v interni
revizijski službi FURS z vidika varovanja tajnih podatkov in davčne tajnosti, podatkov o
»uhajanju podatkov davčne tajnosti« v izbranem organu, podatkov o številu vloženih tožb
na pristojno sodišče zaradi nepooblaščene uporabe ali razkritja poslovne skrivnosti. Na
podlagi metode ugotavljanja trenda so s posameznimi grafi ponazorjeni in opisani trendi
naraščanja prijav zoper FURS zaradi sumov zlorab osebnih podatkov in naraščanja števila
nadzorov zoper FURS v obdobju 2010 do 2018. Podrobneje je predstavljeno stanje v
Sloveniji na področju varovanja poslovne skrivnosti ter pravna ureditev v Sloveniji. S
primerjalno analizo v treh izbranih državah s Slovenijo so predstavljene prednosti in slabosti
pravne ureditve varovanja poslovne skrivnosti v Sloveniji tudi z vidika zahtev Evropske unije
za uskladitev v slovenski pravni red z Direktivo (EU) 2016/943.
4
2 Podatki in informacije v državnem organu
Podatki, ki se prejemajo, obdelujejo in posredujejo v procesih znotraj FURS, so varovani
podatki. Varovani podatki znotraj FURS so skupen izraz za osebne podatke, tajne podatke,
davčno tajnost ali poslovno skrivnost, katerih razkritje nepooblaščenim osebam in zloraba
bi lahko povzročila škodo državnemu organ, poteku uradnih postopkov oz. fizičnim ali
pravnim osebam. Zloraba podatkov pa pomeni nepooblaščen dostop, pošiljanje, razkritje,
seznanitev, sprememba, uničenje, izbris, izguba oziroma drugačna nepooblaščena
obdelava podatkov, ki je v nasprotju s predpisi. Obdelava podatkov pomeni vsako dejanje
ali niz dejanj, ki se izvaja v zvezi s podatki ali nizi podatkov z avtomatiziranimi sredstvi ali
brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali
spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno
omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.
Zakon o finančni upravi (»ZFU«, 2014) določa omejitev uporabe informacij, podatkov ali
spoznanj, do katerih imajo uslužbenci dostop pri opravljanju nalog finančne uprave v
neslužbene namene, razen s soglasjem nadrejenega v raziskovalne ali izobraževalne
namene, pri čemer ni dovoljeno razkriti osebnih podatkov, davčne tajnosti, poslovnih
skrivnosti in drugih varovanih podatkov. Uslužbenec finančne uprave teh informacij,
podatkov ali spoznanj ne sme uporabljati za doseganje kakršne koli premoženjske ali druge
koristi zase ali drugo osebo. Dolžnost varovanja podatkov je določena tudi za uslužbenca
finančne uprave po prenehanju delovnega razmerja v FURS.
2.1 Osebni podatki
Po Zakonu o varstvu osebnih podatkov je osebni podatek katerikoli podatek, ki se nanaša
na posameznika, ne glede na obliko, v kateri je izražen. (» ZVOP-1-UPB1«, 2007).
Osebni podatek je katerakoli informacija v zvezi z določenim ali določljivim posameznikom
(fizično osebo). Posameznik je določena ali določljiva fizična oseba, na katero se nanaša
osebni podatek, fizična oseba je določljiva, če se jo lahko neposredno ali posredno
5
identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več
dejavnikov, ki so značilni za njeno fizično, fiziološko, duševno, ekonomsko, kulturno ali
družbeno identiteto, pri čemer način identifikacije ne povzroča velikih stroškov,
nesorazmerno velikega napora ali ne zahteva veliko časa (»ZVOP-1-UPB1«, 2007). Podatki
o fizični osebi, ki na trgu nastopa kot gospodarski subjekt (npr. samostojni podjetnik- s.p.),
v delu, ki se nanaša na opravljanje dejavnosti, niso osebni podatki. Med podatke, ki
zahtevajo posebno varstvo, se vštevajo občutljivi osebni podatki, ki razkrivajo rasno ali
etnično poreklo, politično mnenje, versko ali filozofsko prepričanje, članstvo v sindikatu in
obdelava genskih podatkov, biometričnih podatkov za namene edinstvene identifikacije
posameznika, podatkov v zvezi z zdravjem, spolnim življenjem ali spolno usmerjenostjo
posameznika ali podatkov o vpisu ali izbrisu v ali iz kazenske ali prekrškovnih evidenc.
2.1.1 Obdelava osebnih podatkov na FURS
Obdelava osebnih podatkov pomeni kakršnokoli delovanje ali niz delovanj, ki se izvaja v
zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke
osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, zlasti zbiranje,
pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklicanje,
vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago,
razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris ali uničenje. Obdelava je lahko
ročna ali avtomatizirana. Avtomatizirana obdelava je obdelava osebnih podatkov s sredstvi
informacijske tehnologije. (»ZVOP-1-UPB1«,2007). Uslužbenci in druge osebe, ki opravljajo
delo za FURS na osnovi pogodbe (npr. študenti, pogodbeni obdelovalci, uslužbenci drugih
ministrstev), pred nastopom dela podpišejo ustrezno izjavo, s čimer potrdijo, da so
seznanjeni z načinom varovanja podatkov, in se hkrati zavežejo varovati podatke v skladu s
predpisi. Za uslužbence, ki nastopijo funkcijo oziroma opravljanje dela, se pred podpisom
izjave oziroma takoj ko je mogoče, zagotovi ustrezno usposabljanje oziroma seznanitev s
predpisi s področja obravnavanja in varovanja tajnih podatkov.2
2 Akt o varstvu osebnih podatkov na FURS(5. člen, 2018).
6
2.1.2 Načela pri obdelavi osebnih podatkov na FURS
Pri obdelavi osebnih podatkov znotraj FURS se upoštevajo naslednja načela:
osebni podatki so na vpogled ali se drugače obdelujejo le na pravni podlagi (zakon,
privolitev, pogodba, izvajanje javne oblasti itd.), ki smo jo sposobni dokazati;
osebne podatke se lahko zbirajo le za določene, izrecne in zakonite namene ter se
ne smejo obdelovati na način, ki ni združljiv s temi nameni (omejitev namena);
osebni podatki morajo biti ustrezni, relevantni in omejeni na to, kar je potrebno za
namene, za katere se obdelujejo (najmanjši obseg podatkov);
osebni podatki se lahko hranijo le toliko časa, kolikor je potrebno za namene, za
katere jih obdelujemo, razen če je z zakonom določen drug rok hrambe (omejitev
roka hrambe);
osebni podatki morajo biti točni in posodobljeni, netočni osebni podatki pa se
morajo ustrezno popraviti ali izbrisati (»Akt o varstvu osebnih podatkov na FURS«,
2018, 5. člen).
2.1.3 Zbirke osebnih podatkov v FURS
Zbirke osebnih podatkov, ki jih upravlja FURS, so popisane v seznamu zbirk osebnih
podatkov. Na dan 31.12.2018 jih je skupaj 162. Vsaka zbirka osebnih podatkov ima določen
namen, pravno podlago za obdelavo, opis kategorij posameznikov, za katere se zbirajo in
obdelujejo podatki, opis vrst osebnih podatkov, občutljivi osebni podatki, podatki o
krovnem vsebinskem skrbniku podatkov, podatki o skrbniku posamezne zbirke, podatki o
krovnem IT skrbniku.
2.1.4 Pooblaščena oseba za varstvo podatkov znotraj FURS
Na FURS je s strani generalnega direktorja imenovana pooblaščena oseba za varstvo
osebnih podatkov, ki ima posvetovalno funkcijo v zvezi z varstvom osebnih podatkov.
7
Vsak posameznik (fizična oseba) ima pravico do seznanitve z lastnimi osebnimi podatki po
Zakonu o varstvu osebnih podatkov (»ZVOP-1, UPB-1«, 2007) ali Splošni uredbi o varstvu
osebnih podatkov (»GDPR«, 2016). Zahtevo posameznika za seznanitev z lastnimi osebnimi
podatki se posreduje pooblaščeni osebi za varstvo osebnih podatkov na FURS.
V primeru suma ali zaznave kršitev varstva osebnih podatkov je potrebno obvestiti vodjo
informacijske varnosti na FURS, ki je prav tako imenovan s strani generalnega direktorja
FURS. V obvestilu se na obrazcu » Poročilo o kršitvi varstva osebnih podatkov« navede vse,
kar se ve o zadevi in se ga posreduje vodji informacijske varnosti.
2.1.5 Nadzorni organ za varstvo osebnih podatkov
Državni nadzorni organ za varstvo osebnih podatkov po ZVOP-1 (»ZVOP-1-UPB1«, 2007) je
Informacijski pooblaščenec (IP) in tudi po predlogu novega ZVOP-2 ostaja državni nadzorni
organ IP, toda z večjimi pooblastili. Do sprejetja novega ZVOP-2 informacijski pooblaščenec
ne more izrekati kazenskih sankcij, ki jih določa Uredba GDPR, zaradi odsotnosti pravne
podlage. Trenutni predlog ZVOP-2 tako daje IP večja pooblastila, med drugim ureja tudi
kazenske sankcije, to so upravne globe ter odločanje o prekrških, kar do sedaj ni bilo
uzakonjeno.
2.1.6 Kršitev varstva osebnih podatkov in ukrepanje na FURS
Kršitev varnosti osebnih podatkov pomeni kršitev, ki vodi do nezakonitega uničenja, izgube,
spremembe, nepooblaščenega razkritja oziroma dostopa do osebnih podatkov. Kršitev je
lahko storjena nehote (npr. iz malomarnosti) ali pa je načrtovana oziroma naklepna. Na
splošno ta kršitev pomeni varnostni incident, ki ogroža zaupnost, celovitost in dostopnost
osebnih podatkov (»GDPR«, 2016, 33. in 34.člen)3.
3 Splošna uredba o varstvu osebnih podatkov - GDPR (»Uredba(EU)2016/679 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES«, 2016)
8
Kršitve varnosti osebnih podatkov so v praksi lahko:
dostop s strani nepooblaščene osebe;
posredovanje osebnih podatkov nepravemu naslovniku;
izguba ali kraja računalniške opreme, ki vsebuje osebne podatke;
nepooblaščeno uničenje baz z osebnimi podatki;
sprememba osebnih podatkov brez potrebnega dovoljenja;
izguba dostopa do osebnih podatkov (izguba gesla; izguba opreme, ki omogoča
dešifriranje; nepooblaščena namestitev šifrirnega programa, ki onemogoča dostop
do podatkov, t.i. »izsiljevalski virus«).
V primeru zaznave kršitve je treba oceniti dva ključna faktorja: verjetnost in resnost
posledic za pravice in svoboščine posameznikov. Verjetnost je povezana z možnostjo
nastanka posledic, resnost pa s škodo, ki jo kršitev lahko povzroči posameznikom.
Kršitev varnosti osebnih podatkov (če se ne obravnavajo ustrezno in pravočasno),
posameznikom povzroči fizično, premoženjsko ali nepremoženjsko škodo, kot je izguba
nadzora nad njihovimi osebnimi podatki ali omejitev njihovih pravic, diskriminacija, kraja
ali zloraba identitete, finančna izguba, neodobrena reverzija psevdonimizacije, okrnitev
ugleda, izguba zaupnosti osebnih podatkov, zaščitenih s poklicno skrivnostjo, ali katera koli
druga znatna gospodarska ali socialna škoda(«Uredba GDPR«, 2016, uvodna določba).
Kadar je verjetno, da kršitev varnosti osebnih podatkov povzroči veliko tveganje za pravice
in svoboščine posameznikov, mora upravljavec kršitev varnosti osebnih podatkov - vodja
informacijske varnosti na FURS, sporočiti tudi posamezniku, na katerega se nanašajo osebni
podatki.
2.1.7 Zakonodaja na področju varstva osebnih podatkov
Koncept varstva osebnih podatkov v Republiki Sloveniji temelji na določbi 38. člena Ustave
RS, po kateri je varstvo osebnih podatkov ena izmed zagotovljenih človekovih pravic in
temeljnih svoboščin v državi. Omenjena določba zagotavlja varstvo osebnih podatkov,
9
prepoveduje uporabo osebnih podatkov v nasprotju z namenom njihovega zbiranja,
vsakomur zagotavlja pravico do seznanitve z zbranimi osebnimi podatki, ki se nanašajo
nanj, ter pravico do sodnega varstva ob njihovi zlorabi.
Varstvo osebnih podatkov urejata Uredba GDPR (»GDPR», 2016) in Zakon o varstvu osebnih
podatkov (»ZVOP-1-UPB1 «, 2007). Do uveljavitve nove zakonodaje ZVOP-1 velja v delu, ki
ne nasprotuje Uredbi GDPR. Uredba GDPR se je začela uporabljati v državah članicah EU že
skoraj leto dni nazaj, kar nekaj določb obstoječega Zakona o varstvu osebnih podatkov
(ZVOP-1) pa se ne uporablja več. V pripravi je nov predlog novega zakona (»ZVOP-2«,
2019), ki vključuje tudi določbe Uredbe (»GDPR«, 2016).
Uredba GDPR (»GDPR«,2016) določa okrepljeno odgovornost upravljavca osebnih
podatkov za zagotavljanje informacij in pa pravic posameznikom, v tem smislu pa temu
sledi tudi trenutni predlog ZVOP-2. Ta predlog določa obveznost upravljavca, da vzpostavi
ustrezne ukrepe in postopke, s katerimi bo posamezniku olajšano uveljavljanje njegovih
pravic, pri tem pa predlog določa tudi, da mora upravljavec, če je to mogoče, na svoji spletni
strani objaviti obrazce in navodila za uveljavljanje posameznih pravic.
Predlog novega ZVOP-2 precej bolj podrobno ureja pravice posameznika, na katere se
nanašajo osebni podatki (pravica dostopa, pravica do popravka, pravica do izbrisa, pravica
do omejitve obdelave, pravica do ugovora) in postopek uveljavljanja pravic posameznikov
– tudi z delno uporabo določb Zakona o splošnem upravnem postopku. Predlog vključuje
tudi področne ureditve obdelav in varstva osebnih podatkov (neposredno trženje,
videonadzor, obdelava osebnih podatkov z uporabo biometrije, evidentiranje vstopov in
izstopov, javne knjige in varstvo osebnih podatkov, povezovanje zbirk osebnih podatkov ter
strokovni nadzor).
Tako predlog zakona predvideva prepoved obdelave posebnih vrst osebnih podatkov, ki
razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali
članstvo v sindikatu, in obdelava genetskih podatkov, biometričnih podatkov za namene
edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem.
10
Na ravni FURS velja interni Akt o varovanju osebnih podatkov v FURS4 in drugi notranji akti,
ki se dotikajo varstva osebnih podatkov. Za posamezna področja obdelave osebnih
podatkov z informacijskimi sistemi, ki so bila prenesena v upravljanje MJU, pa veljajo
neposredno predpisi Ministrstva za javno upravo (MJU) To so razna navodila, kot so:
1. Navodilo o uporabi elektronske pošte
2. Navodilo za upravljanje z dogodki in incidenti informacijske varnosti
3. Navodilo o uporabi informacijsko komunikacijskih sredstev
4. Navodilo o upravljanju z dostopi do informacijskih storitev na MJU
5. Navodilo za uporabo prenosnih in tabličnih računalniških naprav na MJU
6. Navodilo za izvajanje postopkov uničenja podatkovnih nosilcev
Na FURS je imenovana s strani generalnega direktorja pooblaščena oseba za varstvo
osebnih podatkov, ki ima posvetovalno funkcijo v zvezi z varstvom osebnih podatkov.
Upravljavec kršitev varnosti osebnih podatkov v FURS je vodja informacijske varnosti na
FURS, ki je tudi imenovana oseba s strani generalnega direktorja. Državni nadzorni organ
za varstvo osebnih podatkov po ZVOP-1 (»ZVOP-1-UPB1«,2007) je Informacijski
pooblaščenec (IP).
2.2 Davčna tajnost
Ravnanje s podatki, ki so davčna tajnost, opredeljujejo predpisi, ki urejajo davčni postopek5
ter interni dokumenti FURS.
Davčna tajnost so podatki, ki se zberejo v davčnem postopku od zavezancev za davek in
drugi podatki, ki se zberejo v zvezi z davčno obveznostjo zavezanca za davek, s katerimi
davčni organ razpolaga. Temeljno vodilo, ki ga zasleduje ZDavP-2 (»ZDavP-2 – UPB 4«,
2011) je, da mora davčni organ kot zaupne varovati vse podatke, tiste, ki jih pridobi
neposredno s strani zavezanca za davek, in tiste, s katerimi davčni organ že razpolaga. Edina
4 Akt o varstvu osebnih podatkov na FURS (2018). 5 Zakon o davčnem postopku (»ZDavP-2 –UPB 4«, 2011).
11
izjema je davčna številka poslovnih subjektov. Ta v skladu z ZDavP-2 (»ZDavP-2 – UPB 4«,
2011) ne šteje za davčno tajnost.
ZDavP-2 (»ZDavP-2-UPB 4«, 2011) določa, da mora davčni organ kot zaupne varovati
podatke, ki jih zavezanec za davek v davčnem postopku posreduje davčnemu organu, ter
druge podatke v zvezi z davčno obveznostjo zavezancev za davek, s katerimi razpolaga
davčni organ. Varovanje davčne tajnosti je povzdignjeno celo med načela davčnega
postopka, s čimer je še posebej poudarjena njegova pomembnost.
Davčno tajnost morajo varovati vse osebe, ki so zaradi narave svojega dela prišle v stik s
podatki, ki so davčna tajnost. To ne velja samo za uslužbence Finančne uprave, ampak tudi
za druge osebe (npr. izvedenci, tolmači, zapisnikarji, uslužbenci drugih organov in
organizacij, katerim so bili podatki posredovani).
Uslužbenci FURS imajo dostop do podatkov, ki so davčna tajnost, le v obsegu, ki je potreben
za opravljanje delovnih nalog, in šele takrat, ko jih potrebujejo. Vsak uslužbenec Finančne
uprave mora podpisati izjavo, da je seznanjen in da bo ravnal v skladu s pravili varovanja
davčne tajnosti. Davčna tajnost se sme razkriti tretjim osebam le na podlagi izrecnega
pisnega soglasja davčnega zavezanca ali če tako določa ZDavP-2 (»ZDavP-2 – UPB 4«, 2011).
2.2.1 Načela varovanja davčne tajnosti
Varovane podatke, kamor spada tudi davčna tajnost je dopustno razkriti le, če za to obstaja
pravna podlaga, določena z zakonom.
Eno od načel tudi načelo tajnosti podatkov, po katerem se podatki zavezancev za davek
obravnavajo kot davčna tajnost v skladu z ZDavP-2 (»ZDavP-2 – UPB 4«, 2011), zakonom o
obdavčenju in drugimi splošnimi akti, ki urejajo pobiranje davkov.
12
Pravilnik o izvajanju Zakona o davčnem postopku6 (v nadaljevanju: Pravilnik) podrobneje
ureja fizične, organizacijske in tehnične ukrepe ter postopke za varovanje podatkov, ki so
davčna tajnost.
V skladu s Pravilnikom se namreč z oznako »DAVČNA TAJNOST« označujejo samo izhodni
dokumenti, torej tisti, ki jih organ posreduje drugemu naslovniku, ne pa tudi lastni
dokumenti (npr. uradni zaznamki…) in vhodni dokumenti.
2.2.2 Kršitev varovanja davčne tajnosti
Kršitev varovanja pravil davčne tajnosti ima lahko za posledico prekrškovno, disciplinsko
in/ali odškodninsko odgovornost.
2.2.3 Razkritje davčne tajnosti
Davčna tajnost se sme razkriti tretjim osebam le na podlagi izrecnega pisnega soglasja
davčnega zavezanca ali če tako določa ZDavP-2 (»ZDavP-2 – UPB4«, 2011).
Davčna tajnost se lahko na podlagi ZDavP-2 razkrije upravičenim osebam ali upravičenim
organom in organizacijam. Upravičenim osebam se lahko razkrije v naslednjih primerih:
1. če je tako določeno z zakonom o obdavčenju (ime/firmo, naslov/sedež, davčno
številko, identifikacijsko številko za DD ter datum vpisa oziroma izbrisa zavezanosti
za DDV, identifikacijsko številko zavezanca za trošarine, datum vpisa oziroma izbrisa
iz evidence imetnikov trošarinskih dovoljenj in pooblaščenih prejemnikov),
2. osebi, ki dokaže, da je stranka ali udeleženec v upravnem ali sodnem postopku,
poleg podatkov iz prejšnje točke (podatek o znesku neplačanih davkov in znesku
preveč plačanih davkov ter podatek o odločenem in obročnem plačilu davkov,
podatek, ali je zavezanec vložil davčno napoved oz. obračuna ali ne);
6 Pravilnik o izvajanju Zakona o davčnem postopku (2017).
13
3. če zakon določa, da sme upravičena oseba od davčnega organa pridobiti podatke v
zvezi z izpolnjevanjem davčnih obveznosti zavezanca za davek (podatke o višini
neplačanih davčnih obveznosti, podatke o davčnih obveznostih, v zvezi s katerimi je
odložen začetek davčne izvršbe oziroma je začeta davčna izvršba zadržana, podatke
o davčnih obveznostih, v zvezi s katerimi je dovoljen odlog oziroma obročno plačilo
davka oziroma še ni potekel rok za prostovoljno izpolnitev obveznosti);
4. upravičeni osebi, če ta podatek potrebuje za izpolnitev davčne obveznosti oziroma
za izpolnitev dolžnosti dajanja podatkov;
5. podatek o tem, ali so za določeno vozilo plačane obvezne dajatve v skladu z
zakonom o obdavčenju;
6. delodajalcu sme razkriti podatke o številu mesecev, za izplačila, v katerih je za
posameznega zavezanca, ki je zaposlen pri njem, že bila uveljavljena posebna
davčna osnova;
7. na svojih spletnih straneh Finančna uprava javno objavi podatke o zavezancu za
davek, ki mu je po uradni dolžnosti prenehala identifikacija za namene DDV.
Navedene osebe, ki so jim bili razkriti podatki, ki so davčna tajnost, smejo te podatke
uporabiti samo za namene, za katere so jim bili dani. Podatki, ki so davčna tajnost, se smejo
razkrivati drugemu davčnemu organu. Podatki, ki so davčna tajnost, se smejo razkriti tudi
drugim organom in organizacijam, če jih potrebujejo za izvajanje njihovih z zakonom
predpisanih pristojnosti, za potrebe vodenja (konkretnih) postopkov. Podatki se lahko
razkrijejo tudi osebam, za katere FURS opravlja naloge pobiranja davkov. Drugim organom
in organizacijam se smejo podatki razkriti tudi spontano (brez zahteve tega drugega
organa), če se ugotovi, da bi lahko bili izpolnjeni znaki kaznivega dejanja, sum kršitve zakona
ali drugega predpisa oziroma akta, katerega izvajanje nadzoruje druga inšpekcija, da bi
lahko ugotovljeni podatki vplivali na pravice in obveznosti zavezancev za davek, o katerih v
okviru svojih pristojnosti odločajo ti organi in institucije. Podatki, ki so davčna tajnost, se
smejo razkriti tudi organom drugih držav na podlagi mednarodnih pogodb. Zakon daje
podlago tudi za posredovanje podatkov tretjim osebam v postopku izvršbe (osebam, ki so
dolžne izvršiti sklep o izvršbi, npr. bankam, delodajalcem itd.). Vse tretje osebe, katerim se
posredujejo podatki, ki so davčna tajnost, so dolžne te podatke uporabiti le za namene, za
14
katere jih potrebujejo, teh podatkov ne smejo posredovati naprej, varovati jih morajo na
enak način, kot je določeno za FURS, po prenehanju razlogov za hranjenje podatkov jih
morajo uničiti.
Posebnost pri objavi razkritju podatkov v FURS
1. FURS sme javno objaviti tudi zavezance, ki ne predlagajo obračune davčnega
odtegljaja in neplačnike davkov.7 FURS javno objavlja seznam davčnih zavezancev z
zapadlimi neplačanimi davčnimi obveznostmi, ki na 25. dan v mesecu pred
mesecem objave presegajo 5.000 EUR in so starejše od 90 dni. Namen objave je
krepitev davčne kulture, izboljšanje plačilne discipline ter povečanje
prostovoljnega, pravilnega in pravočasnega obračunavanja in plačevanja davčnih
obveznosti. Enoten seznam neplačnikov davkov FURS je prvič objavljen 8. avgusta
2014.
2. FURS sme vsaki fizični osebi razkriti podatke o socialnih prispevkih, ki jih je zanj
plačal oziroma jih je dolžan plačati njegov delodajalec8. Fizična oseba lahko pri
davčnem organu pridobi podatke o tem, ali je njen delodajalec oziroma druga oseba
zanjo poravnala vse davčne obveznosti iz naslova obveznih prispevkov za socialno
varnost.
3. Podatki o računih poslovnih subjektov so javno objavljeni (ne gre za davčno tajnost)
in lahko vsakdo preko spletnega portala AJPES brezplačno pridobi podatke o
transakcijskih računih poslovnih subjektov (ne pa o prometu na računih). Računi
fizičnih oseb pa predstavljajo davčno tajnost in niso javno objavljeni, ampak je
potrebno z njimi ravnati skladno z določbami ZDavP-2 glede varovanja davčne
tajnosti in o razkritju.
7 Zakon o spremembah in dopolnitvah Zakona o davčnem postopku (»ZDavP-2F«, 2012). 8 Zakon o davčnem postopku(»ZDavP-2 – UPB4«, 2011, 21.člen).
15
2.2.4 Zakonodaja na področju davčne tajnosti
Davčna tajnost je določena v Zakonu o davčnem postopku (»ZDavP-2 – UPB4«, 2011) in
sicer je eno od načel tudi načelo tajnosti podatkov, po katerem se podatki zavezancev za
davek obravnavajo kot davčna tajnost v skladu s tem zakonom in zakonom o obdavčenju in
drugimi splošnimi akti, ki urejajo pobiranje davkov in v Zakonu o inšpekcijskem nadzoru
(»ZIN«, 2014). Sicer pa je davčna tajnost določena še v internih aktih FURS9 ter internih
dokumentih FURS 10.
2.3 Tajni podatki
Po Zakonu o tajnih podatkih (»ZTP-UPB2«, 2006, 2007, 2011) je tajni podatek »dejstvo ali
sredstvo z delovnega področja organa, ki se nanaša na javno varnost, obrambo, zunanje
zadeve ali obveščevalno in varnostno dejavnost države, ki ga je treba zaradi razlogov
določenih v tem zakonu zavarovati pred nepoklicanimi osebami, in ki je v skladu s tem
zakonom določeno in označeno za tajno.« Za tajnega se določi podatek, ki je tako
pomemben, da bi z njegovim razkritjem nepoklicani osebi nastale ali bi očitno lahko nastale
škodljive posledice za varnost države ali za njene politične ali gospodarske koristi. Določanje
tajnih podatkov je dejanje ali postopek, s katerim se podatek v skladu z zakonom oceni za
tajnega in se mu določi stopnja in rok tajnosti (»ZTP«, 2006).
Na FURSU lahko določi podatek za tajnega samo generalni direktor FURS, namestnik
generalnega direktorja FURS ali drug za to pooblaščen uslužbenec FURS. Pooblaščeni
uslužbenec pooblastila ne more prenesti na tretjo osebo.11
9 Aktu o postopkih in ukrepih za varovanje tajnih podatkov, podatkov, ki so davčna tajnost in poslovnih skrivnosti v Finančni upravi Republike Slovenije,2018) 10 Priročnik o obdelavi podatkov, ki so davčna tajnost, 14.12.2018. 11 Akt o postopkih in ukrepih za varovanje tajnih podatkov, podatkov, ki so davčna tajnost in poslovnih skrivnosti v Finančni upravi Republike Slovenije (2018, 1. odstavek 8.člena).
16
2.3.1 Varovanje tajnih podatkov
Varovanje tajnih podatkov je odvisno zlasti od stopnje tajnosti in določeno z Uredbo o
varovanju tajnih podatkov (»Uredba GDPR«, 2005, 2011).
Tajni podatki se lahko obravnavajo le v vnaprej določenih varnostnih območjih (»Uredba
GDPR«, 2005, 2011, 10. člen):
upravno območje: za obravnavo tajnih podatkov stopnje INTERNO;
varnostno območje II. stopnje: za obravnavo tajnih podatkov stopnje ZAUPNO in
več, kjer vstop in gibanje v območju še ne omogoča dostopa do tajnih podatkov;
varnostno območje I. stopnje: za obravnavo tajnih podatkov stopnje ZAUPNO in več,
kjer že sam vstop v območje pomeni dostop do tajnih podatkov.
Upravno in varnostno območje s Sklepom določi minister za finance. Na FURS se nahaja
zgolj upravno območje, varnostno območje II. stopnje pa se nahaja na Ministrstvu za
finance (MF). Obe območji sta določeni s Sklepom FURS, za območje II. stopnje pa velja tudi
Pravilnik o ravnanju s tajnimi podatki, o načinu varovanja tajnih podatkov, vstopu in delu v
varnostnem območju v MF (»Pravilnik», MF, 2011), ki velja na Ministrstvu za finance.
Oseba, ki bo vstopila v varnostno območje, mora biti o tem nedvoumno in jasno obveščena,
še preden vstopi v to območje.
Vstop stalno zaposlenega osebja v varnostna in upravna območja se nadzira z
ugotavljanjem identitete vstopajoče osebe, tako je tudi na FURS. Fizični nadzor vstopa na
FURS lahko dopolnjuje sistem samodejnega prepoznavanja identifikacijskih kartic oziroma
biometričnih značilnosti vstopajočih oseb.
2.3.2 Stopnje tajnosti
Podatek določi za tajnega samo generalni direktor FURS, namestnik generalnega direktorja
FURS ali drug za to pooblaščen uslužbenec FURS, samo v primerih, če bi razkritje
določenega podatka FURS nepoklicani osebi lahko povzročilo škodljive posledice za
17
delovanje ali izvajanje nalog FURS, posledično pa tudi škodljive posledice za varnost države,
za njene politične ali gospodarske koristi. Glede na to se tak podatek določi za tajnega, in
sicer z eno naslednjih stopenj tajnosti:
STROGO TAJNO: tajni podatek FURS, katerega razkritje nepoklicani osebi bi ogrozilo
vitalnem interese Republike Slovenije ali jim nepopravljivo škodovalo;
TAJNO: tajni podatek FURS, katerega razkritje nepoklicani osebi bi lahko hudo
škodovalo varnosti ali interesom Republike Slovenije;
ZAUPNO: tajni podatek FURS, katerega razkritje nepoklicani osebi bi lahko
škodovalo varnosti ali interesom Republike Slovenije;
INTERNO: tajni podatek FURS, katerega razkritje nepoklicani osebi bi lahko
škodovalo delovanju ali izvajanju nalog FURS.
Stopnja tajnosti se označi na dokumentu ali mediju, na katerem je tajni podatek zapisan,
na način, ki ustreza vrsti in lastnostim medija.
Urad za splošne zadeve na FURS vodi evidenco izdanih dovoljenj uslužbencem za dostop do
tajnih podatkov stopnje ZAUPNO, TAJNO in STROGO TAJNO.
2.3.3 Način hranjenja tajnih podatkov v FURS
Od stopnje tajnosti je odvisen tudi način hranjenja (pisarniške omare, blagajne), prenos in
pošiljanje (po pošti, po posebni kurirski službi) ter razmnoževanje tajnih podatkov
(prepoved razmnoževanja, kopiranja ali prepisovanja tajnih podatkov stopnje STROGO
TAJNO, ostali samo na podlagi pisarniške odredbe predstojnika ali od njega pooblaščene
osebe).
Tajni podatki stopnje tajnosti INTERNO se hranijo v pisarniških ali kovinskih omarah.
Tajni podatki stopnje tajnosti ZAUPNO in TAJNO se hranijo v blagajnah, ki morajo ustrezati
najmanj protivlomni stopnji II, določeni s standardi, ki v Republiki Sloveniji urejajo to
področje.
18
Tajni podatki stopnje tajnosti STROGO TAJNO se hranijo v blagajnah, ki morajo ustrezati
najmanj protivlomni stopnji III, določeni s standardi, ki v Republiki Sloveniji urejajo to
področje.
V zgornji levi kot vrat blagajne na zunanji strani se glede na stopnjo tajnosti podatkov, ki se
hranijo v njej, prilepi nalepka primerne velikosti z veliko tiskano črko oziroma črkama:
Z za stopnjo tajnosti ZAUPNO;
T za stopnjo tajnosti TAJNO;
ST za stopnjo tajnosti STROGO TAJNO.
Če se v varnostni omari hranijo podatki različnih stopenj tajnosti, mora vrsta blagajne
ustrezati najvišji stopnji tajnosti podatkov, ki se hranijo v njej, in se s tako stopnjo tajnosti
tudi označiti.
Posamezno nastavitev kombinacije elektronskih ali mehanskih ključavnic na varnostnih
omarah oziroma blagajnah lahko poznajo samo osebe, ki jih določi predstojnik FURS.
2.3.4 Dostop do tajnih podatkov v FURS
Dostop do tajnih podatkov je omejen in je mogoč na način in ob pogojih, določenih z
Zakonom o tajnih podatkih (»ZTP – UPB2«, 2006) in s predpisi, izdanimi na njegovi podlagi
ter na način in ob pogojih, določenimi z drugimi sistemskimi postopkovnimi zakoni ali
mednarodnimi pogodbami, ki jih je sklenila Republika Slovenija.
Vsi uslužbenci FURS imajo dostop do tajnih podatkov stopnje INTERNO.
Za dostop do tajnih podatkov stopnje ZAUPNO in višje morajo uslužbenci pridobiti ustrezno
dovoljenje, ki ga na predlog generalnega direktorja izda Ministrstvo za notranje
zadeve(MJU). Dovoljenje se hrani v personalni mapi uslužbenca. Delovna mesta, na katerih
je potreben dostop do tajnih podatkov, so določena v aktu o sistemizaciji delovnih mest na
FURS. V kolikor delovno mesto ni določeno v aktu o sistemizaciji delovnih mest na FURS,
19
uslužbenec pa potrebuje dovoljenje za dostop do tajnih podatkov zaradi opravljanja nalog,
generalnemu direktorju FURS poda predlog direktor uprave, urada oziroma vodja službe.
Najmanj 3 mesece pred iztekom veljavnosti dovoljenja Urad za splošne zadeve pozove
direktorja uprave, urada oziroma vodjo službe, da poda mnenje, ali uslužbenec tudi po
preteku dovoljenja še potrebuje dostop do tajnih podatkov.
V skladu z aktom, ki ureja varstvo osebnih podatkov v FURS12, uslužbenci in druge osebe -
pogodbeniki, ki opravljajo delo za FURS (npr. študenti, pogodbeni obdelovalci, uslužbenci
drugih ministrstev), pred nastopom dela podpišejo ustrezno izjavo, s čimer potrdijo, da so
seznanjeni z načinom varovanja podatkov, in se hkrati zavežejo varovati podatke v skladu s
predpisi.
2.3.5 Ukrepi za varovanje tajnih podatkov v FURS
Eden od ukrepov za varovanje tajnih podatkov je tudi usposabljanje za obravnavanje in
varovanje tajnih podatkov za uslužbence, ki nastopijo funkcijo oziroma opravljanje dela.
Uslužbencem se zagotovi ustrezno usposabljanje oziroma seznanitev s predpisi s področja
obravnavanja in varovanja tajnih podatkov, za kar se jim predloži v podpis izjava.
Dodatnega usposabljanja s področja obravnavanja in varovanja tajnih podatkov se enkrat
letno udeležijo tisti uslužbenci, ki imajo dovoljenje za dostop do tajnih podatkov stopnje
ZAUPNO ali višje in opravljajo naloge:
določajo podatke za tajne;
opravljajo naloge na področju obravnavanja in varovanja tajnih podatkov stopnje
ZAUPNO ali višje;
izvajajo nadzor nad obravnavanjem in varovanjem podatkov;
drugi uslužbenci, ki jih določi generalni direktor.
12 Akt o postopkih in ukrepih za varovanje tajnih podatkov, podatkov, ki so davčna tajnost in poslovnih skrivnosti v Finančni upravi Republike Slovenije (2018, 5.člen).
20
Uslužbenci FURS in pogodbene osebe, ki obdelujejo podatke (tajne, davčna tajnost,
poslovna skrivnost) so dolžni pri ravnanju z dokumenti s tajnimi podatki dosledno
upoštevati splošne varnostne ukrepe (npr. zaklepanje pisalnih miz in pisarn) in področne
predpise o tajnih podatkih (npr. označevanje dokumentov, hramba, prenos,
razmnoževanje, evidentiranje, arhiviranje, uničenje). Fotokopirni stroji, telefaksi in druge
naprave za obdelavo tajnih podatkov, ki so nameščeni v varnostnih območjih, morajo biti
zavarovani tako, da jih lahko uporabljajo samo osebe, ki so posebej pooblaščene za
ravnanje s temi napravami. Urad za splošne zadeve na FURS vodi evidenco izdanih dovoljenj
uslužbencem za dostop do tajnih podatkov stopnje ZAUPNO, TAJNO in STROGO TAJNO ter
evidenco izdanih dovoljenj za dostop do tujih podatkov, ki je objavljena na intranetu FURS.
Za področje varstva tajnih podatkov je bila 2002 ustanovljena vladna služba Urad Vlade RS
za varovanje tajnih podatkov, ki izvršuje zakonsko določene naloge na področju osebne,
fizične, dokumentacijske, informacijske in industrijske varnosti ter usposabljanja.
2.3.6 Zakonodaja na področju varovanja tajnih podatkov
Področje varovanja tajnih podatkov je urejeno v Zakonu o tajnih podatkih (»ZTP – UPB2«,
2006).
Za uslužbence FURS so pravila ravnanja s tajnimi podatki določena tudi v internem aktu13.
S tem aktom se določajo fizični, organizacijski in tehnični ukrepi ter postopki, s katerimi se
v FURS varujejo tajni podatki, podatki, ki so davčna tajnost, ter podatki, ki so poslovna
skrivnost, z namenom, da se prepreči naključni ali namerni nepooblaščen dostop,
pošiljanje, razkritje, sprememba, uničenje, izbris, izguba ali drugačna nepooblaščena
obdelava teh podatkov. Kadar ni v tem aktu določeno drugače, se neposredno uporabljajo
predpisi, ki urejajo področje tajnih podatkov, davčne tajnosti in poslovne skrivnosti.
13 Akt o postopkih in ukrepih za varovanje tajnih podatkov, podatkov, ki so davčna tajnost in poslovnih skrivnosti v Finančni upravi Republike Slovenije (2018)
21
2.4 Poslovna skrivnost
Za poslovno skrivnost se štejejo podatki, za katere določi poslovni subjekt s pisnim sklepom
in je očitno, da bi nastala občutna škoda, če bi zanje izvedela nepooblaščena oseba. Po
novem Zakonu o poslovni skrivnosti (»ZPosS«, 2019), ki je že v veljavi od 20.4.2019, je
poslovna skrivnost definirana kot nerazkrito strokovno znanje, izkušnje in poslovne
informacije.
2.4.1 Pravna ureditev poslovne skrivnosti v Republiki Sloveniji
V slovenski zakonodaji je temeljna opredelitev poslovne skrivnosti navedena v 39. členu
Zakona o gospodarskih družbah (»ZGD-1- UPB 3«, 2009), medtem ko je varstvo poslovne
skrivnosti urejeno v 40. členu ZGD-1 (»ZGD-1- UPB 3«, 2009) ter tudi v drugih področnih
zakonih (Zakon o delovnih razmerjih, Zakon o preprečevanju omejevanja konkurence,
Obligacijski zakonik, Kazenski zakonik), ki jim je skupen enak namen – varstvo poslovne
skrivnosti, tj. varstvo konkurenčnih prednosti podjetja. Dolžnost varovanja poslovne
skrivnosti je v Sloveniji predpisana v štirih zakonih, v procesih znotraj FURS pa z notranjim
Aktom o postopkih in ukrepih za zavarovanje podatkov v FURS14. V novem Zakonu o
poslovni skrivnosti(»ZPosS«, 2019), je definirana poslovna skrivnost kot nerazkrito
strokovno znanje, izkušnje in poslovne informacije.
ZGD-1 (»ZGD-1- UPB 3«, 2009) za poslovno skrivnost šteje tiste podatke, za katere tako
določi družba s pisnim sklepom in da so s sklepom o opredelitvi posameznega podatka kot
poslovne skrivnosti seznanjeni družbeniki, delavci, člani organov in druge osebe, ki so
dolžne varovati poslovno skrivnost. Ne glede na to, ali so določeni s sklepom družbe, se po
zakonu za poslovno skrivnost štejejo tudi podatki, za katere je očitno, da bi nastala občutna
škoda, če bi zanje izvedela nepooblaščena oseba. Za poslovno skrivnost pa se ne štejejo
podatki, ki so po zakonu javni (»ZGD-1-UPB-3«, 2009, 39. člen).
14 Akt o postopkih in ukrepih za varovanje tajnih podatkov, podatkov, ki so davčna tajnost in poslovnih skrivnosti v Finančni upravi Republike Slovenije (2018).
22
Zakon o delovnih razmerjih (»ZDR-1«, 2013) določa obveznost varovanja poslovne
skrivnosti kot temeljno obveznost delavca, ne določa pa pojma poslovne skrivnosti, zato se
smiselno uporablja 39. člen ZGD-1 (»ZGD-1-UPB-3«, 2009) in za javne uslužbence (torej tudi
za uslužbence FURS) določbe Zakona o tajnih podatkih (»ZTP – UPB2«, 2006). Prav tako
ZDR-1 določa, da delavec ne sme izkoriščati za svojo osebno uporabo ali izdati tretjemu
delodajalčevih poslovnih skrivnosti, ki jih kot take določi delodajalec in ki so bile delavcu
zaupane ali s katerimi je bil seznanjen na drug način (»ZDR-1», 2013, 38. člen). Pri tem se
za poslovno skrivnost štejejo tudi podatki, za katere je očitno, da bi nastala občutna škoda,
če bi zanje izvedela nepooblaščena oseba. Delavec je odgovoren za kršitev, če je vedel ali
bi morala vedeti za tak značaj podatkov.
Obligacijski zakonik (»OZ – UPB1«, 2007) vsebuje temeljna načela in splošna pravila za vsa
obligacijska razmerja. Ker so predmet poslovne skrivnosti podatki, ki za podjetje pomenijo
konkurenčno prednost, saj mu prinaša določen privilegiran položaj v primerjavi z drugimi,
kar se nedvomno izraža v uspešnosti njegovega poslovanja (ustvarjenega dobička), zato ima
poslovna skrivnost za svojega imetnika gotovo določeno vrednost. Po OZ je kršitev
poslovne skrivnosti dejanje, s katerim se drugemu povzroči škoda tako ravnanje je
prepovedano že v okviru splošnih načel OZ (10. člen).
Kazenski zakonik (»KZ-1 – UPB2«, 2012) pojem poslovne skrivnosti določa v petem
odstavku 236. člena, obsega pa industrijsko, bančno in vsako drugo poslovno skrivnost, ki
mora biti opredeljena v formalno-materialni obliki. KZ uvršča med kazniva dejanja zoper
gospodarstvo med drugim tudi kaznivo dejanje izdaje in neupravičene pridobitve poslovne
skrivnosti.
2.4.2 Temelj pojma poslovna skrivnost
Kot je opisano v prejšnjem podpoglavju, je bil do sedaj v Sloveniji pojm in varovanje
poslovne skrivnosti določen v štirih različnih predpisih in ni bil celostno urejen v enem
23
predpisu. V novem Zakonu o poslovni skrivnosti (»ZPosS«, 2019)15 je določena definicija
poslovne skrivnosti kot nerazkrito strokovno znanje, izkušnje in poslovne informacije.
2.4.3 Varovanje poslovne skrivnosti in odgovornost za izdajo poslovne skrivnosti
Varovanje poslovne skrivnosti in odgovornost za izdajo poslovne skrivnosti je določeno v
ZGD-1 ter tudi v drugih področnih zakonih (Zakon o delovnih razmerjih, Zakon o
preprečevanju omejevanja konkurence, Obligacijski zakonik, Kazenski zakonik), ki jim je
skupen enak namen – varstvo poslovne skrivnosti, tj. varstvo konkurenčnih prednosti
podjetja. Prav pojm poslovne skrivnosti pa v dosedanji Slovenski zakonodaji ni bil natančno
definiran in posledično tudi varovanje in odgovornost ne, kar je povzročalo težave
predvsem pri dokazovanju kršitve poslovne skrivnosti in posledično tudi ni pravne prakse v
prekrškovnih in sodnih postopkih. Vse to je bistven razlog za pripravo novega predpisa
(»ZPosS«, 2019), ki v nacionalno pravo Republike Slovenije prenaša evropsko zakonodajo
in ki določa pojem poslovne skrivnosti, postopke in ukrepe v primeru kršitev, torej poleg
materialnih vsebuje tudi procesne določbe in kazenske sankcije v primeru kršitev.
2.4.4 Varovanje poslovne skrivnosti in ukrepi v procesih FURS
Dokumenti poslovnih subjektov, ki jih v postopkih ali pri poslovanju obdeluje FURS, lahko
vsebujejo podatke, ki so poslovna skrivnost. Podatke, ki so poslovna skrivnost družbe,
morajo uslužbenci FURS varovati, če so vedeli ali če bi glede na naravo podatka morali
vedeti za to, da je podatek poslovna skrivnost (»ZGD-1-UPB-3«, 2009, 40. člen).
Prepovedano je ravnanje, s katerim bi osebe zunaj družbe (torej tudi uslužbenci FURS)
poskušale v nasprotju z zakonom in voljo družbe pridobiti podatke, ki so poslovna skrivnost
družbe. Iz tega vidika je prepovedano tudi posredovanje podatkov iz uradnih evidenc FURS,
ki lahko za podjetje pomenijo konkurenčno prednost v kakršnemkoli pogledu. Poslovna
skrivnost se varuje na način, ki ga pisno določi odgovorna oseba poslovnega subjekta, na
katerega se poslovna skrivnost nanaša. Če uslužbenec FURS ve ali bi glede na naravo
15 Zakon o poslovni skrivnosti (»ZPosS«, 2019), ki je že v veljavi od 20.4.2019.
24
podatka moral vedeti, da gre za poslovno skrivnost, in če način varovanja na prejetem
dokumentu ni določen, poslovno skrivnost varuje z ukrepi in na način, kot se varujejo
podatki, ki so davčna tajnost.16
2.4.5 Predlog zakona o poslovni skrivnosti in implementacija Direktive EU 2016/943
Zaradi uskladitve notranjega trga in odprave različnih nacionalnih ravni zaščite poslovne
skrivnosti je bila 8. junija 2016 sprejeta Direktiva (EU) 2016/943 Evropskega parlamenta in
Sveta o varstvu nerazkritega strokovnega znanja in izkušenj ter poslovnih informacij
(poslovnih skrivnosti) pred njihovo protipravno pridobitvijo, uporabo in razkritjem
(»Direktiva (EU) 2016/943«). Ugotovljeno je bilo, da države članice EU poslovne skrivnosti
različno obravnavajo in na splošno obstajajo razlike po vsej EU glede tega, kaj je kot
poslovno skrivnost mogoče zaščititi, v katerih okoliščinah in katere ukrepe lahko odredijo
sodišča. Različna ureditev poslovne skrivnosti v posameznih državah članicah otežuje tudi
čezmejno sodelovanje v raziskavah in razvoju, razhajanja v nacionalnih pravilih pa
povečujejo poslovno tveganje pri čezmejni delitvi zaupnih informacij in povečujejo stroške
varovanja poslovne skrivnosti v EU. To je razlog za implementacijo Direktive (»Direktiva
(EU) 2016/943«) v Slovensko zakonodajo.
Zaradi sprejetja novega zakona (»ZPosS«, 2019) se nekoliko spreminja tudi Zakon o
gospodarskih družbah(»ZGD-1-UPB-3«, 2009). Ta je sicer v preteklosti določal, da so
poslovna skrivnost lahko tudi informacije oz. podatki, ki niso bili določeni s pisnim sklepom,
v kolikor je bilo očitno, da bi nastala občutna škoda, če bi zanje izvedele nepooblaščene
osebe. Po novem pa morajo podjetja svoje poslovne skrivnosti zavarovati pisno.
Za izpolnitev pogoja poslovne skrivnosti morajo biti izpolnjene naslednje zahteve:
gre za skrivnost, ki ni splošno znana ali lahko dosegljiva osebam v krogih, ki se
običajno ukvarjajo s to vrsto informacij,
ima taka poslovna skrivnost tržno vrednost in
16 Akt o postopkih in ukrepih za varovanje tajnih podatkov, podatkov, ki so davčna tajnost in poslovnih skrivnosti v Finančni upravi Republike Slovenije (2018, 14. člen).
25
imetnik poslovne skrivnosti je v danih okoliščinah razumno ukrepal, da jo ohrani kot
skrivnost, kar pomeni, da je imetnik poslovne skrivnosti informacijo kot tako določil
v pisni obliki s tem pa seznanil tudi osebe, ki prihajajo v stik oz. se seznanijo s to
informacijo (še posebej družbenike, delavce, člane organov družbe in druge).
V zvezi s kršitvijo poslovne skrivnosti po novem Zakonu o poslovni skrivnosti (»ZPosS«,
2019) pa se uporabljajo določbe zakona, ki ureja pravdni postopek17.
2.4.6 Prikaz ureditve v drugih pravnih sistemih-primerjalna analiza Avstrija
V Avstriji je poslovna skrivnost urejena v Zakonu o nelojalni konkurenci18, ki definira
nezakonito pridobitev poslovne skrivnosti, uporabo in razkritje ter tudi določa kazenske
sankcije zoper zlorabe poslovnih skrivnosti s strani zaposlenih ali drugih, ki jih uporabljajo
brez ustreznega dovoljenja ali soglasja.
V posebnih okoliščinah, kot so razkritje izuma s strani zaposlenih ali v primeru
industrijskega vohunstva, pa je sodno varstvo zagotovljeno tudi v določbah zakona o
patentih in kazenskega zakonika. Načeloma pa avstrijska sodišča protipravno pridobitev
poslovne skrivnosti in kršitev zaupnosti med pogodbenimi strankami uvrščajo v okvir
zakona o nelojalni konkurenci. Sicer pa avstrijska zakonodaja ne vsebuje (zakonske)
opredelitve samega pojma poslovne skrivnosti. Pojem se je izoblikoval s pomočjo pravnih
strokovnjakov in sodišč, lahko pa zajema vse vrste informacij, kot so informacije v zvezi s
proizvodnjo, tehnologijo, dobavitelji in kupci, znanje in izkušnje (know-how).
Za začetek sodnega postopka zaradi kršitve poslovnih skrivnosti je v Avstriji treba ugotoviti:
obstoj poslovne skrivnosti;
kršitev poslovne skrivnosti s strani kršilca;
neposredno namero kršilca, da uporabi ali razkrije to poslovno skrivnost;
17 Zakon o pravdnem postopku (»ZPP-UPB3«, 2007). 18 Zvezni zakon proti nepošteni konkurenci (UWG, 11. in 12. člen, 1984, posodobljen 2019).
26
da ima imetnik poslovne skrivnosti razumen interes, da jo ohrani kot skrivnost.
Imetnik poslovne skrivnosti ima na voljo civilna pravna sredstva, kot so sodne in začasne
odredbe, v primeru krivdnega ravnanja kršilca pa tudi pravico do odškodnine. Poleg
navadne škode lahko imetnik poslovne skrivnosti zahteva tudi izgubljeni dobiček.
Zavarovanje dokazov zaradi njihove ohranitve v postopkih v zvezi z varstvom poslovne
skrivnosti odredi sodišče v skladu s pravili avstrijskega zakonika o civilnem postopku.
Sodišče lahko tak ukrep odredi le, če tožeča stranka dokaže, da dokaza pozneje ne bi bilo
mogoče izvesti. Le v izjemnih primerih, v katerih obstaja neposredna nevarnost, da bo
tožena stranka dokaze uničila, lahko sodišče izda sklep za zavarovanje dokazov brez
zaslišanja nasprotne stranke (sklep ex parte). V Avstriji je kršitev poslovnih skrivnosti v
kazenskem zakoniku opredeljena tudi kot kaznivo dejanje. Pregon zoper domnevnega
kršilca poteka na zahtevo oškodovanega imetnika poslovne skrivnosti, za kaznivo dejanje
pa je zagrožena zaporna ali denarna kazen. Do zdaj ima Avstrija zelo malo kazenskih obsodb
zaradi kršitev poslovnih skrivnosti.
2.4.7 Prikaz ureditve v drugih pravnih sistemih-primerjalna analiza Nemčija
Poslovne skrivnosti v Nemčiji se ne štejejo med pravice intelektualne lastnine. Določbe
Direktive 2004/48/ES o uveljavljanju pravic intelektualne lastnine za poslovne skrivnosti v
Nemčiji ne uporabljajo. Nemška zakonodaja vsebuje številne določbe, ki ščitijo poslovne
skrivnosti, najpomembnejše med njimi pa vsebuje Zakon proti nepošteni konkurenci19, ki
varuje konkurente, potrošnike in druge udeležence na trgu pred nepoštenimi poslovnimi
praksami. V zakonu je opredeljena kršitev poslovne skrivnosti kot nepošteno poslovno
dejanje in je z zakonom prepovedano. Te določbe se nanašajo na zaposlene in tudi na tretje
osebe, ki poslovne skrivnosti uporabljajo brez ustreznega dovoljenja ali soglasja imetnika.
19 Zakon proti nepošteni konkurenci (UWG)v različici obvestila z dne 3. marca 2010 (str. 254), ki je bil nazadnje spremenjen s členom 4 zakona z dne 17. februarja 2016 (BGBl. I str. 233).
27
Poslovne skrivnosti so zaščitene tudi v okviru kazenskega in civilnega prava. Pravna sredstva
civilnega prava, kot je odškodnina, so določena v civilnem zakoniku. Poleg navedenega tudi
nemško pogodbeno pravo zagotavlja učinkovito zaščito poslovnih skrivnosti v okviru
pogodbenih obveznosti strank, da ščitijo in ohranjajo poslovne skrivnosti nasprotne
stranke.
Razkritje poslovne skrivnosti podjetja s strani zaposlenega med njegovim delovnim
razmerjem in uporaba poslovne skrivnosti za namene, ki niso povezani z delodajalcem, se
štejeta za nezakonita. Nezakonito je tudi uporabljati informacije, ki jih je podjetje pisno
opredelilo kot poslovno skrivnost, in informacije, ki so poslovna skrivnost podjetja,
zaposleni pa jih je namerno zbral za uporabo po prenehanju delovnega razmerja. Vendar
pa lahko nekdanji uslužbenec v nadaljevanju svoje kariere prosto uporablja spretnosti in
znanja, ki jih je med zaposlitvijo pridobil pri nekdanjem delodajalcu.
V civilnem postopku mora tožnik zelo natančno opredeliti svojo poslovno skrivnost in
kršitev, dokazovanje nezakonite uporabe ali zlorabe poslovne skrivnosti pa je precej težko.
V primeru zlorabe poslovne skrivnosti so mogoča civilna pravna sredstva (prepovedni ali
opustitveni zahtevek; odškodnino (določeno po krivdnem načelu in pravilu neopravičene
obogatitve; zaseg ali izročitev informacij ali blaga, ki so poslovna skrivnost; zahtevek za
predložitev računa zaradi izračuna škode.
2.4.8 Prikaz ureditve v drugih pravnih sistemih-primerjalna analiza Madžarska
Tako kot v Nemčiji se tudi v Madžarski poslovne skrivnosti ne štejejo med pravice lastnine,
zato se določbe Direktive 2004/48/ES o uveljavljanju pravic intelektualne lastnine
intelektualne zanje ne uporabljajo (»Direktiva ES«, 2004).
V madžarski zakonodaji lahko najdemo posebne določbe o zaščiti poslovnih skrivnosti,
posebno varstvo zagotavljajo določbe civilnega zakonika in zakona o nelojalni konkurenci.
28
Pojem poslovne skrivnosti vsebuje Civilni zakonik20, ki poslovne skrivnosti obravnava kot
informacije, ki bi, če bi bile razkrite, ogrozile finančne, gospodarske ali tržne interese
imetnika. Določbe v zvezi s poslovnimi skrivnostmi vsebujejo še zakon, ki ureja delovno
pravo, ter različni zakoni s področja bančništva in financ, medtem ko kazenski zakonik
določa kazensko odgovornost nezakonitega razkrivanja »finančnih« skrivnosti.
Po civilnem pravu lahko imetnik poslovne skrivnosti zahteva:
razglasitev kršitve;
prenehanje in odpravo kršitev;
vzpostavitev prejšnjega stanja (tj. kakršnokoli dejanje, s katerim je tožnik postavljen
v položaj, ki ga je imel pred kršitvijo);
odškodnino, poleg te pa lahko sodišče kršilcu naloži tudi plačilo globe.
Lahko zaključimo, da se tako kot v Sloveniji tudi v primerjalnih državah, imetnik poslovne
skrivnosti v postopkih sooča s težavami pri dokazovanju kršitev in obsega nastale škode, ter
s samim pojmom poslovne skrivnosti. Le ta se je vseh primerjalnih državah izoblikoval s
pomočjo pravnih strokovnjakov in sodišč, torej s pravno prakso. Ob primerjavi z vsemi
državami ima Avstrija še najbolj definirano in varovano poslovno skrivnost, ne sodi pa
poslovna skrivnost med intelektualno lastnino.
2.5 Informacijska varnost
Informacijska varnost je zagotavljanje (ohranjanje) zaupnosti, celovitosti in razpoložljivosti
informacij znotraj nekega sistema. Informacije so obdelani, organizirani, strukturirani ali v
nekem sobesedilu predstavljeni podatki v informacijskem sistemu. Informacijski sistem so
med seboj odvisni sestavni deli računalniške strojne, programske in komunikacijske
opreme, ki je namenjena za obravnavo nekega informacijskega premoženja. Informacijsko
20 Civilni zakonik (zakon V / 2013)
29
premoženje so podatki in informacije, ki jih je glede na poslovna in varnostna merila
smiselno obravnavati kot celoto.
Ker je Ministrstvo za javno upravo Republike Slovenije (MJU) s 1.9.2017 prevzelo v
upravljanje informacijsko komunikacijske sisteme državne uprave skupaj z zaposlenimi, je
bilo potrebno tudi v FURS spremeniti nekatere politike informacijske varnosti FURS, kot je
Krovna politika informacijske varnosti in področne politike, ki je stopila v veljavo 1. 6. 2018
in je veljala do sprejetja nove Krovne politike informacijske varnosti, ki je stopila v veljavo
15. 5. 2019. Na njeni osnovi bodo v kratkem občutno prenovljene vse področne politike
informacijske varnosti FURS. V procesu prenosa informacijskih storitev iz FURS na MJU, na
podlagi Zakona o spremembah in dopolnitvah Zakona o državni upravi »(ZDU-1I«, 2014),
so bili pripravljeni dokumenti, ki bodo zagotavljali zahtevan nivo storitev, zahtevan za
nemoteno izvajanje nalog FURS in razmejitev odgovornosti med MJU in FURS.
2.5.1 Varnostna politika FURS
Krovna politika informacijske varnosti v FURS je temeljni dokument sistema upravljanja
informacijske varnosti FURS za tista področja dela, ki sodijo v pristojnost FURS. Na podlagi
te krovne politike izdaja FURS področne politike informacijske varnosti in postopkovna
navodila, ki urejajo ukrepe in postopke za omejevanje in obvladovanje tveganj na
posameznih področjih dela, kot kaže Slika 2.1.
30
Slika 2.1: Politike Informacijske varnosti v FURS
V kolikor gre za tveganja na področjih dela, ki so bila prenesena na drug organ, veljajo za
FURS ukrepi iz pravnih aktov, ki jih je za njihovo omejevanje sprejel ta organ. Namen krovne
politike je vzpostaviti osnovna varnostna izhodišča za zaščito informacijskega premoženja
FURS pred notranjimi ali zunanjimi, namernimi ali naključnimi tveganji. V sistem upravljanja
informacijske varnosti, ki ga določa krovna politika, so vključeni vsi uslužbenci FURS ter
zunanji uporabniki in zunanji pogodbeni izvajalci, ki opravljajo storitve za FURS. Sistem
upravljanja informacijske varnosti vključuje procese, postopke, tehnične rešitve in druga
nadzorstva, ki upoštevajo rezultate ocene tveganja informacijske varnosti. Vsa
identificirana tveganja iz prejšnjega stavka so vključena v register tveganj FURS in se jih
posodablja najmanj enkrat letno oziroma vselej, ko pride do večje spremembe v poslovnem
okolju FURS. Ocena tveganja izhaja iz Strategije FURS in temelji na identifikaciji in analizi
tveganj informacijske varnosti, ob upoštevanju zaznane vrednosti premoženja, stopnje
vpliva in verjetnosti uresničitve. Viri, uporabljeni za uvedbo nadzorstev, morajo biti
uravnoteženi s poslovno škodo, ki bi lahko nastala zaradi odsotnosti teh nadzorstev.
31
Temeljni cilji krovne politike so varovati zaupnost (zagotoviti, da informacije ne bodo
razpoložljive ali razkrite nepooblaščenim osebam ali procesom), celovitost (zagotoviti
pravilnost in popolnost informacij ter obdelovalnih metod) in razpoložljivost informacij
(zagotoviti dostopnost in uporabnost informacij na zahtevo pooblaščene osebe ali
procesa).
Ukrepi za dosego ciljev krovne politike se izvajajo znotraj FURS tako, da se:
zagotovi, da so vsi uslužbenci in drugo osebje, ki imajo stik z informacijskim
premoženjem, zagotovi seznanitev s predpisi, kot so opisani v tej in področnih
politikah ter postopkovnih navodilih in ravnajo v skladu z njimi, vzpostavi učinkovit
sistem izobraževanja in izpopolnjevanja zaposlenih s področja informacijske
varnosti,
ustvari in vzdržuje primerno raven zavedanja potreb po informacijski varnosti, kot
sestavnemu delu vsakodnevnega poslovanja,
zagotovi stalno preverjanje skladnosti področnih politik in postopkovnih navodili z
zakonodajo in
ščiti informacijsko premoženje pred izgubo, nepravilnim ravnanjem, odtujitvijo,
poškodbami in zlorabami.
Generalni direktor FURS je zavezan, da zagotavlja potrebno zaupnost, celovitost in
razpoložljivost teh informacij in da vzpostavi nadzorstva, ki bodo zagotavljala ustrezno
zaščito. Generalni direktor je zavezan, da se krovna politika, področne politike in
postopkovna navodila dosledno izvajajo, redno pregledujejo ter posodabljajo.
Odbor za upravljanje informacijske varnosti FURS izvaja interni nadzor nad upravljanjem
informacijske varnosti v FURS ter pripravlja predloge ukrepov in izboljšav. Vodjo in člane
odbora imenuje generalni direktor FURS in šteje od 4 do 6 članov. Obvezna člana odbora
sta vodja informacijske varnosti in pooblaščena oseba za varstvo osebnih podatkov.
Za upravljanje informacijske varnosti generalni direktor FURS imenuje vodjo informacijske
varnosti. Ta skrbi za izvajanje informacijske varnosti, koordinira pripravo področnih politik,
32
postopkovnih navodil ter nadzoruje njihovo uvedbo in izvajanje. Deluje kot osrednja
kontaktna točka informacijske varnosti in usklajuje vse aktivnosti na tem področju v FURS.
Vodja informacijske varnosti o stanju informacijske varnosti redno poroča generalnemu
direktorju FURS in odboru za upravljanje informacijske varnosti. Vodja informacijske
varnosti je kot skrbnik dokumenta krovne politike dolžan enkrat letno pregledati in
posodobiti Krovno politiko informacijske varnosti ter vse ostale področne politike ter
postopkovna navodila FURS.
Skrbniki informacijske varnosti izvajajo naloge, določene v področnih politikah in
postopkovnih navodilih. Skrbnike informacijske varnosti na finančnih uradih imenuje
generalni direktor FURS na predlog direktorjev finančnih uradov, skrbnika informacijske
varnosti na Generalnem finančnem uradu pa na predlog direktorja urada za informatiko.
Direktorji uradov, uprav in vodje služb, ki so umeščene neposredno pod generalnega
direktorja ter direktorji finančnih uradov, organizirajo poslovanje organizacijskih enot,
katerih vodje so, tako da zagotovijo spoštovanje krovne politike, področnih politik in
postopkovnih navodil. Vsi uslužbenci morajo ravnati v skladu s krovno politiko, področnimi
politikami in postopkovnimi navodili, da bi zagotovili zaupnost in celovitost podatkov.
2.5.2 Politike informacijske varnosti FURS
Na podlagi krovne politike FURS izdaja FURS področne politike informacijske varnosti in
postopkovna navodila, ki urejajo ukrepe in postopke za omejevanje in obvladovanje
tveganj na posameznih področjih dela. Področne politike informacijske varnosti FURS:
Politika revizijskih sledi,
Politika nadzora nad ukrepi zavarovanja podatkov pri pogodbenih obdelovalcih,
Politika čiste mize in praznega zaslona.
33
Politika revizijskih sledi
Politika revizijskih sledi je v veljavi od 12.1.2017. FURS skladno z določbami zakona, ki ureja
davčni postopek ter ostalimi predpisi, ki urejajo varstvo osebnih podatkov, v svojih
informacijskih sistemih vzpostavi revizijske sledi v zvezi z obdelavami varovanih podatkov
in o delovanju svojih informacijskih sistemov. Namen politike revizijskih sledi je:
ureditev vzpostavitve in hrambe revizijskih sledi;
ureditev obdelav vsebine revizijskih sledi;
ureditev postopka ugotavljanja odstopanj od zakonitega ravnanja uslužbencev
FURS in
opredelitev ravnanj o nadaljnjih ukrepih na podlagi ugotovitev tega postopka.
Revizijska sled je zapis podatkov:
o obdelavah varovanih podatkov zavezancev v informacijskih sistemih FURS s strani
njenih uslužbencev ,
o delovanju informacijskih sistemov FURS, dostopu do varovanih podatkov in
podatkov o spreminjanju sistemskih nastavitev s strani uslužbencev, zaposlenih v
Uradu za informatiko, ki imajo v informacijskih sistemih FURS posebne oz. dodatne
pravice kot administratorji,
o obdelavah varovanih podatkov, delovanju informacijskih sistemov FURS in
spreminjanju nastavitev iz prejšnjih dveh alinej tega odstavka s strani oseb, ki delajo
za pogodbenike FURS.
Politika nadzora nad ukrepi zavarovanja podatkov pri pogodbenih obdelovalcih
Politika je v veljavi od 21.1.2016. S to politiko se opredeljujejo vrste, načini in pogostost
izvajanja nadzora nad ukrepi in postopki zavarovanja varovanih podatkov FURS, katere
izvaja pogodbeni obdelovalec v zvezi s temi podatki v okviru izvajanja pogodbe s FURS in
način uničenja in vračila podatkov.21 v skladu Zakona o finančni upravi (»ZFU«, 2014).
21 Zakon o finančni upravi (»ZFU«, 2014, 47. člen);
34
Obveznosti pogodbenega obdelovalca v zvezi z izvajanjem postopkov in ukrepov
zavarovanja varovanih podatkov so opredeljene v ZFU (»ZFU«, 2014), Zakonu o davčnem
postopku, Zakonu o varstvu osebnih podatkov (»ZVOP-1«, 2007) in internemu aktu FURS,
ki ureja postopke in ukrepe za zavarovanje podatkov v FURS.
Politika čiste mize in praznega zaslona
Politika je začela veljati 1.9.2015. Namen politike čiste mize in praznega zaslona (v
nadaljevanju: politika) je vzpostavitev in vzdrževanje kulture varovanja informacij, dvig
zavesti o potrebnosti varovanja varovanih podatkov, s katerimi razpolaga FURS in izvajanje
nadzora nad izvajanjem te politike. To politiko so dolžni izvajati vsi uslužbenci, zaposleni na
FURS, ki obdelujejo varovane podatke oz. so z njimi v stiku in osebe, ki delajo pogodbeno
za FURS in so v stiku s temi podatki. Nadzor nad politiko izvaja Odbor za informacijsko
varnost nenapovedano in pripravi Poročilo o ugotovitvah pri izvedbi nadzora. Uslužbenec
mora preprečiti, da bi se med delovnim časom, ko v svojem delovnem okolju uporablja
dokumentarno gradivo z varovanimi podatki, z njimi seznanile nepooblaščene osebe. Če
uslužbenec za kratek čas zapusti delovno okolje, mora zavarovati delovni prostor (npr.
zakleniti in ključ odstraniti) oz. dokumentarno gradivo pospraviti na način, da ni dostopno
nepooblaščenim osebam. Uslužbenec mora po zaključku delovnega dne dokumentarno
gradivo z varovanimi podatki shraniti v prostore za shranjevanje tega gradiva (sobe, omare,
predalniki …), te prostore pa zaščititi pred nepooblaščenim vstopom. Generalni direktor oz.
direktor finančnega urada se lahko glede na vse okoliščine (lokacija prostorov, 24-urno
varovanje, avtomatično zaklepanje hodnikov …) odloči, ali se pisarne na določeni lokaciji
zaklepajo, na kakšen način se hranijo ključi pisarn in to zapiše v hišni red. Uslužbenec ne
sme pustiti ključev, s katerimi se zaklepajo prostori za shranjevanje varovanih podatkov, v
ključavnicah ali lahko dostopnem mestu. Podatki za dostop do informacijskih sistemov,
uporabniška imena in/ali gesla ne smejo biti natisnjena oz. napisana in shranjena na vidnem
ali lahko dostopnem mestu. V prostorih, ki so namenjeni poslovanju s strankami, morajo
biti računalniški zasloni nameščeni tako, da stranke nimajo vpogleda vanje, da se jim
onemogoči priložnostno »gledanje čez rame«. Uslužbenec mora zakleniti zaslon, če za
kratek čas zapusti delovno okolje. (kombinacija tipk »Windows« in »L« oz. Ctrl + Alt + Del
35
in Enter). Sistem zaklepanja zaslona se samodejno aktivira v primeru neaktivnosti
uporabnika, ki traja dlje kot 10 minut. Zaposleni mora ob koncu delovnega dne ugasniti
računalnik, razen v primerih, ko zagnana obdelava podatkov še ni končana in v primerih, ko
so v teku spremembe programske opreme na tem računalniku. Dokumentarno gradivo,
shranjeno v omarah na hodnikih, kjer ni stalne prisotnosti uslužbencev, mora biti vedno
zaklenjeno. Enako velja za prostore, namenjene predvsem hrambi dokumentarnega
gradiva. Ključi omar in prostorov, ki so namenjeni hrambi dokumentarnega gradiva, ne
smejo biti v ključavnicah ali na lahko dostopnem mestu. Ključi se hranijo skladno s hišnim
redom FURS. Uslužbenci morajo skrbeti, da se natisnjeni oz. razmnoženi dokumenti čim
prej odstranijo iz naprav za njihovo izdelavo in razmnoževanje, če se naprave nahajajo v
prostorih, fizično ločenih od prostora, kjer so uslužbenci. Po končani izdelavi dokumentov
morajo uslužbenci poskrbeti za uničenje pomožnega gradiva (poskusnih oz. neuspešnih
izpisov, matric, izračunov in grafikonov, skic …), ki so ga uporabili oz. je nastalo pri izdelavi
dokumenta. Uslužbenec mora po zaključku delovnega dne poskrbeti, da na napravah, ki so
v njegovi pisarni, ni dokumentov z varovanimi podatki.
Izobraževanje zaposlenih s področja informacijske varnosti
Krovna politika informacijske varnosti FURS, zahteva vzpostavitev učinkovitega sistema
izobraževanja in izpopolnjevanja zaposlenih s področja informacijske varnosti. V ta namen
je letno pripravljeno spletno izobraževanje, ki se izvaja v spletni učilnici Centra za
elektronsko izobraževanje Slovenske vojske (CEI). Vsak udeleženec je o začetku e-
izobraževanja pravočasno seznanjen preko osebnega elektronskega naslova, na katerega
prejme podatke, potrebne za prijavo v CEI. Spletno izobraževanje s področja informacijske
varnosti je obvezno za vse uslužbence FURS. Izobraževanje obsega predstavitev vsebine
področnih politik informacijske varnosti in nato sledijo vprašanja, vezana na to vsebino, kar
je možno opraviti v približno 30 minutah. Tečaji se občasno obnavljajo.
36
2.5.3 Upravljanje pravic dostopov v FURS
Upravljanje pravic dostopov do informacijskih sistemov in aplikacij v FURS je določen v
internem Aktu o upravljanju pravic dostopov do informacijskih sistemov in aplikacij v FURS
(v nadaljnjem besedilu: Akt)22. Akt določa postopke dodeljevanja, odvzema in omejitev ter
obveščanja o pravicah dostopov do informacijskih sistemov in aplikacij v FURS za notranje
in zunanje uporabnike ter določa pravice dostopov notranjih uporabnikov do zunanjih
aplikacij. Obseg pravic dostopov do informacijskih sistemov in aplikacij FURS ter zunanjih
aplikacij se notranjemu uporabniku dodeli v obsegu, ki je potreben za opravljanje njegovih
delovnih nalog, skladno s pooblastili delovnega mesta in odobritvami neposrednih vodij
in/ali poslovnih skrbnikov. Notranji uporabnik lahko druge varovane podatke (npr. davčna
tajnost, tajni podatki, poslovna skrivnost), do katerih ima dostop, obdeluje, če jih potrebuje
za izpolnjevanje svojih delovnih obveznosti, v skladu z nalogami FURS (»ZFU«, 11. člen), in
če ima za obdelavo teh podatkov podlago v zakonu, ki določa tudi pogoje in omejitve glede
obdelave teh podatkov. Dostop se dodeli na podlagi zahtevka – obrazca, na katerem je
naveden seznam pravic dostopov. Predlagatelj zahtevka je praviloma neposredni vodja,
lahko pa tudi poslovni skrbnik v primeru reorganizacije ali Uprava za splošne zadeve (USZ)
v primeru kadrovskih sprememb.
2.5.4 Zakonodaja na področju informacijske varnosti
Področje informacijske varnosti ureja :
1. Zakon o informacijski varnosti (»ZInfV«, 2018)
Ta zakon ureja področje informacijske varnosti in ukrepe za doseganje visoke ravni varnosti
omrežij in informacijskih sistemov v Republiki Sloveniji, ki so bistvenega pomena za
nemoteno delovanje države v vseh varnostnih razmerah ter zagotavljajo bistvene storitve
22 Interni dokument (2019). Pridobljeno na zhttp://maks/splosne_zadeve/infvar2/dokumenti/Varnostna%20politika%20FURS/Krovna%20politika%20informacijske%20varnosti/Krovna%20politika%20informacijske%20varnosti%20FURS.pdf).
37
za ohranitev ključnih družbenih in gospodarskih dejavnosti v Republiki Sloveniji. Določa
minimalne varnostne zahteve in zahteve za priglasitev incidentov za zavezance tega
zakona. Prav tako ureja pristojnosti, naloge, organizacijo in delovanje pristojnega
nacionalnega organa za informacijsko varnost.
2. Uredba o informacijski varnosti v državni upravi (2018)
Ta uredba velja za organe državne uprave (torej tudi za FURS) in določa minimalne skupne
zahteve glede informacijske varnosti, ki vključujejo enotne okvire upravljanja informacijske
varnosti in temeljna nadzorstva za zagotavljanje informacijske varnosti v državni upravi.
3. Zakon o varstvu osebnih podatkov (»ZVOP-1- UPB1«, 2007)
S tem zakonom se določajo pravice, obveznosti, načela in ukrepi, s katerimi se preprečujejo
neustavni, nezakoniti in neupravičeni posegi v zasebnost in dostojanstvo posameznika
oziroma posameznice pri obdelavi osebnih podatkov.
4. GDPR
Uredba (EU) 2016/679 Evropskega parlamenta in Sveta o varstvu posameznikov pri
obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive
95/46/ES (»GDPR», 2016) upošteva varstvo posameznika pri obdelavi njegovih podatkov,
zlasti osebnih podatkov, kot temeljna pravico in svoboščino posameznika. Po tej Uredbi
imajo vsi posamezniki, ki živijo v državi članici EU, zagotovilo za varstvo pri obdelavi osebnih
podatkov. Ta uredba ne zajema varstva in obdelave osebnih podatkov glede pravnih oseb.
Uredba GDPR se je začela uporabljati v državah članicah EU že skoraj leto dni nazaj, kar
nekaj določb obstoječega Zakona o varstvu osebnih podatkov (»ZVOP-1«) pa se ne
uporablja več. V pripravi je predlog novega zakona (»ZVOP-2«, 6. 3. 2019), ki vključuje tudi
določbe Uredbe (»GDPR«, 2016).
Lahko zaključimo, da ima FURS visoko zavedanje o pomenu varovanja podatkov, saj ima
razvit strateški in operativni menagement ter usposobljen kader. Vendar je podatkov
38
čedalje več in posledično tudi čedalje več groženj in novih trendov ogrožanja, ki jih je treba
identificirati in nato ukrepati v smislu tehnične in fizične zaščite, nadziranjem in
spremljanjem stanja, ter izvajati preventivne aktivnosti, kar je za upravljalca velikih
informacijskih sistemov, kamor sodi tudi FURS, v smislu varovanja podatkov velik izziv tudi
v prihodnje. In skladno z zaključkom v monografiji (Prislan, Bernik, 2019), je pri
zagotavljanju varovanja podatkov varnost informacijskega sistema močna le toliko, kot
njen najšibkejši člen.
39
3 Metoda
S pomočjo empirične neeksperimentalne metode so podatki obdelani na podlagi analize
prijav sumov zlorabe varovanih podatkov nepooblaščenim osebam ali drugačna nezakonita
obdelava ali zloraba podatkov informacijskemu pooblaščencu z vidika varovanja osebnih
podatkov, analize prijav v interni revizijski službi FURS z vidika varovanja tajnih podatkov in
davčne tajnosti, podatkov o »uhajanju podatkov davčne tajnosti« v izbranem organu,
podatkov o številu vloženih tožb na pristojno sodišče zaradi nepooblaščene uporabe ali
razkritja poslovne skrivnosti. Na podlagi metode ugotavljanja trenda in s posameznimi grafi
so ponazorjeni in opisani trendi naraščanja prijav zoper sume zlorabe osebnih podatkov v
obdobju 2010 do 2018. Podrobneje je predstavljeno stanje v Sloveniji na področju
varovanja poslovne skrivnosti ter pravna ureditev v Sloveniji. S primerjalno analizo v treh
izbranih državah s Slovenijo so predstavljene prednosti in slabosti pravne ureditve
varovanja poslovne skrivnosti v Sloveniji.
40
4 Rezultati
Raziskovalni del v nalogi se nanaša na ugotavljanje stopnje zagotavljanja varovanja
podatkov pri institucijah, ki masovno prejemajo, obdelujejo in posredujejo podatke, s
poudarkom na javni sektor in znotraj tega na državne organe, zlasti FURS. S tega vidika so
bila na Institut informacijskega pooblaščenca kot državnega nadzornega organa poslana
vprašanja za določene podatke s poudarkom na prijave zlorab osebnih podatkov, in sicer:
1. Število prijav informacijskemu pooblaščencu zoper uslužbence FURS (DURS) zaradi
nepooblaščenega dostopa, pošiljanja, razkritja ali druge nezakonite obdelave
varovanih podatkov ali drugačna nezakonita obdelava ali zloraba podatkov
(osebnih, tajnih, davčna tajnost, poslovna skrivnost) v obdobju 2010 do 2018,
ločeno za vsako leto, ločeno za vsako obliko varovanih podatkov.
2. Število prijav informacijskemu pooblaščencu zoper FURS (DURS) za razkritje
varovanih podatkov nepooblaščenim osebam ali drugačna nezakonita obdelava ali
zloraba podatkov (osebnih, tajnih, davčna tajnost, poslovna skrivnost) v obdobju
2010 do 2018, ločeno za vsako leto, ločeno za vsako obliko varovanih podatkov,
3. Splošno število prijav informacijskemu pooblaščencu zaradi zlorabe podatkov
(zaradi nepooblaščenega dostopa, pošiljanja, razkritja ali druge nezakonite
obdelave podatkov- osebnih, tajnih, davčna tajnost, poslovna skrivnost) , ločeno za
vsako leto, ločeno za vsako leto, ločeno za vsako obliko varovanih podatkov,
4. Število nadzorov zoper FURS (DURS) (ali zoper uslužbence FURS, DURS) s strani
informacijskega pooblaščenca kot državnega nadzornega organa zaradi
nepooblaščenega dostopa, pošiljanja, razkritja ali druge nezakonite obdelave
osebnih podatkov in razkritja poslovne skrivnosti, v obdobju 2010 do 2018 , ločeno
za vsako leto (če je bil opravljen).
5. Če je bil nadzor FURS(DURS) s strani informacijskega pooblaščenca kot državnega
nadzornega organa opravljen na FURS(DURS) ali je bil opravljen po uradni dolžnosti
ali na podlagi prijave ali na podlagi notranje zaznave.
41
Na osnovi prejetih odgovorov s strani Informacijskega pooblaščenca (IP) je ugotovljeno, da
je bilo v obdobju od 2010 do 2018 skupno število prijav zoper FURS 48, v 30 primerih je bil
uveden inšpekcijski postopek zoper FURS zaradi utemeljenega suma kršitve varovanja
osebnih podatkov. Inšpekcijski postopek oz. nadzor, ki ga opravi Informacijski pooblaščenec
(IP), se vedno začne po uradni dolžnosti, saj prijavitelj po 24. členu zakona o inšpekcijskem
nadzoru (»ZIN«, 2007) nima položaja stranke v postopku. Informacijski pooblaščenec je
prejete prijave sicer dolžan obravnavati, vendar pa postopek inšpekcijskega nadzora uvede
le v primeru, ko iz prijave izhaja utemeljen sum kršitev Zakona o varstvu osebnih podatkov
(»ZVOP-1, 2007), v nasprotnem primeru pa se prijavitelju pošlje pisno obvestilo o razlogih
za neuvedbo inšpekcijskega postopka. Iz tega razloga je število inšpekcijskih nadzorov, ki je
razvidno iz tabele 4.1, v večini primerov manjše kot število prejetih prijav. Večina nadzorov
je bila začeta zaradi prijav, iz katerih je izhajal utemeljen sum kršitve predpisov s področja
varstva osebnih podatkov, manjše število (povprečno 1 ali 2 na leto) pa zaradi notranje
zaznave možne kršitve ali pa so bili nadzori opravljeni v okviru izvajanja t.i. planiranih
preventivnih inšpekcijskih nadzorov, ki jih IP vsako izvaja glede na izdelan plan takšnih
nadzorov.
Tabela 4.1: Število prijav IP in število nadzorov IP v letih 2010-2018 zoper FURS (DURS)
Leto število prijav IP zoper FURS število opravljenih nadzorov IP zoper FURS
2010 5 3
2011 9 4
2012 1 3
2013 6 4
2014 5 1
2015 3 1
2016 7 4
2017 5 4
2018 7 6
SKUPAJ 48 30
42
Graf 4.1: Število prijav IP zoper FURS(DURS) v letih 2010 do 2018
Graf 4.2: Število opravljenih nadzorov IP glede na število prijav IP zoper FURS (DURS) v letih od
2010 do 2018
0
1
2
3
4
5
6
7
8
9
10
2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019
število prijav IP zoper FURS (DURS) v letih 2010 do 2018
0
1
2
3
4
5
6
7
8
9
10
2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019
Število opravljenih nadzorov IP glede na število prijav IP v letih 2010-2018
število prijav IP
število opravljenih nadzorov IP
Linearna (število prijav IP)
Linearna (število opravljenihnadzorov IP)
43
Iz grafa 4.2 izhaja naraščajoči trend prijav zoper FURS in naraščajoči trend inšpekcijskih
nadzorov IP, kar pomeni, da naraščajočemu trendu prijav zaradi suma zlorabe osebnih
podatkov v FURS sledi naraščajoči trend opravljenih inšpekcijskih nadzorov IP, kar
posledično pomeni, da IP odreagira na vsako prijavo v primeru utemeljenega suma kršitev
Zakona o varstvu osebnih podatkov (»ZVOP-1, 2007). Ne glede na to pa lahko sklepno
ugotovimo, da je število prijav zaradi suma zlorabe osebnih podatkov znotraj FURS in
posledično število inšpekcijskih nadzorov zoper FURS v primerjavi z opravljenimi nadzori IP
v javnem sektorju v Republiki Sloveniji relativno majhno (vendar ne nezanemarljivo), kar je
razvidno iz tabele 4.2 in grafa 4.2.
Tabela 4.2: Število opravljenih nadzorov IP v javnem sektorju v RS v primerjavi z številom prijav in
opravljenih nadzorov zoper FURS (DURS) v letih od 2010 do 2018
leto
število opravljenih nadzorov IP
v javnem sektorju v RS
Število opravljenih
nadzorov IP v FURS
število prijav IP zoper
FURS
2010 202 3 5
2011 246 4 9
2012 237 3 1
2013 241 4 6
2014 195 1 5
2015 343 1 3
2016 245 4 7
2017 226 4 5
2018 023 6 7
SKUPAJ 1935 30 48
Iz tabele 4.2 je razvidno, da je bilo v obdobju od 2010 do 2018 opravljenih 1935 nadzorov
IP v javnem sektorju v RS zaradi utemeljenega suma kršitev Zakona o varovanju osebnih
podatkov, od tega je bil v 30 primerih uveden inšpekcijski postopek zoper FURS (DURS)
23 Za leto 2018 še ni javno objavljenega Letnega Poročila o delu IP, zato je podatek označen z 0
44
zaradi utemeljenega suma kršitve varovanja osebnih podatkov, od 48 prijav zoper FURS pa
v 18 primerih inšpekcijski postopek ni bil uveden, ker prijave niso bile utemeljene.
Iz grafa 4.3 je razvidno, da je število nadzorov IP v javnem sektorju skokovito naraslo v letu
2015, vendar pa ob primerjavi vidimo tudi, da je bila v letu združitve CURS in DURS v FURS
201424 in naslednjem letu 2015 le po ena prijava zoper FURS, kar lahko pripišemo
vzpostavitvi novega informacijskega sistema, ki se je moral prilagoditi veliko večji masovni
obdelavi podatkov in posledično zaradi zaznanega tveganja z vzpostavitvijo nove krovne
politike in področnih politik informacijske varnosti, kar pomeni, da se je FURS ustrezno
pripravil in je zagotovil ustrezno varovanje varovanih podatkov, ki se v FURSU masovno
pridobivajo in obdelujejo ter na ta način zmanjšal tveganje za zlorabo varovanih podatkov.
Graf 4.3: Število prijav IP in število nadzorov IP v FURS(DURS) glede na skupno število nadzorov IP
v javnem sektorju v Republiki Sloveniji v letih 2010 do 2018
24 1.8.2014 se je ob združitvi Davčne uprave Republike Slovenije (DURS) in Carinsle uprave Republike Slovenije (CURS) organ v sestavi Ministrstva za finance preimenoval v Finančno upravo Republike Slovenije (FURS).
0
50
100
150
200
250
300
350
400
2009 2010 2011 2012 2013 2014 2015 2016 2017 2018
Število prijav IP in število nadzorov IP v FURS glede na skupno število nadzorov IP v javnem sektorju RS
število nadzorov IP v javnem sektorju
število nadzorov v FURS
število prijav IP
Linearna (število nadzorov IP v javnem sektorju)
45
Linearni trend iz grafa 4.3 ponazarja naraščanje števila nadzorov IP v obdobju d 2010 do
2018 zoper sume zlorabe osebnih podatkov v javnem sektorju v Republiki Sloveniji, kar
pomeni, da je nujno potrebna sprememba zakonodaje, ki bo bolj ščitila osebne podatke
posameznika in bolj definirala oblike zlorabe. Zato je v pripravi nov ZVOP-2.
Rezultati raziskave v analiziranem obdobju 2010 do 2018 izkazujejo naraščajoči trend prijav
IP zoper FURS zaradi sumov zlorab osebnih podatkov in naraščajoči trend nadzorov IP zoper
FURS zaradi sumov razkritja osebnih podatkov v procesih znotraj FURS. Ti rezultati
nakazujejo potrebo po intenziteti povečevanja zagotavljanja varnosti podatkov znotraj
FURS od leta 2010 do 2018, zato sklepno lahko ugotovimo, da bodo na FURS morali okrepiti
področne politike in še bolj intenzivno pristopiti k ukrepom za varovanje podatkov.
Rezultati tudi nakazujejo potrebo po spremembi zakonodaje, ki bo bolj ščitila osebne
podatke posameznika in bolj definirala oblike zlorabe. Zato je v pripravi nov ZVOP-2.
Razpršenost zakonodaje na področju varovanja poslovne skrivnosti je do sedaj
onemogočala zaščito poslovne skrivnosti zoper zlorabo, zato je sedaj sprejet nov Zakon o
poslovni skrivnosti, ki na enem mestu opredeljuje pojm in varuje poslovno skrivnost ter
definira postopke v primeru zlorabe. Ker ni pravne prakse na področju varovanja poslovne
skrivnosti, ni bilo mogoče pridobiti podatkov o številu vloženih tožb na pristojno sodišče
zaradi nepooblaščene uporabe ali razkritja poslovne skrivnosti v procesih znotraj FURS, zato
za ta del raziskave ni bilo omogočeno priti do dejanskih rezultatov.
46
5 Razprava
FURS je z vidika masovne obdelave podatkov večja organizacija, znotraj katere potekajo
številni procesi, ki so standardizirani in sistematično organizirani, zato je informacijska
varnost znotraj take organizacije izrednega pomena.
Iz analize javno pridobljenih dokumentov izhaja, da imajo na FURS vzpostavljeno ustrezno
krovno politiko informacijske varnosti in da jo redno posodabljajo glede na spremembe
zakonodaje in glede na organizacijske spremembe. Ugotovitve izkazujejo tudi, da imajo na
FURS glede na ugotovljena tveganja vzpostavljene tudi področne politike, s katerimi redno
letno seznanjajo in zavezujejo svoje zaposlene in pogodbene sodelavce k upoštevanju
politik in pravil na način, da organizirajo izobraževanja in obvezne teste za posamezne vrste
varovanih podatkov. S tem zagotavljajo, da so zaposleni in pogodbeni sodelavci seznanjeni
z načinom zagotavljanja varovanja podatkov pri zajemanju in obdelavi podatkov, s tveganji
in z odgovornostjo v primeru razkritja nepooblaščenim osebam. Skozi raziskovanje
dokumentov in organizacijske strukture FURS izhaja, da imajo na FURS v svoji organizacijski
strukturi ustanovljeno Službo informacijske varnosti, ki jo vodijo kompetentni in strokovni
ljudje. Ta služba je natančno seznanjena s procesi znotraj FURS, z informacijami in s
tveganji, kar je ključno za obvladovanje tveganj na tem področju. Ravno v Službi
informacijske varnosti znotraj FURS analizirajo tveganja, sprejemajo strategije (krovna
politika) in področne politike, ki jih usklajujejo z zakonodajo in uvajajo organizacijske in
tehnične ukrepe (ukrepe fizičnega varovanja, kontrolo varovanja informacij, logične
kontrole, kot so posodabljanje programske opreme, požarni zid, digitalna potrdila,
protivirusni programi in podobno) ter druge operativne ukrepe, kot je redno (obvezno)
preverjanje znanja s področja področnih politik in pravil za uporabnike (za zaposlene in
pogodbene sodelavce).
Rezultati raziskave, ki nam kažejo v obdobju 2010 do 2018 naraščajoči trend prijav zoper
FURS zaradi zlorabe osebnih podatkov in posledično naraščajoči trend nadzorov IP zoper
FURS nam povedo, da so v Službi IV v FURS sicer seznanjeni z informacijami in se zavedajo
47
posledic uhajanja informacij, zlorabe podatkov, predvsem tajnih in osebnih podatkov,
vendar bodo morali še bolj natančno razdelati ukrepe za varovanje teh podatkov, kot so
nadzor nad notranjo obdelavo informacij, standardizacija postopkov in centralno
upravljanje sistemov, varnostno kopiranje in obnavljanje dokumentov, varno uničevanje
medijev in dokumentov, enkripcija podatkov in zaščita elektronskega poslovanja,
samodejno posodabljanje aplikacij in podobno. S tem so H1, H2 in H3 potrjene, kar
pomeni, da imajo na FURS ustrezno varovanje podatkov. Vendar je pomembno
izpostaviti, da se je nemogoče povsem izogniti informacijskim incidentom, ki lahko
povzročijo izgubo dostopa do podatkov ali do omrežja, okvaro programske opreme,
odpoved delovanja spletnih storitev, izgubo dostopa do spletnih storitev (Prislan in Bernik,
2019). Posledice so lahko finančne ali pa pravne v smislu tožb in preiskav, če so ogroženi
osebni podatki in poslovna tajnost poslovnih subjektov.
Glede varovanja poslovne skrivnosti so se podjetja v Sloveniji do sedaj soočala s težavo pri
dokazovanju kršitev in obsega nastale škode zaradi razkritja poslovne skrivnosti, ker so bili
do sedaj v Slovenski zakonodaji pojm poslovne skrivnosti in posledično varovanje in
odgovornost za zlorabo poslovne skrivnosti različno definirani v različnih zakonih. To je
oteževalo delo pristojnih organov v prekrškovnih, sodnih in kazenskih postopkih. Glede na
navedeno je H4 delno potrjena, kar pomeni, da poslovna skrivnost v Slovenski zakonodaji
do sedaj ni bila ustrezno pravno urejena, zato ni bilo mogoče v celoti raziskati in potrditi
hipoteze, da je poslovna skrivnost ustrezno varovana v procesih znotraj FURS, saj ni
ustrezne pravne prakse, ki bi hipotezo lahko v celoti potrdila.
Rezultati raziskave v obdobju 2010 do 2018 nam dajejo zaključek, da ima FURS dobro
upravljanje Informacijske varnosti, saj imajo na FURS vzpostavljen in kadrovsko razvit
strateški, taktični in operativni menagement znotraj Službe IV, imajo predpisane ukrepe za
zaščito pred tveganji po modelu TISA (Prislan in Bernik, 2019), kot so načrtovanje ukrepov,
organizacijska pravila glede upravljanja (sprejeta krovna politika in področne politike,
pravila glede vodenja zaposlenih), izvajajo vsakodnevne aktivnosti, povezane z
zagotavljanjem IV (spremljanje pravilnih postopkov, uporabe podatkov, izvaja revizije in
nadzoruje informacijska tveganja), dvigujejo raven zaupanja (zagotavljajo varnostni načrt,
48
izobražujejo zaposlene in pogodbene sodelavce, preverjajo input informacije, vsak
nepreverjen vir analizirajo in avtenticirajo in podobno). S tem je H5 potrjena, kar pomeni,
da je informacijska varnost v procesih znotraj FURS je ustrezno zagotovljena.
49
6 Zaključek
Informacijska varnost in s tem posledično povezano varovanje varovanih podatkov je
obveznost in odgovornost vseh zaposlenih na FURS in pogodbenih sodelavcev. Obveznost
vodstva FURS pa je, da določajo krovno politiko informacijske varnosti, področne politike
in druge ukrepe, s katerimi seznanjajo in zavezujejo zaposlene in pogodbene sodelavce k
upoštevanju politik in pravil ter da imajo v svoji organizacijski strukturi ustanovljeno Službo
informacijske varnosti, kjer se točno zavedajo svoje vloge in odgovornosti. Lahko
zaključimo, da v FURS razvijajo informacijsko varnost kot poslovno funkcijo, saj je vodenje
usmerjeno, upravljanje informacijske varnosti pa je dodeljeno Službi IV. Lahko zaključimo,
da imajo v FURS visoko zavedanje o pomenu varovanja varovanih podatkov, ki jih masovno
sprejemajo in obdelujejo, za kar so sprejeli varnostno strategijo, ki se ujema z
organizacijskimi cilji in pravno formalnimi pogoji in imajo vzpostavljeno strateško
upravljanje, za kar imajo usposobljen in kompetenten kader.
Glede na ugotovitve v raziskovalnem delu naloge pa lahko sklepno ugotovimo, da imajo v
FURS v svoji strategiji politiko varovanja podatkov opredeljenega kot enega od prioritetnih
ciljev. V FURS imajo vzpostavljeno krovno politiko in področne politike, na osnovi katerih
imajo informacijsko varnost v procesih znotraj FURS ustrezno zagotovljeno in s tem tudi
ustrezno varovane podatke, ki jih masovno pridobivajo in obdelujejo, kar je še posebnega
pomena na področju varovanja osebnih podatkov, saj je to ena od temeljnih Ustavnih
pravic posameznika. Glede na izvedeno raziskavo, ki izkazuje v obdobju 2010 do 2018
naraščajoči trend prijav zaradi zlorabe osebnih podatkov zoper FURS in naraščajoči trend
nadzorov IP zaradi sumov zlorabe osebnih podatkov zoper FURS, pa bodo morali v FURS
svoje aktivnosti na področju varovanja podatkov še bolj natančno določiti v svojih politikah
za zagotavljanje še večje zaupnosti (kriptografija, digitalni podpisi, certifikacija,
avtentikacijski postopki in podobno).
Od zanesljivosti informacijskega sistema FURS je odvisna tudi učinkovitost, stabilnost in
varnost gospodarskih družb, saj na FURS-u prejemajo in obdelujejo tudi podatke, ki so
50
poslovna skrivnost. Novi zakon (»ZPosS«, 2019), ki je pričel veljati 20.4.2019, pa v
nacionalno pravo Republike Slovenije prenaša evropsko zakonodajo in sedaj definira pojem
poslovne skrivnosti, postopke in ukrepe v primeru kršitev, torej poleg materialnih vsebuje
tudi procesne določbe in kazenske sankcije v primeru kršitev, zato vidim potencialno
izhodišče za nadgradnjo tega mojega zaključnega dela z raziskavo na področju kršitev
poslovne skrivnosti v bodoče, ko bo že dovolj pravne prakse, vendar je to že izbrana tema
moje magistrske naloge.
51
Viri in literatura
Direktiva (EU) 2016/943 Evropskega parlamenta in Sveta z dne 8. junija 2016 o varstvu
nerazkritega strokovnega znanja in izkušenj ter poslovnih informacij (poslovnih
skrivnosti) pred njihovo protipravno pridobitvijo, uporabo in razkritjem (GDPR,
2016). Uradni list EU, (2016).
Državni zbor (2017). Predlog zakona o poslovni skrivnosti (2017-2130-0032). Pridobljeno na
https://www.dz-rs.si/wps/portal/Home
FURS (2018). Akt o postopkih in ukrepih za varovanje tajnih podatkov, podatkov, ki so
davčna tajnost in poslovnih skrivnosti v Finančni upravi Republike Slovenije.
Pridobljeno na
http://maks.durs.si/splosne_zadeve/infvar2/Lists/Politika%20informacijske%20var
nosti%20FURS/AllItems.aspx
FURS (2018). Akt o varstvu osebnih podatkov v Finančni upravi Republike Slovenije.
Pridobljeno na
http://maks.durs.si/splosne_zadeve/infvar2/Lists/Politika%20informacijske%20var
nosti%20FURS/AllItems.aspx
FURS (2018). Krovna politika informacijske varnosti Finančne uprave Republike Slovenije.
Pridobljeno na
http://maks.durs.si/splosne_zadeve/infvar2/dokumenti/Forms/AllItems.aspx
FURS (2016). Letno poročilo. Pridobljeno na
http://maks.durs.si/furs/porocila_furs/letna_porocila_o_delu/2015/Letno%20por
očilo%20FURS%202015.pdf#search=letno%20poro%C4%8Dilo%20furs
FURS (2017). Letno poročilo FURS. Pridobljeno na
http://maks.durs.si/furs/porocila_furs/letna_porocila_o_delu/2016/Letno%20por
očilo%20FURS%202016.pdf#search=letno%20poro%C4%8Dilo%20furs
FURS (2018). Letno poročilo FURS. Pridobljeno na
http://maks.durs.si/furs/porocila_furs/letna_porocila_o_delu/2017/Letno%20por
očilo%20FURS%202017.pdf#search=letno%20poro%C4%8Dilo%20furs
52
FURS (2016). Politike informacijske varnosti FURS. Pridobljeno na
http://maks.durs.si/splosne_zadeve/infvar2/Lists/Politika%20informacijske%20var
nosti%20FURS/AllItems.aspx
FURS (2018). Polletno poročilo FURS. Pridobljeno na
http://maks.durs.si/furs/porocila_furs/letna_porocila_o_delu/2018/Polletno%20p
oročilo%20FURS%201-6%202018.pdf#search=letno%20poro%C4%8Dilo%20furs
FURS (2011). Sklep o določitvi upravnega in varnostnega območja v FURS. Pridobljeno na
http://maks.durs.si/splosne_zadeve/infvar2/Lists/Politika%20informacijske%20var
nosti%20FURS/AllItems.aspx
Informacijski pooblaščenec (2017). Letno poročilo informacijskega pooblaščenca.
Pridobljeno na https://www.ip-rs.si/publikacije/letna-porocila/
Kazenski zakonik (KZ-1-UPB 2).(2012). Uradni list RS, (50/12 – uradno prečiščeno besedilo,
6/16 – popr., 54/15,38/16 in 27/17).
Markelj, B. in Bernik, I. (2012). Učinki stalnega dostopa v kibernetski prostor in odtujevanje
podatkov. V A. Dvoršak in D. Frangež (ur.), Digitalni dokazi: Kazensko pravni,
kriminalistični in informacijsko varnostni-vidiki (str. 11–27). Ljubljana: Fakulteta za
varnostne vede; Maribor: Pravna fakulteta.
Obligacijski zakonik (OZ). (2007). Uradni list RS, (97/07 –uradno prečiščeno besedilo).
Pravilnik o izvajanju Zakona o davčnem postopku. (2006). Uradni list RS, (141/06, 46/07,
102/07, 28/09, 101/11, 24/12, 32/12 – ZDavP-2E, 19/13, 45/14, 97/14, 39/15,
40/16, 85/16, 30/17 in 37/18).
Prislan, K. in Bernik, I. (2019). Informacijska varnost in organizacije. Maribor: Univerzitetna
založba Univerze.
Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu
posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov
ter o razveljavitvi Direktive 95/46/ES (GDPR). Uradni list EU, (2016).
Uredba o informacijski varnosti v državni upravi. (2018). Uradni list RS,(29/18).
Uredba o varnostnem preverjanju in izdaji dovoljenj za dostop do tajnih podatkov. (2006).
Uradni list RS, (71/06 in 138/06).
53
Uredba o varovanju tajnih podatkov ( UTP). (2005). Uradni list RS (74/05, 7/11 in 24/11 –
popr.).
Uredba o varovanju tajnih podatkov v komunikacijsko informacijskih sistemih. (2007).
Uradni list RS,(48/07 in 86/11).
Zakon o davčnem postopku (ZDavP-2). (2011). Uradni list RS, (13/11 – uradno prečiščeno
besedilo, 32/12, 94/12, 101/13 – ZDavNepr, 111/13, 25/14 – ZFU, 40/14 – ZIN-B,
90/14, 91/15, 63/16, 69/17 in 13/18 – ZJF-H).
Zakon o delovnih razmerjih. (ZDU). (2013). Uradni list RS,(21/13, 78/13 – popr., 47/15 –
ZZSDT, 33/16 – PZ-F, 52/16 in 15/17 – odl. US).
Zakon o dostopu do informacij javnega značaja ( ZDIJZ). (2003). Uradni list RS, ( 24/03,
23/2014, 50/2014, 102/2015 in 7/2018).
Zakon o finančni upravi (ZFU).(2014). Uradni list RS, (25/14).
Zakon o inšpekcijskem nadzoru (ZIN).(2007). Uradni list RS,(43/07 – uradno prečiščeno
besedilo in 40/14).
Zakon o gospodarskih družbah (ZGD-1). (2005). Uradni list RS, ( 65/09 – uradno prečiščeno
besedilo, 33/11, 91/11, 32/12, 57/12, 44/13 – odl. US, 82/13, 55/15 in 15/17).
Zakon o informacijskem pooblaščencu (2005). Uradni list RS, ( 113/2005, 51/2007-ZUstS-A,
14/2010 Odl.US: U-I-303/08-9).
Zakon o informacijski varnosti (ZinfV).(2018). Uradni list RS, (30/18).
Zakon o preprečevanju omejevanja konkurence (ZPOmK-1 ). (2008). Uradni list RS,(36/08,
40/09, 26/11, 87/11. 57/12, 39/13 – odl. US, 63/13 – ZS-K, 33/14, 76/15 in 23/17).
Zakon o tajnih podatkih. (ZTP). (2016). Uradni list RS, (50/06 – UPB, 9/10 in 60/11).
Zakon o varstvu osebnih podatkov (ZVOP-1). (2007). Uradni list RS,( 94/07 - UPB).
Zakon o poslovni skrivnosti (ZPosS) .(2019). Uradni list RS, (22/2019).
Zakon proti nepošteni konkurenci – Nemčija ( Zvezni uradni list I str. 254), BGBl. I str. 233,
2016). Pridobljeno na https://d-nb.info/995619018/04https://www.gesetze-im-
internet.de/uwg_2004/BJNR141400004.html.
Zakon o spremembah in dopolnitvah Zakona o državni upravi (ZDU-1I). (2014). Uradni list
RS, (90/14).
54
Zakonik (ILO. org.). (2013). Madžarska (Zakon V). Pridobljeno na
https://www.ilo.org/dyn/natlex/docs/ELECTRONIC/96512/114273/F720272867/Ci
vil_Code.pdf
Zvezni zakon proti nepošteni konkurenci - Avstrija (UWG, 11. in 12. člen, 1984, 2019).
Pridobljeno na https://www.jusline.at/gesetz/uwg