Pravne osobe registrirane u Republici Hrvatskoj mogu, pod propisanim uvjetima, dobiti certifikat poslovne sigurnosti (eng. Security Clearance). Certifikat je uvjerenje putem kojeg nadležna sigurnosna agencija potvrđuje da je pravna osoba prošla kroz zakonsku proceduru sigurnosne provjere te da može sklapati klasificirane ugovore koji na sebi imaju oznake „Povjerljivo“, „Tajno“ i „Vrlo tajno“ s državnim tijelom iz RH ili državama EU/NATO članicama, ili pravnim osobama koje imaju interes za rad na poslovima NATO-a i uključuju se u registar poslovnih subjekata NATO-a.
Certifikat poslovne sigurnosti vrijedi 5 godina od dana izdavanja, a izdaje ga Ured vijeća za nacionalnu sigurnost (UVNS) na zahtjev državnog tijela iz RH ili nadležnog sigurnosnog tijela NATO/EU članice ili na zahtjev Ministarstva gospodarstva u slučaju da se sklapa klasificirani ugovor s pravnom osobom koja ima interes za rad na poslovima NATO-a. Certifikatom se također potvrđuje da pravna osoba ima, odnosno da pravna osoba nema akreditirani prostor za pohranu klasificiranih podataka određenog stupnja tajnosti.
Certifikat poslovne sigurnosti je preduvjet za sklapanje ugovora u kojima se razmjenjuju klasificirani podaci između državnog tijela i pravne osobe, a certifikacijom pravna osoba potvrđuje primjenu mjera i standarda informacijske sigurnosti za potrebe određenog klasificiranog ugovora.
Prema Uredbi o mjerama informacijske sigurnosti Zahtjev za izdavanje certifikata obavezno sadrži: naziv, adresu i matični broj pravne osobe za koju se traži certifikat, razlog zbog kojeg se traži certifikat, stupanj tajnosti klasificiranih podataka te popunjen i ovjeren Upitnik za sigurnosnu provjeru pravne osobe.
Sukladno Zakonu o sigurnosnim provjerama sigurnosna provjera je postupak kojim nadležna tijela utvrđuju: postojanje sigurnosnih zapreka za pristup klasificiranim podacima, zlouporabu ili postojanje rizika od zlouporabe radnog mjesta ili dužnosti, odnosno određenih prava ili ovlasti na štetu nacionalne sigurnosti ili interesa Republike Hrvatske te postojanje rizika za sigurnost štićenih osoba i sigurnost njihovih obitelji te imovine ili za sigurnost štićenih objekata.
Člankom 74. Uredbe o mjerama informacijske sigurnosti određeno je da sigurnosna provjera pravne osobe obuhvaća:
– provjeru vlasništva, provjeru strukture vlasništva, podatke o tvrtkama u vlasništvu, provjeru ukupnog poslovanja, te financijskih obveza, s obzirom na moguće sigurnosne rizike;
– sigurnosnu provjeru vlasnika, direktora, članova uprave i nadzornog odbora, udjeličara i dioničara, koji, s obzirom na svoju funkciju, mogu ostvariti pristup klasificiranim podacima;
– sigurnosnu provjeru osobe, predložene za savjetnika za informacijsku sigurnost u pravnoj osobi, za njegova zamjenika, te zaposlenike koji ostvaruju pristup klasificiranim podacima.
Kao što je i navedeno, Uredbom je određeno da sigurnosnu provjeru prolaze i fizičke osobe unutar pravne osobe koje imaju mogućnost pristupa klasificiranim podacima, a njima UVNS izdaje Uvjerenje o sigurnosnoj provjeri također na rok od 5 godina. Dakako, svaki puta kada se unutar pravne osobe pojavi nova fizička osoba koja ima mogućnost pristupa klasificiranim podacima, UVNS mora biti o tome obaviješten i ta osoba mora proći odgovarajuću sigurnosnu provjeru. U slučaju da ne bude na vrijeme obaviješten o promjeni, UVNS će povući donesenu odluku o ukidanju certifikata.
Osim u gore navedenom slučaju, UVNS može donijeti odluku o suspenziji ili ukidanju certifikata poslovne sigurnosti:
- ako sazna za činjenice koje predstavljaju sigurnosni rizik
- u slučaju da pravna osoba prestane ispunjavati propisane uvjete ili kada se nad njom otvori stečajni postupak
- ako su povučeni certifikati za fizičke osobe ili akreditacije za prostor i informacijske sustave
- ako u provođenju nadzora utvrdi nepridržavanje mjera i standarda informacijske sigurnosti.
Neven Brkić, mag. iur.