1.   Ovom se Odlukom utvrđuju osnovna načela i minimalni sigurnosni standardi za zaštitu klasificiranih podataka s kojima Revizorski sud postupa u okviru izvršavanja svojih zadaća.

2.   Za potrebe ove Odluke pojam klasificirani podatci označava bilo koju ili sve od sljedećih vrsta podataka:

3.   Revizorski sud postupa s podatcima sa stupnjem tajnosti RESTREINT UE/EU RESTRICTED u svojim prostorijama i u tu svrhu poduzima sve potrebne zaštitne mjere. U slučajevima u kojima članovi osoblja Revizorskog suda trebaju pristupiti klasificiranim podatcima EU-a viših stupnjeva tajnosti osiguravaju im se uvjeti kako bi to mogli učiniti u odgovarajućim prostorijama drugih institucija, tijela ili agencija.

4.   Ova se Odluka primjenjuje na sve službe i prostorije Revizorskog suda.

5.   Uz iznimku slučajeva u kojima se određena odredba odnosi na posebne skupine osoblja, ova se Odluka primjenjuje na članove Revizorskog suda, osoblje Revizorskog suda na koje se primjenjuju Pravilnik o osoblju i Uvjeti zaposlenja ostalih službenika Europske unije (2), nacionalne stručnjake upućene na rad na Revizorskom sudu, pružatelje usluga i njihovo osoblje, stažiste i sve osobe koje imaju pristup zgradama i drugoj imovini Revizorskog suda ili informacijama kojima upravlja Revizorski sud.

6.   Osim ako je drukčije navedeno, odredbe o klasificiranim podatcima EU-a primjenjuju se na isti način na klasificirane podatke iz stavka 2. točaka (b) i (c) ovog članka.

1.   Revizorski sud jamči zaštitu svih klasificiranih podataka koji su mu dostavljeni na način koji je razmjeran stupnju tajnosti koji je odredio njihov autor i u skladu s ovom Odlukom.

2.   U tu svrhu Revizorski sud pri postupanju s klasificiranim podatcima EU-a primjenjuje fizičke i, prema potrebi, sigurnosne mjere u vezi s osobljem, uključujući ovlaštenja za pristup imenovanih osoba te mjere za zaštitu komunikacijskih i informacijskih sustava. Te su mjere opisane u člancima od 4. do 6. i primjenjuju se tijekom cijelog životnog ciklusa klasificiranih podataka EU-a. One moraju biti razmjerne stupnju tajnosti klasificiranih podataka EU-a, obliku i količini podataka ili materijala, mjestu i konstrukciji objekata u kojima su ti podatci smješteni i lokalno procijenjenoj prijetnji od zlonamjernih i/ili kriminalnih aktivnosti, uključujući špijunažu, sabotažu i terorizam.

3.   Klasificirani podatci EU-a zaštićeni su mjerama fizičke sigurnosti, a podatci sa stupnjem tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ili višim stupnjem dodatno su zaštićeni sigurnosnim mjerama u vezi s osobljem.

4.   Klasificirani podatci EU-a mogu se pružiti na uvid isključivo osobama unutar institucije za koje je utvrđena nužnost pristupa tim podatcima. Imatelj bilo kojeg klasificiranog podatka EU-a dužan je zaštititi ga u skladu s ovom Odlukom.

5.   Klasificirani podatci EU-a ne smiju se otkrivati ni usmeno ni pismeno. Preliminarna opažanja, izvješća, mišljenja, priopćenja za medije i drugi dokumenti Revizorskog suda, njegove internetske i intranetske stranice, usmene intervencije, odgovori na zahtjeve za pristup dokumentima (3) te zvučni zapisi i videozapisi ne smiju sadržavati klasificirane podatke EU-a ili njihove izvatke i u njima se ne smije upućivati na takve podatke. Međutim, ako je autor objavio dokumente ili informacije koji sadržavaju upućivanje na klasificirane podatke EU-a, to se upućivanje može navesti.

6.   Neovisno o stavku 5., Revizorski sud i autor mogu dogovoriti da, u slučaju posebne revizije, Revizorski sud može reproducirati ili upotrijebiti elemente klasificiranih podataka EU-a u određenom dokumentu. U tom slučaju taj se dokument Revizorskog suda prvo šalje autoru predmetnih klasificiranih podataka EU-a prije ili tijekom raspravnog postupka. U toj situaciji Revizorski sud i autor dogovaraju hoće li označiti dokument Revizorskog suda klasificiranim. Ako član Revizorskog suda koji ima ulogu izvjestitelja smatra da je izvješće o reviziji koje je u cijelosti ili djelomično klasificirano potrebno dostaviti određenim primateljima u Europskom parlamentu ili Vijeću – vodeći računa o svim sigurnosnim mjerama povezanima s ovom Odlukom – za to je potrebna suglasnost autora klasificiranih podataka. Pravni okvir i postupak za razmjenu takvih dokumenata utvrđeni su u članku 7.

7.   Ako je za izvršavanje zadaća Revizorskog Suda određene elemente klasificiranog dokumenta ili podataka potrebno proslijediti širem krugu primatelja, Revizorski sud, uzimajući u obzir oznaku stupnja tajnosti, savjetuje se s autorom prije donošenja odluke o upotrebi tih elemenata ili podataka u slučaju da smatra da za to postoji prevladavajući javni interes. Podatci se u izvješću upotrebljavaju isključivo na način kojim se ne može naštetiti interesima autora. To bi se moglo zajamčiti na odgovarajući način tako da se od autora zatraži da se očituje u svrhu postizanja dogovora o načinu anonimizacije, sažimanja ili uopćenja podataka i sl. te da se istodobno poštuju interesi onih na koje se objavljeni podatci u prvom redu odnose.

8.   Revizorski sud ne dostavlja klasificirane podatke EU-a drugoj instituciji, agenciji, tijelu ili uredu EU-a, državi članici, trećoj zemlji ili međunarodnoj organizaciji bez prethodnog savjetovanja s autorom i njegove izričite pismene suglasnosti.

9.   Osim ako je autor dokumenta sa stupnjem tajnosti SECRET UE/EU SECRET ili nižim stupnjem ograničio mogućnost njegova umnožavanja ili prijevoda, takvi se dokumenti mogu umnožavati ili prevoditi na zahtjev imatelja i u skladu s praktičnim radnim uputama tijela za informacijsku sigurnost na Revizorskom sudu. Sigurnosne mjere koje se primjenjuju na izvorni dokument primjenjuju se i na njegove preslike i prijevode.

10.   Ako je Revizorskom sudu potrebno da se za određeni klasificirani dokument koji je zaprimio ili kojem smije pristupiti smanji stupanj tajnosti ili da se on deklasificira, Sud se savjetuje s autorom kako bi upitao može li autor dokumenta dostaviti inačicu dokumenta koja ima niži stupanj tajnosti ili koja je deklasificirana.

1.   Na temelju svojih funkcija članovi Revizorskog suda ovlašteni su imati pristup svim klasificiranim podatcima EU-a i sudjelovati na sastancima na kojima se postupa s takvim podatcima. Članove se informira o njihovim sigurnosnim obvezama u pogledu zaštite klasificiranih podataka EU-a te oni u pismenom obliku potvrđuju svoju odgovornost za zaštitu takvih podataka.

2.   Neovisno o tome je li riječ o dužnosniku, članu osoblja na kojeg se primjenjuju Uvjeti zaposlenja ostalih službenika ili upućenom nacionalnom stručnjaku, pristup klasificiranim podatcima EU-a odobrava se isključivo članovima osoblja Revizorskog suda:

3.   Postupak na temelju kojeg se određuje može li se određenom dužnosniku ili drugom članu osoblja Revizorskog suda odobriti pristup informacijama sa stupnjem tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ili višim stupnjem, uzimajući u obzir lojalnost, integritet i pouzdanost pojedinca te nakon dobivanja potvrde od nadležnih tijela države članice kako je navedeno u članku 2. točki (n), utvrđuje se u delegiranoj odluci donesenoj u skladu s člankom 10. stavkom 10. Odluke o davanju ovlaštenja za pristup donosi ravnatelj Uprave Revizorskog suda za kadrovske poslove, financije i opće usluge.

4.   Ravnatelj Uprave Revizorskog suda za kadrovske poslove, financije i opće usluge može izdavati certifikate o sigurnosnoj provjeri osobe navodeći stupanj tajnosti za koji se pojedincima može odobriti pristup klasificiranim podatcima EU-a (CONFIDENTIEL UE/EU CONFIDENTIAL ili viši stupanj), razdoblje valjanosti odgovarajućeg ovlaštenja za pristup i datum isteka certifikata.

5.   Samo osobe s ovlaštenjem iz stavka 2. točke iii. i članovi Revizorskog suda u skladu sa stavkom 1. mogu sudjelovati na sastancima na kojima se postupa s podatcima sa stupnjem tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ili višim stupnjem. Revizorski sud i autor utvrđuju praktične aspekte održavanja takvih sastanaka za svaki pojedini slučaj.

6.   Službe Revizorskog suda koje su odgovorne za organizaciju sastanaka na kojima će se postupati s podatcima sa stupnjem tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ili višim stupnjem pravodobno obavješćuju tijelo za informacijsku sigurnost o datumima sastanaka, vremenu i lokacijama te mu dostavljaju popise sudionika.

7.   Svaka osoba koja raspolaže klasificiranim podatcima EU-a bez odgovarajućeg ovlaštenja i/ili dokazane nužnosti pristupa mora to što prije prijaviti tijelu za informacijsku sigurnost i voditi računa o tome da su klasificirani podatci EU-a zaštićeni u skladu s ovom Odlukom.

1.   „Fizička sigurnost” odnosi se na upotrebu fizičkih i tehničkih zaštitnih mjera za sprječavanje neovlaštenog pristupa klasificiranim podatcima EU-a.

2.   Svrha je mjera fizičke sigurnosti sprječavanje tajnog ili nasilnog ulaska neovlaštenih osoba, odvraćanje od neovlaštenih radnji, njihovo sprječavanje ili otkrivanje te omogućavanje razvrstavanja osoblja s obzirom na pristup klasificiranim podatcima EU-a prema nužnosti pristupa. Te se mjere utvrđuju na temelju postupka upravljanja rizicima, u skladu s ovom Odlukom.

3.   Nadležno sigurnosno tijelo Revizorskog suda provodi redovite inspekcije zona u kojima se postupa s klasificiranim podatcima EU-a ili u kojima se oni čuvaju.

4.   Za postupanje s klasificiranim podatcima EU-a i njihovu pohranu upotrebljavaju se isključivo oprema ili uređaji koji su u skladu s pravilima o zaštiti klasificiranih podataka EU-a koja se primjenjuju unutar institucija, agencija ili tijela EU-a.

5.   Osoblje Revizorskog suda može pristupiti klasificiranim podatcima EU-a sa stupnjem tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL, višim stupnjem ili istovjetnim stupnjem u sigurnosnim zonama izvan prostorija Revizorskog suda.

6.   Revizorski sud može sklopiti sporazum o razini usluge s drugom institucijom EU-a u Luxembourgu kako bi mogao postupati s podatcima sa stupnjem tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ili višim stupnjem i pohranjivati ih u sigurnosnoj zoni te institucije. Osim ako se autor izričito s time složi, s tim klasificiranim podatcima EU-a ne postupa se niti se oni pohranjuju u prostorijama Revizorskog suda te ih Revizorski sud ne umnožava niti prevodi.

7.   Revizorski sud evidentira zaprimljene podatke sa stupnjem tajnosti RESTREINT UE/EU RESTRICTED. Uvid u informacije sa stupnjem tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL, višim stupnjem ili istovjetnim stupnjem izvan prostorija Revizorskog suda evidentira se iz sigurnosnih razloga.

8.   Klasificirani podatci EU-a sa stupnjem tajnosti RESTREINT UE/EU RESTRICTED mogu se pohraniti u primjerenom zaključanom uredskom namještaju u administrativnoj ili sigurnosnoj zoni. Klasificirani podatci EU-a sa stupnjem tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ili SECRET UE/EU SECRET pohranjuju se na temelju sporazuma o razini usluge u sigurnosnom spremniku u sigurnosnoj zoni druge institucije EU-a u Luxembourgu.

9.   U slučajevima u kojima se klasificirani podatci EU-a prenose izvan registarskog ureda, prijenos između odjela i prostorija obavlja se kako je opisano u nastavku:

10.   Imatelj može uništiti podatke sa stupnjem tajnosti RESTREINT UE/EU RESTRICED, u skladu s pravilima o arhiviranju koja se primjenjuju na Revizorskom sudu. Podatke sa stupnjem tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ili višim stupnjem uništava nadzorni službenik registarskog ureda, i to isključivo kada to zatraži imatelj ili nadležno tijelo u skladu s pravilima o arhiviranju koja se primjenjuju na Revizorskom sudu. Dokumenti sa stupnjem tajnosti SECRET UE/EU SECRET uništavaju se u prisutnosti svjedoka s uvjerenjem o sigurnosnoj provjeri koje odgovara najmanje stupnju tajnosti dokumenta koji se uništava. Nadzorni službenik registarskog ureda i svjedok, ako mora biti prisutan, potpisuju zapisnik o uništenju koji se pohranjuje u registarskom uredu. Nadzorni službenik registarskog ureda čuva evidenciju o uništavanju dokumenata sa stupnjem tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL i SECRET UE/EU SECRET najmanje pet godina.

11.   Tijelo za fizičku sigurnost i tijelo za informacijsku sigurnost sastavljaju zajednički plan, uzimajući u obzir lokalne uvjete, za zaštitu klasificiranih podataka EU-a u kriznim situacijama, uključujući, prema potrebi, planove za njihovo uništenje ili evakuaciju u hitnim situacijama. Ta tijela izdaju upute, kako to smatraju primjerenim, s ciljem sprječavanja da klasificirani podatci EU-a dospiju u ruke neovlaštenih osoba.

12.   U slučajevima u kojima postoji potreba za fizičkim prijevozom klasificiranih podataka EU-a Revizorski sud postupa u skladu s mjerama koje je odredio autor u svrhu njihove zaštite od neovlaštenog otkrivanja tijekom prijevoza.

13.   Mjere fizičke sigurnosti koje se primjenjuju u administrativnim zonama u kojima se postupa s podatcima sa stupnjem tajnosti RESTREINT UE/EU RESTRICTED i u kojima se oni pohranjuju navedene su u Prilogu.

1.   Za potrebe ovog članka „komunikacijski i informacijski sustav” označava bilo koji sustav koji omogućuje postupanje s klasificiranim podatcima EU-a u elektroničkom obliku. Komunikacijski i informacijski sustav obuhvaća sva sredstva potrebna za njegovo funkcioniranje, uključujući infrastrukturu, organizaciju, osoblje i informacijske resurse.

2.   „Legitimni korisnik” član je Revizorskog suda, dužnosnik, drugi član osoblja ili upućeni nacionalni stručnjak s utvrđenom i priznatom potrebom za pristupom posebnom informacijskom sustavu.

3.   Revizorski sud pruža jamstvo da će njegovi sustavi u odgovarajućoj mjeri štititi podatke s kojima se u okviru njih postupa i da će funkcionirati onako kako je potrebno i kada je to potrebno, pod nadzorom legitimnih korisnika. U tu svrhu njima se jamče odgovarajuće razine:

To se jamstvo temelji na procesu upravljanja rizicima. „Rizik” označava mogućnost da će određena prijetnja dovesti do iskorištavanja unutarnjih i vanjskih slabih točaka organizacije ili bilo kojeg sustava koji organizacija upotrebljava i na taj način naštetiti organizaciji i njezinoj materijalnoj i nematerijalnoj imovini. Mjeri se kao kombinacija vjerojatnosti pojave prijetnji i njihova učinka. Proces upravljanja rizicima sastoji se od sljedećih koraka: prepoznavanje prijetnji i slabih točaka, procjena rizika, postupanje s rizicima, prihvaćanje rizika i obavješćivanje o rizicima.

4.   Svi elektronički uređaji i oprema koji se upotrebljavaju za postupanje s klasificiranim podatcima EU-a moraju biti u skladu s pravilima koja se primjenjuju na zaštitu tih podataka. Prednost se daje elektroničkim uređajima i opremi koje je već akreditirala druga institucija, agencija ili tijelo EU-a. Sigurnost uređaja jamči se tijekom njihova cjelokupnog vijeka trajanja.

5.   Komunikacijski i informacijski sustav Revizorskog suda za postupanje s klasificiranim podatcima EU-a akreditira odgovarajuće tijelo. U tu svrhu Revizorski sud sklapa sporazum o razini usluge s tijelom za sigurnosnu akreditaciju iz jedne od institucija EU-a koja ima mogućnost akreditirati komunikacijski i informacijski sustav u okviru kojeg se postupa s klasificiranim podatcima EU-a s ciljem pribavljanja izjave o akreditaciji za podatke sa stupnjem tajnosti RESTREINT UE/EU RESTRICTED s kojima se može postupati u okviru informacijskog i komunikacijskog sustava Revizorskog suda, kao i odgovarajućih uvjeta za njegovu upotrebu. U sporazumu o razini usluge također se upućuje na standarde koji se primjenjuju za proces akreditacije te se on sklapa u skladu s postupkom utvrđenim u članku 10. stavku 3.

6.   U slučaju da Revizorski sud treba uspostaviti vlastiti postupak akreditacije za svoj komunikacijski i informacijski sustav delegiranom odlukom iz članka 10. stavka 10. ove Odluke uspostavlja se proces koji je u skladu sa standardima za proces akreditacije komunikacijskih i informacijskih sustava u okviru kojih se postupa s klasificiranim podatcima EU-a u drugim institucijama, agencijama i tijelima EU-a.

7.   Odgovornost za pripremu akreditacijskih spisa i dokumentacije u skladu s važećim standardima u potpunosti snosi vlasnik komunikacijskog i informacijskog sustava.

8.   U slučajevima u kojima se klasificirani podatci EU-a štite kriptografskim proizvodima Revizorski sud daje prednost proizvodima koje je odobrilo Vijeće ili glavni tajnik Vijeća u svojoj ulozi tijela za odobravanje kriptomaterijala ili, u protivnom, proizvodima za zaštitu klasificiranih podataka EU-a koje su odobrile druge institucije, agencije i tijela EU-a.

9.   Za postupanje s podatcima sa stupnjem tajnosti RESTREINT UE/EU RESTRICTED upotrebljavaju se isključivo elektronički uređaji (kao što su radne stanice, pisači, fotokopirni uređaji) koji se nalaze u administrativnoj zoni ili sigurnosnoj zoni. Elektronički uređaji koji se upotrebljavaju za postupanje s podatcima sa stupnjem tajnosti RESTREINT UE/EU RESTRICTED odvojeni su od drugih računalnih mreža i zaštićeni odgovarajućim fizičkim ili tehničkim mjerama.

10.   Svi članovi osoblja Revizorskog suda koji su uključeni u oblikovanje, razvoj i testiranje komunikacijskog i informacijskog sustava za postupanje s klasificiranim podatcima EU-a, koji rukuju ili upravljaju tim sustavom ili se njime koriste obavješćuju službenika za informacijsku sigurnost o svim potencijalnim sigurnosnim nedostatcima i incidentima te slučajevima povrede sigurnosti ili ugrožavanja koji bi mogli utjecati na zaštitu tog sustava i/ili klasificiranih podataka EU-a koje on sadržava.

1.   U slučajevima u kojima su na temelju Ugovora ili pravnih akata donesenih na temelju Ugovora zakonski obvezni to učiniti, institucije, agencije, tijela i uredi EU-a te nacionalna tijela na vlastitu inicijativu ili na pismeni zahtjev predsjednika Revizorskog suda, člana ili članova izvjestitelja ili glavnog tajnika Revizorskom sudu omogućuju pristup klasificiranim podatcima EU-a u skladu s postupkom u nastavku.

2.   Zahtjevi za pristup šalju se relevantnim institucijama preko pisarnice Revizorskog suda.

3.   Revizorski sud prema potrebi sklapa administrativni dogovor o praktičnim aspektima razmjene klasificiranih podataka EU-a ili jednakovrijednih informacija.

4.   Za potrebe sklapanja takvih administrativnih dogovora Revizorski sud pruža autoru sve potrebne informacije o svojem sustavu informacijske sigurnosti. U slučaju da je to potrebno može se organizirati posjet radi procjene stanja.

5.   Ti administrativni dogovori sklapaju se u cijelosti u skladu s načelima dodjeljivanja i lojalne suradnje iz članka 13. Ugovora o Europskoj uniji. Sklapaju se u skladu s postupkom utvrđenim u članku 10. stavku 4.

6.   U slučajevima u kojima s određenom institucijom tijelom ili agencijom EU-a, trećom državom ili međunarodnom organizacijom nije sklopljen administrativni dogovor o dostavljanju klasificiranih podataka Revizorskom sudu, Revizorski sud potpisuje izjavu o preuzimanju obveze zaštite klasificiranih podataka koje zaprimi.

1.   Povreda sigurnosti označava radnju ili propust koji su u suprotnosti sa sigurnosnim propisima utvrđenima ovom Odlukom i njezinim provedbenim pravilima.

2.   Do ugrožavanja dolazi kada su klasificirani podatci EU-a, kao rezultat povrede sigurnosti, djelomično ili u cijelosti otkriveni neovlaštenim osobama.

3.   Svaka povreda ili sumnja na povredu sigurnosti odmah se prijavljuje tijelu Revizorskog suda za informacijsku sigurnost.

4.   U slučajevima u kojima postoji saznanje ili opravdani razlozi za pretpostavku da su klasificirani podatci EU-a ugroženi ili izgubljeni, tijelo za informacijsku sigurnost obavješćuje ravnatelja Uprave za kadrovske poslove, financije i opće usluge i glavnog tajnika Revizorskog suda. Ravnatelj Uprave za kadrovske poslove, financije i opće usluge odmah obavješćuje relevantno sigurnosno tijelo autora. Predmetni ravnatelj Revizorskog suda provodi istragu i obavješćuje glavnog tajnika Revizorskog suda i sigurnosno tijelo autora o rezultatima i mjerama poduzetima kako bi se spriječilo da se ta situacija ponovi. U slučaju da je riječ uključen član Revizorskog suda predsjednik Revizorskog suda odgovoran je za poduzimanje mjera u suradnji s glavnim tajnikom Revizorskog suda.

5.   Na svakog dužnosnika ili drugog člana osoblja Revizorskog suda koji je odgovoran za povredu sigurnosnih propisa utvrđenih u ovoj Odluci i njezinim provedbenim pravilima primjenjuju se sankcije predviđene Pravilnikom o osoblju i Uvjetima zaposlenja ostalih službenika Europske unije.

6.   Na svakog člana Revizorskog suda koji ne postupi u skladu s uvjetima iz ove Odluke primjenjuju se mjere i sankcije predviđene člankom 286. stavkom 6. Ugovora.

7.   Protiv svake osobe odgovorne za gubitak ili ugrožavanje klasificiranih podataka EU-a može se pokrenuti disciplinski i/ili pravni postupak u skladu s važećim zakonima, pravilima i propisima.

1.   Revizorski sud na ugovornoj osnovi može povjeriti izvršenje zadaća koje uključuju ili zahtijevaju pristup klasificiranim podatcima EU-a izvođačima registriranima u državama članicama. Takvi slučajevi posebno mogu biti povezani s održavanjem komunikacijskih i informacijskih sustava i računalne mreže.

2.   U slučaju vanjske intervencije Revizorski sud poduzima sve potrebne sigurnosne mjere iz stavka 3. ovog članka, uključujući zahtijevanje uvjerenja o sigurnosnoj provjeri pravne osobe kako bi se zajamčilo da natjecatelji i ponuditelji štite klasificirane podatke EU-a tijekom trajanja natječaja i postupka javne nabave, kao i izvođači i podizvođači tijekom trajanja ugovora. Javni naručitelj vodi računa o tome da su minimalni sigurnosni standardi predviđeni ovom Odlukom navedeni u ugovorima kako bi se izvođače obvezalo da ih poštuju.

3.   Sigurnosni propisi, postupci javne nabave te predlošci i modeli ugovora i podugovora koji uključuju pristup klasificiranim podatcima EU-a, obavijesti o nadmetanju, smjernice o okolnostima u kojima su potrebna uvjerenja o sigurnosnoj provjeri osoba i pravnih osoba, sigurnosne upute za određeni program ili projekt, dopisi o sigurnosnim aspektima, posjeti te prijenos i prijevoz klasificiranih podataka EU-a u okviru takvih ugovora i podugovora u skladu su s pravilima, predlošcima i modelima koje je Europska komisija utvrdila za klasificirane ugovore u Odluci Komisije (EU, Euratom) 2015/444 (4).

1.   Službe Revizorskog suda poduzimaju sve potrebne mjere u okviru svoje nadležnosti kako bi zajamčile da pri postupanju s klasificiranim podatcima EU-a ili drugim klasificiranim podatcima i pri njihovu čuvanju primjenjuju ovu Odluku i relevantna provedbena pravila.

2.   Glavni tajnik tijelo je za imenovanje i tijelo ovlašteno za sklapanje ugovora o radu za sve dužnosnike i ostalo osoblje. Glavni tajnik može delegirati odgovornost za davanje ovlaštenja dužnosnicima i ostalom osoblju za pristup podatcima sa stupnjem tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ili višim stupnjem, za obavljanje svoje funkcije tijela za sigurnosnu akreditaciju te za nadzor nad tajništvom Suda u pogledu postupanja s klasificiranim podatcima EU-a ravnatelju Uprave za kadrovske poslove, financije i opće usluge.

3.   Glavni tajnik nadležan je za sklapanje sporazuma o razini usluge u vezi s akreditacijom komunikacijske i informacijske opreme i sustava Revizorskog suda, upotrebom sigurnosne zone u drugoj instituciji EU-a i postupku za zahtjeve za uvjerenja o sigurnosnoj provjeri osoba za pristup klasificiranim podatcima EU-a.

4.   Ravnatelj Uprave za kadrovske poslove, financije i opće usluge nadležan je za sklapanje administrativnih dogovora s institucijama, agencijama i drugim tijelima EU-a u svrhu razmjene klasificiranih podataka EU-a koji su Revizorskom sudu potrebni za izvršavanje njegovih zadaća. Predmetni ravnatelj također može sklapati administrativne dogovore o zaštiti zaprimljenih klasificiranih podataka s trećim zemljama ili međunarodnim organizacijama.

5.   Ravnatelj Uprave za kadrovske poslove, financije i opće usluge nadležan je za potpisivanje izjave o preuzimanju obveze za zaštitu klasificiranih podataka EU-a koje je potrebno dostaviti u kontekstu iznimnog ad hoc otkrivanja.

6.   Službenik Revizorskog suda za informacijsku sigurnost djeluje kao tijelo za informacijsku sigurnost. Službenik za informacijsku sigurnost i osobe kojima djelomično ili u cijelosti delegira svoje zadaće moraju proći odgovarajuću sigurnosnu provjeru. Tijelo za informacijsku sigurnost obavlja svoje dužnosti u bliskoj suradnji s Upravom za kadrovske poslove, financije i opće usluge, Upravom za informacije, radnu okolinu i inovacije te upravom Odbora za kontrolu kvalitete revizija (vidjeti posebno članke 4., 6. i 8.). Tijelo za informacijsku sigurnost ujedno je odgovorno za održavanje sastanaka u svrhu osposobljavanja i razvijanja svijesti o informacijskoj sigurnosti te za provedbu redovitih inspekcija u svrhu provjere usklađenosti s ovom Odlukom, uključujući u slučaju vanjske intervencije, kao i za sve mjere koje je potrebno poduzeti kako bi se zajamčila usklađenost.

7.   Voditelj službe sigurnosti odgovoran je za mjere fizičke sigurnosti (posebice članak 5.).

8.   Pisarnica koja je uspostavljena u okviru tajništva Suda ulazna je i izlazna točka za podatke sa stupnjem tajnosti RESTREINT UE/EU RESTRICTED koje Revizorski sud može razmjenjivati s drugim institucijama, agencijama i tijelima EU-a te državama članicama. Ona je ujedno ulazna i izlazna točka za istovjetne podatke trećih zemalja i međunarodnih organizacija. Način na koji je organizirana pisarnica utvrđuje se u delegiranoj odluci. Službenik pisarnice preuzima sljedeće glavne odgovornosti:

9.   Na temelju sporazuma o razini usluge u vezi s upotrebom sigurnosne zone u jednoj od drugih institucija EU-a uspostavlja se registarski ured. Predmetni registarski ured koji organizira tajništvo Suda pod odgovornošću ravnatelja Uprave Revizorskog suda za kadrovske poslove, financije i opće usluge ulazna je i izlazna točka za podatke sa stupnjem tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ili višim stupnjem koje Revizorski sud može razmjenjivati s drugim institucijama, agencijama i tijelima EU-a te državama članicama. On je ujedno ulazna i izlazna točka za istovjetne podatke trećih zemalja i međunarodnih organizacija. Opremljen je odgovarajućim sefovima i drugom sigurnosnom opremom prikladnom za zaštitu podataka sa stupnjem tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ili višim stupnjem. Način na koji je organiziran registarski ured utvrđuje se u delegiranoj odluci. Nadzorni službenik registarskog ureda mora proći odgovarajuću sigurnosnu provjeru i preuzima sljedeće glavne odgovornosti:

10.   Upravni odbor donosi delegiranu odluku kojom se utvrđuju provedbena pravila za ovu Odluku. Službenik za informacijsku sigurnost utvrđuje smjernice za informacijsku sigurnost. Odbor za kontrolu kvalitete revizija sastavlja smjernice za reviziju.