Varovanje Poslovne skrivnosti v varnostno nadzornih centrih Avtor: Andrej Pilko, dipl. inž. str., varnostni menedžer, koncern Sintal Danes vse težje najdemo poslovne objekte, ki jih s požarnim, protivlomnim ali drugim varovanjem ne varuje varnostno podjetje. Srce vsakega varnostnega podjetja je varnostno nadzorni center, ki koordinira in nadzira vse storitve varnostnikov in delovanje varnostnih sistemov na varovanih območjih. Varnostno nadzorni centri rokujejo z občutljivimi podatki naročnikov varovanja. Zakonodaja od varnostnih podjetij zahteva ne le skrbno ravnanje s podatki, temveč tudi, da morajo naročnike jasno seznaniti, da bodo njihovi podatki obdelovani in kdo bo razpolagal z njimi, ter za to pridobiti soglasje. Pa je tako tudi v praksi? Poslovne skrivnosti in osebni podatki v varnostno nadzornih centrih Varnostno nadzorni centri za opravljanje svojega dela potrebujejo tudi podatke naročnikov, ki so obravnavani kot poslovne skrivnosti in osebni podatki, pri nekaterih naročnikih tudi tajni podatki. Osnova za izvajanje del varovanja so popis sistema tehničnega varovanja, načrt varovanja in drugi podatki o varovanju, ki štejejo za poslovno skrivnost in vsebujejo informacije o načinih in režimu varovanja. Obseg delovanja varnostno nadzornih centrov in s tem tudi potrebnih podatkov je zelo velik. Po 19. členu Zakona o zasebnem varovanju je namreč lasten ali s pogodbo zagotovljen varnostno nadzorni center (VNC) pogoj za opravljanje storitev varovanja ljudi in premoženja, prevoza in varovanja gotovine ter drugih vrednostnih pošiljk, varovanja javnih zbiranj, varovanja oseb in varovanja prireditev v gostinskih lokalih. Ministrstvo za notranje zadeve v svojem zapisu kot regulator tolmači, da je "razpolaganje z VNC nujen in logičen pogoj, kajti neposredna povezava varnostnika na terenu z dežurnim operaterjem v VNC je sestavni del varovanja. Operaterji VNC koordinirajo delovanje varnostnikov na terenu, delovanje intervencijskih ekip, shranjujejo prejeta sporočila, sprejemajo alarmne signale itn. VNC je sestavni in neločljivi del celotnega sistema varovanja, ki ga izvaja imetnik licence pri naročniku varovanja. Nanj so vezani alarmni signali sistemov tehničnega varovanja; v primeru sprožitve opera-ter VNC o tem v skladu z medsebojno pogodbo obvesti varnostnika družbe, s katerim je naročnik sklenil pogodbo o varovanju." Varnostno nadzorni center je torej integralni del pretoka informacij in je zato skrbno ravnanje z njim izjemnega pomena. Varnostna podjetja v Sloveniji lahko glede upravljanja z varnostno-nadzornim centrom ločimo v tri vrste: 1. Varnostno podjetje z dvema lastnima varnostno nadzornima centroma V tem primeru je izvajalec storitev varovanja in storitev varnostno nadzornega centra isti. Tako naročniku ni potrebno podajati dodatnega pogodbenega soglasja za storitve varnostno nadzornega centra. V Sloveniji ima dva lastna varnostno-nadzorna centra le Sintal. Ker je vključeno manjše število izvajalcev, so manjša tudi tveganja za napako in je s tem naročnikom zagotovljena najvišja stopnja varovanja. 2. Varnostno podjetje z enim lastnim in enim najetim varnostno nadzornim centrom Takšno podjetje mora naročnika seznaniti, da se bodo njegovi podatki stekali k zunanjemu izvajalcu nadomestnega varnostno nadzornega centra, tega izvajalca mora jasno opredeliti v pogodbi. 16 Delo in varnost Varovanje 3. Varnostno podjetje z dvema najetima varnostno nadzornima centroma V tem primeru mora podjetje naročnika seznaniti z izvajalcem za glavni in nadomestni varnostno nadzorni center, h katerima se bodo stekali podatki, in ju jasno opredeliti v pogodbi. Ministrstvo za notranje zadeve v svojem zapisu pojasnjuje: "ZZasV-1 v tretjem odstavku 11. člena določa, da mora imetnik licence pred opravljanjem zasebnega varovanja z naročnikom storitve skleniti pisno pogodbo o varovanju, iz katere sta razvidna oblika in obseg varovanja. Če pri opravljanju dejavnosti zasebnega varovanja pri istem naročniku storitve za varovanje iste stvari sodeluje še tudi drug imetnik licence, mora biti to razvidno iz pogodbe ali dodatka k pogodbi. Jasno pa je, da morajo vsi pogodbeniki opravljati svoje delo v skladu s predpisi na področju zasebnega varovanja in drugih predpisih, ki se nanašajo na opravljanje tovrstnih storitev (npr. varstvo osebnih podatkov). Tako je tudi v primeru, da varnostna družba, s katero ima imetnik licence sklenjeno pogodbo o zagotavljanju storitev VNC, obdeluje osebne podatke naročnika storitev, mora naročnik dovoliti njeno angažiranje s strani imenika licence, s katero je sklenil storitev. Na podlagi navedenega menimo, da mora biti iz pogodbe razvidno, da pri varovanju naročnika storitev za varovanje iste stvari sodeluje več imetnikov licence." PROBLEMATIKA VARNOSTNO NADZORNIH CENTROV V SLOVENIJI V praksi se dogaja, da naročniki varovanja niso ustrezno seznanjeni, da se njihovi občutljivi podatki stekajo v Varnostno nadzorni centri za opravljanje svojega dela potrebujejo tudi podatke naročnikov, ki so obravnavani kot poslovne skrivnosti in osebni podatki, pri nekaterih naročnikih tudi tajni podatki. ZAKAJ STA ZA ZAKONITO IN KAKOVOSTNO VAROVANJE POTREBNA DVA VARNOSTNO NADZORNA CENTRA Standard EN 50518, ki je z zakonom predpisan za varnostno nadzorne centre, v drugem delu v točki 7.4 določa, da mora imetnik licence za varnostno nadzorni center v primeru izpada varnostno nadzornega centra najkasneje v eni uri zagotoviti nemoteno delovanje oziroma zagotoviti rezervno napravo in postopek za nemoteno delovanje VNC. V točki 11.2 določa, katere nepredvidljive dogodke je potrebno upoštevati pri sestavljanju načrta delovanja varnostno nadzornega centra: požar, nalet letala, vlaka, kriminalni napadi, terorizem ... Torej, dogodke, za katere vemo, da varnostno nadzorni center trajno onesposobijo. Zato je v praksi edini način zagotovitve zahtevanega delovanja varnostno nadzornega centra po standardu dislociran nadomestni varnostno nadzorni center. Druge rešitve za zagotavljanje standarda ne poznajo tudi v tujini. V praksi se zaradi zunanjih dejavnikov (izpad komunikacijskih povezav), na katere varnostno podjetje nima vpliva, zgodi tudi, da varnostno nadzorni center krajši čas ne deluje. V tem primeru mora vse funkcije nemudoma avtomatično prevzeti drugi varnostno nadzorni center, s čimer se prepreči škoda, ki bi lahko naročnikom nastala zaradi neukrepanja izvajalca varovanja v času izpada. To pomeni, da se morajo v drugi varnostno nadzorni center prenašati vsi podatki ter da mora drugi varnostno nadzorni center že pred izpadom posedovati vse informacije o načinu in obliki varovanja na varovanih objektih in osebne podatke odgovornih oseb naročnikov. Da varnostno podjetje izpolnjuje zahteve predpisanega standarda, mora imeti torej najmanj dva varnostno nadzorna centra, ki morata biti po ZZasV-1 oba licencirana in po predpisanem standardu certificirana. V primeru izpada enega mora drugi takoj zagotoviti vse funkcije in s tem nadzor nad tehnično varovanimi objekti, varnostniki na varovanih območjih, prevozom denarja, ... 17 Delo in varnost Varovanje varnostno nadzorni center drugega ali celo tretjega varnostnega podjetja. Poleg tega se dogaja tudi, da imajo varnostna podjetja sklenjeno pogodbo za storitve varnostno nadzornega centra s konkurenčnim podjetjem, s katerim se zaradi sporovna trgu razidejo in čez noč prenesejo vse podatke o svojih naročnikih na drug varnostno nadzorni center drugega varnostnega podjetja, ki zanj nato izvaja storitve varnost-no nadzornega centra, o tem pa naročnikov ne seznanijo in seveda ne pridobijo njihovega soglasja. PRAVNI VIDIK RAVNANJA S PODATKI Zakon o varstvu osebnih podatkov in Splošna uredba o varstvu podatkov (GDPR) Varstvo osebnih podatkov urejata Zakon o varstvu osebnih podatkov in evropska Splošna uredba o varstvu podatkov, ki strogo obravnavata vsako zbiranje in obdelavo osebnih podatkov. V varnostno nadzornem centru se zbirajo podatki odgovornih oseb naročnikov storitev varovanja in drugih oseb, ki so povezane z varovanjem oseb in premoženja. Zakon o gospodarskih družbah Zakon o gospodarskih družbah je do sprejema Zakona o poslovni skrivnosti, ki ga navajamo v nadaljevanju, obravnaval poslovno skrivnost v 39. členu in določal, da "za poslovno skrivnost štejejo podatki, za katere tako določi družba s pisnim sklepom." "S tem sklepom morajo biti seznanjeni družbeniki, delavci, člani organov družbe in druge osebe, ki morajo varovati poslovno skrivnost." A v drugem odstavku je dodajal, da "ne glede na to, ali so določeni s sklepi iz prejšnjega odstavka, se za poslovno skrivnost štejejo tudi podatki, za katere je očitno, da bi nastala občutna škoda, če bi zanje izvedela nepooblaščena oseba. Družbeniki, delavci, člani organov družbe in druge osebe so odgovorni za izdajo poslovne skrivnosti, če so vedeli ali bi morali vedeti za tako naravo podatkov." To podatki o varovanju ljudi in premoženja naročnikov storitev zagotovo so. Zakon o poslovni skrivnosti 20. aprila letos je stopil v veljavo novi Zakon o poslovni skrivnosti (ZPosS, (Uradni list RS, št. 22/19), ki na novo ureja področje poslovne skrivnosti. Poslovno skrivnost opredeljuje v 2. členu: "Poslovna skrivnost zajema nerazkrito strokovno znanje, izkušnje in poslovne informacije, ki izpolnjuje naslednje zahteve: 1. je skrivnost, ki ni splošno znana ali lahko dosegljiva osebam v krogih, ki se običajno ukvarjajo s to vrsto informacij; 2. ima tržno vrednost; 3. imetnik poslovne skrivnosti je v danih okoliščinah razumno ukrepal, da jo ohrani kot skrivnost. Domneva se, da je zahteva iz tretje alineje prejšnjega odstavka izpolnjena, če je imetnik poslovne skrivnosti informacijo določil kot poslovno skrivnost v pisni obliki in o tem seznanil vse osebe, ki prihajajo v stik ali se seznanijo s to informacijo, zlasti družbenike, delavce, člane organov družbe in druge osebe." Od sprejetja tega zakona je treba nove dokumente, ki vsebujejo poslovne skrivnosti, tako tudi jasno označiti. Za dokumente, ki so stopili v veljavo pred sprejetjem Zakona o poslovni skrivnosti, pa veljajo določila prej veljavnega 39. člena Zakona o gospodarskih družbah. Zakon o zasebnem varovanju Zakon o zasebnem varovanju (ZZasV-1) je posebni zakon (lex specialis), ki ureja področje zasebnega varovanja. Varovanje podatkov ZZasV-1 obravnava v 14. členu, kjer je zapisano: "Varnostno osebje in povezane osebe v zadevah, ki jih opravljajo, oziroma, ki so jim bile zaupane pri opravljanju nalog zasebnega varovanja, zavezane k varovanju poslovnih skrivnosti, varovanju tajnih in osebnih podatkov v skladu s predpisi, ki urejajo varovanje teh podatkov. Vse skrivnosti in podatke, ki so jih pridobili pri opravljanju nalog zasebnega varovanja, so dolžni varovati tudi po prenehanju delovnega razmerja. 18 Delo in varnost Novice i/.. A A' / / t \ \ I m / hnnd \ ilillill V interesu naročnikov in dejavnosti je, da se to področje čim hitreje uredi, saj bo to prispevalo k preprečitvi tveganj pri varovanju ljudi in premoženja. ZAKONODAJNE ZAHTEVE ZA VARNOSTNO NADZORNE CENTRE Glede na zakonodajo mora imeti varnostno nadzorni center certifikat, ki potrjuje, da je skladen z zahtevami evropskega standarda EN 50518, licenco, ki jo podeljuje Ministrstvo za notranje zadeve, in v njem mora biti redno zaposlenih najmanj deset operaterjev. Evropski standard EN 50518 je z Odredbo o določitvi standardov, ki so obvezni na področju zasebnega varovanja, predpisalo Ministrstvo za notranje zadeve. Namen predpisane ureditve varnostno nadzornih centrov je zagotoviti določeno raven varnosti in s tem preprečiti nevarne situacije. Pridobljeni certifikat zagotavlja, da je brezhibnostvarnostnonadzornegacentratemeljitopreveri-la akreditirana zunanja institucija. Ne glede na prejšnji odstavek se za poslovno skrivnost po tem zakonu štejejo tudi podatki iz projektov tehnične dokumentacije za izvedbo sistemov tehničnega varovanja in drugi podatki o varovanju, za katere je očitno, da bi nastala naročniku storitve zasebnega varovanja občutna škoda, če bi zanje izvedela nepooblaščena oseba. Druga pravna ali fizična oseba, ki pride do podatkov iz tega člena, je zavezana k varovanju poslovne skrivnosti ter osebnih in tajnih podatkov, če je vedela ali bi morala vedeti, da je podatek poslovna skrivnost, osebni ali tajni podatek." ZZasV-1 torej jasno opredeljuje, da ne glede na to, ali je dokument, ki vsebuje občutljive informacije o varovanju, označen kot poslovna skrivnost ali ne, mora varnostno podjetje z njim ravnati kot s poslovno skrivnostjo. Dejstvo je, da je v stroki varovanja jasno, da so dokumenti, ki vsebujejo občutljive informacije o obliki in načinu varovanja, poslovna skrivnost. Zato je obveza izvajalcev varovanja, da s temi informacijami ravnajo posebej skrbno ne glede na to, ali so bili dokumenti opredeljeni kot poslovna skrivnost ali ne. V interesu naročnikov in dejavnosti je, da se to področje čim hitreje uredi, saj bo to prispevalo k preprečitvi tveganj pri varovanju ljudi in premoženja. KAJ USTREZNO UREJEN IN CERTIFICIRAN VARNOSTNO NADZORNI CENTER POMENI ZA NAROČNIKE STORITEV VAROVANJA? Kakovost varovanja. Če varnostno nadzorni center ni zmožen ustrezno obdelati alarmnih signalov z varovanih objektov in sprožiti varnostnih postopkov, so ogroženi življenje, zdravje in premoženje naročnikov varovanja in tudi varnostnikov, ki v kritičnih situacijah ne morejo poklicati na pomoč. Brez zapletov pri zavarovalnicah. Če varnostna družba nima varnostno nadzornega centra certificiranega v skladu z zakonsko predpisanim standardom EN 50518, pomeni, da ne posluje v skladu z zakonodajo. Zakonitost opravljanja storitev varovanja je za naročnike varovanja zelo pomembna v primeru škodnih dogodkov, saj lahko zavarovalnice izplačilo odškodnine zavrnejo, če se storitev ne opravlja v skladu z zakonom. Občutljivi podatki. To pomembno področje podrobneje razlagamo v glavnem članku. Delo in varnost 19