Uradni list
RS, št. 86/2004
Velja od
1.1.2005
ZAKON
O VARSTVU OSEBNIH PODATKOV (ZVOP-1)
I. DEL
SPLOŠNE DOLOČBE
Vsebina zakona
1. člen
S tem zakonom se
določajo pravice, obveznosti, načela in ukrepi, s katerimi se preprečujejo
neustavni, nezakoniti in neupravičeni posegi v zasebnost in dostojanstvo
posameznika oziroma posameznice (v nadaljnjem besedilu: posameznik) pri obdelavi
osebnih podatkov.
Načelo zakonitosti in poštenosti
2. člen
Osebni podatki se
obdelujejo zakonito in pošteno.
Načelo sorazmernosti
3. člen
Osebni podatki, ki
se obdelujejo, morajo biti ustrezni in po obsegu primerni glede na namene, za
katere se zbirajo in nadalje obdelujejo.
Prepoved diskriminacije
4. člen
Varstvo osebnih
podatkov je zagotovljeno vsakemu posamezniku ne glede na narodnost, raso, barvo,
veroizpoved, etnični pripadnost, spol, jezik, politično ali drugo prepričanje,
spolno usmerjenost, premoženjsko stanje, rojstvo, izobrazbo, družbeni položaj,
državljanstvo, kraj oziroma vrsto prebivališča ali katerokoli drugo osebno
okoliščino.
Ozemeljska veljavnost tega zakona
5. člen
(1) Ta zakon velja
za obdelavo osebnih podatkov, če je upravljavec osebnih podatkov ustanovljen,
ima sedež ali je registriran v Republiki Sloveniji ali če je podružnica
upravljavca osebnih podatkov registrirana v Republiki
Sloveniji.
(2) Ta zakon velja
tudi, če upravljavec osebnih podatkov ni ustanovljen, nima sedeža oziroma ni
registriran v državi članici Evropske unije oziroma ni del Evropskega
gospodarskega prostora in za obdelavo osebnih podatkov uporablja avtomatsko ali
drugo opremo, ki se nahaja v Republiki Sloveniji, razen če se ta oprema
uporablja samo za prenos osebnih podatkov preko ozemlja Republike
Slovenije.
(3) Upravljavec
osebnih podatkov iz prejšnjega odstavka mora določiti fizično ali pravno osebo,
ki ima sedež ali je registrirana v Republiki Sloveniji, ki ga zastopa glede
obdelave osebnih podatkov v skladu s tem zakonom.
(4) Ta zakon velja
tudi za diplomatsko-konzularna in druga uradna predstavništva Republike
Slovenije v tujini.
Pomen izrazov
6. člen
V tem zakonu
uporabljeni izrazi imajo naslednji pomen:
1. Osebni podatek – je katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen.
2. Posameznik – je določena ali določljiva fizična oseba, na katero se nanaša osebni podatek; fizična oseba je določljiva, če se jo lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njeno fizično, fiziološko, duševno, ekonomsko, kulturno ali družbeno identiteto, pri čemer način identifikacije ne povzroča velikih stroškov, nesorazmerno velikega napora ali ne zahteva veliko časa.
3. Obdelava osebnih podatkov – pomeni kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklicanje, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris ali uničenje; obdelava je lahko ročna ali avtomatizirana (sredstva obdelave).
4. Avtomatizirana obdelava – je obdelava osebnih podatkov s sredstvi informacijske tehnologije.
5. Zbirka osebnih podatkov – je vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran na takšen način, da določi ali omogoči določljivost posameznika.
6. Upravljavec osebnih podatkov – je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki sama ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov oziroma oseba, določena z zakonom, ki določa tudi namene in sredstva obdelave.
7. Pogodbeni obdelovalec – je fizična ali pravna oseba, ki obdeluje osebne podatke v imenu in na račun upravljavca osebnih podatkov.
8. Uporabnik osebnih podatkov – je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki se ji posredujejo ali razkrijejo osebni podatki.
9. Posredovanje osebnih podatkov – je posredovanje ali razkritje osebnih podatkov.
10. Tuji uporabnik in tuji upravljavec osebnih podatkov – je uporabnik osebnih podatkov v tretji državi in upravljavec osebnih podatkov v tretji državi.
11. Tretja država – je država, ki ni država članica Evropske unije ali del Evropskega gospodarskega prostora.
12. Katalog zbirke osebnih podatkov – je opis zbirke osebnih podatkov.
13. Register zbirk osebnih podatkov – je register, v katerem so podatki iz katalogov zbirk osebnih podatkov.
14. Osebna privolitev posameznika – je prostovoljna izjava volje posameznika, da se lahko njegovi osebni podatki obdelujejo za določen namen, in je dana na podlagi informacij, ki mu jih mora zagotoviti upravljavec po tem zakonu; osebna privolitev posameznika je lahko pisna, ustna ali druga ustrezna privolitev posameznika.
15. Pisna privolitev posameznika – je podpisana privolitev posameznika, ki ima obliko listine, določila v pogodbi, določila v naročilu, priloge k vlogi ali drugo obliko v skladu z zakonom; podpis je tudi na podlagi zakona s podpisom izenačena oblika, podana s telekomunikacijskim sredstvom, ter na podlagi zakona s podpisom izenačena oblika, ki jo poda posameznik, ki ne zna ali ne more pisati.
16. Ustna ali druga ustrezna privolitev posameznika – je ustno ali s telekomunikacijskim ali drugim ustreznim sredstvom ali na drug ustrezen način dana privolitev, iz katere je mogoče nedvomno sklepati na posameznikovo privolitev.
17. Blokiranje – je takšna označitev osebnih podatkov, da se omeji ali prepreči njihova nadaljnja obdelava.
18. Anonimiziranje – je takšna sprememba oblike osebnih podatkov, da jih ni več mogoče povezati s posameznikom ali je to mogoče le z nesorazmerno velikimi napori, stroški ali porabo časa.
19. Občutljivi osebni podatki – so podatki o rasnem, narodnem ali narodnostnem poreklu, političnem, verskem ali filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali evidenc, ki se vodijo na podlagi zakona, ki ureja prekrške (v nadaljnjem besedilu: prekrškovne evidence); občutljivi osebni podatki so tudi biometrične značilnosti, če je z njihovo uporabo mogoče določiti posameznika v zvezi s kakšno od prej navedenih okoliščin.
20. Isti povezovalni znaki – so osebna identifikacijska številka in druge z zakonom opredeljene enolične identifikacijske številke posameznika, z uporabo katerih je mogoče zbirati oziroma priklicati osebne podatke iz tistih zbirk osebnih podatkov, v katerih so obdelovani tudi isti povezovalni znaki.
21. Biometrične značilnosti – so takšne telesne, fiziološke ter vedenjske značilnosti, ki jih imajo vsi posamezniki, so pa edinstvene in stalne za vsakega posameznika posebej in je možno z njimi določiti posameznika, zlasti z uporabo prstnega odtisa, posnetka papilarnih linij s prsta, šarenice, očesne mrežnice, obraza, ušesa, deoksiribonukleinske kisline ter značilne drže.
22. Javni sektor – so državni organi, organi samoupravnih lokalnih skupnosti, nosilci javnih pooblastil, javne agencije, javni skladi, javni zavodi, univerze, samostojni visokošolski zavodi in samoupravne narodne skupnosti.
23. Zasebni sektor – so pravne in fizične osebe, ki opravljajo dejavnost po zakonu, ki ureja gospodarske družbe ali gospodarske javne službe ali obrt, in osebe zasebnega prava; zasebni sektor so javni gospodarski zavodi, javna podjetja in gospodarske družbe, ne glede na delež oziroma vpliv države, samoupravne lokalne skupnosti ali samoupravne narodne skupnosti.
Izjeme pri uporabi tega zakona
7. člen
(1) Ta zakon se ne
uporablja za obdelavo osebnih podatkov, ki jo izvajajo posamezniki izključno za
osebno uporabo, družinsko življenje ali za druge domače
potrebe.
(2) Za osebne
podatke, ki jih o svojih članih obdelujejo politične stranke, sindikati, društva
ali verske skupnosti, se ne uporabljajo 26., 27. in 28. člen tega
zakona.
(3) Za osebne
podatke, ki jih za namene obveščanja javnosti obdelujejo mediji, se ne
uporabljajo drugi odstavek 25. člena, 26., 27. in 28. člen ter V. del tega
zakona.
II. DEL
OBDELAVA OSEBNIH PODATKOV
1. poglavje
Pravne podlage in nameni
Splošna opredelitev
8. člen
(1) Osebni podatki
se lahko obdelujejo le, če obdelavo osebnih podatkov in osebne podatke, ki se
obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana
osebna privolitev posameznika.
(2) Namen obdelave
osebnih podatkov mora biti določen v zakonu, v primeru obdelave na podlagi
osebne privolitve posameznika pa mora biti posameznik predhodno pisno ali na
drug ustrezen način seznanjen z namenom obdelave osebnih
podatkov.
Pravne podlage v javnem sektorju
9. člen
(1) Osebni podatki v
javnem sektorju se lahko obdelujejo, če obdelavo osebnih podatkov in osebne
podatke, ki se obdelujejo, določa zakon. Z zakonom se lahko določi, da se
določeni osebni podatki obdelujejo le na podlagi osebne privolitve
posameznika.
(2) Nosilci javnih
pooblastil lahko obdelujejo osebne podatke tudi na podlagi osebne privolitve
posameznika brez podlage v zakonu, kadar ne gre za izvrševanje njihovih nalog
kot nosilcev javnih pooblastil. Zbirke osebnih podatkov, ki nastanejo na tej
podlagi, morajo biti ločene od zbirk osebnih podatkov, ki nastanejo na podlagi
izvrševanja nalog nosilca javnih pooblastil.
(3) Ne glede na prvi
odstavek tega člena se lahko v javnem sektorju obdelujejo osebni podatki
posameznikov, ki so z javnim sektorjem sklenili pogodbo ali pa so na podlagi
pobude posameznika z njim v fazi pogajanj za sklenitev pogodbe, če je obdelava
osebnih podatkov potrebna in primerna za izvedbo pogajanj za sklenitev pogodbe
ali za izpolnjevanje pogodbe.
(4) Ne glede na prvi
odstavek tega člena se lahko v javnemu sektorju izjemoma obdelujejo tisti osebni
podatki, ki so nujni za izvrševanje zakonitih pristojnosti, nalog ali obveznosti
javnega sektorja, če se s to obdelavo ne poseže v upravičen interes posameznika,
na katerega se osebni podatki nanašajo.
Pravne podlage v zasebnem sektorju
10. člen
(1) Osebni podatki v
zasebnem sektorju se lahko obdelujejo, če obdelavo osebnih podatkov in osebne
podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih
podatkov podana osebna privolitev posameznika.
(2) Ne glede na
prejšnji odstavek se lahko v zasebnem sektorju obdelujejo osebni podatki
posameznikov, ki so z zasebnim sektorjem sklenili pogodbo ali pa so na podlagi
pobude posameznika z njim v fazi pogajanj za sklenitev pogodbe, če je obdelava
osebnih podatkov potrebna in primerna za izvedbo pogajanj za sklenitev pogodbe
ali za izpolnjevanje pogodbe.
(3) Ne glede na prvi
odstavek tega člena se lahko v zasebnem sektorju obdelujejo osebni podatki, če
je to nujno zaradi uresničevanja zakonitih interesov zasebnega sektorja in ti
interesi očitno prevladujejo nad interesi posameznika, na katerega se nanašajo
osebni podatki.
Pogodbena obdelava
11. člen
(1) Upravljavec
osebnih podatkov lahko posamezna opravila v zvezi z obdelavo osebnih podatkov s
pogodbo zaupa pogodbenemu obdelovalcu, ki je registriran za opravljanje takšne
dejavnosti in zagotavlja ustrezne postopke in ukrepe iz 24. člena tega
zakona.
(2) Pogodbeni
obdelovalec sme opravljati posamezna opravila v zvezi z obdelavo osebnih
podatkov v okviru naročnikovih pooblastil in osebnih podatkov ne sme obdelovati
za noben drug namen. Medsebojne pravice in obveznosti se uredijo s pogodbo, ki
mora biti sklenjena v pisni obliki in mora vsebovati tudi dogovor o postopkih in
ukrepih iz 24. člena tega zakona. Upravljavec osebnih podatkov nadzoruje
izvajanje postopkov in ukrepov iz 24. člena tega zakona.
(3) V primeru spora
med upravljavcem osebnih podatkov in pogodbenim obdelovalcem je dolžan pogodbeni
obdelovalec na podlagi zahteve upravljavca osebne podatke, ki jih je pogodbeno
obdeloval, nemudoma vrniti upravljavcu. Morebitne kopije teh podatkov mora takoj
uničiti ali jih posredovati državnemu organu, ki je v skladu z zakonom pristojen
za odkrivanje ali pregon kaznivih dejanj, sodišču ali drugemu državnemu organu, če tako določa zakon.
(4) V primeru
prenehanja pogodbenega obdelovalca se osebni podatki brez nepotrebnega odlašanja
vrnejo upravljavcu osebnih podatkov.
Varovanje življenjskih interesov posameznika
12. člen
Če je obdelava
osebnih podatkov nujno potrebna za varovanje življenja ali telesa posameznika,
se lahko njegovi osebni podatki obdelujejo ne glede na to, da za obdelavo teh
podatkov ni druge zakonite pravne podlage.
Obdelava občutljivih osebnih podatkov
13. člen
Občutljivi osebni
podatki se lahko obdelujejo le v naslednjih primerih:
1. če je posameznik za to podal izrecno osebno privolitev, ki je praviloma pisna, v javnem sektorju pa tudi določena z zakonom;
2. če je obdelava potrebna zaradi izpolnjevanja obveznosti in posebnih pravic upravljavca osebnih podatkov na področju zaposlovanja v skladu z zakonom, ki določa tudi ustrezna jamstva pravic posameznika;
3. če je obdelava nujno potrebna za varovanje življenja ali telesa posameznika, na katerega se osebni podatki nanašajo, ali druge osebe, kadar posameznik, na katerega se osebni podatki nanašajo, fizično ali poslovno ni sposoben dati svoje privolitve iz 1. točke tega člena;
4. če jih za namene zakonitih dejavnosti obdelujejo ustanove, združenja, društva, verske skupnosti, sindikati ali druge nepridobitne organizacije s političnim, filozofskim, verskim ali sindikalnim ciljem, vendar le, če se obdelava nanaša na njihove člane ali na posameznike, ki so v zvezi s temi cilji z njimi v rednem stiku, ter če se ti podatki ne posredujejo drugim posameznikom ali osebam javnega ali zasebnega sektorja brez pisne privolitve posameznika, na katerega se nanašajo;
5. če je posameznik, na katerega se nanašajo občutljivi osebni podatki, te javno objavil brez očitnega ali izrecnega namena, da omeji namen njihove uporabe;
6. če jih za namene zdravstvenega varstva prebivalstva in posameznikov ter vodenja ali opravljanja zdravstvenih služb obdelujejo zdravstveni delavci in zdravstveni sodelavci v skladu z zakonom;
7. če je to potrebno zaradi uveljavljanja ali nasprotovanja pravnemu zahtevku;
8. če tako določa drug zakon zaradi izvrševanja javnega interesa.
Zavarovanje občutljivih osebnih podatkov
14. člen
(1) Občutljivi
osebni podatki morajo biti pri obdelavi posebej označeni in zavarovani tako, da
se nepooblaščenim osebam onemogoči dostop do njih, razen v primeru iz 5. točke
13. člena tega zakona.
(2) Pri prenosu
občutljivih osebnih podatkov preko telekomunikacijskih omrežij se šteje, da so
podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in
elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma
neprepoznavnost med prenosom.
Avtomatizirano odločanje
15. člen
Avtomatizirana
obdelava osebnih podatkov, pri kateri se o posamezniku lahko sprejme odločitev,
ki ima za posledico pravne učinke v zvezi z njim ali na njega znatno vpliva in
ki temelji zgolj na avtomatizirani obdelavi podatkov, ki je namenjena
ovrednotenju nekaterih osebnih vidikov v zvezi z njim, kakršni so zlasti njegova
uspešnost pri delu, kreditna sposobnost, zanesljivost, ravnanje ali
izpolnjevanje zahtevanih pogojev, je dovoljena le, če je
odločitev:
1. sprejeta med
sklepanjem ali izvajanjem pogodbe, pod pogojem, da je pobuda za sklenitev ali
izvajanje pogodbe, ki jo je vložil posameznik, na katerega se osebni podatki
nanašajo, izpolnjena ali da obstajajo primerni ukrepi za varstvo njegovih
zakonitih interesov, kakršni so zlasti dogovori, ki mu omogočajo ugovarjati
takšni odločitvi ali izraziti njegovo stališče;
2. določena z
zakonom, ki določa tudi ukrepe za varstvo zakonitih interesov posameznika, na
katerega se nanašajo osebni podatki, zlasti možnost pravnega sredstva zoper
takšno odločitev.
Namen zbiranja in nadaljnja obdelava
16. člen
Osebni podatki se
lahko zbirajo le za določene in zakonite namene ter se ne smejo nadalje
obdelovati tako, da bi bila njihova obdelava v neskladju s temi nameni, če zakon
ne določa drugače.
Obdelava za zgodovinsko, statistično in znanstveno-raziskovalne namene
17. člen
(1) Ne glede na
prvotni namen zbiranja se lahko osebni podatki nadalje obdelujejo za
zgodovinsko, statistično in znanstveno-raziskovalne
namene.
(2) Osebni podatki
se posredujejo uporabniku osebnih podatkov za namen obdelave iz prejšnjega
odstavka v anonimizirani obliki, če zakon ne določa drugače ali če posameznik,
na katerega se nanašajo osebni podatki, ni predhodno podal pisne privolitve, da
se lahko obdelujejo brez anonimiziranja.
(3) Osebni podatki,
ki so bili posredovani uporabniku osebnih podatkov v skladu s prejšnjim
odstavkom, se ob zaključku obdelave uničijo, če zakon ne določa drugače.
Uporabnik osebnih podatkov mora upravljavca osebnih podatkov, ki mu je
posredoval osebne podatke, brez odlašanja po njihovem uničenju pisno obvestiti,
kdaj in na kakšen način jih je uničil.
(4)
Rezultati obdelave iz prvega odstavka tega člena se objavijo v
anonimizirani obliki, razen če zakon določa drugače ali če je
posameznik, na katerega se nanašajo osebni podatki, za objavo v
neanonimizirani obliki podal pisno privolitev ali če je za
takšno objavo podano pisno soglasje dedičev umrle osebe po tem
zakonu.
2. poglavje
Varstvo posameznikov
Točnost in ažurnost osebnih podatkov
18. člen
(1) Osebni podatki,
ki se obdelujejo, morajo biti točni in ažurni.
(2) Upravljavec
osebnih podatkov lahko pred vnosom v zbirko osebnih podatkov preveri točnost
osebnih podatkov z vpogledom v osebni dokument ali drugo ustrezno javno listino
posameznika, na katerega se nanašajo.
Obveščanje posameznika o obdelavi osebnih podatkov
19. člen
(1) Če se osebni
podatki zbirajo neposredno od posameznika, na katerega se nanašajo, mora
upravljavec osebnih podatkov ali njegov zastopnik posamezniku sporočiti
naslednje informacije, če z njimi posameznik še ni
seznanjen:
– podatke o upravljavcu osebnih podatkov in njegovem morebitnem zastopniku (osebno ime, naziv oziroma firma in naslov oziroma sedež),
– namen obdelave osebnih podatkov.
(2) Če je glede na
posebne okoliščine zbiranja osebnih podatkov iz prejšnjega odstavka potrebno, da
se zagotovi zakonita in poštena obdelava osebnih podatkov posameznika, mora
oseba iz prejšnjega odstavka posamezniku sporočiti tudi dodatne informacije, če
posameznik z njimi še ni seznanjen, zlasti:
– navedbo uporabnika ali vrste uporabnikov njegovih osebnih podatkov,
– navedbo, ali je zbiranje osebnih podatkov obvezno ali prostovoljno, ter možne posledice, če ne bo prostovoljno podal podatkov,
– informacijo o pravici do vpogleda, prepisa, kopiranja, dopolnitve, popravka, blokiranja in izbrisa osebnih podatkov, ki se nanašajo nanj.
(3) Če osebni
podatki niso bili zbrani neposredno od posameznika, na katerega se nanašajo,
mora upravljavec osebnih podatkov ali njegov zastopnik posamezniku najpozneje ob
vpisu ali posredovanju osebnih podatkov uporabniku osebnih podatkov sporočiti
naslednje informacije:
– podatke o upravljavcu osebnih podatkov in njegovem morebitnem zastopniku (osebno ime, naziv oziroma firma in naslov oziroma sedež),
– namen obdelave osebnih podatkov.
(4) Če je glede na
posebne okoliščine zbiranja osebnih podatkov iz prejšnjega odstavka potrebno, da
se zagotovi zakonita in poštena obdelava osebnih podatkov posameznika, mora
oseba iz prejšnjega odstavka posamezniku sporočiti tudi dodatne informacije,
zlasti:
– informacijo o vrsti zbranih osebnih podatkov,
– navedbo uporabnika ali vrste uporabnikov njegovih osebnih podatkov,
– informacijo o pravici do vpogleda, prepisa, kopiranja, dopolnitve, popravka, blokiranja in izbrisa osebnih podatkov, ki se nanašajo nanj.
(5) Informacij iz
tretjega in četrtega odstavka tega člena ni potrebno zagotoviti, če bi bilo to
zaradi obdelave osebnih podatkov za zgodovinsko, statistično ali
znanstveno-raziskovalne namene nemogoče ali bi povzročilo velike stroške,
nesorazmerno velik napor ali zahtevalo veliko časa ali če je z zakonom izrecno
določen vpis ali posredovanje osebnih podatkov.
Uporaba istega povezovalnega znaka
20. člen
(1) Pri pridobivanju
osebnih podatkov iz zbirk osebnih podatkov s področja zdravstva, policije,
obveščevalno-varnostne dejavnosti države, obrambe države, sodstva in državnega
tožilstva ter kazenske evidence in prekrškovnih evidenc ni dovoljena uporaba
istega povezovalnega znaka na način, da bi se za pridobitev osebnega podatka
uporabil samo ta znak.
(2) Ne glede na
prejšnji odstavek se lahko izjemoma uporabi isti povezovalni znak za
pridobivanje osebnih podatkov, če je to edini podatek v konkretni zadevi, ki
lahko omogoči, da se odkrije ali preganja kaznivo dejanje po uradni dolžnosti,
da se zavaruje življenje ali telo posameznika ali da se zagotovi izvajanje nalog
obveščevalnih in varnostnih organov, določenih z zakonom. O tem je potrebno brez
odlašanja napraviti uradni zaznamek ali drug pisni zapis.
(3) Prvi odstavek
tega člena se ne uporablja za zemljiško knjigo in sodni
register.
Rok hrambe osebnih podatkov
21. člen
(1) Osebni podatki
se lahko shranjujejo le toliko časa, dokler je to potrebno za dosego namena,
zaradi katerega so se zbirali ali nadalje obdelovali.
(2) Po izpolnitvi
namena obdelave se osebni podatki zbrišejo, uničijo, blokirajo ali
anonimizirajo, če niso na podlagi zakona, ki ureja arhivsko gradivo in arhive,
opredeljeni kot arhivsko gradivo, oziroma če zakon za posamezne vrste osebnih
podatkov ne določa drugače.
Posredovanje osebnih podatkov
22. člen
(1) Upravljavec
osebnih podatkov mora proti plačilu stroškov posredovanja, če zakon ne določa
drugače, posredovati osebne podatke uporabnikom osebnih
podatkov.
(2) Upravljavec
centralnega registra prebivalstva ali evidenc stalno in začasno prijavljenih
prebivalcev mora na način, ki je določen za izdajo potrdila, posredovati
upravičencu, ki izkaže pravni interes za uveljavljanje pravic pred osebami
javnega sektorja, osebno ime in naslov stalnega ali začasnega prebivališča
posameznika, zoper katerega uveljavlja svoje pravice.
(3) Upravljavec
osebnih podatkov mora za vsako posredovanje osebnih podatkov zagotoviti, da je
mogoče pozneje ugotoviti, kateri osebni podatki so bili posredovani, komu, kdaj
in na kakšni podlagi, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice
posameznika zaradi nedopustnega posredovanja osebnih
podatkov.
(4) Ne glede na prvi
odstavek tega člena je upravljavec osebnih podatkov v javnem sektorju dolžan
uporabniku osebnih podatkov v javnem sektorju posredovati osebne podatke brez
plačila stroškov posredovanja, razen če zakon določa drugače ali če gre za
uporabo za zgodovinsko, statistično ali znanstveno-raziskovalne
namene.
Varstvo osebnih podatkov umrlih posameznikov
23. člen
(1) Upravljavec
osebnih podatkov lahko podatke o umrlem posamezniku posreduje samo tistim
uporabnikom osebnih podatkov, ki so za obdelavo osebnih podatkov pooblaščeni z
zakonom.
(2) Ne glede na
prejšnji odstavek upravljavec osebnih podatkov podatke o umrlem posamezniku
posreduje osebi, ki je po zakonu, ki ureja dedovanje, njegov zakoniti dedič
prvega ali drugega dednega reda, če za uporabo osebnih podatkov izkaže pravni
interes, umrli posameznik pa ni pisno prepovedal posredovanja teh osebnih
podatkov.
(3) Če zakon ne
določa drugače, lahko upravljavec osebnih podatkov podatke iz prejšnjega
odstavka posreduje tudi katerikoli drugi osebi, ki namerava te podatke
uporabljati za zgodovinsko, statistično ali znanstveno-raziskovalne namene, če
umrli posameznik ni pisno prepovedal posredovanja teh osebnih
podatkov.
(4) Če umrli
posameznik ni podal prepovedi iz prejšnjega odstavka, lahko osebe, ki so po
zakonu, ki ureja dedovanje, njegovi zakoniti dediči prvega ali drugega dednega
reda, pisno prepovejo posredovanje njegovih podatkov, če zakon ne določa
drugače.
3. poglavje
Zavarovanje osebnih podatkov
Vsebina
24. člen
(1) Zavarovanje
osebnih podatkov obsega organizacijske, tehnične in logično-tehnične postopke in
ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno
nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter
nepooblaščena obdelava teh podatkov tako, da se:
1. varujejo prostori, oprema in sistemsko programska oprema, vključno z vhodno-izhodnimi enotami;
2. varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
3. preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;
4. zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;
5. omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.
(2) V primeru
obdelave osebnih podatkov, ki so dostopni preko telekomunikacijskega sredstva
ali omrežja, morajo strojna, sistemska in aplikativno programska oprema
zagotavljati, da je obdelava osebnih podatkov v zbirkah osebnih podatkov v mejah
pooblastil uporabnika osebnih podatkov.
(3) Postopki in
ukrepi za zavarovanje osebnih podatkov morajo biti ustrezni glede na tveganje,
ki ga predstavlja obdelava in narava določenih osebnih podatkov, ki se
obdelujejo.
(4) Funkcionarji,
zaposleni in drugi posamezniki, ki opravljajo dela ali naloge pri osebah, ki
obdelujejo osebne podatke, so dolžni varovati tajnost osebnih podatkov, s
katerimi se seznanijo pri opravljanju njihovih funkcij, del in nalog. Dolžnost
varovanja tajnosti osebnih podatkov jih obvezuje tudi po prenehanju funkcije,
zaposlitve, opravljanja del ali nalog ali opravljanja storitev pogodbene
obdelave.
Dolžnost zavarovanja
25. člen
(1) Upravljavci
osebnih podatkov in pogodbeni obdelovalci so dolžni zagotoviti zavarovanje
osebnih podatkov na način iz 24. člena tega zakona.
(2) Upravljavci
osebnih podatkov v svojih aktih predpišejo postopke in ukrepe za zavarovanje
osebnih podatkov ter določijo osebe, ki so odgovorne za določene zbirke osebnih
podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo določene
osebne podatke.
4. poglavje
Obveščanje o zbirkah osebnih podatkov
Katalog zbirke osebnih podatkov
26. člen
(1) Upravljavec
osebnih podatkov za vsako zbirko osebnih podatkov vzpostavi katalog zbirke
osebnih podatkov, ki vsebuje:
1. naziv zbirke osebnih podatkov;
2. podatke o upravljavcu osebnih podatkov (za fizično osebo: osebno ime, naslov opravljanja dejavnosti ali naslov stalnega ali začasnega prebivališča, za samostojnega podjetnika posameznika pa še firmo, sedež in matično številko; za pravno osebo: naziv oziroma firmo in naslov oziroma sedež upravljavca osebnih podatkov in matično številko);
3. pravno podlago za obdelavo osebnih podatkov;
4. kategorije posameznikov, na katere se nanašajo osebni podatki;
5. vrste osebnih podatkov v zbirki osebnih podatkov;
6. namen obdelave;
7. rok hrambe osebnih podatkov;
8. omejitve pravic posameznikov glede osebnih podatkov v zbirki osebnih podatkov in pravno podlago omejitev;
9. uporabnike ali kategorije uporabnikov osebnih podatkov, vsebovanih v zbirki osebnih podatkov;
10. dejstvo, ali se osebni podatki iznašajo v tretjo državo, kam, komu in pravno podlago iznosa;
11. splošen opis zavarovanja osebnih podatkov;
12. podatke o povezanih zbirkah osebnih podatkov iz uradnih evidenc ter javnih knjig;
13. podatke o zastopniku iz tretjega odstavka 5. člena tega zakona (za fizično osebo: osebno ime, naslov opravljanja dejavnosti ali naslov stalnega ali začasnega prebivališča, za samostojnega podjetnika posameznika pa še firmo, sedež in matično številko; za pravno osebo: naziv oziroma firmo in naslov oziroma sedež upravljavca osebnih podatkov in matično številko).
(2) Upravljavec
osebnih podatkov mora skrbeti za točnost in ažurnost vsebine
kataloga.
Obveščanje nadzornega organa
27. člen
(1) Upravljavec
osebnih podatkov posreduje podatke iz 1., 2., 4., 5., 6., 9., 10., 11., 12. in
13. točke prvega odstavka 26. člena tega zakona Državnemu nadzornemu organu za
varstvo osebnih podatkov najmanj 15 dni pred vzpostavitvijo zbirke osebnih
podatkov ali pred vnosom nove vrste osebnih podatkov.
(2) Upravljavec
osebnih podatkov posreduje Državnemu nadzornemu organu za varstvo osebnih
podatkov spremembe podatkov iz prejšnjega odstavka najkasneje v osmih dneh od
dneva spremembe.
(3) Podatkov iz
prvega odstavka tega člena ni potrebno posredovati tistemu upravljavcu osebnih
podatkov, ki nima več kot 20 oseb zaposlenih za nedoločen čas, o tistih zbirkah
osebnih podatkov, ki jih o svojih zaposlenih vodi v skladu z zakonom, ki določa
zbirke osebnih podatkov na področju dela. V tem primeru mora vsaki osebi
zagotoviti informacije iz 26. člena tega zakona.
Register
28. člen
(1) Državni nadzorni
organ za varstvo osebnih podatkov vodi in vzdržuje register zbirk osebnih
podatkov, ki vsebuje podatke iz 27. člena tega zakona, na način, določen z
metodologijo njegovega vodenja.
(2) Register se vodi
s sredstvi informacijske tehnologije in se objavi na spletni strani Državnega
nadzornega organa za varstvo osebnih podatkov (v nadaljnjem besedilu: spletna
stran).
(3) Pravilnik o
metodologiji iz prvega odstavka tega člena določi minister, pristojen za
pravosodje, na predlog glavne državne nadzornice oziroma glavnega državnega
nadzornika za varstvo osebnih podatkov (v nadaljnjem besedilu: glavni državni
nadzornik).
III. DEL
PRAVICE POSAMEZNIKA
Vpogled v register
29. člen
(1) Državni nadzorni
organ za varstvo osebnih podatkov mora vsakomur dovoliti vpogled v register
zbirk osebnih podatkov in prepis podatkov.
(2) Vpogled in
prepis podatkov se mora dovoliti in omogočiti praviloma istega dne, najkasneje
pa v osmih dneh, sicer se šteje, da je zahteva zavrnjena.
Pravica posameznika do seznanitve
30. člen
(1) Upravljavec
osebnih podatkov mora posamezniku na njegovo zahtevo:
1. omogočiti vpogled v katalog zbirke osebnih podatkov;
2. potrditi, ali se podatki v zvezi z njim obdelujejo ali ne, in mu omogočiti vpogled v osebne podatke, ki so vsebovani v zbirki osebnih podatkov in se nanašajo nanj, ter njihovo prepisovanje ali kopiranje;
3. posredovati izpis osebnih podatkov, ki so vsebovani v zbirki osebnih podatkov in se nanašajo nanj;
4. posredovati seznam uporabnikov, katerim so bili posredovani osebni podatki, kdaj, na kakšni podlagi in za kakšen namen;
5. dati informacijo o virih, na katerih temeljijo zapisi, ki jih o posamezniku vsebuje zbirka osebnih podatkov, in o metodi obdelave;
6. dati informacije o namenu obdelave in vrsti osebnih podatkov, ki se obdelujejo, ter vsa potrebna pojasnila v zvezi s tem;
7. pojasniti tehnične oziroma logično-tehnične postopke odločanja, če izvaja avtomatizirano odločanje z obdelavo osebnih podatkov posameznika.
(2) Izpis iz 3.
točke prejšnjega odstavka ne more nadomestiti listine ali potrdila po predpisih
o upravnem ali drugem postopku, kar se označi na izpisu.
Postopek seznanitve
31. člen
(1) Zahteva iz 30. člena tega zakona se vloži pisno ali ustno na zapisnik pri upravljavcu osebnih
podatkov. Zahteva se lahko vloži enkrat na tri mesece, glede obdelave osebnih
podatkov po določbah 2. poglavja VI. dela tega zakona pa enkrat na
mesec.
(2) Upravljavec
osebnih podatkov mora posamezniku omogočiti vpogled, prepis, kopiranje in
potrdilo po 1. in 2. točki prvega odstavka 30. člena tega zakona najkasneje v 15
dneh od dneva, ko je prejel zahtevo, ali ga v istem roku pisno obvestiti o
razlogih, zaradi katerih vpogleda, prepisa, kopiranja ali izdaje potrdila ne bo
omogočil.
(3) Izpis iz 3.
točke, seznam iz 4. točke, informacije iz 5. in 6. točke ter pojasnilo iz 7.
točke prvega odstavka 30. člena tega zakona mora upravljavec osebnih podatkov
posredovati posamezniku v 30 dneh od dneva, ko je prejel zahtevo, ali ga v istem
roku pisno obvestiti o razlogih, zaradi katerih mu izpisa, seznama, informacij
ali pojasnila ne bo posredoval.
(4) Če upravljavec
ne ravna v skladu z drugim in tretjim odstavkom tega člena, se šteje, da je
zahteva zavrnjena.
(5) Stroške v zvezi
z zahtevo in vpogledom iz tega člena krije upravljavec zbirke osebnih
podatkov.
Pravica do dopolnitve, popravka, blokiranja, izbrisa in ugovora
32. člen
(1) Upravljavec
osebnih podatkov mora na zahtevo posameznika, na katerega se nanašajo osebni
podatki, dopolniti, popraviti, blokirati ali izbrisati osebne podatke, za katere
posameznik dokaže, da so nepopolni, netočni ali neažurni ali da so bili zbrani
ali obdelani v nasprotju z zakonom.
(2) Upravljavec
osebnih podatkov mora na zahtevo posameznika obvestiti vse uporabnike osebnih
podatkov in pogodbene obdelovalce, katerim je posredoval osebne podatke
posameznika, preden so bili izvedeni ukrepi iz prejšnjega odstavka, o njihovi
dopolnitvi, popravku, blokiranju ali izbrisu po prejšnjem odstavku. Izjemoma mu
tega ni potrebno storiti, če bi to povzročilo velike stroške, nesorazmerno velik
napor ali zahtevalo veliko časa.
(3) Posameznik,
katerega osebni podatki se obdelujejo v skladu s četrtim odstavkom 9. člena ali
tretjim odstavkom 10. člena tega zakona, ima kadarkoli z ugovorom pravico
zahtevati prenehanje njihove obdelave. Upravljavec ugovoru ugodi, če posameznik
dokaže, da niso izpolnjeni pogoji za obdelavo po četrtem odstavku 9. člena
oziroma po tretjem odstavku 10. člena tega zakona. V tem primeru se njegovih
osebnih podatkov ne sme več obdelovati.
(4) Če upravljavec
ne ugodi ugovoru iz prejšnjega odstavka, lahko posameznik, ki je vložil ugovor,
zahteva, da o obdelavi v skladu s četrtim odstavkom 9. člena oziroma tretjim
odstavkom 10. člena tega zakona odloči Državni nadzorni organ za varstvo osebnih
podatkov. Posameznik lahko vloži zahtevo v sedmih dneh od vročitve odločitve o
ugovoru.
(5) Državni nadzorni
organ za varstvo osebnih podatkov odloči o zahtevi iz prejšnjega odstavka v dveh
mesecih od prejema zahteve. Vložena zahteva zadrži obdelavo osebnih podatkov
posameznika, glede katerih je vložil zahtevo.
(6) Stroške vseh
dejanj upravljavca osebnih podatkov iz prejšnjih odstavkov krije
upravljavec.
Postopek dopolnitve, popravka, blokiranja, izbrisa in ugovora
33. člen
(1) Zahteva ali
ugovor iz 32. člena tega zakona se vloži pisno ali ustno na zapisnik pri
upravljavcu osebnih podatkov.
(2) Dopolnitev,
popravo, blokiranje ali izbris osebnih podatkov mora upravljavec osebnih
podatkov opraviti v 15 dneh od dneva, ko je prejel zahtevo in o tem obvestiti
vlagatelja zahteve ali ga v istem roku obvestiti o razlogih, zaradi katerih tega
ne bo storil. V istem roku mora odločiti o ugovoru.
(3) Če upravljavec
osebnih podatkov ne ravna po prejšnjem odstavku, se šteje, da je zahteva
zavrnjena.
(4) Če upravljavec
osebnih podatkov sam ugotovi, da so osebni podatki nepopolni, netočni ali
neažurni, jih dopolni ali popravi in o tem obvesti posameznika, če zakon ne
določa drugače.
(5) Stroške v zvezi
z dopolnitvijo, popravo in izbrisom osebnih podatkov, obvestilom ter odločitvijo
o ugovoru krije upravljavec osebnih podatkov.
Sodno varstvo pravic posameznika
34. člen
(1) Posameznik, ki
ugotovi, da so kršene njegove pravice, določene s tem zakonom, lahko zahteva
sodno varstvo ves čas, dokler kršitev traja.
(2) Če je kršitev iz
prejšnjega odstavka prenehala, lahko posameznik vloži tožbo za ugotovitev, da je
kršitev obstajala, če mu v zvezi s kršitvijo ni zagotovljeno drugo sodno
varstvo.
(3) V postopku
odloča pristojno sodišče po določbah zakona, ki ureja upravni spor, kolikor ta
zakon ne določa drugače.
(4) V postopku je
javnost izključena, če sodišče na predlog posameznika iz utemeljenih razlogov ne
odloči drugače.
(5) Postopek je
nujen in prednosten.
Začasna odredba
35. člen
V tožbi, vloženi
zaradi kršitev pravic iz 32. člena tega zakona, lahko posameznik zahteva od
sodišča, da do pravnomočne odločitve v upravnem sporu naloži upravljavcu osebnih
podatkov, da prepreči vsakršno obdelavo spornih osebnih podatkov, če bi se z
njihovo obdelavo prizadela posamezniku, na katerega se nanašajo, težko
popravljiva škoda, odložitev obdelave pa ne nasprotuje javni koristi in tudi ni
nevarnosti, da bi nasprotni stranki nastala večja nepopravljiva
škoda.
Omejitev pravic posameznika
36. člen
(1) Pravice
posameznika iz tretjega in četrtega odstavka 19. člena, 30. in 32. člena tega
zakona je mogoče z zakonom izjemoma omejiti iz razlogov varstva suverenosti in
obrambe države, varstva nacionalne varnosti in ustavne ureditve države,
varnostnih, političnih in gospodarskih interesov države, izvrševanja
pristojnosti policije, preprečevanja, razkrivanja, odkrivanja, dokazovanja in
pregona kaznivih dejanj in prekrškov, odkrivanja in kaznovanja kršitev etičnih
norm za določene poklice, iz monetarnih, proračunskih ali davčnih razlogov,
zaradi nadzora nad policijo in varstva posameznika, na katerega se nanašajo
osebni podatki, ali pravic in svoboščin drugih.
(2) Omejitve iz
prejšnjega odstavka se lahko določijo samo v obsegu, ki je nujen za dosego
namena, zaradi katerega se določa omejitev.
IV. DEL
INSTITUCIONALNO VARSTVO OSEBNIH PODATKOV
1. poglavje
Nadzorni organ za varstvo osebnih podatkov
Nadzorni organ
37. člen
(1) Državni nadzorni
organ za varstvo osebnih podatkov (v nadaljnjem besedilu: državni nadzorni
organ) ima položaj nadzornega organa za varstvo osebnih
podatkov.
(2) Državni nadzorni
organ opravlja inšpekcijski nadzor nad izvajanjem določb tega zakona in druge
naloge po tem zakonu in drugih predpisih, ki urejajo varstvo ali obdelavo
osebnih podatkov oziroma iznos osebnih podatkov iz Republike Slovenije. Državni
nadzorni organ opravlja tudi druge naloge v skladu z
zakonom.
(3) Državni nadzorni
organ zagotavlja enotno uresničevanje ukrepov na področju varstva osebnih
podatkov.
Položaj in organizacija državnega nadzornega organa
38. člen
(1) Državni nadzorni
organ je samostojni državni organ.
(2) Državni nadzorni
organ vodi glavni državni nadzornik, ki je državni funkcionar. Njegovo plačo
ureja odlok državnega zbora, ki določa uvrščanje funkcij v plačne
razrede.
(3) V državnem
nadzornem organu so zaposlene najmanj štiri državne nadzornice oziroma državni
nadzorniki za varstvo osebnih podatkov (v nadaljnjem besedilu: nadzornik).
Najmanj eden izmed njih mora biti univerzitetni diplomirani
pravnik.
(4) Glavni državni
nadzornik vodi in predstavlja državni nadzorni organ, organizira in koordinira
delo nadzornikov ter izvaja inšpekcijski nadzor po tem
zakonu.
(5)
Administrativno-tehnična opravila za državni nadzorni organ opravlja
ministrstvo, pristojno za pravosodje.
Sredstva za delo državnega nadzornega organa
39. člen
Sredstva za delo
državnega nadzornega organa se zagotovijo v proračunu Republike Slovenije.
Višino sredstev določi Državni zbor Republike Slovenije (v nadaljnjem besedilu:
državni zbor) na predlog glavnega državnega nadzornika.
Imenovanje glavnega državnega nadzornika
40. člen
(1) Glavnega
državnega nadzornika imenuje državni zbor na predlog ministra, pristojnega za
pravosodje.
(2) Glavni državni
nadzornik se imenuje izmed posameznikov, ki izpolnjujejo pogoje za imenovanje v
naziv nadzornika po tem zakonu.
(3) Razpis za prosto
mesto glavnega državnega nadzornika razpiše ministrstvo, pristojno za
pravosodje, po uradni dolžnosti, najpozneje tri mesece pred iztekom mandata
glavnega državnega nadzornika oziroma v enem mesecu po predčasni razrešitvi.
Razpis se objavi v Uradnem listu Republike Slovenije, rok za prijave ne sme biti
krajši od 15 dni.
(4) Glavni državni
nadzornik je imenovan za dobo osmih let in je lahko ponovno
imenovan.
Razrešitev glavnega državnega nadzornika
41. člen
(1) Glavni državni
nadzornik je lahko predčasno razrešen samo v naslednjih
primerih:
– če državnemu zboru predloži izjavo, da odstopa;
– če je pravnomočno obsojen za kaznivo dejanje s kaznijo odvzema prostosti;
– če ne more opravljati svoje funkcije iz zdravstvenih ali drugih utemeljenih razlogov več kot šest mesecev;
– če trajno izgubi delovno zmožnost za opravljanje svoje funkcije.
(2) Glavni državni
nadzornik je predčasno razrešen in mu preneha mandat z dnem, ko državni zbor
ugotovi nastop razloga iz prejšnjega odstavka.
Nadomeščanje glavnega državnega nadzornika
42. člen
Glavni državni
nadzornik določi svojega namestnika izmed nadzornikov, ki ga nadomešča v času
njegove odsotnosti ali začasne zadržanosti.
Nadzornik
43. člen
(1) Za nadzornika je
lahko imenovana oseba, ki ima univerzitetno izobrazbo, pet let delovnih
izkušenj, od tega najmanj eno leto pri delu z osebnimi podatki, in opravljen
strokovni izpit za inšpektorja po zakonu, ki ureja inšpekcijski
nadzor.
(2) Nadzorniki imajo
položaj, pravice in obveznosti, ki jih za inšpektorje določa zakon, ki ureja
inšpekcijski nadzor, in zakon, ki ureja javne uslužbence, če ta zakon ne določa
drugače.
(3) Nadzornika
imenuje glavni državni nadzornik v skladu z zakonom, ki ureja javne
uslužbence.
Samostojnost nadzornikov
44. člen
(1) Nadzorniki so
pri opravljanju nalog inšpekcijskega nadzora in drugih nalog po tem zakonu v
okviru svojih pooblastil samostojni ter jih opravljajo v okviru in na podlagi
ustave in zakonov.
(2) V zvezi z
opravljanjem nalog, ki ne obsegajo opravljanja inšpekcijskega nadzora, so vezani
na pisna navodila glavnega državnega nadzornika.
Zaposlitve in dodelitve v državni nadzorni organ
45. člen
(1) Glavni državni
nadzornik določi v skladu z zakonom, ki ureja javne uslužbence, v aktu o
sistemizaciji notranjo organizacijo državnega nadzornega organa in potrebno
število javnih uslužbencev državnega nadzornega organa, ki opravljajo pravne
naloge, ter potrebno število javnih uslužbencev, ki opravljajo spremljajoča
dela.
(2) Javne uslužbence
državnih organov se na podlagi predloga glavnega državnega nadzornika z njihovo
pisno privolitvijo ter s soglasjem predstojnika njihovega državnega organa lahko
dodeli za opravljanje pravnih nalog ali spremljajočih del iz prejšnjega odstavka
v državni nadzorni organ za dobo do treh let. Sodniki, državni tožilci in
pomočniki državnih tožilcev so lahko dodeljeni za opravljanje teh nalog na
podlagi določb zakonov, ki urejajo sodniško službo in državno
tožilstvo.
(3) Uslužbenci in
funkcionarji iz prejšnjih odstavkov ne smejo opravljati nalog inšpekcijskega
nadzora.
2. poglavje
Naloge državnega nadzornega organa
Poročila državnega nadzornega organa
46. člen
(1) Državni nadzorni
organ posreduje letno poročilo o svojem delu državnemu zboru najkasneje do 31.
maja za preteklo leto in ga objavi na svoji spletni
strani.
(2) Letno poročilo
vsebuje podatke o delu državnega nadzornega organa v preteklem letu ter ocene in
priporočila s področja varstva osebnih podatkov.
Sodelovanje z drugimi organi
47. člen
Državni nadzorni
organ pri svojem delu sodeluje z državnimi organi, pristojnimi organi Evropske
unije za varstvo posameznikov pri obdelavi osebnih podatkov, mednarodnimi
organizacijami, tujimi nadzornimi organi za varstvo osebnih podatkov, zavodi,
združenji, nevladnimi organizacijami s področja varstva osebnih podatkov ali
zasebnosti ter drugimi organizacijami in organi glede vseh vprašanj, ki so
pomembna za varstvo osebnih podatkov.
Pristojnosti glede predpisov
48. člen
(1) Državni nadzorni
organ daje predhodna mnenja ministrstvom, državnemu zboru, organom samoupravnih
lokalnih skupnosti, drugim državnim organom ter nosilcem javnih pooblastil o
usklajenosti določb predlogov zakonov ter ostalih predpisov z zakoni in drugimi
predpisi, ki urejajo osebne podatke.
(2) Državni nadzorni
organ lahko na Ustavno sodišče Republike Slovenije (v nadaljnjem besedilu:
ustavno sodišče) vloži zahtevo za oceno ustavnosti zakonov, ostalih predpisov
ter splošnih aktov, izdanih za izvrševanje javnih pooblastil, če nastane
vprašanje ustavnosti in zakonitosti v zvezi s postopkom, ki ga
vodi.
Javnost dela
49. člen
(1) Državni nadzorni
organ lahko:
1. izdaja notranje glasilo ter strokovno literaturo;
2. na spletni strani ali na drug primeren način objavlja predhodna mnenja iz prvega odstavka 48. člena tega zakona, potem ko je bil zakon oziroma drug predpis sprejet ter objavljen v Uradnem listu Republike Slovenije, v glasilu samoupravne lokalne skupnosti ali objavljen na drug zakonit način;
3. na spletni strani oziroma na drug primeren način objavlja zahteve iz drugega odstavka 48. člena tega zakona, potem ko jih je ustavno sodišče prejelo;
4. na spletni strani oziroma na drug primeren način objavlja odločbe in sklepe ustavnega sodišča o zahtevah iz drugega odstavka 48. člena tega zakona;
5. na spletni strani oziroma na drug primeren način objavlja odločbe in sklepe sodišč s splošno pristojnostjo in upravnega sodišča, ki se nanašajo na varstvo osebnih podatkov, tako da iz njih ni možno razbrati osebnih podatkov strank, oškodovancev, prič ali izvedencev;
6. daje neobvezna mnenja o skladnosti kodeksov poklicne etike, splošnih pogojih poslovanja oziroma njihovih predlogov s predpisi s področja varstva osebnih podatkov;
7. daje neobvezna mnenja, pojasnila in stališča o vprašanjih s področja varstva osebnih podatkov in jih objavlja na spletni strani ali na drug primeren način;
8. pripravlja in daje neobvezna navodila in priporočila glede varstva osebnih podatkov na posameznem področju;
9. daje izjave za javnost o opravljenih inšpekcijskih nadzorih v posamičnih zadevah;
10. izvaja konference za medije v zvezi z delom državnega nadzornega organa ter prepise izjav ali posnetke izjav s konferenc za medije objavi na spletni strani;
11. na spletni strani objavlja druga pomembna obvestila.
(2) Državni nadzorni
organ lahko za opravljanje pristojnosti iz 6., 7. in 8. točke prejšnjega
odstavka pozove k sodelovanju tudi predstavnike društev in drugih nevladnih
organizacij s področja varstva osebnih podatkov, zasebnosti ter
potrošnikov.
3. poglavje
Inšpekcijski nadzor
Uporaba zakona, ki ureja inšpekcijski nadzor
50. člen
Za opravljanje
inšpekcijskega nadzora po tem zakonu se uporabljajo določbe zakona, ki ureja
inšpekcijski nadzor, kolikor ta zakon ne določa drugače.
Obseg inšpekcijskega nadzora
51. člen
V okviru
inšpekcijskega nadzora državni nadzorni organ:
1. nadzoruje zakonitost obdelave osebnih podatkov;
2. nadzoruje ustreznost ukrepov za zavarovanje osebnih podatkov ter izvajanja postopkov in ukrepov za zavarovanje osebnih podatkov po 24. in 25. členu tega zakona;
3. nadzoruje izvajanje določb zakona, ki urejajo katalog zbirke osebnih podatkov, register zbirk osebnih podatkov in evidentiranje posredovanja osebnih podatkov posameznim uporabnikom osebnih podatkov;
4. nadzoruje izvajanje določb zakona glede iznosa osebnih podatkov v tretjo državo in o njihovem posredovanju tujim uporabnikom osebnih podatkov.
Neposredno opravljanje inšpekcijskega nadzora
52. člen
(1) Inšpekcijski
nadzor neposredno opravlja nadzornik v mejah pristojnosti državnega nadzornega
organa.
(2) Nadzornik
izkazuje pooblastilo za opravljanje nalog inšpekcijskega nadzora s službeno
izkaznico, ki vsebuje fotografijo nadzornika, njegovo osebno ime, strokovni ali
znanstveni naslov ter ostale potrebne podatke. Obliko in vsebino službene
izkaznice podrobneje predpiše minister, pristojen za
pravosodje.
Pristojnosti nadzornika
53. člen
Pri opravljanju
inšpekcijskega nadzora je nadzornik upravičen:
1. pregledovati dokumentacijo, ki se nanaša na obdelavo osebnih podatkov, ne glede na njeno zaupnost ali tajnost, ter iznos osebnih podatkov v tretjo državo in posredovanje tujim uporabnikom osebnih podatkov;
2. pregledovati vsebino zbirk osebnih podatkov ne glede na njihovo zaupnost ali tajnost in katalogov zbirk osebnih podatkov;
3. pregledovati dokumentacijo in akte, ki urejajo zavarovanje osebnih podatkov;
4. pregledovati prostore, v katerih se obdelujejo osebni podatki, računalniško in drugo opremo ter tehnično dokumentacijo;
5. preverjati ukrepe in postopke za zavarovanje osebnih podatkov ter njihovo izvajanje;
6. izvajati druge pristojnosti, določene z zakonom, ki ureja inšpekcijski nadzor, ter zakonom, ki ureja splošni upravni postopek;
7. opravljati druge zadeve, določene z zakonom.
Inšpekcijski ukrepi
54. člen
(1) Nadzornik, ki
pri opravljanju inšpekcijskega nadzora ugotovi kršitev tega zakona ali drugega
zakona ali predpisa, ki ureja varstvo osebnih podatkov, ima pravico
takoj:
1. odrediti, da se nepravilnosti ali pomanjkljivosti, ki jih ugotovi, odpravijo na način in v roku, ki ga sam določi;
2. odrediti prepoved obdelave osebnih podatkov osebam javnega ali zasebnega sektorja, ki niso zagotovile ali ne izvajajo ukrepov in postopkov za zavarovanje osebnih podatkov;
3. odrediti prepoved obdelave osebnih podatkov ter anonimiziranje, blokiranje, brisanje ali uničenje osebnih podatkov, kadar ugotovi, da se osebni podatki obdelujejo v nasprotju z določbami zakona;
4. odrediti prepoved iznosa osebnih podatkov v tretjo državo ali njihovega posredovanja tujim uporabnikom osebnih podatkov, če se iznašajo ali posredujejo v nasprotju z določbami zakona ali obvezujoče mednarodne pogodbe;
5. odrediti druge ukrepe, določene z zakonom, ki ureja inšpekcijski nadzor, ter zakonom, ki ureja splošni upravni postopek.
(2)
Ukrepov iz prejšnjega odstavka ni mogoče odrediti zoper osebo,
ki v elektronskem komunikacijskem omrežju opravlja storitve prenosa
podatkov, vključno z začasnim shranjevanjem podatkov in drugimi
delovanji v zvezi s podatki, ki so pretežno ali v celoti v funkciji
opravljanja ali olajšanja prenosa podatkov po omrežjih, če ta
oseba sama nima interesa, povezanega z vsebino teh podatkov, in ne gre
za osebo, ki lahko sama ali skupaj z omejenim krogom z njo povezanih
oseb učinkovito nadzoruje dostop do teh podatkov.
(3) Če nadzornik pri
inšpekcijskem nadzoru ugotovi, da obstaja sum storitve kaznivega dejanja ali
prekrška poda kazensko ovadbo oziroma izvede postopke v skladu zakonom, ki ureja
prekrške.
Sodno varstvo
55. člen
Zoper odločbo ali
sklep nadzornika iz prvega odstavka 54. člena tega zakona ni pritožbe, dovoljen
pa je upravni spor.
Obveščanje prijavitelja
56. člen
Nadzornik je dolžan
prijavitelja obvestiti o vseh pomembnejših ugotovitvah in dejanjih v postopku
inšpekcijskega nadzora.
Pristojnosti državnega nadzornega organa glede dostopa do informacij javnega značaja
57. člen
(1) Zoper odločbo
Pooblaščenca za dostop do informacij javnega značaja lahko državni nadzorni
organ začne upravni spor, če oceni, da je z njo kršeno varstvo osebnih
podatkov.
(2) Postopek v
upravnem sporu iz prejšnjega odstavka je nujen in
prednosten.
(3) Državni nadzorni
organ je dolžan vročiti Pooblaščencu za dostop do informacij javnega značaja
odločbo ali sklep, v katerem se je nadzornik opredelil do vprašanja informacij
javnega značaja.
Varovanje tajnosti
58. člen
(1) Nadzornik je
dolžan varovati tajnost osebnih podatkov, s katerimi se seznani pri opravljanju
inšpekcijskega nadzora, tudi po prenehanju opravljanja službe
nadzornika.
(2) Dolžnost iz
prejšnjega odstavka velja tudi za vse javne uslužbence v državnem nadzornem
organu.
4. poglavje
Sodelovanje in zunanji nadzor na področju varstva osebnih podatkov
Varuh človekovih pravic
59. člen
(1) Varuhinja
oziroma varuh človekovih pravic (v nadaljnjem besedilu: varuh) opravlja svoje
naloge na področju varstva osebnih podatkov v razmerju do državnih organov,
organov samoupravnih lokalnih skupnosti in nosilcev javnih pooblastil v skladu z
zakonom, ki ureja varuha človekovih pravic.
(2) Varstvo osebnih
podatkov je posebno področje varuha, za katerega je zadolžen eden od namestnikov
varuha.
Letno poročilo
60. člen
Varuh v svojem
letnem poročilu poroča državnemu zboru o ugotovitvah, predlogih in priporočilih
ter o stanju na področju varstva osebnih podatkov.
Pristojnost državnega zbora
61. člen
Stanje na področju
varstva osebnih podatkov in izvrševanje določb tega zakona spremlja pristojno
delovno telo državnega zbora.
V. DEL
IZNOS OSEBNIH PODATKOV
1. poglavje
Iznos osebnih podatkov v države članice Evropske unije in Evropskega gospodarskega prostora
Prost pretok osebnih podatkov
62. člen
Kadar se posredujejo
osebni podatki upravljavcu osebnih podatkov, pogodbenemu obdelovalcu ali
uporabniku osebnih podatkov, ki je ustanovljen, ima sedež ali je registriran v
državi članici Evropske unije ali Evropskega gospodarskega prostora ali zanj
kako drugače velja njen pravni red, se ne uporabljajo določbe tega zakona o
iznosu osebnih podatkov v tretje države.
2. poglavje
Iznos osebnih podatkov v tretje države
Splošna določba
63. člen
(1) Posredovanje
osebnih podatkov, ki se obdelujejo ali se bodo obdelovali šele po opravljenem
posredovanju v tretjo državo, je dopustno v skladu z določbami tega zakona in
pod pogojem, da državni nadzorni organ izda odločbo, da država, v katero se
iznašajo, zagotavlja ustrezno raven varstva osebnih
podatkov.
(2) Odločba iz
prejšnjega odstavka ni potrebna, če je tretja država na seznamu tistih držav iz
66. člena tega zakona, za katere je ugotovljeno, da v celoti zagotavljajo
ustrezno raven varstva osebnih podatkov.
(3) Odločba iz
prvega odstavka tega člena ni potrebna, če je tretja država na seznamu tistih
držav iz 66. člena tega zakona, za katere je ugotovljeno, da delno zagotavljajo
ustrezno raven varstva osebnih podatkov, če se posredujejo tisti osebni podatki
in za tiste namene, za katere je ugotovljena ustrezna raven
varstva.
Postopek ugotavljanja ustrezne ravni varstva osebnih podatkov
64. člen
(1) Državni nadzorni
organ uvede postopek ugotavljanja ustrezne ravni varstva osebnih podatkov v
tretji državi na podlagi ugotovitev inšpekcijskega nadzora ali na predlog
fizične ali pravne osebe, ki lahko izkaže pravni interes za izdajo
odločbe.
(2) Na zahtevo
državnega nadzornega organa pridobi ministrstvo, pristojno za zunanje zadeve, od
pristojnega organa tretje države potrebne informacije, ali ta država zagotavlja
ustrezno raven varstva osebnih podatkov.
(3) Državni nadzorni
organ lahko pridobi dodatne informacije o ustrezni ravni varstva osebnih
podatkov v tretji državi neposredno od drugih nadzornih organov ter od za to
pristojnega organa Evropske unije.
(4) Državni nadzorni
organ izda odločbo v dveh mesecih od prejema popolnih informacij iz drugega in
tretjega odstavka tega člena. Odločbo lahko izda tudi samo o določeni vrsti
osebnih podatkov oziroma njihovi obdelavi za določen
namen.
(5) Državni nadzorni
organ je dolžan najpozneje v 15 dneh od izdaje odločbe o tem, da tretja država
ne zagotavlja ustrezne ravni varstva osebnih podatkov, pisno obvestiti pristojni
organ Evropske unije.
Sodno varstvo
65. člen
Zoper odločbo iz četrtega odstavka 64. člena tega zakona ni pritožbe, dovoljen pa je upravni
spor.
Seznam
66. člen
(1) Državni nadzorni
organ vodi seznam tretjih držav, za katere je ugotovil, da imajo v celoti ali
delno zagotovljeno ustrezno raven varstva osebnih podatkov, ali da te nimajo
zagotovljene. Če je ugotovljeno, da tretja država le delno zagotavlja ustrezno
raven varstva osebnih podatkov, se v seznamu navede tudi, v katerem delu je
ustrezna raven zagotovljena.
(2) Glavni državni
nadzornik objavi seznam iz prejšnjega odstavka v Uradnem listu Republike
Slovenije.
Vezanost državnega nadzornega organa pri odločanju
67. člen
Državni nadzorni
organ je pri odločanju vezan na odločitve pristojnega organa Evropske unije
glede ocene, ali tretje države zagotavljajo ustrezno raven varstva osebnih
podatkov.
Odločanje o iznosu osebnih podatkov
68. člen
(1) Pri odločanju o
ustrezni ravni varstva osebnih podatkov v tretji državi je državni nadzorni
organ dolžan ugotoviti vse okoliščine v zvezi z iznosom osebnih podatkov.
Predvsem mora upoštevati vrsto osebnih podatkov, namen in trajanje predlagane
obdelave, pravno ureditev v državi izvora in v državi prejemnici, vključno z
ureditvijo varstva osebnih podatkov tujih državljanov, ter ukrepe zavarovanja
osebnih podatkov, ki se v njih uporabljajo.
(2) Pri odločanju iz
prejšnjega odstavka državni nadzorni organ upošteva
zlasti:
1. ali se izneseni osebni podatki uporabljajo le za namen, za katerega so bili izneseni, ali se namen lahko spremeni le na podlagi dovoljenja upravljavca osebnih podatkov, ki jih je posredoval, ali na podlagi osebne privolitve posameznika, na katerega se osebni podatki nanašajo;
2. ali ima posameznik, na katerega se nanašajo osebni podatki, možnost izvedeti, za kakšen namen so se njegovi osebni podatki uporabljali, komu so bili posredovani ter možnost popravka ali izbrisa netočnih ali neažurnih osebnih podatkov, razen če mu to zaradi tajnosti postopka onemogočajo obvezujoče mednarodne pogodbe;
3. ali tuji upravljavec izvaja ustrezne organizacijske in tehnične postopke ter ukrepe, s katerimi se zavarujejo osebni podatki;
4. ali je določena kontaktna oseba, ki je pooblaščena podati informacije posamezniku, na katerega se nanašajo osebni podatki, ali državnemu nadzornemu organu o obdelavi osebnih podatkov, ki so bili izneseni;
5. ali lahko tuj uporabnik iznese osebne podatke le pod pogojem, če je pri drugem tujem uporabniku, ki mu bodo posredovani osebni podatki, zagotovljeno ustrezno varstvo osebnih podatkov tudi za tuje državljane;
6. ali je zagotovljeno učinkovito pravno varstvo posameznikom, katerih osebni podatki so bili izneseni.
Pravilnik
69. člen
Na predlog glavnega
državnega nadzornika izda minister, pristojen za pravosodje, s soglasjem
ministra, pristojnega za zunanje zadeve, pravilnik, s katerim podrobneje določi,
katere informacije se štejejo za potrebne pri odločanju državnega nadzornega
organa o iznosu osebnih podatkov v tretje države.
Posebne določbe
70. člen
(1) Ne glede na prvi
odstavek 63. člena tega zakona se lahko iznesejo osebni podatki in posredujejo v
tretjo državo, če:
1. tako določa drug zakon ali obvezujoča mednarodna pogodba;
2. je podana osebna privolitev posameznika, na katerega se nanašajo osebni podatki in je seznanjen s posledicami takšnega posredovanja;
3. je iznos potreben za izpolnitev pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem osebnih podatkov ali za izvršitev predpogodbenih ukrepov, sprejetih kot odgovor na zahtevo posameznika, na katerega se nanašajo osebni podatki;
4. je iznos potreben za sklenitev ali izvršitev pogodbe, ki je v korist posameznika, na katerega se nanašajo osebni podatki, sklenjeno med upravljavcem osebnih podatkov in tretjo stranko,
5. je iznos potreben, da se pred hujšim ogrožanjem zavaruje življenje ali telo posameznika, na katerega se nanašajo osebni podatki;
6. se iznos opravi iz registrov, javnih knjig ali uradnih evidenc, ki so po zakonu namenjene zagotavljanju informacij javnosti in so na voljo za vpogled javnosti na splošno ali katerikoli osebi, ki lahko izkaže pravni interes, da so v posameznem primeru izpolnjeni pogoji, ki jih za vpogled določa zakon;
7. upravljavec osebnih podatkov zagotovi ustrezne ukrepe zavarovanja osebnih podatkov ter temeljnih pravic in svoboščin posameznikov in navede možnosti njihovega uresničevanja ali varstva, predvsem v določbah pogodb ali v splošnih pogojih poslovanja.
(2) V primeru iznosa
osebnih podatkov po 7. točki prejšnjega odstavka mora oseba, ki namerava iznesti
osebne podatke, pridobiti posebno odločbo državnega nadzornega organa, ki
dovoljuje iznos osebnih podatkov.
(3) Oseba sme
iznesti osebne podatke šele po prejemu odločbe iz prejšnjega odstavka, s katero
je iznos dovoljen.
(4) Zoper odločbo iz
drugega odstavka tega člena ni pritožbe, dovoljen pa je upravni spor. Postopek v
upravnem sporu je nujen in prednosten.
(5)
Državni nadzorni organ je dolžan najpozneje v 15 dneh od izdaje odločbe
iz drugega odstavka tega člena to posredovati pristojnemu organu
Evropske unije in državam članicam Evropske unije.
(6) Če pristojni
organ Evropske unije po prejemu odločbe sprejme odločitev, da je iznos na
podlagi odločbe iz drugega odstavka tega člena nedopusten, je državni nadzorni
organ na to odločitev vezan in je dolžan v petih dneh po prejemu te odločitve
izdati osebi iz drugega odstavka tega člena novo odločbo, s katero ji prepove
nadaljnji iznos osebnih podatkov.
Evidentiranje iznosa
71. člen
Iznos osebnih
podatkov v tretjo državo se evidentira skladno z določbami 10. točke prvega
odstavka 26. člena tega zakona.
VI. DEL
PODROČNE UREDITVE
1. poglavje
Neposredno trženje
Pravice in dolžnosti upravljavca
72. člen
(1) Upravljavec
osebnih podatkov lahko uporablja osebne podatke posameznikov, ki jih je zbral iz
javno dostopnih virov ali v okviru zakonitega opravljanja dejavnosti, tudi za
namene ponujanja blaga, storitev, zaposlitev ali začasnega opravljanja del z
uporabo poštnih storitev, telefonskih klicev, elektronske pošte ali drugih
telekomunikacijskih sredstev (v nadaljnjem besedilu: neposredno trženje) v
skladu z določbami tega poglavja, če drug zakon ne določa
drugače.
(2) Za namene
neposrednega trženja lahko upravljavec osebnih podatkov uporablja le naslednje
osebne podatke, ki jih je zbral v skladu s prejšnjim odstavkom: osebno ime,
naslov stalnega ali začasnega prebivališča, telefonsko številko, naslov
elektronske pošte ter številko telefaksa. Na podlagi osebne privolitve
posameznika lahko upravljavec osebnih podatkov obdeluje tudi druge osebne
podatke, občutljive osebne podatke pa le, če ima za to osebno privolitev
posameznika, ki je izrecna in praviloma pisna.
(3) Upravljavec
osebnih podatkov mora neposredno trženje izvajati tako, da posameznika ob
izvajanju neposrednega trženja obvesti o njegovih pravicah iz 73. člena tega
zakona.
(4) Če
namerava upravljavec osebnih podatkov posredovati osebne podatke iz
drugega odstavka tega člena drugim uporabnikom osebnih podatkov za
namene neposrednega trženja ali pogodbenim obdelovalcem, je dolžan o
tem obvestiti posameznika in pred posredovanjem osebnih podatkov
pridobiti njegovo pisno privolitev. Obvestilo posamezniku o nameravanem
posredovanju osebnih podatkov mora vsebovati informacijo, katere
podatke namerava posredovati, komu in za kakšen namen.
Stroške obvestila krije upravljavec osebnih podatkov.
Pravica posameznika
73. člen
(1) Posameznik lahko
kadarkoli pisno ali na drug dogovorjen način zahteva, da upravljavec osebnih
podatkov trajno ali začasno preneha uporabljati njegove osebne podatke za namen
neposrednega trženja. Upravljavec osebnih podatkov je dolžan v 15 dneh ustrezno
preprečiti uporabo osebnih podatkov za namen neposrednega trženja ter o tem v
nadaljnjih petih dneh pisno ali na drug dogovorjen način obvestiti posameznika,
ki je to zahteval.
(2) Stroške vseh
dejanj upravljavca osebnih podatkov v zvezi z zahtevo iz prejšnjega odstavka
krije upravljavec.
2. poglavje
Videonadzor
Splošne določbe
74. člen
(1) Določbe tega
poglavja se uporabljajo za izvajanje videonadzora, če drug zakon ne določa
drugače.
(2) Oseba javnega
ali zasebnega sektorja, ki izvaja videonadzor, mora o tem objaviti obvestilo.
Obvestilo mora biti vidno in razločno objavljeno na način, ki omogoča
posamezniku, da se seznani z njegovim izvajanjem najkasneje, ko se nad njim
začne izvajati videonadzor.
(3) Obvestilo iz
prejšnjega odstavka mora vsebovati naslednje informacije:
1. da se izvaja
videonadzor;
2. naziv osebe
javnega ali zasebnega sektorja, ki ga izvaja;
3. telefonsko
številko za pridobitev informacije, kje in koliko časa se shranjujejo posnetki
iz videonadzornega sistema.
(4) Šteje se, da je
z obvestilom iz drugega odstavka tega člena posameznik obveščen o obdelavi
osebnih podatkov po 19. členu tega zakona.
(5) Videonadzorni
sistem, s katerim se izvaja videonadzor, mora biti zavarovan pred dostopom
nepooblaščenih oseb.
Dostop v uradne službene oziroma poslovne prostore
75. člen
(1) Javni in zasebni
sektor lahko izvajata videonadzor dostopa v njihove uradne službene oziroma
poslovne prostore, če je to potrebno za varnost ljudi ali premoženja, zaradi
zagotavljanja nadzora vstopa ali izstopa v ali iz službenih oziroma poslovnih
prostorov ali če zaradi narave dela obstaja možnost ogrožanja zaposlenih.
Odločitev sprejme pristojni funkcionar, predstojnik, direktor ali drugi
pristojni oziroma pooblaščeni posameznik osebe javnega sektorja ali osebe
zasebnega sektorja. V pisni odločitvi morajo biti obrazloženi razlogi za uvedbo
videonadzora. Uvedba videonadzora se lahko določi tudi z zakonom ali s
predpisom, sprejetim na njegovi podlagi.
(2) Videonadzor se
lahko izvaja le na takšen način, da se ne more izvajati niti snemanje
notranjosti stanovanjskih stavb, ki nimajo vpliva na dostop do njihovih
prostorov, niti snemanje vhodov v stanovanja.
(3) O izvajanju
videonadzora je potrebno pisno obvestiti vse zaposlene v osebi javnega ali
zasebnega sektorja, ki opravljajo delo v nadzorovanem
prostoru.
(4) Zbirka osebnih
podatkov po tem členu vsebuje posnetek posameznika (slika oziroma glas), datum
in čas vstopa in izstopa iz prostora, lahko pa tudi osebno ime posnetega
posameznika, naslov njegovega stalnega ali začasnega prebivališča, zaposlitev,
številko in podatke o vrsti njegovega osebnega dokumenta ter razlogu vstopa, če
se navedeni osebni podatki zbirajo poleg ali s posnetkom videonadzornega
sistema.
(5) Osebni podatki
iz prejšnjega odstavka se lahko hranijo največ eno leto po nastanku, nato se
zbrišejo, če zakon ne določa drugače.
Večstanovanjske stavbe
76. člen
(1) Za uvedbo
videonadzora v večstanovanjski stavbi je potrebna pisna privolitev solastnikov,
ki imajo v lasti več kot 70 odstotkov solastniških
deležev.
(2) Videonadzor se
lahko v večstanovanjski stavbi uvede le, kadar je to potrebno za varnost ljudi
in premoženja.
(3) Z videonadzorom
v večstanovanjski stavbi se lahko nadzoruje le dostop do vhodov in izhodov
večstanovanjskih stavb ter njihovi skupni prostori. Prepovedano je izvajati
videonadzor nad hišniškim stanovanjem ter delavnico za
hišnika.
(4) Prepovedano je
omogočiti ali izvajati sprotno ali naknadno pregledovanje posnetkov
videonadzornega sistema preko interne kabelske televizije, javne kabelske
televizije, interneta ali s pomočjo drugega telekomunikacijskega sredstva, ki
lahko prenaša te posnetke.
(5) Prepovedano je z
videonadzornim sistemom snemati vhode v posamezna
stanovanja.
Delovni prostori
77. člen
(1) Izvajanje
videonadzora znotraj delovnih prostorov se lahko izvaja le v izjemnih primerih,
kadar je to nujno potrebno za varnost ljudi ali premoženja ali za varovanje
tajnih podatkov ter poslovne skrivnosti, tega namena pa ni možno doseči z
milejšimi sredstvi.
(2) Videonadzor se
lahko izvaja le glede tistih delov prostorov, kjer je potrebno varovati interese
iz prejšnjega odstavka.
(3) Prepovedano je
izvajati videonadzor v delovnih prostorih izven delovnega mesta, zlasti v
garderobah, dvigalih in sanitarnih prostorih.
(4) Zaposleni morajo
biti pred začetkom izvajanja videonadzora po tem členu vnaprej pisno obveščeni o
njegovem izvajanju.
(5) Pred uvedbo
videonadzora v osebi javnega ali zasebnega sektorja se mora delodajalec
posvetovati z reprezentativnim sindikatom pri delodajalcu.
(6) Na področju
obrambe države, obveščevalno-varnostne dejavnosti države in varovanja tajnih
podatkov se ne uporabljata četrti in peti odstavek tega člena.
3. poglavje
Biometrija
Splošna določba
78. člen
Z obdelavo
biometričnih značilnosti se ugotavljajo ali primerjajo lastnosti posameznika,
tako da se lahko izvrši njegova identifikacija oziroma preveri njegova
identiteta (v nadaljnjem besedilu: biometrijski ukrepi) pod pogoji, ki jih
določa ta zakon.
Biometrijski ukrepi v javnem sektorju
79. člen
(1) Biometrijske
ukrepe v javnem sektorju se lahko določi le z zakonom, če je to nujno potrebno
za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ter poslovne
skrivnosti, tega namena pa ni možno doseči z milejšimi
sredstvi.
(2) Ne glede na
prejšnji odstavek se biometrijske ukrepe lahko določi z zakonom, če gre za
izpolnjevanje obveznosti iz obvezujoče mednarodne pogodbe ali za identifikacijo
posameznikov pri prehajanju državnih meja.
Biometrijski ukrepi v zasebnem sektorju
80. člen
(1) Zasebni sektor
lahko izvaja biometrijske ukrepe le, če so nujno potrebni za opravljanje
dejavnosti, za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ali
poslovne skrivnosti. Biometrijske ukrepe lahko izvaja le nad svojimi
zaposlenimi, če so bili predhodno o tem pisno obveščeni.
(2) Če izvajanje
določenih biometrijskih ukrepov v zasebnem sektorju ni urejeno z zakonom, je
upravljavec osebnih podatkov, ki namerava izvajati biometrijske ukrepe, dolžan
pred uvedbo ukrepov posredovati državnemu nadzornemu organu opis nameravanih
ukrepov in razloge za njihovo uvedbo.
(3) Državni nadzorni
organ je po prejemu posredovanih informacij iz prejšnjega odstavka dolžan v dveh
mesecih odločiti, ali je nameravana uvedba biometrijskih ukrepov v skladu s tem
zakonom, predvsem s pogoji iz prvega stavka prvega odstavka tega člena. Rok se
lahko podaljša za največ en mesec, če bi uvajanje teh ukrepov prizadelo več kot
20 zaposlenih v osebi zasebnega sektorja, ali če reprezentativni sindikat pri
delodajalcu zahteva sodelovanje v upravnem postopku.
(4) Upravljavec
osebnih podatkov sme izvajati biometrijske ukrepe po prejemu odločbe iz
prejšnjega odstavka, s katero je izvajanje biometrijskih ukrepov
dovoljeno.
(5) Zoper odločbo
državnega nadzornega organa iz tretjega odstavka tega člena ni pritožbe,
dovoljen pa je upravni spor.
Biometrijski ukrepi v zvezi z zaposlenimi v javnem sektorju
81. člen
Ne glede na določbe
79. člena tega zakona se v javnem sektorju lahko uvedejo biometrijski ukrepi v
zvezi z vstopom v stavbo ali dele stavbe in evidentiranjem prisotnosti
zaposlenih na delu, ki se izvedejo ob smiselni uporabi drugega, tretjega in četrtega odstavka 80. člena tega zakona.
4. poglavje
Evidenca vstopov in izstopov iz prostorov
Evidenca
82. člen
(1) Oseba javnega
ali zasebnega sektorja lahko za namene varovanja premoženja, življenja ali
telesa posameznikov ter reda v njenih prostorih od posameznika, ki namerava
vstopiti ali izstopiti iz tega prostora, zahteva, da navede vse ali nekatere
osebne podatke iz drugega odstavka tega člena ter razlog vstopa ali izstopa. Po
potrebi lahko osebne podatke preveri tudi z vpogledom v osebni dokument
posameznika.
(2) V evidenci
vstopov in izstopov se lahko o posamezniku vodijo samo naslednji osebni podatki:
osebno ime, številka in vrsta osebnega dokumenta, naslov stalnega ali začasnega
prebivališča, zaposlitev ter datum, ura in razlog vstopa ali izstopa v ali iz
prostorov.
(3) Evidenca iz
prejšnjega odstavka velja za uradno evidenco v skladu z zakonom, ki ureja
splošni upravni postopek, če je potrebno pridobiti podatke z vidika koristi
mladoletnika ali za izvrševanje pristojnosti policije ter obveščevalno-varnostne
dejavnosti.
(4) Osebni podatki
iz evidence iz drugega odstavka tega člena se lahko hranijo največ tri leta od
vpisa, nato se zbrišejo ali na drug način uničijo, če zakon ne določa
drugače.
5. poglavje
Javne knjige in varstvo osebnih podatkov
Zakoniti namen javne knjige
83. člen
Osebni podatki iz
javne knjige, urejene z zakonom, se lahko uporabljajo le v skladu z namenom, za
katerega so bili zbrani ali se obdelujejo, če je zakoniti namen njihovega
zbiranja ali obdelave določen ali določljiv.
6. poglavje
Povezovanje zbirk osebnih podatkov
Uradne evidence in javne knjige
84. člen
(1) Zbirke osebnih
podatkov iz uradnih evidenc in javnih knjig je dovoljeno povezovati, če tako
določa zakon.
(2) Upravljavci ali
upravljavec osebnih podatkov, ki povezuje dve ali več zbirk osebnih podatkov, ki
se vodijo za različne namene, so dolžni o tem predhodno pisno obvestiti državni
nadzorni organ.
(3) Če vsaj ena
zbirka osebnih podatkov, ki naj bi se jo povezalo, vsebuje občutljive podatke,
ali če bi povezovanje imelo za posledico razkritje občutljivih podatkov ali je
za izvedbo povezovanja potrebna uporaba istega povezovalnega znaka, povezovanje
ni dovoljeno brez predhodnega dovoljenja državnega nadzornega
organa.
(4) Državni nadzorni
organ dovoli povezavo iz prejšnjega odstavka na podlagi pisne vloge upravljavca
osebnih podatkov, če ugotovi, da upravljavci osebnih podatkov zagotavljajo
ustrezno zavarovanje osebnih podatkov.
(5) Zoper odločbo iz
prejšnjega odstavka ni pritožbe, dovoljen pa je upravni
spor.
Prepoved povezovanja
85. člen
Prepovedano je
povezovati zbirke osebnih podatkov iz kazenske evidence in prekrškovnih evidenc
z drugimi zbirkami osebnih podatkov ter povezovati zbirke osebnih podatkov iz
kazenske evidence in prekrškovne evidence.
Posebna določba
86. člen
V registru zbirk
osebnih podatkov se podatki o povezanih zbirkah osebnih podatkov iz uradnih
evidenc ter javnih knjig vodijo posebej.
7. poglavje
Strokovni nadzor
Uporaba določb tega poglavja
87. člen
Če drug zakon ne
določa drugače, se določbe tega poglavja uporabljajo za obdelavo osebnih
podatkov pri strokovnem nadzoru, ki je določen z zakonom.
Splošne določbe
88. člen
(1) Oseba javnega
sektorja, ki izvaja strokovni nadzor (v nadaljnjem besedilu: izvajalec
strokovnega nadzora), lahko obdeluje osebne podatke, ki jih obdelujejo
upravljavci osebnih podatkov, nad katerimi ima po zakonu pristojnost izvajati
strokovni nadzor.
(2) Izvajalec
strokovnega nadzora ima pravico do vpogleda, izpisa, prepisovanja ali kopiranja
vseh osebnih podatkov iz prejšnjega odstavka, pri njihovi obdelavi za namene
strokovnega nadzora in izdelave poročila ali ocene pa je dolžan varovati njihovo
tajnost. V poročilu ali oceni ob zaključku strokovnega nadzora lahko izvajalec
strokovnega nadzora zapiše le tiste osebne podatke, ki so nujni za dosego namena
strokovnega nadzora.
(3) Stroške
vpogleda, izpisa, prepisovanja ali kopiranja iz prejšnjega odstavka krije
upravljavec osebnih podatkov.
Strokovni nadzor in dodatna obdelava osebnih podatkov
89. člen
(1) Izvajalec
strokovnega nadzora lahko pri opravljanju strokovnega nadzora, pri katerem v
skladu s prvim odstavkom 88. člena tega zakona obdeluje osebne podatke, pisno
obvesti posameznika, na katerega se nanašajo osebni podatki, da izvaja strokovni
nadzor in ga obvesti, da lahko pisno ali ustno poda svoja
stališča.
(2) Posameznik iz
prejšnjega odstavka lahko posreduje izvajalcu strokovnega nadzora za namene
izvajanja strokovnega nadzora osebne podatke drugega posameznika, ki bi lahko o
zadevi, v kateri se izvaja strokovni nadzor, kaj vedel. Če izvajalec strokovnega
nadzora ugotovi, da je to potrebno, opravi razgovor tudi z drugim
posameznikom.
Strokovni nadzor in občutljivi osebni podatki
90. člen
Če se pri izvajanju
strokovnega nadzora obdelujejo občutljivi osebni podatki, izvajalec strokovnega
nadzora o tem naredi uradni zaznamek ali drug uradni zapis v spisu zadeve
upravljavca osebnih podatkov.
VII. DEL
KAZENSKE DOLOČBE
Splošne kršitve določb tega zakona
91. člen
(1) Z globo od
1.000.000 do 3.000.000 tolarjev se kaznuje za prekršek pravna oseba ali
samostojni podjetnik posameznik:
1. če obdeluje osebne podatke, ne da bi imel za to podlago v zakonu ali v osebni privolitvi posameznika (8. člen);
2. če posamezna opravila v zvezi z obdelavo osebnih podatkov zaupa drugi osebi, ne da bi sklenil pogodbo v skladu z drugim odstavkom 11. člena;
3. če obdeluje občutljive osebne podatke v nasprotju s 13. členom ali jih ne zavaruje v skladu s 14. členom;
4. če avtomatizirano obdeluje osebne podatke v nasprotju s 15. členom;
5. če zbira osebne podatke za namene, ki niso določeni in zakoniti, ali če jih nadalje obdeluje v nasprotju s 16. členom;
6. če posreduje uporabniku osebnih podatkov osebne podatke v nasprotju z drugim odstavkom 17. člena ali če ne uniči osebnih podatkov v skladu s tretjim odstavkom 17. člena ali ne objavi rezultatov obdelave v skladu s četrtim odstavkom 17. člena;
7. če ne obvesti posameznika o obdelavi osebnih podatkov v skladu z 19. členom;
8. če uporablja isti povezovalni znak v nasprotju z 20. členom:
9. če ne zbriše, uniči, blokira ali anonimizira osebnih podatkov, potem ko je bil izpolnjen namen obdelave v skladu z drugim odstavkom 21. člena;
10. če ravna v nasprotju z 22. členom;
11. če ne zagotovi, da katalog zbirke osebnih podatkov vsebuje podatke, ki jih določa zakon (26. člen);
12. če ne posreduje podatkov za potrebe registra zbirk osebnih podatkov (27. člen);
13. če ravna v nasprotju s prvim ali drugim odstavkom 30. člena ali če ravna v nasprotju z drugim, tretjim ali petim odstavkom 31. člena;
14. če ravna v nasprotju z 32. členom ali če ravna v nasprotju z drugim ali petim odstavkom 33. člena;
15. če v nasprotju s prvim odstavkom 63. člena ali v nasprotju s 70. členom iznaša osebne podatke v tretjo državo.
(2) Z globo od
200.000 do 500.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi
odgovorna oseba pravne osebe ali samostojnega podjetnika
posameznika.
(3) Z globo od
200.000 do 500.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega
organa ali organa samoupravne lokalne skupnosti, ki stori dejanje iz prvega
odstavka tega člena.
(4) Z globo od
50.000 do 200.000 tolarjev se kaznuje za prekršek posameznik, ki stori dejanje
iz prvega odstavka tega člena.
Kršitev določb o pogodbeni obdelavi
92. člen
(1) Z globo od
1.000.000 do 3.000.000 tolarjev se kaznuje za prekršek pravna oseba ali
samostojni podjetnik posameznik, če prekorači pooblastila, vsebovana v pogodbi
iz drugega odstavka 11. člena ali ne vrne osebnih podatkov v skladu s tretjim
odstavkom 11. člena.
(2) Z globo od
200.000 do 500.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi
odgovorna oseba pravne osebe ali samostojnega podjetnika
posameznika.
(3) Z globo od
200.000 do 500.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega
organa ali organa samoupravne lokalne skupnosti, ki stori dejanje iz prvega
odstavka tega člena.
(4) Z globo od
50.000 do 200.000 tolarjev se kaznuje za prekršek posameznik, ki stori dejanje
iz prvega odstavka tega člena.
Kršitev določb o zavarovanju osebnih podatkov
93. člen
(1) Z globo od
1.000.000 do 3.000.000 tolarjev se kaznuje za prekršek pravna oseba ali
samostojni podjetnik posameznik, če v skladu s tem zakonom obdeluje osebne
podatke in ne zagotovi zavarovanja osebnih podatkov (24. in 25. člen).
(2) Z globo od
200.000 do 300.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi
odgovorna oseba pravne osebe ali samostojnega podjetnika
posameznika.
(3) Z globo od
200.000 do 300.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega
organa ali organa samoupravne lokalne skupnosti, ki stori dejanje iz prvega
odstavka tega člena.
(4) Z globo od
50.000 do 200.000 tolarjev se kaznuje za prekršek posameznik, ki stori dejanje
iz prvega odstavka tega člena.
Kršitev določb o neposrednem trženju
94. člen
(1) Z globo od
500.000 do 1.000.000 tolarjev se kaznuje za prekršek pravna oseba ali samostojni
podjetnik posameznik, če v skladu s tem zakonom obdeluje osebne podatke za
namene neposrednega trženja in ne ravna v skladu z 72. ali 73. členom.
(2) Z globo od
100.000 do 300.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi
odgovorna oseba pravne osebe ali samostojnega podjetnika
posameznika.
(3) Z globo od
50.000 do 200.000 tolarjev se kaznuje za prekršek posameznik, ki stori dejanje
iz prvega odstavka tega člena.
Kršitev splošnih določb o videonadzoru
95. člen
(1) Z globo od
1.000.000 do 3.000.000 tolarjev se kaznuje za prekršek pravna oseba ali
samostojni podjetnik posameznik:
1. če ne objavi obvestila na način iz drugega odstavka 74. člena;
2. če obvestilo ne vsebuje informacij iz tretjega odstavka 74. člena;
3. če ne zavaruje videonadzornega sistema, s katerim se izvaja videonadzor, v nasprotju s petim odstavkom 74. člena.
(2) Z globo od
200.000 do 300.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi
odgovorna oseba pravne osebe ali samostojnega podjetnika
posameznika.
(3) Z globo od
200.000 do 300.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega
organa ali organa samoupravne lokalne skupnosti, ki stori dejanje iz prvega
odstavka tega člena.
(4) Z globo od
50.000 do 200.000 tolarjev se kaznuje za prekršek posameznik, ki stori dejanje
iz prvega odstavka tega člena.
Kršitev določb o videonadzoru glede dostopa v uradne službene oziroma poslovne prostore
96. člen
(1) Z globo od
1.000.000 do 3.000.000 tolarjev se kaznuje za prekršek pravna oseba ali
samostojni podjetnik posameznik:
1. če izvaja videonadzor brez obrazložene pisne odločitve ali brez druge pravne podlage iz prvega odstavka 75. člena;
2. če izvaja videonadzor tako, da izvaja snemanje notranjosti stanovanjskih stavb, ki nimajo vpliva na dostop do njihovih prostorov ali posnetke vhodov v stanovanja (drugi odstavek 75. člena);
3. če pisno ne obvesti zaposlenih (tretji odstavek 75. člena);
4. če hrani osebne podatke v nasprotju s petim odstavkom 75. člena.
(2) Z globo od
200.000 do 300.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi
odgovorna oseba pravne osebe ali samostojnega podjetnika
posameznika.
(3) Z globo od
200.000 do 300.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega
organa ali organa samoupravne lokalne skupnosti, ki stori dejanje iz prvega
odstavka tega člena.
(4) Z globo od
50.000 do 200.000 tolarjev se kaznuje za prekršek posameznik, ki stori dejanje
iz prvega odstavka tega člena.
Kršitev določb o videonadzoru pri večstanovanjskih stavbah
97. člen
(1) Z globo od
500.000 do 2.000.000 tolarjev se kaznuje za prekršek pravna oseba ali samostojni
podjetnik posameznik, ki izvaja videonadzor v nasprotju s 76. členom.
(2) Z globo od
100.000 do 300.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi
odgovorna oseba pravne osebe ali samostojnega podjetnika
posameznika.
(3) Z globo od
200.000 do 300.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega
organa ali organa samoupravne lokalne skupnosti, ki stori dejanje iz prvega
odstavka tega člena.
(4) Z globo od
50.000 do 100.000 tolarjev se kaznuje za prekršek posameznik, ki stori dejanje
iz prvega odstavka tega člena.
Kršitev določb o videonadzoru v delovnih prostorih
98. člen
(1) Z globo od
1.000.000 do 3.000.000 tolarjev se kaznuje za prekršek pravna oseba ali
samostojni podjetnik posameznik, ki izvaja videonadzor v delovnih prostorih v
nasprotju z 77. členom.
(2) Z globo od
300.000 do 500.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi
odgovorna oseba pravne osebe ali samostojnega podjetnika
posameznika.
(3) Z globo od
300.000 do 500.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega
organa ali organa samoupravne lokalne skupnosti, ki stori dejanje iz prvega
odstavka tega člena.
(4) Z globo od
200.000 do 300.000 tolarjev se kaznuje za prekršek posameznik, ki stori dejanje
iz prvega odstavka tega člena.
Kršitev določb o biometriji v javnem sektorju
99. člen
(1) Z globo od
1.000.000 do 3.000.000 tolarjev se kaznuje za prekršek pravna oseba javnega
sektorja, ki izvaja biometrijske ukrepe v nasprotju s 79. členom.
(2) Z globo od
300.000 do 500.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi
odgovorna oseba pravne osebe javnega sektorja.
(3) Z globo od
300.000 do 500.000 tolarjev se kaznuje za prekršek iz prvega odstavka tega člena
tudi odgovorna oseba državnega organa ali organa samoupravne lokalne skupnosti,
ki stori dejanje iz prvega odstavka tega člena.
Kršitev določb o biometriji v zasebnem sektorju
100. člen
(1) Z globo od
1.000.000 do 3.000.000 tolarjev se kaznuje za prekršek pravna oseba ali
samostojni podjetnik posameznik, ki izvaja biometrijske ukrepe v nasprotju z 80. členom.
(2) Z globo od
300.000 do 500.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi
odgovorna oseba pravne osebe ali samostojnega podjetnika
posameznika.
Kršitev določb o evidenci vstopov in izstopov
101. člen
(1) Z globo od
500.000 do 1.000.000 tolarjev se kaznuje za prekršek pravna oseba ali samostojni
podjetnik posameznik:
1. ki uporablja
evidenco vstopov in izstopov kot uradno evidenco v nasprotju s tretjim odstavkom
82. člena;
2. ki ravna v
nasprotju s četrtim odstavkom 82. člena.
(2) Z globo od
50.000 do 200.000 tolarjev se za prekršek kaznuje tudi odgovorna oseba pravne
osebe ali samostojnega podjetnika posameznika, ki stori prekršek iz prejšnjega
odstavka.
(3) Z globo od
50.000 do 200.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega
organa ali organa samoupravne lokalne skupnosti, ki stori prekršek iz prvega
odstavka tega člena.
(4) Z globo od
50.000 do 100.000 tolarjev se kaznuje za prekršek posameznik, ki stori prekršek
iz prvega odstavka tega člena.
Kršitev določb o povezovanju zbirk osebnih podatkov
102. člen
(1) Z globo od
200.000 do 500.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega
organa ali samoupravne lokalne skupnosti, ki poveže zbirke osebnih podatkov v
nasprotju s tretjim odstavkom 84. člena.
(2) Z globo od
200.000 do 500.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega
organa ali samoupravne lokalne skupnosti, ki poveže zbirke osebnih podatkov iz
kazenske evidence in prekrškovnih evidenc z drugimi zbirkami osebnih podatkov
ali poveže zbirke osebnih podatkov iz kazenske evidence z zbirko osebnih
podatkov iz prekrškovnih evidenc (85. člen).
Kršitev določb o strokovnem nadzoru
103. člen
(1) Z globo od
1.000.000 do 3.000.000 tolarjev se kaznuje za prekršek pravna
oseba:
1. če izvaja
strokovni nadzor v nasprotju z drugim odstavkom 88. člena;
2. če ne napravi
uradnega zaznamka ali drugega uradnega zapisa v nasprotju z 90. členom tega
zakona.
(2) Z globo od
200.000 do 300.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi
odgovorna oseba pravne osebe.
(3) Z globo od
200.000 do 300.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega
organa ali organa samoupravne lokalne skupnosti, ki stori dejanje iz prvega
odstavka tega člena.
(4) Z globo od
50.000 do 200.000 tolarjev se kaznuje za prekršek posameznik, ki stori dejanje
iz prvega odstavka tega člena.
VIII. DEL
PREHODNE IN KONČNE DOLOČBE
Pristojnosti pooblaščenca za dostop do informacij javnega značaja glede varstva osebnih podatkov
104. člen
(1) Zoper odločbo
ali sklep državnega nadzornega organa lahko pooblaščenec za dostop do informacij
javnega značaja do uveljavitve zakona, ki bo uredil to vprašanje, začne upravni
spor, če oceni, da je z njo kršen dostop do informacij javnega
značaja.
(2) Postopek v
upravnem sporu iz prejšnjega odstavka je nujen in
prednosten.
(3) Pooblaščenec za
dostop do informacij javnega značaja je dolžan vročiti državnemu nadzornemu
organu odločbo ali sklep, v katerem se je pooblaščenec opredelil do vprašanja
varstva osebnih podatkov.
Rok za izdajo podzakonskih predpisov
105. člen
(1) Pravilnik iz
tretjega odstavka 28. člena in 69. člena tega zakona se izda v dveh mesecih od
uveljavitve tega zakona.
(2) Predpis iz
drugega odstavka 52. člena tega zakona se izda do 1. januarja
2006.
Prehodna ureditev
106. člen
(1) Javni skladi
lahko obdelujejo ter zbirajo na podlagi osebne privolitve od posameznikov osebne
podatke, ki se nanašajo na njih, če so ti podatki potrebni in primerni za
izvrševanje njihovih nalog in pristojnosti, ne glede na določbe zakonov, ki
urejajo njihove naloge in pristojnosti ter določbe tega zakona, do uveljavitve
posebnega zakona, ki bo uredil ta vprašanja.
(2) Upravljavci
osebnih podatkov lahko javnosti posredujejo in javno objavijo osebno ime, naziv
ali funkcijo, službeno telefonsko številko in naslov službene elektronske pošte
predstojnika in tistih zaposlenih, katerih delo je pomembno zaradi poslovanja s
strankami oziroma uporabniki storitev, do uveljavitve posebnega zakona, ki bo
uredil ta vprašanja.
Izraz upravljavec osebnih podatkov
107. člen
Izrazi »upravljavec
zbirke osebnih podatkov«, »upravljavec podatkov« ali »upravljalec zbirk
podatkov« ali »upravljalec zbirke podatkov«, ki so določeni v zakonih, se
štejejo za izraz »upravljavec osebnih podatkov« po tem
zakonu.
Začetek delovanja Državnega nadzornega organa za varstvo osebnih podatkov
108. člen
(1) Državni nadzorni
organ za varstvo osebnih podatkov začne z delom 1. januarja
2006.
(2) Do začetka
delovanja Državnega nadzornega organa za varstvo osebnih podatkov njegove
pristojnosti in naloge po tem zakonu opravlja Inšpektorat za varstvo osebnih
podatkov Republike Slovenije kot organ v sestavi Ministrstva za pravosodje in
inšpektorji, imenovani po Zakonu o varstvu osebnih podatkov (Uradni list RS, št.
59/99, 57/01, 59/01- popr., 52/02-ZDU-1 in 73/04 – ZUP-C).
Imenovanje glavnega državnega nadzornika
109. člen
(1) Postopek za
imenovanje glavnega državnega nadzornika se začne najkasneje 1. junija
2005.
(2) Z dnem
imenovanja glavnega državnega nadzornika preneha mandat glavnemu inšpektorju za
varstvo osebnih podatkov.
(3) Če je glavni
državni nadzornik imenovan pred začetkom dela Državnega nadzornega organa za
varstvo osebnih podatkov, je glavni državni nadzornik predstojnik Inšpektorata
za varstvo osebnih podatkov Republike Slovenije kot organa v sestavi Ministrstva
za pravosodje do začetka dela državnega nadzornega organa za varstvo osebnih
podatkov.
(4) Če glavni
državni nadzornik ni imenovan do začetka dela Državnega nadzornega organa za
varstvo osebnih podatkov, opravlja njegovo funkcijo glavni inšpektor za varstvo
osebnih podatkov kot vršilec dolžnosti do imenovanja glavnega državnega
nadzornika.
Prevzem zaposlenih in arhivov
110. člen
(1) Državni nadzorni
organ za varstvo osebnih podatkov prevzame inšpektorje in druge zaposlene, ki na
dan začetka delovanja Državnega nadzornega organa za varstvo osebnih podatkov
opravljajo delo v Inšpektoratu za varstvo osebnih podatkov Republike
Slovenije.
(2) Na Državni
nadzorni organ za varstvo osebnih podatkov se prenesejo nedokončane zadeve,
arhivi in evidence, ki jih vodi Inšpektorat za varstvo osebnih podatkov
Republike Slovenije.
Uporaba posameznih določb tega zakona
111. člen
(1) Določbe drugega
odstavka 48. člena ter 3. in 4. točke prvega odstavka 49. člena tega zakona se
začnejo uporabljati z dnem začetka delovanja Državnega nadzornega organa za
varstvo osebnih podatkov.
(2) Do vzpostavitve
spletne strani Državnega nadzornega organa za varstvo osebnih podatkov se
informacije, ki jih po tem zakonu objavlja državni nadzorni organ na svoji
spletni strani, objavljajo na spletni strani Ministrstva za
pravosodje.
Dokončanje tekočih postopkov
112. člen
Če je odločba ali
sklep inšpektorja izdan pred uveljavitvijo tega zakona, se postopek konča po
določbah Zakona o varstvu osebnih podatkov (Uradni list RS, št. 59/99, 57/01,
59/01 – popr., 52/02 – ZDU-1 in 73/04 – ZUP-C).
Prenos vodenja registra zbirk osebnih podatkov
113. člen
(1) Skupni katalog
osebnih podatkov, ki se vodi po določbah Zakona o varstvu osebnih podatkov
(Uradni list RS, št. 59/99, 57/01, 59/01 – popr., 52/02 – ZDU-1 in 73/04 –
ZUP-C), se z dnem uveljavitve tega zakona preimenuje v register zbirk osebnih
podatkov.
(2) Do 1. januarja
2006 vodi in vzdržuje register iz prejšnjega odstavka Ministrstvo za pravosodje,
s tem datumom pa ga preda Državnemu nadzornemu organu za varstvo osebnih
podatkov.
Dopolnitev podatkov v registru zbirk osebnih podatkov
114. člen
Upravljavci osebnih
podatkov, ki so posredovali osebne podatke po določbah Zakona o varstvu osebnih
podatkov (Uradni list RS, št. 59/99, 57/01, 59/01 – popr., 52/02 – ZDU-1 in
73/04 – ZUP-C) v skupni katalog osebnih podatkov morajo posredovati vse podatke
iz 27. člena tega zakona pristojnemu organu iz 113. člena tega zakona v enem
letu po uveljavitvi podzakonskega predpisa iz tretjega odstavka 28. člena tega
zakona.
Prenehanje veljavnosti
115. člen
(1) Z dnem
uveljavitve tega zakona preneha veljati Zakon o varstvu osebnih podatkov (Uradni
list RS, št. 59/99, 57/01, 59/01 – popr., 52/02 – ZDU-1 in 73/04 –
ZUP-C).
(2) Z dnem začetka
dela Državnega nadzornega organa za varstvo osebnih podatkov preneha veljati
druga alinea prvega odstavka in tretji odstavek 13. člena Uredbe o organih v
sestavi ministrstev (Uradni list RS, št. 58/03).
(3) Z dnem
uveljavitve tega zakona prenehajo veljati določbe prvega odstavka 110. člena in
drugega odstavka 111. člena Zakona o elektronskih komunikacijah (Uradni list RS,
št. 43/04) v delu, ki določajo zbiranje, obdelavo in objavo EMŠO – enotne
matične številke občana.
Sprememba v drugem zakonu
116. člen
V Zakonu o
ratifikaciji Konvencije o varstvu posameznikov glede na avtomatsko obdelavo
osebnih podatkov (Uradni list RS, št. 11/94 – Mednarodne pogodbe, št. 3/94) se v
3. členu besedilo »znanost in tehnologijo« nadomesti z besedilom
»pravosodje«.
Začetek veljavnosti
117. člen
Ta zakon začne
veljati 1. januarja 2005.
Št.
210-01/89-3/25
Ljubljana, dne 15.
julija 2004.
EPA
1228-III
Predsednik
Državnega zbora
Republike
Slovenije
Feri Horvat l. r.