This document is an excerpt from the EUR-Lex website
Document 32016D2386
Decision (EU) 2016/2386 of the Court of Justice of 20 September 2016 concerning the security rules applicable to information or material produced before the General Court in accordance with Article 105 of its Rules of Procedure
Odluka Suda (EU) 2016/2386 od 20. rujna 2016. o pravilima sigurnosti primjenjivima na podatke ili dokazne elemente podnesene Općem sudu na temelju članka 105. njegova Poslovnika
Odluka Suda (EU) 2016/2386 od 20. rujna 2016. o pravilima sigurnosti primjenjivima na podatke ili dokazne elemente podnesene Općem sudu na temelju članka 105. njegova Poslovnika
SL L 355, 24.12.2016, p. 5–17
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
24.12.2016 |
HR |
Službeni list Europske unije |
L 355/5 |
ODLUKA SUDA (EU) 2016/2386
od 20. rujna 2016.
o pravilima sigurnosti primjenjivima na podatke ili dokazne elemente podnesene Općem sudu na temelju članka 105. njegova Poslovnika
SUD,
uzimajući u obzir Poslovnik, a posebno njegov članak 190.a stavak 5.,
budući da:
|
(1) |
U skladu s člankom 105. stavcima 1. i 2. Poslovnika Općeg suda, glavna stranka u postupku može, samoinicijativno ili nastavno na mjeru izvođenja dokaza koju je donio Opći sud, podnijeti podatke ili dokazne elemente koji se odnose na sigurnost Europske unije ili jedne ili više njezinih država članica ili na vođenje njihovih međunarodnih odnosa. Stavcima 3. do 10. te odredbe predviđa se postupovno uređenje koje se primjenjuje na te podatke ili dokazne elemente. |
|
(2) |
Uzimajući u obzir osjetljivu i povjerljivu narav podataka ili dokaznih elemenata o kojima je riječ, provedba uređenja uspostavljenog člankom 105. Poslovnika Općeg suda zahtijeva uspostavu odgovarajućeg sigurnosnog sustava s ciljem jamčenja visoke razine zaštite tih podataka ili dokaznih elemenata. |
|
(3) |
U tu se svrhu sigurnosni sustav mora primijeniti na sve podatke ili dokazne elemente podnesene na temelju članka 105. stavka 1. ili 2. tog Poslovnika, koji su klasificirani podaci Europske unije i za koje je glavna stranka koja ih je podnijela upozorila da bi njihovo priopćavanje drugoj glavnoj stranci ugrozilo sigurnost Unije ili njezinih država članica ili vođenje njihovih međunarodnih odnosa, uključujući kad ti podaci ili dokazni elementi nisu klasificirani podaci Europske unije. |
|
(4) |
Kako bi se osigurala visoka razina zaštite tih podataka ili dokaznih elemenata, temeljna načela ili minimalni sigurnosni standardi za zaštitu tih podataka ili dokaznih elemenata nadahnjuju se onima koji se primjenjuju za zaštitu podataka klasificiranih kao SECRET UE/EU SECRET prema pravilima institucija Unije u području zaštite klasificiranih podataka Europske unije (KCUI), posebno onima koja su donijeli Vijeće Europske unije, Europski parlament i Europska komisija. |
|
(5) |
Podaci ili dokazni elementi podneseni na temelju članka 105. stavka 1. ili 2. Poslovnika Općeg suda predmet su posebnog označivanja na Sudu Europske unije pod nazivom „FIDUCIA”, koje određuje sigurnosni sustav koji se na njih primjenjuje tijekom cijelog postupka pred Općim sudom i, u slučaju žalbe, pred Sudom. Označivanje oznakom FIDUCIA i uklanjanje te oznake nemaju utjecaja na klasifikaciju podataka priopćenih Općem sudu. |
|
(6) |
Pristup podacima FIDUCIA osigurava se uz poštovanje načela nužnosti pristupa podacima, |
ODLUČUJE:
Članak 1.
Definicije
Za potrebe ove odluke primjenjuju se sljedeće definicije:
|
(a) |
„tijelo za sigurnost” znači tijelo odgovorno za sigurnost Suda Europske unije koje odredi taj sud, a koje može u cijelosti ili djelomično delegirati provedbu zadaća predviđenih ovom odlukom; |
|
(b) |
„ured FIDUCIA” znači ured Suda Europske unije koji osigurava vođenje podataka FIDUCIA; |
|
(c) |
„posjednik” znači osoba koja je odgovarajuće ovlaštena za posjedovanje podatka FIDUCIA, na temelju dokazane nužnosti pristupa podacima, i koja stoga treba osigurati njegovu zaštitu; |
|
(d) |
„dokument” znači svaki podatak, bez obzira na oblik ili fizičke značajke; |
|
(e) |
„podatak” znači svaki pisani ili usmeni podatak, bez obzira na medij ili autora; |
|
(f) |
„klasificirani podaci Europske unije” (KCUI) znači svaki podatak ili svaki materijal koji je kao takav identificiran prema sigurnosnoj klasifikaciji Europske unije na temelju pravila primjenjivih u tom području u okviru institucija Unije, a koji je obuhvaćen jednom od sljedećih razina klasifikacije:
|
|
(g) |
„podatak FIDUCIA” znači svaki podatak koji nosi oznaku FIDUCIA; |
|
(h) |
„postupanje” s podatkom FIDUCIA znači sve radnje kojima podaci FIDUCIA mogu biti podvrgnuti tijekom cijelog postupka pred Sudom. To su, primjerice, njihovo upisivanje, uvid u te podatke, njihov nastanak, umnažanje, pohranjivanje, vraćanje i uništavanje. |
Članak 2.
Predmet i područje primjene
1. Ova odluka utvrđuje temeljna načela i minimalne sigurnosne standarde za zaštitu podataka FIDUCIA u okviru postupka pred Sudom.
2. Ta temeljna načela i minimalni sigurnosni standardi primjenjuju se na sve podatke FIDUCIA kao i na svaku pisanu ili usmenu upotrebu i njihove primjerke koji su prema potrebi stvoreni u skladu s pravilima sigurnosti utvrđenima u ovoj odluci.
Članak 3.
Načini podnošenja i vraćanja
U svrhu provedbe sustava predviđenog ovom odlukom:
|
— |
glavna stranka obavještava tajništvo Općeg suda o danu podnošenja podataka ili dokaznih elemenata na temelju članka 105. stavka 1. ili 2. Poslovnika Općeg suda, |
|
— |
glavna stranka, uz pratnju predstavnika tajništva Općeg suda, dužna je podnijeti podatke ili dokazne elemente na temelju članka 105. stavka 1. ili 2. tog Poslovnika pri uredu FIDUCIA u vremenu u kojem je tajništvo otvoreno za javnost, |
|
— |
glavna stranka koja je podnijela podatke ili dokazne elemente na temelju članka 105. stavka 1. ili 2. Poslovnika Općeg suda dužna ih je preuzeti pri uredu FIDUCIA, u prisutnosti predstavnika tajništva Općeg suda, kad ne odobrava njihovo priopćavanje na temelju članka 105. stavka 4. tog Poslovnika, odmah po njihovu povlačenju u skladu s člankom 105. stavkom 7. tog Poslovnika ili odmah po isteku roka iz članka 56. prvog stavka Statuta Suda Europske unije, osim ako je u tom roku podnesena žalba, |
|
— |
ako je u roku iz članka 56. prvog stavka Statuta Suda Europske unije protiv odluke Općeg suda podnesena žalba, podaci ili dokazni elementi podneseni u okviru tog postupka na temelju članka 105. stavka 1. ili 2. Poslovnika Općeg suda stavljaju se na raspolaganje Sudu. U tu svrhu tajnik Općeg suda odmah nakon što je obaviješten o postojanju žalbe tajniku Suda upućuje dopis kojim ga obavještava o tome da su podaci ili dokazni elementi o kojima je riječ stavljeni na raspolaganje Sudu. Tajnik Općeg suda istodobno obavještava tijelo za sigurnost o tome da podatke ili dokazne elemente o kojima je riječ treba staviti na raspolaganje Sudu bez fizičkog premještanja tih podataka ili dokaznih elemenata. Taj podatak upisuje ured FIDUCIA. Glavna stranka koja je podnijela te podatke ili dokazne elemente dužna ih je preuzeti pri uredu FIDUCIA, u prisutnosti predstavnika tajništva Suda, odmah po dostavi odluke kojom se završava žalbeni postupak, osim u slučaju vraćanja predmeta Općem sudu na ponovno suđenje, |
|
— |
u slučaju vraćanja predmeta Općem sudu, Sud podatke ili dokazne elemente o kojima je riječ stavlja na raspolaganje Općem sudu odmah po dostavi odluke kojom se završava žalbeni postupak. U tu svrhu tajnik Suda tajniku Općeg suda upućuje dopis kojim ga obavještava o tome da su podaci ili dokazni elementi o kojima je riječ stavljeni na raspolaganje Općem sudu. Tajnik Suda istodobno obavještava tijelo za sigurnost o tome da podatke ili dokazne elemente o kojima je riječ treba staviti na raspolaganje Općem sudu bez fizičkog premještanja tih podataka ili dokaznih elemenata. Taj podatak upisuje ured FIDUCIA. Glavna stranka koja je podnijela te podatke ili dokazne elemente dužna ih je preuzeti pri uredu FIDUCIA, u prisutnosti predstavnika tajništva Općeg suda, odmah po isteku roka iz članka 56. prvog stavka Statuta Suda Europske unije, osim ako je u tom roku podnesena žalba. |
Članak 4.
Oznaka FIDUCIA
1. Oznaku FIDUCIA ured FIDUCIA stavlja na sve podatke ili dokazne elemente podnesene u skladu s člankom 105. stavkom 1. ili 2. Poslovnika Općeg suda.
2. Oznaku FIDUCIA ured FIDUCIA stavlja i na svaki podatak koji u cijelosti ili djelomično preuzima sadržaj podataka ili dokaznih elemenata podnesenih u skladu s člankom 105. stavkom 1. ili 2. tog Poslovnika kao i na svaki primjerak tih podataka ili dokaznih elemenata.
3. Oznaku FIDUCIA ured FIDUCIA stavlja i na dokumente i upisnike koje izradi ured FIDUCIA na temelju ove odluke čije bi neovlašteno otkrivanje moglo ugroziti sigurnost Unije ili jedne ili više njezinih država članica ili vođenje njihovih međunarodnih odnosa.
4. Oznaka FIDUCIA stavlja se vidljivo na sve stranice i nosače podataka FIDUCIA.
5. Stavljanje oznake FIDUCIA i uklanjanje te oznake, pod uvjetima iz Priloga III., ne utječe na klasifikaciju podataka priopćenih Općem sudu.
Članak 5.
Zaštita podataka FIDUCIA
1. Zaštita podataka FIDUCIA jednaka je onoj koja se osigurava za KCUI SECRET UE/EU SECRET u skladu s pravilima primjenjivima u okviru institucija Unije u području zaštite KCUI-ja.
2. Posjednik svakog podatka FIDUCIA dužan ga je čuvati u skladu s ovom odlukom.
Članak 6.
Upravljanje rizicima sigurnosti
1. Rizicima koji prijete podacima FIDUCIA upravlja se u okviru postupka analize rizika koji ima za cilj utvrditi poznate rizike koji prijete sigurnosti, odrediti mjere sigurnosti koje omogućuju smanjenje tih rizika na prihvatljivu razinu u skladu s temeljnim načelima i minimalnim standardima propisanima ovom odlukom i primijeniti te mjere. Djelotvornost tih mjera predmet je stalne ocjene tijela za sigurnost.
2. Mjere sigurnosti za zaštitu podataka FIDUCIA tijekom cijelog postupka pred Sudom prilagođene su osobito obliku u kojem se nalaze podaci ili materijali o kojima je riječ kao i njihovu opsegu, okruženju i strukturi prostorija ureda FIDUCIA kao i prijetnji procijenjenoj na lokalnoj razini koju predstavljaju zlonamjerne i/ili kriminalne aktivnosti, uključujući špijuniranje, sabotiranje i terorizam.
3. Unutarnji plan Suda Europske unije za slučaj nužde uzima u obzir potrebu zaštite podataka FIDUCIA u slučaju nužde kako bi se spriječio neovlašten pristup i otkrivanje kao i gubitak cjelovitosti i dostupnosti.
4. Preventivne mjere i mjere povratka na operativne uvjete koje imaju za cilj ograničiti utjecaj prekida i ozbiljnih incidenata na postupanje i pohranjivanje podataka FIDUCIA predviđene su unutarnjim planom Suda Europske unije za slučaj nužde.
Članak 7.
Mjere sigurnosti koje se odnose na osobe
1. Pristup podacima FIDUCIA može se odobriti samo osobama:
|
— |
kojima je nužan pristup podacima, |
|
— |
kojima je odobren pristup podacima FIDUCIA, uz iznimku iz stavka 2. ovog članka, i |
|
— |
koje su upoznate sa svojim odgovornostima. |
2. Suci i nezavisni odvjetnici Suda ovlašteni su pristupiti podacima FIDUCIA na temelju same svoje funkcije.
3. Postupak koji ima za cilj odrediti može li se dužnosniku ili drugom službeniku Suda Europske unije, uzimajući u obzir njegovu lojalnost, vjerodostojnost i pouzdanost, odobriti pristup podacima FIDUCIA propisan je u Prilogu I.
4. Prije nego što im je odobren pristup podacima FIDUCIA i nakon toga u redovnim vremenskim razmacima, sve osobe o kojima je riječ upoznaje se s njihovim odgovornostima u području zaštite podataka FIDUCIA u skladu s ovom odlukom i one te odgovornosti prihvaćaju u pisanom obliku.
Članak 8.
Fizička sigurnost
1. „Fizička sigurnost” znači primjena fizičkih i tehničkih mjera zaštite radi sprečavanja neovlaštenog pristupa podacima FIDUCIA.
2. Fizičke mjere sigurnosti namijenjene su sprečavanju svakog tajnog ili nasilnog upada u prostorije ureda FIDUCIA, stvaranju odvraćajućeg učinka, sprečavanju i otkrivanju neovlaštenih radnji kao i omogućavanju utvrđivanja razlike između osoba ovlaštenih za pristup podacima FIDUCIA i onih koje to nisu u skladu s načelom nužnosti pristupa podacima. Te se mjere određuju na temelju postupka upravljanja rizicima.
3. Mjere sigurnosti uspostavljaju se za prostorije ureda FIDUCIA u kojima se postupa s podacima FIDUCIA i u kojima se oni pohranjuju. Te mjere imaju za cilj osigurati zaštitu jednaku onoj koju uživaju podaci KCUI SECRET UE/EU SECRET u skladu s pravilima koja se primjenjuju u okviru institucija Unije u području zaštite KCUI-ja. Nijedan podatak FIDUCIA ne može se pohraniti niti se u njega može izvršiti uvid izvan prostorija ureda FIDUCIA stvorenih u tu svrhu u zoni koja je sama osigurana.
4. Za zaštitu podataka FIDUCIA upotrebljavaju se jedino oprema i sustavi koji su u skladu s pravilima koja se primjenjuju u okviru institucija Unije u području zaštite KCUI-ja.
5. Odredbe za provedbu ovog članka nalaze se u Prilogu II.
Članak 9.
Upravljanje podacima FIDUCIA
1. „Upravljanje podacima FIDUCIA” znači primjena upravnih mjera koje imaju za cilj zaštitu podataka FIDUCIA tijekom cijelog postupka pred Sudom i njihov nadzor kako bi se pridonijelo sprečavanju i otkrivanju kompromitacije ili namjernog ili slučajnog gubitka tih podataka.
2. Mjere upravljanja podacima FIDUCIA osobito se odnose na upisivanje, uvid, nastanak, umnažanje, pohranjivanje, vraćanje i uništavanje podataka FIDUCIA.
3. Prilikom njihova primitka i prije svakog postupanja s njima, podatke FIDUCIA upisuje ured FIDUCIA.
4. Prostorije ureda FIDUCIA predmet su redovite provjere tijela za sigurnost.
5. Odredbe za provedbu ovog članka nalaze se u Prilogu III.
Članak 10.
Zaštita podataka FIDUCIA s kojima se postupa elektronički
1. Informacijski i komunikacijski sustavi (računala i periferna oprema) koji se upotrebljavaju za postupanje s podacima FIDUCIA smješteni su u prostorijama ureda FIDUCIA. Izolirani su od svih informatičkih mreža.
2. Mjere sigurnosti provode se kako bi se informacijska oprema koja se upotrebljava za postupanje s podacima FIDUCIA zaštitila od kompromitacije podataka nenamjernim elektromagnetskim emisijama (mjere sigurnosti jednake onima koje se provode za KCUI SECRET UE/EU SECRET u skladu s pravilima primjenjivima u okviru institucija Unije u području zaštite KCUI-ja).
3. Informacijski i komunikacijski sustavi predmet su homologacije koju obavlja tijelo za sigurnost, koje osigurava da su oni u skladu s pravilima primjenjivima u okviru institucija Unije u području zaštite KCUI-ja.
4. Odredbe za provedbu ovog članka nalaze se u Prilogu IV.
Članak 11.
Sigurnost u slučaju vanjske intervencije
1. „Sigurnost u slučaju vanjske intervencije” znači primjena mjera koje imaju za cilj zajamčiti zaštitu podataka FIDUCIA od strane ugovaratelja koji moraju intervenirati u okviru održavanja informacijskih i komunikacijskih sustava izoliranih od informatičke mreže ili prilikom intervencije koja zahtijeva hitno premještanje podataka FIDUCIA kako bi ih se smjestilo na sigurno mjesto.
2. Tijelo za sigurnost može ugovarateljima registriranima u državi članici povjeriti obavljanje zadaća koje znače ili zahtijevaju, na temelju ugovora, pristup podacima FIDUCIA.
3. Tijelo za sigurnost osigurava da su prilikom dodjele ugovora ispunjeni i u ugovoru spomenuti minimalni sigurnosni standardi predviđeni ovom odlukom.
4. Članovi ugovarateljeva osoblja mogu pristupiti podacima FIDUCIA samo nakon što ih je u tu svrhu ovlastilo tijelo za sigurnost na temelju sigurnosne ovlasti za osoblje koju je izdalo nacionalno tijelo za sigurnost ili bilo koje drugo tijelo za sigurnost nadležno u skladu s nacionalnim zakonskim ili drugim odredbama.
5. Odredbe za provedbu ovog članka nalaze se u Prilogu V.
Članak 12.
Zabrana digitalne distribucije, priopćavanja i razmjene podataka FIDUCIA
1. Podaci FIDUCIA ni u kojem se slučaju ne distribuiraju digitalno.
2. Sud ne prosljeđuje podatke FIDUCIA ni institucijama, tijelima, uredima ili agencijama Unije, ni državama članicama, ni drugim strankama u postupku, ni trećim osobama.
Članak 13.
Povrede sigurnosti i kompromitiranost podataka FIDUCIA
1. Povreda sigurnosti je radnja ili propust osobe koji je u suprotnosti s pravilima sigurnosti propisanima ovom odlukom.
2. Kompromitiranost postoji kad su nakon povrede sigurnosti podaci FIDUCIA u cijelosti ili djelomično otkriveni osobama koje nisu ovlaštene ili se ne smatraju ovlaštenima.
3. Svaka povreda sigurnosti, stvarna ili pretpostavljena, odmah se priopćava tijelu za sigurnost.
4. Kad je dokazano ili postoje razumni razlozi za pretpostavku da su podaci kompromitirani ili izgubljeni, tijelo za sigurnost u uskoj suradnji s predsjednikom i tajnikom Suda poduzima sve prikladne mjere u skladu s primjenjivim odredbama kako bi:
|
(a) |
o tome obavijestilo glavnu stranku koja je podnijela podatke ili dokazne elemente o kojima je riječ; |
|
(b) |
od nadležnog tijela zatražilo pokretanje upravne istrage; |
|
(c) |
procijenilo eventualno prouzročenu štetu za sigurnost Unije ili jedne ili više njezinih država članica ili za vođenje njihovih međunarodnih odnosa; |
|
(d) |
spriječilo ponavljanje događaja; i |
|
(e) |
obavijestilo nadležna tijela o poduzetim mjerama. |
5. Svakoj osobi odgovornoj za povredu pravila sigurnosti propisanih ovom odlukom mogu se izreći disciplinske sankcije u skladu s primjenjivim odredbama. Svakoj osobi odgovornoj za kompromitaciju ili gubitak podataka FIDUCIA mogu se izreći disciplinske sankcije i/ili se protiv nje može pokrenuti sudski postupak u skladu s primjenjivim odredbama.
Članak 14.
Organizacija sigurnosti unutar Suda
1. Ured FIDUCIA provodi zaštitu podataka FIDUCIA u skladu s ovom odlukom.
2. Tijelo za sigurnost odgovorno je za pravilnu primjenu ove odluke. U tom smislu tijelo za sigurnost:
|
(a) |
primjenjuje sigurnosnu politiku Suda Europske unije i redovito je preispituje; |
|
(b) |
nadzire provedbu ove odluke od strane ureda FIDUCIA; |
|
(c) |
prema potrebi osigurava istragu, u skladu s uvjetima predviđenima člankom 13., o svakoj stvarnoj ili pretpostavljenoj kompromitaciji ili gubitku podataka FIDUCIA; |
|
(d) |
provodi redovitu provjeru sigurnosnih sustava namijenjenih osiguranju zaštite podataka FIDUCIA u prostorijama ureda FIDUCIA. |
Članak 15.
Praktične odredbe za provedbu
Praktične odredbe za provedbu ove odluke donosi tijelo za sigurnost u dogovoru s tajnikom Suda.
Članak 16.
Stupanje na snagu
Ova odluka stupa na snagu dan nakon objave u Službenom listu Europske unije.
U Luxembourgu 20. rujna 2016.
Tajnik
A. CALOT ESCOBAR
Predsjednik
K. LENAERTS
PRILOG I.
MJERE SIGURNOSTI U ODNOSU NA OSOBE
|
1. |
Ovaj prilog propisuje odredbe za provedbu članka 7. Odluke. |
|
2. |
Tajnik Suda popisuje, u mjeri u kojoj se to na njega odnosi i u mjeri u kojoj je to krajnje nužno, radna mjesta kojima je nužan pristup podacima FIDUCIA i koja stoga zahtijevaju da su dužnosnici i drugi službenici na tim radnim mjestima ovlašteni pristupiti podacima FIDUCIA. |
|
3. |
S ciljem dodjele odobrenja pristupa podacima FIDUCIA, ured FIDUCIA prosljeđuje sigurnosni upitnik koji ispunjava dužnosnik ili drugi službenik o kojem je riječ nacionalnom tijelu za sigurnost države članice koje je zainteresirana osoba državljanin ili bilo kojem drugom nadležnom nacionalnom tijelu, utvrđenom u pravilima primjenjivima u okviru institucija Unije u području zaštite KCUI-ja (u daljnjem tekstu: nadležni NTS) i zahtijeva da se provede sigurnosna provjera za razinu klasifikacije SECRET UE/EU SECRET. |
|
4. |
Nakon sigurnosne provjere u skladu s odredbama zakona i drugih propisa na snazi u državi članici o kojoj je riječ, nadležni NTS uredu FIDUCIA dostavlja zaključke provjere o kojoj je riječ. |
|
5. |
Ako je nakon sigurnosne provjere nadležni NTS dobio osiguranje da ne postoje nepovoljni podaci koji mogu dovesti u sumnju lojalnost, vjerodostojnost i pouzdanost zainteresirane osobe, nadležno tijelo za imenovanje (TZI) toj osobi može dati odobrenje za pristup podacima FIDUCIA. |
|
6. |
Ako nakon sigurnosne provjere osiguranje iz stavka 5. nije dobiveno, TZI o tome obavještava zainteresiranu osobu. U takvom slučaju ured FIDUCIA, prema uputi TZI-ja, može od nadležnog NTS-a zatražiti sva dodatna objašnjenja koja može dati u skladu sa svojim nacionalnim zakonskim i drugim odredbama. U slučaju potvrde rezultata sigurnosne provjere, odobrenje za pristup podacima FIDUCIA ne dodjeljuje se. |
|
7. |
Odobrenje za pristup podacima FIDUCIA vrijedi pet godina. Ono se opoziva kad osoba o kojoj je riječ napusti radno mjesto koje zahtijeva pristup podacima FIDUCIA ili kad TZI ocijeni da postoje razlozi koji opravdavaju opoziv odobrenja. |
|
8. |
Odobrenje za pristup podacima FIDUCIA može se produljiti u skladu s postupkom iz stavaka 3. do 5. |
|
9. |
Ured FIDUCIA vodi upisnik odobrenja za pristup podacima FIDUCIA. |
|
10. |
Ako je ured FIDUCIA upoznat s podacima u vezi sa sigurnosnim rizikom povezanim s osobom koja je nositelj odobrenja za pristup podacima FIDUCIA, ured FIDUCIA o tome obavještava nadležni NTS i TZI može suspendirati pristup podacima FIDUCIA ili opozvati odobrenje za pristup tim podacima. |
|
11. |
U slučaju hitnosti, TZI može, nakon savjetovanja s NTS-om i ako rezultati provedenih privremenih provjera pokazuju da ne postoje nepovoljni podaci, privremeno dodijeliti dužnosnicima i drugim službenicima o kojima je riječ odobrenje za pristup podacima FIDUCIA. To privremeno odobrenje vrijedi do završetka postupka iz stavaka 3. do 5., ali najviše šest mjeseci od dana podnošenja zahtjeva za sigurnosnu provjeru pri nadležnom NTS-u. |
|
12. |
Prije nego što im se dodijeli pristup podacima FIDUCIA, osobe koje su za to ovlaštene pohađaju tečaj koji ima za cilj omogućiti im preuzimanje odgovornosti u postupanju s podacima FIDUCIA. Odobrenje za pristup podacima FIDUCIA stječe učinak tek nakon tog tečaja i nakon pisanog prihvaćanja odgovornosti. |
PRILOG II.
FIZIČKA SIGURNOST
I. UVOD
|
1. |
Ovaj prilog propisuje odredbe za provedbu članka 8. Odluke. Predviđa minimalna pravila za fizičku zaštitu prostorija ureda FIDUCIA u kojima se pohranjuju podaci FIDUCIA i s njima postupa. |
|
2. |
Mjere fizičke sigurnosti imaju za cilj spriječiti neovlašten pristup podacima FIDUCIA:
|
|
3. |
Mjere fizičke sigurnosti biraju se ovisno o ocjeni prijetnji za podatke FIDUCIA. Te mjere uzimaju u obzir okruženje i strukturu prostorija ureda FIDUCIA. Tijelo za sigurnost određuje stupanj sigurnosti koji treba postići za svaku od sljedećih fizičkih mjera:
|
II. PROSTORIJE ZA POHRANU I UVID U PODATKE FIDUCIA
Uspostava fizički zaštićenih prostorija za pohranu i konzultiranje
|
4. |
Zaštićene prostorije uspostavljaju se s ciljem pohranjivanja i izvršavanja uvida u podatke FIDUCIA. Podaci FIDUCIA mogu se pohraniti i u njih je moguće izvršiti uvid samo u prostorijama ureda FIDUCIA koje su u svim aspektima u skladu s pravilima primjenjivima u okviru institucija Unije u području zaštite KCUI-ja. |
|
5. |
U tim prostorijama pohranjivanje podataka FIDUCIA osigurava se u sigurnosnim ormarima koji su također u svim aspektima u skladu s pravilima primjenjivima u okviru institucija Unije u području zaštite KCUI-ja. |
|
6. |
Nikakav komunikacijski sustav (telefon ili drugi elektronički uređaj) ne smije se unijeti u prostorije ureda FIDUCIA. |
|
7. |
Prostorija za sastanke ureda FIDUCIA zaštićena je od prisluškivanja. Nad njom se redovito provode provjere elektroničke sigurnosti. |
Pristup prostorijama za pohranu i konzultiranje
|
8. |
Pristup prostorijama ureda FIDUCIA nadzire se sigurnosnim vratima za identifikaciju pod videonadzorom. |
|
9. |
Osobe koje su ovlaštene za pristup podacima FIDUCIA i osobe za koje se smatra da su za to ovlaštene mogu pristupiti prostorijama ureda FIDUCIA kako bi izvršile uvid u podatke FIDUCIA u skladu s uvjetima iz članka 7. stavaka 1. i 2. ove odluke. |
|
10. |
Tijelo za sigurnost iznimno može izdati odobrenje za pristup neovlaštenim osobama čija je intervencija u prostorije ureda FIDUCIA nužna, pod uvjetom da pristup tim prostorijama ne znači pristup podacima FIDUCIA, koji će ostati zaštićeni od pogleda u sigurnosnim ormarima. Pristup tih osoba može se provesti samo uz pratnju i stalan nadzor osobe iz ureda FIDUCIA koja je ovlaštena za pristup podacima FIDUCIA. |
|
11. |
Svi pristupi prostorijama ureda FIDUCIA upisuju se u upisnik pristupa. Taj se upisnik vodi na radnoj stanici koja je smještena u tim prostorijama. Informacijski i komunikacijski sustav koji se u tu svrhu koristi u skladu je sa zahtjevima sigurnosti utvrđenima člankom 10. Odluke kao i Prilogom IV. |
|
12. |
Mjere zaštite kojima je podvrgnuta pisana upotreba podataka FIDUCIA primjenjuju se u slučaju usmene upotrebe tih istih podataka. |
III. NADZOR KLJUČEVA I KOMBINACIJA KORIŠTENIH ZA ZAŠTITU PODATAKA FIDUCIA
|
13. |
Tijelo za sigurnost određuje postupke upravljanja ključevima i kombinacijama za prostorije ureda FIDUCIA i sigurnosne ormare. Ti postupci štite od neovlaštenog pristupa. |
|
14. |
Kombinacije mora zapamtiti što manji broj osoba koje ih trebaju znati. Kombinacije za sigurnosne ormare koji služe za pohranu podataka FIDUCIA moraju se promijeniti:
|
|
15. |
Tehnička oprema namijenjena fizičkoj zaštiti podataka FIDUCIA u skladu je s pravilima primjenjivima u okviru institucija Unije u području zaštite KCUI-ja. Tijelo za sigurnost odgovorno je za poštovanje tih pravila. |
|
16. |
Tehnička oprema redovito se provjerava i održava. Održavanje uzima u obzir rezultate provjere kako bi se zajamčilo trajno optimalno funkcioniranje opreme. |
|
17. |
Prilikom svake provjere valja ponovno ocijeniti djelotvornost različitih mjera sigurnosti i sigurnosnog sustava u cijelosti. |
PRILOG III.
UPRAVLJANJE PODACIMA FIDUCIA
I. UVOD
|
1. |
Ovaj prilog propisuje odredbe za provedbu članka 9. Odluke. Predviđa upravne mjere za zaštitu podataka FIDUCIA tijekom cijelog postupka pred Sudom i za njihov nadzor s ciljem doprinosa sprečavanju i otkrivanju kompromitacije ili namjernog ili slučajnog gubitka tih podataka. |
II. UPISNIK PODATAKA FIDUCIA
|
2. |
Uspostavlja se upisnik podataka FIDUCIA. Taj upisnik vodi ured FIDUCIA na radnoj stanici smještenoj u prostorijama ureda FIDUCIA. Informacijski i komunikacijski sustav korišten u svrhu vođenja tog upisnika u skladu je sa zahtjevima sigurnosti utvrđenima člankom 10. Odluke kao i Prilogom IV. |
III. UPISIVANJE PODATAKA FIDUCIA
|
3. |
Za potrebe ove odluke upisivanje za potrebe sigurnosti (u daljnjem tekstu: upisivanje) znači primjena postupaka koji omogućuju čuvanje traga o životnom vijeku podatka FIDUCIA, uključujući njegovo uništenje. |
|
4. |
Upisivanje podataka FIDUCIA osigurava ured FIDUCIA. |
|
5. |
Ured FIDUCIA automatski stavlja oznaku FIDUCIA na podatke ili dokazne elemente podnesene na temelju članka 105. stavka 1. ili 2. Poslovnika Općeg suda. Ured FIDUCIA upisuje podatak FIDUCIA u upisnik podataka FIDUCIA. |
|
6. |
Ured FIDUCIA sastavlja izvještaj koji se prilaže upisniku podataka FIDUCIA navodeći okolnosti primitka podatka. S njim se potom postupa prema pravilima utvrđenima u prethodnom stavku. |
|
7. |
Upisivanje u skladu sa stavcima 5. i 6. podatka FIDUCIA u upisnik podataka FIDUCIA provodi se ne dovodeći u pitanje upisivanje u svrhu postupka koje provedu osobe koje su bile ovlaštene pristupiti podacima FIDUCIA u tajništvu. |
IV. UPRAVLJANJE PODACIMA FIDUCIA
Označivanje
|
8. |
Ako je KCUI ili bilo koji drugi podatak za koji je upozoreno da bi njegovo priopćavanje ugrozilo sigurnost Unije ili jedne ili više njezinih država članica ili vođenje njihovih međunarodnih odnosa podnesen na temelju članka 105. stavka 1. ili 2. Poslovnika Općeg suda, ured FIDUCIA na njega stavlja oznaku FIDUCIA. |
|
9. |
Oznaka FIDUCIA stavlja se jasno i pravilno na svaki dio dokumenta, neovisno o obliku u kojem se podatak nalazi: papirnati, audio, elektronički ili drugi oblik. |
Stvaranje podatka FIDUCIA
|
10. |
Samo osoba koja je ovlaštena za pristup podacima FIDUCIA ili osoba za koju se smatra da je za to ovlaštena može stvoriti podatak FIDUCIA kako je on definiran člankom 4. stavcima 2. i 3. ove odluke. |
|
11. |
Svaki podatak koji je stvoren kao FIDUCIA ured FIDUCIA upisuje u upisnik podataka FIDUCIA. |
|
12. |
Svaki podatak koji je stvoren kao FIDUCIA podvrgnut je svim pravilima o postupanju s podacima FIDUCIA, kako su utvrđena ovom odlukom i njezinim prilozima. |
Uklanjanje oznake FIDUCIA
|
13. |
Podaci FIDUCIA gube svoju oznaku u dvama slučajevima:
|
|
14. |
Oznaku uklanja ured FIDUCIA, koji to uklanjanje upisuje u upisnik podataka FIDUCIA. |
|
15. |
Uklanjanje oznake FIDUCIA ne podrazumijeva deklasifikaciju KCUI-ja. |
V. UMNOŽAVANJE PODATAKA FIDUCIA
|
16. |
Podaci FIDUCIA ne smiju se umnožavati, osim ako je to nužno. U potonjem slučaju umnožavanje provodi ured FIDUCIA, koji primjerke numerira i upisuje. |
|
17. |
Primjerci su podvrgnuti svim pravilima sigurnosti utvrđenima ovom odlukom i njezinim prilozima. |
VI. UNIŠTAVANJE PODATAKA FIDUCIA
|
18. |
Kad su podaci ili dokazni elementi koji su podneseni u skladu s člankom 105. stavkom 1. ili 2. Poslovnika Općeg suda vraćeni glavnoj stranci koja ih je podnijela, svi podaci koji u cijelosti ili djelomično preuzimaju sadržaj tih podataka ili dokaznih elemenata kao i eventualni primjerci uništavaju se. |
|
19. |
Uništavanje podataka FIDUCIA iz stavka 18. provodi ured FIDUCIA primjenom metoda koje su u skladu s pravilima primjenjivima u okviru institucija Unije u području zaštite KCUI-ja kako bi se spriječila njihova potpuna ili djelomična rekonstrukcija. |
|
20. |
Uništavanje podataka FIDUCIA iz stavka 18. provodi se u prisutnosti svjedoka koji je ovlašten za pristup podacima FIDUCIA. |
|
21. |
Ured FIDUCIA sastavlja zapisnik o uništavanju. |
|
22. |
Zapisnik o uništavanju prilaže se upisniku podataka FIDUCIA. Jedan primjerak prosljeđuje se glavnoj stranci koja je podnijela dokument o kojem je riječ. |
PRILOG IV.
ZAŠTITA PODATAKA FIDUCIA S KOJIMA SE POSTUPA ELEKTRONIČKI
|
1. |
Ovaj prilog propisuje odredbe za provedbu članka 10. |
|
2. |
S podacima FIDUCIA može se postupati samo na elektroničkim uređajima (radne stanice, pisači, fotokopirni uređaji) koji nisu povezani s informatičkom mrežom i koji su smješteni u prostorijama ureda FIDUCIA. |
|
3. |
Svi elektronički uređaji koji se upotrebljavaju za postupanje s podacima FIDUCIA moraju biti u skladu s pravilima primjenjivima u okviru institucija Unije u području zaštite KCUI-ja. Sigurnost tih uređaja osigurava se tijekom cijelog njihova životnog vijeka. |
|
4. |
Svaka moguća veza na internet (LAN, WLAN, Bluetooth itd.) trajno je isključena. |
|
5. |
Radne stanice opremljene su odgovarajućom antivirusnom zaštitom. Ažuriranja antivirusne zaštite obavljaju se CD-ROM-om ili USB diskom koji se upotrebljavaju isključivo u tu svrhu. |
|
6. |
Memorije pisača i fotokopirnih uređaja brišu se prije svake radnje održavanja. |
|
7. |
Za postupanje po zahtjevima za provjeru iz Priloga I. upotrebljavaju se jedino kriptografski proizvodi odobreni u skladu s pravilima primjenjivima u okviru institucija Unije u području zaštite KCUI-ja. |
PRILOG V.
SIGURNOST U SLUČAJU VANJSKE INTERVENCIJE
|
1. |
Ovaj prilog propisuje odredbe za provedbu članka 11. |
|
2. |
Pristup podacima FIDUCIA ugovaratelji mogu imati samo u okviru održavanja informacijskih i komunikacijskih sustava izoliranih od informatičke mreže ili prilikom intervencije koja zahtijeva hitno premještanje podataka FIDUCIA kako bi ih se smjestilo na sigurno mjesto. |
|
3. |
Tijelo za sigurnost izrađuje smjernice u području vanjske intervencije koje osobito obuhvaćaju ovlast osoblja ugovaratelja kao i sadržaj ugovora iz tog priloga. |
|
4. |
Dokumenti u vezi s postupcima javne nabave i ugovor o održavanju informacijskih i komunikacijskih sustava izoliranih od informatičke mreže označavaju se oznakom FIDUCIA ako sadržavaju podatke čije bi otkrivanje moglo ugroziti sigurnost Unije ili jedne ili više njezinih država članica ili vođenje njihovih međunarodnih odnosa. Prilog o sigurnosnim aspektima tog ugovora sadržava odredbe koje obvezuju ugovaratelja na poštovanje minimalnih standarda propisanih ovom odlukom. Nepoštovanje tih minimalnih standarda može biti dovoljan razlog za raskid ugovora. |
|
5. |
Ugovor koji podrazumijeva intervencije koje zahtijevaju hitno premještanje podataka FIDUCIA na sigurno mjesto navodi broj službenika za sigurnost koji moraju imati sigurnosnu ovlast. Ne sadržava nikakve detalje o postupcima koje treba provesti. Taj se ugovor ne označava oznakom FIDUCIA. |
|
6. |
Ugovaratelj ne može podugovoriti aktivnosti definirane u pozivu na nadmetanje i u ugovoru koji uključuje ili zahtijeva pristup podacima FIDUCIA. |