Zakon o varstvu osebnih podatkov (ZVOP-1).
Na podlagi druge alinee prvega odstavka 107. člena in prvega odstavka 91. člena Ustave Republike Slovenije izdajam
UKAZ o razglasitvi Zakona o varstvu osebnih podatkov (ZVOP-1)
Razglašam Zakon o varstvu osebnih podatkov (ZVOP-1), ki ga je sprejel Državni zbor Republike Slovenije na seji 15. julija 2004.
Št. 001-22-148/04
Ljubljana, dne 23. julija 2004
dr. Janez Drnovšek l. r.
Predsednik
Republike Slovenije
ZAKON O VARSTVU OSEBNIH PODATKOV (ZVOP-1)
I. DEL SPLOŠNE DOLOCBE
Vsebina zakona
1. člen
S tem zakonom se dolocajo pravice, obveznosti, nacela in ukrepi, s katerimi se preprecujejo neustavni, nezakoniti in neupraviceni posegi v zasebnost in dostojanstvo posameznika oziroma posameznice (v nadaljnjem besedilu: posameznik) pri obdelavi osebnih podatkov.
Nacelo zakonitosti in poštenosti
2. člen
Osebni podatki se obdelujejo zakonito in pošteno.
Nacelo sorazmernosti
3. člen
Osebni podatki, ki se obdelujejo, morajo biti ustrezni in po obsegu primerni glede na namene, za katere se zbirajo in nadalje obdelujejo.
Prepoved diskriminacije
4. člen
Varstvo osebnih podatkov je zagotovljeno vsakemu posamezniku ne glede na narodnost, raso, barvo, veroizpoved, etnicni pripadnost, spol, jezik, politicno ali drugo prepricanje, spolno usmerjenost, premoženjsko stanje, rojstvo, izobrazbo, družbeni položaj, državljanstvo, kraj oziroma vrsto prebivališca ali katerokoli drugo osebno okolišcino.
Ozemeljska veljavnost tega zakona
5. člen
(1) Ta zakon velja za obdelavo osebnih podatkov, ce je upravljavec osebnih podatkov ustanovljen, ima sedež ali je registriran v Republiki Sloveniji ali ce je podružnica upravljavca osebnih podatkov registrirana v Republiki Sloveniji.
(2) Ta zakon velja tudi, ce upravljavec osebnih podatkov ni ustanovljen, nima sedeža oziroma ni registriran v državi clanici Evropske unije oziroma ni del Evropskega gospodarskega prostora in za obdelavo osebnih podatkov uporablja avtomatsko ali drugo opremo, ki se nahaja v Republiki Sloveniji, razen ce se ta oprema uporablja samo za prenos osebnih podatkov preko ozemlja Republike Slovenije.
(3) Upravljavec osebnih podatkov iz prejšnjega odstavka mora dolociti fizicno ali pravno osebo, ki ima sedež ali je registrirana v Republiki Sloveniji, ki ga zastopa glede obdelave osebnih podatkov v skladu s tem zakonom.
(4) Ta zakon velja tudi za diplomatsko-konzularna in druga uradna predstavništva Republike Slovenije v tujini.
Pomen izrazov
6. člen
V tem zakonu uporabljeni izrazi imajo naslednji pomen:
1. Osebni podatek – je katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen.
2. Posameznik – je dolocena ali dolocljiva fizicna oseba, na katero se nanaša osebni podatek; fizicna oseba je dolocljiva, ce se jo lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali vec dejavnikov, ki so znacilni za njeno fizicno, fiziološko, duševno, ekonomsko, kulturno ali družbeno identiteto, pri cemer nacin identifikacije ne povzroca velikih stroškov, nesorazmerno velikega napora ali ne zahteva veliko casa.
3. Obdelava osebnih podatkov – pomeni kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri rocni obdelavi del zbirke osebnih podatkov ali so namenjeni vkljucitvi v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklicanje, vpogled, uporaba, razkritje s prenosom, sporocanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris ali unicenje; obdelava je lahko rocna ali avtomatizirana (sredstva obdelave).
4. Avtomatizirana obdelava – je obdelava osebnih podatkov s sredstvi informacijske tehnologije.
5. Zbirka osebnih podatkov – je vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogocajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran na takšen nacin, da doloci ali omogoci dolocljivost posameznika.
6. Upravljavec osebnih podatkov – je fizicna ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki sama ali skupaj z drugimi doloca namene in sredstva obdelave osebnih podatkov oziroma oseba, dolocena z zakonom, ki doloca tudi namene in sredstva obdelave.
7. Pogodbeni obdelovalec – je fizicna ali pravna oseba, ki obdeluje osebne podatke v imenu in na racun upravljavca osebnih podatkov.
8. Uporabnik osebnih podatkov – je fizicna ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki se ji posredujejo ali razkrijejo osebni podatki.
9. Posredovanje osebnih podatkov – je posredovanje ali razkritje osebnih podatkov.
10. Tuji uporabnik in tuji upravljavec osebnih podatkov – je uporabnik osebnih podatkov v tretji državi in upravljavec osebnih podatkov v tretji državi.
11. Tretja država – je država, ki ni država clanica Evropske unije ali del Evropskega gospodarskega prostora.
12. Katalog zbirke osebnih podatkov – je opis zbirke osebnih podatkov.
13. Register zbirk osebnih podatkov – je register, v katerem so podatki iz katalogov zbirk osebnih podatkov.
14. Osebna privolitev posameznika – je prostovoljna izjava volje posameznika, da se lahko njegovi osebni podatki obdelujejo za dolocen namen, in je dana na podlagi informacij, ki mu jih mora zagotoviti upravljavec po tem zakonu; osebna privolitev posameznika je lahko pisna, ustna ali druga ustrezna privolitev posameznika.
15. Pisna privolitev posameznika – je podpisana privolitev posameznika, ki ima obliko listine, dolocila v pogodbi, dolocila v narocilu, priloge k vlogi ali drugo obliko v skladu z zakonom; podpis je tudi na podlagi zakona s podpisom izenacena oblika, podana s telekomunikacijskim sredstvom, ter na podlagi zakona s podpisom izenacena oblika, ki jo poda posameznik, ki ne zna ali ne more pisati.
16. Ustna ali druga ustrezna privolitev posameznika – je ustno ali s telekomunikacijskim ali drugim ustreznim sredstvom ali na drug ustrezen nacin dana privolitev, iz katere je mogoce nedvomno sklepati na posameznikovo privolitev.
17. Blokiranje – je takšna oznacitev osebnih podatkov, da se omeji ali prepreci njihova nadaljnja obdelava.
18. Anonimiziranje – je takšna sprememba oblike osebnih podatkov, da jih ni vec mogoce povezati s posameznikom ali je to mogoce le z nesorazmerno velikimi napori, stroški ali porabo casa.
19. Obcutljivi osebni podatki – so podatki o rasnem, narodnem ali narodnostnem poreklu, politicnem, verskem ali filozofskem prepricanju, clanstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali evidenc, ki se vodijo na podlagi zakona, ki ureja prekrške (v nadaljnjem besedilu: prekrškovne evidence); obcutljivi osebni podatki so tudi biometricne znacilnosti, ce je z njihovo uporabo mogoce dolociti posameznika v zvezi s kakšno od prej navedenih okolišcin.
20. Isti povezovalni znaki – so osebna identifikacijska številka in druge z zakonom opredeljene enolicne identifikacijske številke posameznika, z uporabo katerih je mogoce zbirati oziroma priklicati osebne podatke iz tistih zbirk osebnih podatkov, v katerih so obdelovani tudi isti povezovalni znaki.
21. Biometricne znacilnosti – so takšne telesne, fiziološke ter vedenjske znacilnosti, ki jih imajo vsi posamezniki, so pa edinstvene in stalne za vsakega posameznika posebej in je možno z njimi dolociti posameznika, zlasti z uporabo prstnega odtisa, posnetka papilarnih linij s prsta, šarenice, ocesne mrežnice, obraza, ušesa, deoksiribonukleinske kisline ter znacilne drže.
22. Javni sektor – so državni organi, organi samoupravnih lokalnih skupnosti, nosilci javnih pooblastil, javne agencije, javni skladi, javni zavodi, univerze, samostojni visokošolski zavodi in samoupravne narodne skupnosti.
23. Zasebni sektor – so pravne in fizicne osebe, ki opravljajo dejavnost po zakonu, ki ureja gospodarske družbe ali gospodarske javne službe ali obrt, in osebe zasebnega prava; zasebni sektor so javni gospodarski zavodi, javna podjetja in gospodarske družbe, ne glede na delež oziroma vpliv države, samoupravne lokalne skupnosti ali samoupravne narodne skupnosti.
Izjeme pri uporabi tega zakona
7. člen
(1) Ta zakon se ne uporablja za obdelavo osebnih podatkov, ki jo izvajajo posamezniki izkljucno za osebno uporabo, družinsko življenje ali za druge domace potrebe.
(2) Za osebne podatke, ki jih o svojih clanih obdelujejo politicne stranke, sindikati, društva ali verske skupnosti, se ne uporabljajo 26., 27. in 28. člen tega zakona.
(3) Za osebne podatke, ki jih za namene obvešcanja javnosti obdelujejo mediji, se ne uporabljajo drugi odstavek 25. člena, 26., 27. in 28. člen ter V. del tega zakona.
II. DEL OBDELAVA OSEBNIH PODATKOV
1. poglavje Pravne podlage in nameni
Splošna opredelitev
8. člen
(1) Osebni podatki se lahko obdelujejo le, ce obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, doloca zakon ali ce je za obdelavo dolocenih osebnih podatkov podana osebna privolitev posameznika.
(2) Namen obdelave osebnih podatkov mora biti dolocen v zakonu, v primeru obdelave na podlagi osebne privolitve posameznika pa mora biti posameznik predhodno pisno ali na drug ustrezen nacin seznanjen z namenom obdelave osebnih podatkov.
Pravne podlage v javnem sektorju
9. člen
(1) Osebni podatki v javnem sektorju se lahko obdelujejo, ce obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, doloca zakon. Z zakonom se lahko doloci, da se doloceni osebni podatki obdelujejo le na podlagi osebne privolitve posameznika.
(2) Nosilci javnih pooblastil lahko obdelujejo osebne podatke tudi na podlagi osebne privolitve posameznika brez podlage v zakonu, kadar ne gre za izvrševanje njihovih nalog kot nosilcev javnih pooblastil. Zbirke osebnih podatkov, ki nastanejo na tej podlagi, morajo biti locene od zbirk osebnih podatkov, ki nastanejo na podlagi izvrševanja nalog nosilca javnih pooblastil.
(3) Ne glede na prvi odstavek tega člena se lahko v javnem sektorju obdelujejo osebni podatki posameznikov, ki so z javnim sektorjem sklenili pogodbo ali pa so na podlagi pobude posameznika z njim v fazi pogajanj za sklenitev pogodbe, ce je obdelava osebnih podatkov potrebna in primerna za izvedbo pogajanj za sklenitev pogodbe ali za izpolnjevanje pogodbe.
(4) Ne glede na prvi odstavek tega člena se lahko v javnemu sektorju izjemoma obdelujejo tisti osebni podatki, ki so nujni za izvrševanje zakonitih pristojnosti, nalog ali obveznosti javnega sektorja, ce se s to obdelavo ne poseže v upravicen interes posameznika, na katerega se osebni podatki nanašajo.
Pravne podlage v zasebnem sektorju
10. člen
(1) Osebni podatki v zasebnem sektorju se lahko obdelujejo, ce obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, doloca zakon ali ce je za obdelavo dolocenih osebnih podatkov podana osebna privolitev posameznika.
(2) Ne glede na prejšnji odstavek se lahko v zasebnem sektorju obdelujejo osebni podatki posameznikov, ki so z zasebnim sektorjem sklenili pogodbo ali pa so na podlagi pobude posameznika z njim v fazi pogajanj za sklenitev pogodbe, ce je obdelava osebnih podatkov potrebna in primerna za izvedbo pogajanj za sklenitev pogodbe ali za izpolnjevanje pogodbe.
(3) Ne glede na prvi odstavek tega člena se lahko v zasebnem sektorju obdelujejo osebni podatki, ce je to nujno zaradi uresnicevanja zakonitih interesov zasebnega sektorja in ti interesi ocitno prevladujejo nad interesi posameznika, na katerega se nanašajo osebni podatki.
Pogodbena obdelava
11. člen
(1) Upravljavec osebnih podatkov lahko posamezna opravila v zvezi z obdelavo osebnih podatkov s pogodbo zaupa pogodbenemu obdelovalcu, ki je registriran za opravljanje takšne dejavnosti in zagotavlja ustrezne postopke in ukrepe iz 24. člena tega zakona.
(2) Pogodbeni obdelovalec sme opravljati posamezna opravila v zvezi z obdelavo osebnih podatkov v okviru narocnikovih pooblastil in osebnih podatkov ne sme obdelovati za noben drug namen. Medsebojne pravice in obveznosti se uredijo s pogodbo, ki mora biti sklenjena v pisni obliki in mora vsebovati tudi dogovor o postopkih in ukrepih iz 24. člena tega zakona. Upravljavec osebnih podatkov nadzoruje izvajanje postopkov in ukrepov iz 24. člena tega zakona.
(3) V primeru spora med upravljavcem osebnih podatkov in pogodbenim obdelovalcem je dolžan pogodbeni obdelovalec na podlagi zahteve upravljavca osebne podatke, ki jih je pogodbeno obdeloval, nemudoma vrniti upravljavcu. Morebitne kopije teh podatkov mora takoj uniciti ali jih posredovati državnemu organu, ki je v skladu z zakonom pristojen za odkrivanje ali pregon kaznivih dejanj, sodišcu ali drugemu državnemu organu, ce tako doloca zakon.
(4) V primeru prenehanja pogodbenega obdelovalca se osebni podatki brez nepotrebnega odlašanja vrnejo upravljavcu osebnih podatkov.
Varovanje življenjskih interesov posameznika
12. člen
Ce je obdelava osebnih podatkov nujno potrebna za varovanje življenja ali telesa posameznika, se lahko njegovi osebni podatki obdelujejo ne glede na to, da za obdelavo teh podatkov ni druge zakonite pravne podlage.
Obdelava obcutljivih osebnih podatkov
13. člen
Obcutljivi osebni podatki se lahko obdelujejo le v naslednjih primerih:
1. ce je posameznik za to podal izrecno osebno privolitev, ki je praviloma pisna, v javnem sektorju pa tudi dolocena z zakonom;
2. ce je obdelava potrebna zaradi izpolnjevanja obveznosti in posebnih pravic upravljavca osebnih podatkov na podrocju zaposlovanja v skladu z zakonom, ki doloca tudi ustrezna jamstva pravic posameznika;
3. ce je obdelava nujno potrebna za varovanje življenja ali telesa posameznika, na katerega se osebni podatki nanašajo, ali druge osebe, kadar posameznik, na katerega se osebni podatki nanašajo, fizicno ali poslovno ni sposoben dati svoje privolitve iz 1. tocke tega člena;
4. ce jih za namene zakonitih dejavnosti obdelujejo ustanove, združenja, društva, verske skupnosti, sindikati ali druge nepridobitne organizacije s politicnim, filozofskim, verskim ali sindikalnim ciljem, vendar le, ce se obdelava nanaša na njihove clane ali na posameznike, ki so v zvezi s temi cilji z njimi v rednem stiku, ter ce se ti podatki ne posredujejo drugim posameznikom ali osebam javnega ali zasebnega sektorja brez pisne privolitve posameznika, na katerega se nanašajo;
5. ce je posameznik, na katerega se nanašajo obcutljivi osebni podatki, te javno objavil brez ocitnega ali izrecnega namena, da omeji namen njihove uporabe;
6. ce jih za namene zdravstvenega varstva prebivalstva in posameznikov ter vodenja ali opravljanja zdravstvenih služb obdelujejo zdravstveni delavci in zdravstveni sodelavci v skladu z zakonom;
7. ce je to potrebno zaradi uveljavljanja ali nasprotovanja pravnemu zahtevku;
8. ce tako doloca drug zakon zaradi izvrševanja javnega interesa.
Zavarovanje obcutljivih osebnih podatkov
14. člen
(1) Obcutljivi osebni podatki morajo biti pri obdelavi posebej oznaceni in zavarovani tako, da se nepooblašcenim osebam onemogoci dostop do njih, razen v primeru iz 5. tocke 13. člena tega zakona.
(2) Pri prenosu obcutljivih osebnih podatkov preko telekomunikacijskih omrežij se šteje, da so podatki ustrezno zavarovani, ce se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova necitljivost oziroma neprepoznavnost med prenosom.
Avtomatizirano odlocanje
15. člen
Avtomatizirana obdelava osebnih podatkov, pri kateri se o posamezniku lahko sprejme odlocitev, ki ima za posledico pravne ucinke v zvezi z njim ali na njega znatno vpliva in ki temelji zgolj na avtomatizirani obdelavi podatkov, ki je namenjena ovrednotenju nekaterih osebnih vidikov v zvezi z njim, kakršni so zlasti njegova uspešnost pri delu, kreditna sposobnost, zanesljivost, ravnanje ali izpolnjevanje zahtevanih pogojev, je dovoljena le, ce je odlocitev:
1. sprejeta med sklepanjem ali izvajanjem pogodbe, pod pogojem, da je pobuda za sklenitev ali izvajanje pogodbe, ki jo je vložil posameznik, na katerega se osebni podatki nanašajo, izpolnjena ali da obstajajo primerni ukrepi za varstvo njegovih zakonitih interesov, kakršni so zlasti dogovori, ki mu omogocajo ugovarjati takšni odlocitvi ali izraziti njegovo stališce;
2. dolocena z zakonom, ki doloca tudi ukrepe za varstvo zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, zlasti možnost pravnega sredstva zoper takšno odlocitev.
Namen zbiranja in nadaljnja obdelava
16. člen
Osebni podatki se lahko zbirajo le za dolocene in zakonite namene ter se ne smejo nadalje obdelovati tako, da bi bila njihova obdelava v neskladju s temi nameni, ce zakon ne doloca drugace.
Obdelava za zgodovinsko, statisticno in znanstveno-raziskovalne namene
17. člen
(1) Ne glede na prvotni namen zbiranja se lahko osebni podatki nadalje obdelujejo za zgodovinsko, statisticno in znanstveno-raziskovalne namene.
(2) Osebni podatki se posredujejo uporabniku osebnih podatkov za namen obdelave iz prejšnjega odstavka v anonimizirani obliki, ce zakon ne doloca drugace ali ce posameznik, na katerega se nanašajo osebni podatki, ni predhodno podal pisne privolitve, da se lahko obdelujejo brez anonimiziranja.
(3) Osebni podatki, ki so bili posredovani uporabniku osebnih podatkov v skladu s prejšnjim odstavkom, se ob zakljucku obdelave unicijo, ce zakon ne doloca drugace. Uporabnik osebnih podatkov mora upravljavca osebnih podatkov, ki mu je posredoval osebne podatke, brez odlašanja po njihovem unicenju pisno obvestiti, kdaj in na kakšen nacin jih je unicil.
(4) Rezultati obdelave iz prvega odstavka tega člena se objavijo v anonimizirani obliki, razen ce zakon doloca drugace ali ce je posameznik, na katerega se nanašajo osebni podatki, za objavo v neanonimizirani obliki podal pisno privolitev ali ce je za takšno objavo podano pisno soglasje dedicev umrle osebe po tem zakonu.
2. poglavje Varstvo posameznikov
Tocnost in ažurnost osebnih podatkov
18. člen
(1) Osebni podatki, ki se obdelujejo, morajo biti tocni in ažurni.
(2) Upravljavec osebnih podatkov lahko pred vnosom v zbirko osebnih podatkov preveri tocnost osebnih podatkov z vpogledom v osebni dokument ali drugo ustrezno javno listino posameznika, na katerega se nanašajo.
Obvešcanje posameznika o obdelavi osebnih podatkov
19. člen
(1) Ce se osebni podatki zbirajo neposredno od posameznika, na katerega se nanašajo, mora upravljavec osebnih podatkov ali njegov zastopnik posamezniku sporociti naslednje informacije, ce z njimi posameznik še ni seznanjen:
– podatke o upravljavcu osebnih podatkov in njegovem morebitnem zastopniku (osebno ime, naziv oziroma firma in naslov oziroma sedež),
– namen obdelave osebnih podatkov.
(2) Ce je glede na posebne okolišcine zbiranja osebnih podatkov iz prejšnjega odstavka potrebno, da se zagotovi zakonita in poštena obdelava osebnih podatkov posameznika, mora oseba iz prejšnjega odstavka posamezniku sporociti tudi dodatne informacije, ce posameznik z njimi še ni seznanjen, zlasti:
– navedbo uporabnika ali vrste uporabnikov njegovih osebnih podatkov,
– navedbo, ali je zbiranje osebnih podatkov obvezno ali prostovoljno, ter možne posledice, ce ne bo prostovoljno podal podatkov,
– informacijo o pravici do vpogleda, prepisa, kopiranja, dopolnitve, popravka, blokiranja in izbrisa osebnih podatkov, ki se nanašajo nanj.
(3) Ce osebni podatki niso bili zbrani neposredno od posameznika, na katerega se nanašajo, mora upravljavec osebnih podatkov ali njegov zastopnik posamezniku najpozneje ob vpisu ali posredovanju osebnih podatkov uporabniku osebnih podatkov sporociti naslednje informacije:
– podatke o upravljavcu osebnih podatkov in njegovem morebitnem zastopniku (osebno ime, naziv oziroma firma in naslov oziroma sedež),
– namen obdelave osebnih podatkov.
(4) Ce je glede na posebne okolišcine zbiranja osebnih podatkov iz prejšnjega odstavka potrebno, da se zagotovi zakonita in poštena obdelava osebnih podatkov posameznika, mora oseba iz prejšnjega odstavka posamezniku sporociti tudi dodatne informacije, zlasti:
– informacijo o vrsti zbranih osebnih podatkov,
– navedbo uporabnika ali vrste uporabnikov njegovih osebnih podatkov,
– informacijo o pravici do vpogleda, prepisa, kopiranja, dopolnitve, popravka, blokiranja in izbrisa osebnih podatkov, ki se nanašajo nanj.
(5) Informacij iz tretjega in cetrtega odstavka tega člena ni potrebno zagotoviti, ce bi bilo to zaradi obdelave osebnih podatkov za zgodovinsko, statisticno ali znanstveno-raziskovalne namene nemogoce ali bi povzrocilo velike stroške, nesorazmerno velik napor ali zahtevalo veliko casa ali ce je z zakonom izrecno dolocen vpis ali posredovanje osebnih podatkov.
Uporaba istega povezovalnega znaka
20. člen
(1) Pri pridobivanju osebnih podatkov iz zbirk osebnih podatkov s podrocja zdravstva, policije, obvešcevalno-varnostne dejavnosti države, obrambe države, sodstva in državnega tožilstva ter kazenske evidence in prekrškovnih evidenc ni dovoljena uporaba istega povezovalnega znaka na nacin, da bi se za pridobitev osebnega podatka uporabil samo ta znak.
(2) Ne glede na prejšnji odstavek se lahko izjemoma uporabi isti povezovalni znak za pridobivanje osebnih podatkov, ce je to edini podatek v konkretni zadevi, ki lahko omogoci, da se odkrije ali preganja kaznivo dejanje po uradni dolžnosti, da se zavaruje življenje ali telo posameznika ali da se zagotovi izvajanje nalog obvešcevalnih in varnostnih organov, dolocenih z zakonom. O tem je potrebno brez odlašanja napraviti uradni zaznamek ali drug pisni zapis.
(3) Prvi odstavek tega člena se ne uporablja za zemljiško knjigo in sodni register.
Rok hrambe osebnih podatkov
21. člen
(1) Osebni podatki se lahko shranjujejo le toliko casa, dokler je to potrebno za dosego namena, zaradi katerega so se zbirali ali nadalje obdelovali.
(2) Po izpolnitvi namena obdelave se osebni podatki zbrišejo, unicijo, blokirajo ali anonimizirajo, ce niso na podlagi zakona, ki ureja arhivsko gradivo in arhive, opredeljeni kot arhivsko gradivo, oziroma ce zakon za posamezne vrste osebnih podatkov ne doloca drugace.
Posredovanje osebnih podatkov
22. člen
(1) Upravljavec osebnih podatkov mora proti placilu stroškov posredovanja, ce zakon ne doloca drugace, posredovati osebne podatke uporabnikom osebnih podatkov.
(2) Upravljavec centralnega registra prebivalstva ali evidenc stalno in zacasno prijavljenih prebivalcev mora na nacin, ki je dolocen za izdajo potrdila, posredovati upravicencu, ki izkaže pravni interes za uveljavljanje pravic pred osebami javnega sektorja, osebno ime in naslov stalnega ali zacasnega prebivališca posameznika, zoper katerega uveljavlja svoje pravice.
(3) Upravljavec osebnih podatkov mora za vsako posredovanje osebnih podatkov zagotoviti, da je mogoce pozneje ugotoviti, kateri osebni podatki so bili posredovani, komu, kdaj in na kakšni podlagi, in sicer za obdobje, ko je mogoce zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja osebnih podatkov.
(4) Ne glede na prvi odstavek tega člena je upravljavec osebnih podatkov v javnem sektorju dolžan uporabniku osebnih podatkov v javnem sektorju posredovati osebne podatke brez placila stroškov posredovanja, razen ce zakon doloca drugace ali ce gre za uporabo za zgodovinsko, statisticno ali znanstveno-raziskovalne namene.
Varstvo osebnih podatkov umrlih posameznikov
23. člen
(1) Upravljavec osebnih podatkov lahko podatke o umrlem posamezniku posreduje samo tistim uporabnikom osebnih podatkov, ki so za obdelavo osebnih podatkov pooblašceni z zakonom.
(2) Ne glede na prejšnji odstavek upravljavec osebnih podatkov podatke o umrlem posamezniku posreduje osebi, ki je po zakonu, ki ureja dedovanje, njegov zakoniti dedic prvega ali drugega dednega reda, ce za uporabo osebnih podatkov izkaže pravni interes, umrli posameznik pa ni pisno prepovedal posredovanja teh osebnih podatkov.
(3) Ce zakon ne doloca drugace, lahko upravljavec osebnih podatkov podatke iz prejšnjega odstavka posreduje tudi katerikoli drugi osebi, ki namerava te podatke uporabljati za zgodovinsko, statisticno ali znanstveno-raziskovalne namene, ce umrli posameznik ni pisno prepovedal posredovanja teh osebnih podatkov.
(4) Ce umrli posameznik ni podal prepovedi iz prejšnjega odstavka, lahko osebe, ki so po zakonu, ki ureja dedovanje, njegovi zakoniti dedici prvega ali drugega dednega reda, pisno prepovejo posredovanje njegovih podatkov, ce zakon ne doloca drugace.
3. poglavje Zavarovanje osebnih podatkov
Vsebina
24. člen
(1) Zavarovanje osebnih podatkov obsega organizacijske, tehnicne in logicno-tehnicne postopke in ukrepe, s katerimi se varujejo osebni podatki, preprecuje slucajno ali namerno nepooblašceno unicevanje podatkov, njihova sprememba ali izguba ter nepooblašcena obdelava teh podatkov tako, da se:
1. varujejo prostori, oprema in sistemsko programska oprema, vkljucno z vhodno-izhodnimi enotami;
2. varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
3. preprecuje nepooblašcen dostop do osebnih podatkov pri njihovem prenosu, vkljucno s prenosom po telekomunikacijskih sredstvih in omrežjih;
4. zagotavlja ucinkovit nacin blokiranja, unicenja, izbrisa ali anonimiziranja osebnih podatkov;
5. omogoca poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugace obdelani in kdo je to storil, in sicer za obdobje, ko je mogoce zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.
(2) V primeru obdelave osebnih podatkov, ki so dostopni preko telekomunikacijskega sredstva ali omrežja, morajo strojna, sistemska in aplikativno programska oprema zagotavljati, da je obdelava osebnih podatkov v zbirkah osebnih podatkov v mejah pooblastil uporabnika osebnih podatkov.
(3) Postopki in ukrepi za zavarovanje osebnih podatkov morajo biti ustrezni glede na tveganje, ki ga predstavlja obdelava in narava dolocenih osebnih podatkov, ki se obdelujejo.
(4) Funkcionarji, zaposleni in drugi posamezniki, ki opravljajo dela ali naloge pri osebah, ki obdelujejo osebne podatke, so dolžni varovati tajnost osebnih podatkov, s katerimi se seznanijo pri opravljanju njihovih funkcij, del in nalog. Dolžnost varovanja tajnosti osebnih podatkov jih obvezuje tudi po prenehanju funkcije, zaposlitve, opravljanja del ali nalog ali opravljanja storitev pogodbene obdelave.
Dolžnost zavarovanja
25. člen
(1) Upravljavci osebnih podatkov in pogodbeni obdelovalci so dolžni zagotoviti zavarovanje osebnih podatkov na nacin iz 24. člena tega zakona.
(2) Upravljavci osebnih podatkov v svojih aktih predpišejo postopke in ukrepe za zavarovanje osebnih podatkov ter dolocijo osebe, ki so odgovorne za dolocene zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo dolocene osebne podatke.
4. poglavje Obvešcanje o zbirkah osebnih podatkov
Katalog zbirke osebnih podatkov
26. člen
(1) Upravljavec osebnih podatkov za vsako zbirko osebnih podatkov vzpostavi katalog zbirke osebnih podatkov, ki vsebuje:
1. naziv zbirke osebnih podatkov;
2. podatke o upravljavcu osebnih podatkov (za fizicno osebo: osebno ime, naslov opravljanja dejavnosti ali naslov stalnega ali zacasnega prebivališca, za samostojnega podjetnika posameznika pa še firmo, sedež in maticno številko; za pravno osebo: naziv oziroma firmo in naslov oziroma sedež upravljavca osebnih podatkov in maticno številko);
3. pravno podlago za obdelavo osebnih podatkov;
4. kategorije posameznikov, na katere se nanašajo osebni podatki;
5. vrste osebnih podatkov v zbirki osebnih podatkov;
6. namen obdelave;
7. rok hrambe osebnih podatkov;
8. omejitve pravic posameznikov glede osebnih podatkov v zbirki osebnih podatkov in pravno podlago omejitev;
9. uporabnike ali kategorije uporabnikov osebnih podatkov, vsebovanih v zbirki osebnih podatkov;
10. dejstvo, ali se osebni podatki iznašajo v tretjo državo, kam, komu in pravno podlago iznosa;
11. splošen opis zavarovanja osebnih podatkov;
12. podatke o povezanih zbirkah osebnih podatkov iz uradnih evidenc ter javnih knjig;
13. podatke o zastopniku iz tretjega odstavka 5. člena tega zakona (za fizicno osebo: osebno ime, naslov opravljanja dejavnosti ali naslov stalnega ali zacasnega prebivališca, za samostojnega podjetnika posameznika pa še firmo, sedež in maticno številko; za pravno osebo: naziv oziroma firmo in naslov oziroma sedež upravljavca osebnih podatkov in maticno številko).
(2) Upravljavec osebnih podatkov mora skrbeti za tocnost in ažurnost vsebine kataloga.
Obvešcanje nadzornega organa
27. člen
(1) Upravljavec osebnih podatkov posreduje podatke iz 1., 2., 4., 5., 6., 9., 10., 11., 12. in 13. tocke prvega odstavka 26. člena tega zakona Državnemu nadzornemu organu za varstvo osebnih podatkov najmanj 15 dni pred vzpostavitvijo zbirke osebnih podatkov ali pred vnosom nove vrste osebnih podatkov.
(2) Upravljavec osebnih podatkov posreduje Državnemu nadzornemu organu za varstvo osebnih podatkov spremembe podatkov iz prejšnjega odstavka najkasneje v osmih dneh od dneva spremembe.
(3) Podatkov iz prvega odstavka tega člena ni potrebno posredovati tistemu upravljavcu osebnih podatkov, ki nima vec kot 20 oseb zaposlenih za nedolocen cas, o tistih zbirkah osebnih podatkov, ki jih o svojih zaposlenih vodi v skladu z zakonom, ki doloca zbirke osebnih podatkov na podrocju dela. V tem primeru mora vsaki osebi zagotoviti informacije iz 26. člena tega zakona.
Register
28. člen
(1) Državni nadzorni organ za varstvo osebnih podatkov vodi in vzdržuje register zbirk osebnih podatkov, ki vsebuje podatke iz 27. člena tega zakona, na nacin, dolocen z metodologijo njegovega vodenja.
(2) Register se vodi s sredstvi informacijske tehnologije in se objavi na spletni strani Državnega nadzornega organa za varstvo osebnih podatkov (v nadaljnjem besedilu: spletna stran).
(3) Pravilnik o metodologiji iz prvega odstavka tega člena doloci minister, pristojen za pravosodje, na predlog glavne državne nadzornice oziroma glavnega državnega nadzornika za varstvo osebnih podatkov (v nadaljnjem besedilu: glavni državni nadzornik).
III. DEL PRAVICE POSAMEZNIKA
Vpogled v register
29. člen
(1) Državni nadzorni organ za varstvo osebnih podatkov mora vsakomur dovoliti vpogled v register zbirk osebnih podatkov in prepis podatkov.
(2) Vpogled in prepis podatkov se mora dovoliti in omogociti praviloma istega dne, najkasneje pa v osmih dneh, sicer se šteje, da je zahteva zavrnjena.
Pravica posameznika do seznanitve
30. člen
(1) Upravljavec osebnih podatkov mora posamezniku na njegovo zahtevo:
1. omogociti vpogled v katalog zbirke osebnih podatkov;
2. potrditi, ali se podatki v zvezi z njim obdelujejo ali ne, in mu omogociti vpogled v osebne podatke, ki so vsebovani v zbirki osebnih podatkov in se nanašajo nanj, ter njihovo prepisovanje ali kopiranje;
3. posredovati izpis osebnih podatkov, ki so vsebovani v zbirki osebnih podatkov in se nanašajo nanj;
4. posredovati seznam uporabnikov, katerim so bili posredovani osebni podatki, kdaj, na kakšni podlagi in za kakšen namen;
5. dati informacijo o virih, na katerih temeljijo zapisi, ki jih o posamezniku vsebuje zbirka osebnih podatkov, in o metodi obdelave;
6. dati informacije o namenu obdelave in vrsti osebnih podatkov, ki se obdelujejo, ter vsa potrebna pojasnila v zvezi s tem;
7. pojasniti tehnicne oziroma logicno-tehnicne postopke odlocanja, ce izvaja avtomatizirano odlocanje z obdelavo osebnih podatkov posameznika.
(2) Izpis iz 3. tocke prejšnjega odstavka ne more nadomestiti listine ali potrdila po predpisih o upravnem ali drugem postopku, kar se oznaci na izpisu.
Postopek seznanitve
31. člen
(1) Zahteva iz 30. člena tega zakona se vloži pisno ali ustno na zapisnik pri upravljavcu osebnih podatkov. Zahteva se lahko vloži enkrat na tri mesece, glede obdelave osebnih podatkov po dolocbah 2. poglavja VI. dela tega zakona pa enkrat na mesec.
(2) Upravljavec osebnih podatkov mora posamezniku omogociti vpogled, prepis, kopiranje in potrdilo po 1. in 2. tocki prvega odstavka 30. člena tega zakona najkasneje v 15 dneh od dneva, ko je prejel zahtevo, ali ga v istem roku pisno obvestiti o razlogih, zaradi katerih vpogleda, prepisa, kopiranja ali izdaje potrdila ne bo omogocil.
(3) Izpis iz 3. tocke, seznam iz 4. tocke, informacije iz 5. in 6. tocke ter pojasnilo iz 7. tocke prvega odstavka 30. člena tega zakona mora upravljavec osebnih podatkov posredovati posamezniku v 30 dneh od dneva, ko je prejel zahtevo, ali ga v istem roku pisno obvestiti o razlogih, zaradi katerih mu izpisa, seznama, informacij ali pojasnila ne bo posredoval.
(4) Ce upravljavec ne ravna v skladu z drugim in tretjim odstavkom tega člena, se šteje, da je zahteva zavrnjena.
(5) Stroške v zvezi z zahtevo in vpogledom iz tega člena krije upravljavec zbirke osebnih podatkov.
Pravica do dopolnitve, popravka, blokiranja, izbrisa in ugovora
32. člen
(1) Upravljavec osebnih podatkov mora na zahtevo posameznika, na katerega se nanašajo osebni podatki, dopolniti, popraviti, blokirati ali izbrisati osebne podatke, za katere posameznik dokaže, da so nepopolni, netocni ali neažurni ali da so bili zbrani ali obdelani v nasprotju z zakonom.
(2) Upravljavec osebnih podatkov mora na zahtevo posameznika obvestiti vse uporabnike osebnih podatkov in pogodbene obdelovalce, katerim je posredoval osebne podatke posameznika, preden so bili izvedeni ukrepi iz prejšnjega odstavka, o njihovi dopolnitvi, popravku, blokiranju ali izbrisu po prejšnjem odstavku. Izjemoma mu tega ni potrebno storiti, ce bi to povzrocilo velike stroške, nesorazmerno velik napor ali zahtevalo veliko casa.
(3) Posameznik, katerega osebni podatki se obdelujejo v skladu s cetrtim odstavkom 9. člena ali tretjim odstavkom 10. člena tega zakona, ima kadarkoli z ugovorom pravico zahtevati prenehanje njihove obdelave. Upravljavec ugovoru ugodi, ce posameznik dokaže, da niso izpolnjeni pogoji za obdelavo po cetrtem odstavku 9. člena oziroma po tretjem odstavku 10. člena tega zakona. V tem primeru se njegovih osebnih podatkov ne sme vec obdelovati.
(4) Ce upravljavec ne ugodi ugovoru iz prejšnjega odstavka, lahko posameznik, ki je vložil ugovor, zahteva, da o obdelavi v skladu s cetrtim odstavkom 9. člena oziroma tretjim odstavkom 10. člena tega zakona odloci Državni nadzorni organ za varstvo osebnih podatkov. Posameznik lahko vloži zahtevo v sedmih dneh od vrocitve odlocitve o ugovoru.
(5) Državni nadzorni organ za varstvo osebnih podatkov odloci o zahtevi iz prejšnjega odstavka v dveh mesecih od prejema zahteve. Vložena zahteva zadrži obdelavo osebnih podatkov posameznika, glede katerih je vložil zahtevo.
(6) Stroške vseh dejanj upravljavca osebnih podatkov iz prejšnjih odstavkov krije upravljavec.
Postopek dopolnitve, popravka, blokiranja, izbrisa in ugovora
33. člen
(1) Zahteva ali ugovor iz 32. člena tega zakona se vloži pisno ali ustno na zapisnik pri upravljavcu osebnih podatkov.
(2) Dopolnitev, popravo, blokiranje ali izbris osebnih podatkov mora upravljavec osebnih podatkov opraviti v 15 dneh od dneva, ko je prejel zahtevo in o tem obvestiti vlagatelja zahteve ali ga v istem roku obvestiti o razlogih, zaradi katerih tega ne bo storil. V istem roku mora odlociti o ugovoru.
(3) Ce upravljavec osebnih podatkov ne ravna po prejšnjem odstavku, se šteje, da je zahteva zavrnjena.
(4) Ce upravljavec osebnih podatkov sam ugotovi, da so osebni podatki nepopolni, netocni ali neažurni, jih dopolni ali popravi in o tem obvesti posameznika, ce zakon ne doloca drugace.
(5) Stroške v zvezi z dopolnitvijo, popravo in izbrisom osebnih podatkov, obvestilom ter odlocitvijo o ugovoru krije upravljavec osebnih podatkov.
Sodno varstvo pravic posameznika
34. člen
(1) Posameznik, ki ugotovi, da so kršene njegove pravice, dolocene s tem zakonom, lahko zahteva sodno varstvo ves cas, dokler kršitev traja.
(2) Ce je kršitev iz prejšnjega odstavka prenehala, lahko posameznik vloži tožbo za ugotovitev, da je kršitev obstajala, ce mu v zvezi s kršitvijo ni zagotovljeno drugo sodno varstvo.
(3) V postopku odloca pristojno sodišce po dolocbah zakona, ki ureja upravni spor, kolikor ta zakon ne doloca drugace.
(4) V postopku je javnost izkljucena, ce sodišce na predlog posameznika iz utemeljenih razlogov ne odloci drugace.
(5) Postopek je nujen in prednosten.
Zacasna odredba
35. člen
V tožbi, vloženi zaradi kršitev pravic iz 32. člena tega zakona, lahko posameznik zahteva od sodišca, da do pravnomocne odlocitve v upravnem sporu naloži upravljavcu osebnih podatkov, da prepreci vsakršno obdelavo spornih osebnih podatkov, ce bi se z njihovo obdelavo prizadela posamezniku, na katerega se nanašajo, težko popravljiva škoda, odložitev obdelave pa ne nasprotuje javni koristi in tudi ni nevarnosti, da bi nasprotni stranki nastala vecja nepopravljiva škoda.
Omejitev pravic posameznika
36. člen
(1) Pravice posameznika iz tretjega in cetrtega odstavka 19. člena, 30. in 32. člena tega zakona je mogoce z zakonom izjemoma omejiti iz razlogov varstva suverenosti in obrambe države, varstva nacionalne varnosti in ustavne ureditve države, varnostnih, politicnih in gospodarskih interesov države, izvrševanja pristojnosti policije, preprecevanja, razkrivanja, odkrivanja, dokazovanja in pregona kaznivih dejanj in prekrškov, odkrivanja in kaznovanja kršitev eticnih norm za dolocene poklice, iz monetarnih, proracunskih ali davcnih razlogov, zaradi nadzora nad policijo in varstva posameznika, na katerega se nanašajo osebni podatki, ali pravic in svobošcin drugih.
(2) Omejitve iz prejšnjega odstavka se lahko dolocijo samo v obsegu, ki je nujen za dosego namena, zaradi katerega se doloca omejitev.
IV. DEL INSTITUCIONALNO VARSTVO OSEBNIH PODATKOV
1. poglavje Nadzorni organ za varstvo osebnih podatkov
Nadzorni organ
37. člen
(1) Državni nadzorni organ za varstvo osebnih podatkov (v nadaljnjem besedilu: državni nadzorni organ) ima položaj nadzornega organa za varstvo osebnih podatkov.
(2) Državni nadzorni organ opravlja inšpekcijski nadzor nad izvajanjem dolocb tega zakona in druge naloge po tem zakonu in drugih predpisih, ki urejajo varstvo ali obdelavo osebnih podatkov oziroma iznos osebnih podatkov iz Republike Slovenije. Državni nadzorni organ opravlja tudi druge naloge v skladu z zakonom.
(3) Državni nadzorni organ zagotavlja enotno uresnicevanje ukrepov na podrocju varstva osebnih podatkov.
Položaj in organizacija državnega nadzornega organa
38. člen
(1) Državni nadzorni organ je samostojni državni organ.
(2) Državni nadzorni organ vodi glavni državni nadzornik, ki je državni funkcionar. Njegovo placo ureja odlok državnega zbora, ki doloca uvršcanje funkcij v placne razrede.
(3) V državnem nadzornem organu so zaposlene najmanj štiri državne nadzornice oziroma državni nadzorniki za varstvo osebnih podatkov (v nadaljnjem besedilu: nadzornik). Najmanj eden izmed njih mora biti univerzitetni diplomirani pravnik.
(4) Glavni državni nadzornik vodi in predstavlja državni nadzorni organ, organizira in koordinira delo nadzornikov ter izvaja inšpekcijski nadzor po tem zakonu.
(5) Administrativno-tehnicna opravila za državni nadzorni organ opravlja ministrstvo, pristojno za pravosodje.
Sredstva za delo državnega nadzornega organa
39. člen
Sredstva za delo državnega nadzornega organa se zagotovijo v proracunu Republike Slovenije. Višino sredstev doloci Državni zbor Republike Slovenije (v nadaljnjem besedilu: državni zbor) na predlog glavnega državnega nadzornika.
Imenovanje glavnega državnega nadzornika
40. člen
(1) Glavnega državnega nadzornika imenuje državni zbor na predlog ministra, pristojnega za pravosodje.
(2) Glavni državni nadzornik se imenuje izmed posameznikov, ki izpolnjujejo pogoje za imenovanje v naziv nadzornika po tem zakonu.
(3) Razpis za prosto mesto glavnega državnega nadzornika razpiše ministrstvo, pristojno za pravosodje, po uradni dolžnosti, najpozneje tri mesece pred iztekom mandata glavnega državnega nadzornika oziroma v enem mesecu po predcasni razrešitvi. Razpis se objavi v Uradnem listu Republike Slovenije, rok za prijave ne sme biti krajši od 15 dni.
(4) Glavni državni nadzornik je imenovan za dobo osmih let in je lahko ponovno imenovan.
Razrešitev glavnega državnega nadzornika
41. člen
(1) Glavni državni nadzornik je lahko predcasno razrešen samo v naslednjih primerih:
– ce državnemu zboru predloži izjavo, da odstopa;
– ce je pravnomocno obsojen za kaznivo dejanje s kaznijo odvzema prostosti;
– ce ne more opravljati svoje funkcije iz zdravstvenih ali drugih utemeljenih razlogov vec kot šest mesecev;
– ce trajno izgubi delovno zmožnost za opravljanje svoje funkcije.
(2) Glavni državni nadzornik je predcasno razrešen in mu preneha mandat z dnem, ko državni zbor ugotovi nastop razloga iz prejšnjega odstavka.
Nadomešcanje glavnega državnega nadzornika
42. člen
Glavni državni nadzornik doloci svojega namestnika izmed nadzornikov, ki ga nadomešca v casu njegove odsotnosti ali zacasne zadržanosti.
Nadzornik
43. člen
(1) Za nadzornika je lahko imenovana oseba, ki ima univerzitetno izobrazbo, pet let delovnih izkušenj, od tega najmanj eno leto pri delu z osebnimi podatki, in opravljen strokovni izpit za inšpektorja po zakonu, ki ureja inšpekcijski nadzor.
(2) Nadzorniki imajo položaj, pravice in obveznosti, ki jih za inšpektorje doloca zakon, ki ureja inšpekcijski nadzor, in zakon, ki ureja javne uslužbence, ce ta zakon ne doloca drugace.
(3) Nadzornika imenuje glavni državni nadzornik v skladu z zakonom, ki ureja javne uslužbence.
Samostojnost nadzornikov
44. člen
(1) Nadzorniki so pri opravljanju nalog inšpekcijskega nadzora in drugih nalog po tem zakonu v okviru svojih pooblastil samostojni ter jih opravljajo v okviru in na podlagi ustave in zakonov.
(2) V zvezi z opravljanjem nalog, ki ne obsegajo opravljanja inšpekcijskega nadzora, so vezani na pisna navodila glavnega državnega nadzornika.
Zaposlitve in dodelitve v državni nadzorni organ
45. člen
(1) Glavni državni nadzornik doloci v skladu z zakonom, ki ureja javne uslužbence, v aktu o sistemizaciji notranjo organizacijo državnega nadzornega organa in potrebno število javnih uslužbencev državnega nadzornega organa, ki opravljajo pravne naloge, ter potrebno število javnih uslužbencev, ki opravljajo spremljajoca dela.
(2) Javne uslužbence državnih organov se na podlagi predloga glavnega državnega nadzornika z njihovo pisno privolitvijo ter s soglasjem predstojnika njihovega državnega organa lahko dodeli za opravljanje pravnih nalog ali spremljajocih del iz prejšnjega odstavka v državni nadzorni organ za dobo do treh let. Sodniki, državni tožilci in pomocniki državnih tožilcev so lahko dodeljeni za opravljanje teh nalog na podlagi dolocb zakonov, ki urejajo sodniško službo in državno tožilstvo.
(3) Uslužbenci in funkcionarji iz prejšnjih odstavkov ne smejo opravljati nalog inšpekcijskega nadzora.
2. poglavje Naloge državnega nadzornega organa
Porocila državnega nadzornega organa
46. člen
(1) Državni nadzorni organ posreduje letno porocilo o svojem delu državnemu zboru najkasneje do 31. maja za preteklo leto in ga objavi na svoji spletni strani.
(2) Letno porocilo vsebuje podatke o delu državnega nadzornega organa v preteklem letu ter ocene in priporocila s podrocja varstva osebnih podatkov.
Sodelovanje z drugimi organi
47. člen
Državni nadzorni organ pri svojem delu sodeluje z državnimi organi, pristojnimi organi Evropske unije za varstvo posameznikov pri obdelavi osebnih podatkov, mednarodnimi organizacijami, tujimi nadzornimi organi za varstvo osebnih podatkov, zavodi, združenji, nevladnimi organizacijami s podrocja varstva osebnih podatkov ali zasebnosti ter drugimi organizacijami in organi glede vseh vprašanj, ki so pomembna za varstvo osebnih podatkov.
Pristojnosti glede predpisov
48. člen
(1) Državni nadzorni organ daje predhodna mnenja ministrstvom, državnemu zboru, organom samoupravnih lokalnih skupnosti, drugim državnim organom ter nosilcem javnih pooblastil o usklajenosti dolocb predlogov zakonov ter ostalih predpisov z zakoni in drugimi predpisi, ki urejajo osebne podatke.
(2) Državni nadzorni organ lahko na Ustavno sodišce Republike Slovenije (v nadaljnjem besedilu: ustavno sodišce) vloži zahtevo za oceno ustavnosti zakonov, ostalih predpisov ter splošnih aktov, izdanih za izvrševanje javnih pooblastil, ce nastane vprašanje ustavnosti in zakonitosti v zvezi s postopkom, ki ga vodi.
Javnost dela
49. člen
(1) Državni nadzorni organ lahko:
1. izdaja notranje glasilo ter strokovno literaturo;
2. na spletni strani ali na drug primeren nacin objavlja predhodna mnenja iz prvega odstavka 48. člena tega zakona, potem ko je bil zakon oziroma drug predpis sprejet ter objavljen v Uradnem listu Republike Slovenije, v glasilu samoupravne lokalne skupnosti ali objavljen na drug zakonit nacin;
3. na spletni strani oziroma na drug primeren nacin objavlja zahteve iz drugega odstavka 48. člena tega zakona, potem ko jih je ustavno sodišce prejelo;
4. na spletni strani oziroma na drug primeren nacin objavlja odlocbe in sklepe ustavnega sodišca o zahtevah iz drugega odstavka 48. člena tega zakona;
5. na spletni strani oziroma na drug primeren nacin objavlja odlocbe in sklepe sodišc s splošno pristojnostjo in upravnega sodišca, ki se nanašajo na varstvo osebnih podatkov, tako da iz njih ni možno razbrati osebnih podatkov strank, oškodovancev, pric ali izvedencev;
6. daje neobvezna mnenja o skladnosti kodeksov poklicne etike, splošnih pogojih poslovanja oziroma njihovih predlogov s predpisi s podrocja varstva osebnih podatkov;
7. daje neobvezna mnenja, pojasnila in stališca o vprašanjih s podrocja varstva osebnih podatkov in jih objavlja na spletni strani ali na drug primeren nacin;
8. pripravlja in daje neobvezna navodila in priporocila glede varstva osebnih podatkov na posameznem podrocju;
9. daje izjave za javnost o opravljenih inšpekcijskih nadzorih v posamicnih zadevah;
10. izvaja konference za medije v zvezi z delom državnega nadzornega organa ter prepise izjav ali posnetke izjav s konferenc za medije objavi na spletni strani;
11. na spletni strani objavlja druga pomembna obvestila.
(2) Državni nadzorni organ lahko za opravljanje pristojnosti iz 6., 7. in 8. tocke prejšnjega odstavka pozove k sodelovanju tudi predstavnike društev in drugih nevladnih organizacij s podrocja varstva osebnih podatkov, zasebnosti ter potrošnikov.
3. poglavje Inšpekcijski nadzor
Uporaba zakona, ki ureja inšpekcijski nadzor
50. člen
Za opravljanje inšpekcijskega nadzora po tem zakonu se uporabljajo dolocbe zakona, ki ureja inšpekcijski nadzor, kolikor ta zakon ne doloca drugace.
Obseg inšpekcijskega nadzora
51. člen
V okviru inšpekcijskega nadzora državni nadzorni organ:
1. nadzoruje zakonitost obdelave osebnih podatkov;
2. nadzoruje ustreznost ukrepov za zavarovanje osebnih podatkov ter izvajanja postopkov in ukrepov za zavarovanje osebnih podatkov po 24. in 25. členu tega zakona;
3. nadzoruje izvajanje dolocb zakona, ki urejajo katalog zbirke osebnih podatkov, register zbirk osebnih podatkov in evidentiranje posredovanja osebnih podatkov posameznim uporabnikom osebnih podatkov;
4. nadzoruje izvajanje dolocb zakona glede iznosa osebnih podatkov v tretjo državo in o njihovem posredovanju tujim uporabnikom osebnih podatkov.
Neposredno opravljanje inšpekcijskega nadzora
52. člen
(1) Inšpekcijski nadzor neposredno opravlja nadzornik v mejah pristojnosti državnega nadzornega organa.
(2) Nadzornik izkazuje pooblastilo za opravljanje nalog inšpekcijskega nadzora s službeno izkaznico, ki vsebuje fotografijo nadzornika, njegovo osebno ime, strokovni ali znanstveni naslov ter ostale potrebne podatke. Obliko in vsebino službene izkaznice podrobneje predpiše minister, pristojen za pravosodje.
Pristojnosti nadzornika
53. člen
Pri opravljanju inšpekcijskega nadzora je nadzornik upravicen:
1. pregledovati dokumentacijo, ki se nanaša na obdelavo osebnih podatkov, ne glede na njeno zaupnost ali tajnost, ter iznos osebnih podatkov v tretjo državo in posredovanje tujim uporabnikom osebnih podatkov;
2. pregledovati vsebino zbirk osebnih podatkov ne glede na njihovo zaupnost ali tajnost in katalogov zbirk osebnih podatkov;
3. pregledovati dokumentacijo in akte, ki urejajo zavarovanje osebnih podatkov;
4. pregledovati prostore, v katerih se obdelujejo osebni podatki, racunalniško in drugo opremo ter tehnicno dokumentacijo;
5. preverjati ukrepe in postopke za zavarovanje osebnih podatkov ter njihovo izvajanje;
6. izvajati druge pristojnosti, dolocene z zakonom, ki ureja inšpekcijski nadzor, ter zakonom, ki ureja splošni upravni postopek;
7. opravljati druge zadeve, dolocene z zakonom.
Inšpekcijski ukrepi
54. člen
(1) Nadzornik, ki pri opravljanju inšpekcijskega nadzora ugotovi kršitev tega zakona ali drugega zakona ali predpisa, ki ureja varstvo osebnih podatkov, ima pravico takoj:
1. odrediti, da se nepravilnosti ali pomanjkljivosti, ki jih ugotovi, odpravijo na nacin in v roku, ki ga sam doloci;
2. odrediti prepoved obdelave osebnih podatkov osebam javnega ali zasebnega sektorja, ki niso zagotovile ali ne izvajajo ukrepov in postopkov za zavarovanje osebnih podatkov;
3. odrediti prepoved obdelave osebnih podatkov ter anonimiziranje, blokiranje, brisanje ali unicenje osebnih podatkov, kadar ugotovi, da se osebni podatki obdelujejo v nasprotju z dolocbami zakona;
4. odrediti prepoved iznosa osebnih podatkov v tretjo državo ali njihovega posredovanja tujim uporabnikom osebnih podatkov, ce se iznašajo ali posredujejo v nasprotju z dolocbami zakona ali obvezujoce mednarodne pogodbe;
5. odrediti druge ukrepe, dolocene z zakonom, ki ureja inšpekcijski nadzor, ter zakonom, ki ureja splošni upravni postopek.
(2) Ukrepov iz prejšnjega odstavka ni mogoce odrediti zoper osebo, ki v elektronskem komunikacijskem omrežju opravlja storitve prenosa podatkov, vkljucno z zacasnim shranjevanjem podatkov in drugimi delovanji v zvezi s podatki, ki so pretežno ali v celoti v funkciji opravljanja ali olajšanja prenosa podatkov po omrežjih, ce ta oseba sama nima interesa, povezanega z vsebino teh podatkov, in ne gre za osebo, ki lahko sama ali skupaj z omejenim krogom z njo povezanih oseb ucinkovito nadzoruje dostop do teh podatkov.
(3) Ce nadzornik pri inšpekcijskem nadzoru ugotovi, da obstaja sum storitve kaznivega dejanja ali prekrška poda kazensko ovadbo oziroma izvede postopke v skladu zakonom, ki ureja prekrške.
Sodno varstvo
55. člen
Zoper odlocbo ali sklep nadzornika iz prvega odstavka 54. člena tega zakona ni pritožbe, dovoljen pa je upravni spor.
Obvešcanje prijavitelja
56. člen
Nadzornik je dolžan prijavitelja obvestiti o vseh pomembnejših ugotovitvah in dejanjih v postopku inšpekcijskega nadzora.
Pristojnosti državnega nadzornega organa glede dostopa do informacij javnega znacaja
57. člen
(1) Zoper odlocbo Pooblašcenca za dostop do informacij javnega znacaja lahko državni nadzorni organ zacne upravni spor, ce oceni, da je z njo kršeno varstvo osebnih podatkov.
(2) Postopek v upravnem sporu iz prejšnjega odstavka je nujen in prednosten.
(3) Državni nadzorni organ je dolžan vrociti Pooblašcencu za dostop do informacij javnega znacaja odlocbo ali sklep, v katerem se je nadzornik opredelil do vprašanja informacij javnega znacaja.
Varovanje tajnosti
58. člen
(1) Nadzornik je dolžan varovati tajnost osebnih podatkov, s katerimi se seznani pri opravljanju inšpekcijskega nadzora, tudi po prenehanju opravljanja službe nadzornika.
(2) Dolžnost iz prejšnjega odstavka velja tudi za vse javne uslužbence v državnem nadzornem organu.
4. poglavje Sodelovanje in zunanji nadzor na podrocju varstva osebnih podatkov
Varuh clovekovih pravic
59. člen
(1) Varuhinja oziroma varuh clovekovih pravic (v nadaljnjem besedilu: varuh) opravlja svoje naloge na podrocju varstva osebnih podatkov v razmerju do državnih organov, organov samoupravnih lokalnih skupnosti in nosilcev javnih pooblastil v skladu z zakonom, ki ureja varuha clovekovih pravic.
(2) Varstvo osebnih podatkov je posebno podrocje varuha, za katerega je zadolžen eden od namestnikov varuha.
Letno porocilo
60. člen
Varuh v svojem letnem porocilu poroca državnemu zboru o ugotovitvah, predlogih in priporocilih ter o stanju na podrocju varstva osebnih podatkov.
Pristojnost državnega zbora
61. člen
Stanje na podrocju varstva osebnih podatkov in izvrševanje dolocb tega zakona spremlja pristojno delovno telo državnega zbora.
V. DEL IZNOS OSEBNIH PODATKOV
1. poglavje Iznos osebnih podatkov v države clanice Evropske unije in Evropskega gospodarskega prostora
Prost pretok osebnih podatkov
62. člen
Kadar se posredujejo osebni podatki upravljavcu osebnih podatkov, pogodbenemu obdelovalcu ali uporabniku osebnih podatkov, ki je ustanovljen, ima sedež ali je registriran v državi clanici Evropske unije ali Evropskega gospodarskega prostora ali zanj kako drugace velja njen pravni red, se ne uporabljajo dolocbe tega zakona o iznosu osebnih podatkov v tretje države.
2. poglavje Iznos osebnih podatkov v tretje države
Splošna dolocba
63. člen
(1) Posredovanje osebnih podatkov, ki se obdelujejo ali se bodo obdelovali šele po opravljenem posredovanju v tretjo državo, je dopustno v skladu z dolocbami tega zakona in pod pogojem, da državni nadzorni organ izda odlocbo, da država, v katero se iznašajo, zagotavlja ustrezno raven varstva osebnih podatkov.
(2) Odlocba iz prejšnjega odstavka ni potrebna, ce je tretja država na seznamu tistih držav iz 66. člena tega zakona, za katere je ugotovljeno, da v celoti zagotavljajo ustrezno raven varstva osebnih podatkov.
(3) Odlocba iz prvega odstavka tega člena ni potrebna, ce je tretja država na seznamu tistih držav iz 66. člena tega zakona, za katere je ugotovljeno, da delno zagotavljajo ustrezno raven varstva osebnih podatkov, ce se posredujejo tisti osebni podatki in za tiste namene, za katere je ugotovljena ustrezna raven varstva.
Postopek ugotavljanja ustrezne ravni varstva osebnih podatkov
64. člen
(1) Državni nadzorni organ uvede postopek ugotavljanja ustrezne ravni varstva osebnih podatkov v tretji državi na podlagi ugotovitev inšpekcijskega nadzora ali na predlog fizicne ali pravne osebe, ki lahko izkaže pravni interes za izdajo odlocbe.
(2) Na zahtevo državnega nadzornega organa pridobi ministrstvo, pristojno za zunanje zadeve, od pristojnega organa tretje države potrebne informacije, ali ta država zagotavlja ustrezno raven varstva osebnih podatkov.
(3) Državni nadzorni organ lahko pridobi dodatne informacije o ustrezni ravni varstva osebnih podatkov v tretji državi neposredno od drugih nadzornih organov ter od za to pristojnega organa Evropske unije.
(4) Državni nadzorni organ izda odlocbo v dveh mesecih od prejema popolnih informacij iz drugega in tretjega odstavka tega člena. Odlocbo lahko izda tudi samo o doloceni vrsti osebnih podatkov oziroma njihovi obdelavi za dolocen namen.
(5) Državni nadzorni organ je dolžan najpozneje v 15 dneh od izdaje odlocbe o tem, da tretja država ne zagotavlja ustrezne ravni varstva osebnih podatkov, pisno obvestiti pristojni organ Evropske unije.
Sodno varstvo
65. člen
Zoper odlocbo iz cetrtega odstavka 64. člena tega zakona ni pritožbe, dovoljen pa je upravni spor.
Seznam
66. člen
(1) Državni nadzorni organ vodi seznam tretjih držav, za katere je ugotovil, da imajo v celoti ali delno zagotovljeno ustrezno raven varstva osebnih podatkov, ali da te nimajo zagotovljene. Ce je ugotovljeno, da tretja država le delno zagotavlja ustrezno raven varstva osebnih podatkov, se v seznamu navede tudi, v katerem delu je ustrezna raven zagotovljena.
(2) Glavni državni nadzornik objavi seznam iz prejšnjega odstavka v Uradnem listu Republike Slovenije.
Vezanost državnega nadzornega organa pri odlocanju
67. člen
Državni nadzorni organ je pri odlocanju vezan na odlocitve pristojnega organa Evropske unije glede ocene, ali tretje države zagotavljajo ustrezno raven varstva osebnih podatkov.
Odlocanje o iznosu osebnih podatkov
68. člen
(1) Pri odlocanju o ustrezni ravni varstva osebnih podatkov v tretji državi je državni nadzorni organ dolžan ugotoviti vse okolišcine v zvezi z iznosom osebnih podatkov. Predvsem mora upoštevati vrsto osebnih podatkov, namen in trajanje predlagane obdelave, pravno ureditev v državi izvora in v državi prejemnici, vkljucno z ureditvijo varstva osebnih podatkov tujih državljanov, ter ukrepe zavarovanja osebnih podatkov, ki se v njih uporabljajo.
(2) Pri odlocanju iz prejšnjega odstavka državni nadzorni organ upošteva zlasti:
1. ali se izneseni osebni podatki uporabljajo le za namen, za katerega so bili izneseni, ali se namen lahko spremeni le na podlagi dovoljenja upravljavca osebnih podatkov, ki jih je posredoval, ali na podlagi osebne privolitve posameznika, na katerega se osebni podatki nanašajo;
2. ali ima posameznik, na katerega se nanašajo osebni podatki, možnost izvedeti, za kakšen namen so se njegovi osebni podatki uporabljali, komu so bili posredovani ter možnost popravka ali izbrisa netocnih ali neažurnih osebnih podatkov, razen ce mu to zaradi tajnosti postopka onemogocajo obvezujoce mednarodne pogodbe;
3. ali tuji upravljavec izvaja ustrezne organizacijske in tehnicne postopke ter ukrepe, s katerimi se zavarujejo osebni podatki;
4. ali je dolocena kontaktna oseba, ki je pooblašcena podati informacije posamezniku, na katerega se nanašajo osebni podatki, ali državnemu nadzornemu organu o obdelavi osebnih podatkov, ki so bili izneseni;
5. ali lahko tuj uporabnik iznese osebne podatke le pod pogojem, ce je pri drugem tujem uporabniku, ki mu bodo posredovani osebni podatki, zagotovljeno ustrezno varstvo osebnih podatkov tudi za tuje državljane;
6. ali je zagotovljeno ucinkovito pravno varstvo posameznikom, katerih osebni podatki so bili izneseni.
Pravilnik
69. člen
Na predlog glavnega državnega nadzornika izda minister, pristojen za pravosodje, s soglasjem ministra, pristojnega za zunanje zadeve, pravilnik, s katerim podrobneje doloci, katere informacije se štejejo za potrebne pri odlocanju državnega nadzornega organa o iznosu osebnih podatkov v tretje države.
Posebne dolocbe
70. člen
(1) Ne glede na prvi odstavek 63. člena tega zakona se lahko iznesejo osebni podatki in posredujejo v tretjo državo, ce:
1. tako doloca drug zakon ali obvezujoca mednarodna pogodba;
2. je podana osebna privolitev posameznika, na katerega se nanašajo osebni podatki in je seznanjen s posledicami takšnega posredovanja;
3. je iznos potreben za izpolnitev pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem osebnih podatkov ali za izvršitev predpogodbenih ukrepov, sprejetih kot odgovor na zahtevo posameznika, na katerega se nanašajo osebni podatki;
4. je iznos potreben za sklenitev ali izvršitev pogodbe, ki je v korist posameznika, na katerega se nanašajo osebni podatki, sklenjeno med upravljavcem osebnih podatkov in tretjo stranko,
5. je iznos potreben, da se pred hujšim ogrožanjem zavaruje življenje ali telo posameznika, na katerega se nanašajo osebni podatki;
6. se iznos opravi iz registrov, javnih knjig ali uradnih evidenc, ki so po zakonu namenjene zagotavljanju informacij javnosti in so na voljo za vpogled javnosti na splošno ali katerikoli osebi, ki lahko izkaže pravni interes, da so v posameznem primeru izpolnjeni pogoji, ki jih za vpogled doloca zakon;
7. upravljavec osebnih podatkov zagotovi ustrezne ukrepe zavarovanja osebnih podatkov ter temeljnih pravic in svobošcin posameznikov in navede možnosti njihovega uresnicevanja ali varstva, predvsem v dolocbah pogodb ali v splošnih pogojih poslovanja.
(2) V primeru iznosa osebnih podatkov po 7. tocki prejšnjega odstavka mora oseba, ki namerava iznesti osebne podatke, pridobiti posebno odlocbo državnega nadzornega organa, ki dovoljuje iznos osebnih podatkov.
(3) Oseba sme iznesti osebne podatke šele po prejemu odlocbe iz prejšnjega odstavka, s katero je iznos dovoljen.
(4) Zoper odlocbo iz drugega odstavka tega člena ni pritožbe, dovoljen pa je upravni spor. Postopek v upravnem sporu je nujen in prednosten.
(5) Državni nadzorni organ je dolžan najpozneje v 15 dneh od izdaje odlocbe iz drugega odstavka tega člena to posredovati pristojnemu organu Evropske unije in državam clanicam Evropske unije.
(6) Ce pristojni organ Evropske unije po prejemu odlocbe sprejme odlocitev, da je iznos na podlagi odlocbe iz drugega odstavka tega člena nedopusten, je državni nadzorni organ na to odlocitev vezan in je dolžan v petih dneh po prejemu te odlocitve izdati osebi iz drugega odstavka tega člena novo odlocbo, s katero ji prepove nadaljnji iznos osebnih podatkov.
Evidentiranje iznosa
71. člen
Iznos osebnih podatkov v tretjo državo se evidentira skladno z dolocbami 10. tocke prvega odstavka 26. člena tega zakona.
VI. DEL PODROCNE UREDITVE
1. poglavje Neposredno trženje
Pravice in dolžnosti upravljavca
72. člen
(1) Upravljavec osebnih podatkov lahko uporablja osebne podatke posameznikov, ki jih je zbral iz javno dostopnih virov ali v okviru zakonitega opravljanja dejavnosti, tudi za namene ponujanja blaga, storitev, zaposlitev ali zacasnega opravljanja del z uporabo poštnih storitev, telefonskih klicev, elektronske pošte ali drugih telekomunikacijskih sredstev (v nadaljnjem besedilu: neposredno trženje) v skladu z dolocbami tega poglavja, ce drug zakon ne doloca drugace.
(2) Za namene neposrednega trženja lahko upravljavec osebnih podatkov uporablja le naslednje osebne podatke, ki jih je zbral v skladu s prejšnjim odstavkom: osebno ime, naslov stalnega ali zacasnega prebivališca, telefonsko številko, naslov elektronske pošte ter številko telefaksa. Na podlagi osebne privolitve posameznika lahko upravljavec osebnih podatkov obdeluje tudi druge osebne podatke, obcutljive osebne podatke pa le, ce ima za to osebno privolitev posameznika, ki je izrecna in praviloma pisna.
(3) Upravljavec osebnih podatkov mora neposredno trženje izvajati tako, da posameznika ob izvajanju neposrednega trženja obvesti o njegovih pravicah iz 73. člena tega zakona.
(4) Ce namerava upravljavec osebnih podatkov posredovati osebne podatke iz drugega odstavka tega člena drugim uporabnikom osebnih podatkov za namene neposrednega trženja ali pogodbenim obdelovalcem, je dolžan o tem obvestiti posameznika in pred posredovanjem osebnih podatkov pridobiti njegovo pisno privolitev. Obvestilo posamezniku o nameravanem posredovanju osebnih podatkov mora vsebovati informacijo, katere podatke namerava posredovati, komu in za kakšen namen. Stroške obvestila krije upravljavec osebnih podatkov.
Pravica posameznika
73. člen
(1) Posameznik lahko kadarkoli pisno ali na drug dogovorjen nacin zahteva, da upravljavec osebnih podatkov trajno ali zacasno preneha uporabljati njegove osebne podatke za namen neposrednega trženja. Upravljavec osebnih podatkov je dolžan v 15 dneh ustrezno prepreciti uporabo osebnih podatkov za namen neposrednega trženja ter o tem v nadaljnjih petih dneh pisno ali na drug dogovorjen nacin obvestiti posameznika, ki je to zahteval.
(2) Stroške vseh dejanj upravljavca osebnih podatkov v zvezi z zahtevo iz prejšnjega odstavka krije upravljavec.
2. poglavje Videonadzor
Splošne dolocbe
74. člen
(1) Dolocbe tega poglavja se uporabljajo za izvajanje videonadzora, ce drug zakon ne doloca drugace.
(2) Oseba javnega ali zasebnega sektorja, ki izvaja videonadzor, mora o tem objaviti obvestilo. Obvestilo mora biti vidno in razlocno objavljeno na nacin, ki omogoca posamezniku, da se seznani z njegovim izvajanjem najkasneje, ko se nad njim zacne izvajati videonadzor.
(3) Obvestilo iz prejšnjega odstavka mora vsebovati naslednje informacije:
1. da se izvaja videonadzor;
2. naziv osebe javnega ali zasebnega sektorja, ki ga izvaja;
3. telefonsko številko za pridobitev informacije, kje in koliko casa se shranjujejo posnetki iz videonadzornega sistema.
(4) Šteje se, da je z obvestilom iz drugega odstavka tega člena posameznik obvešcen o obdelavi osebnih podatkov po 19. členu tega zakona.
(5) Videonadzorni sistem, s katerim se izvaja videonadzor, mora biti zavarovan pred dostopom nepooblašcenih oseb.
Dostop v uradne službene oziroma poslovne prostore
75. člen
(1) Javni in zasebni sektor lahko izvajata videonadzor dostopa v njihove uradne službene oziroma poslovne prostore, ce je to potrebno za varnost ljudi ali premoženja, zaradi zagotavljanja nadzora vstopa ali izstopa v ali iz službenih oziroma poslovnih prostorov ali ce zaradi narave dela obstaja možnost ogrožanja zaposlenih. Odlocitev sprejme pristojni funkcionar, predstojnik, direktor ali drugi pristojni oziroma pooblašceni posameznik osebe javnega sektorja ali osebe zasebnega sektorja. V pisni odlocitvi morajo biti obrazloženi razlogi za uvedbo videonadzora. Uvedba videonadzora se lahko doloci tudi z zakonom ali s predpisom, sprejetim na njegovi podlagi.
(2) Videonadzor se lahko izvaja le na takšen nacin, da se ne more izvajati niti snemanje notranjosti stanovanjskih stavb, ki nimajo vpliva na dostop do njihovih prostorov, niti snemanje vhodov v stanovanja.
(3) O izvajanju videonadzora je potrebno pisno obvestiti vse zaposlene v osebi javnega ali zasebnega sektorja, ki opravljajo delo v nadzorovanem prostoru.
(4) Zbirka osebnih podatkov po tem členu vsebuje posnetek posameznika (slika oziroma glas), datum in cas vstopa in izstopa iz prostora, lahko pa tudi osebno ime posnetega posameznika, naslov njegovega stalnega ali zacasnega prebivališca, zaposlitev, številko in podatke o vrsti njegovega osebnega dokumenta ter razlogu vstopa, ce se navedeni osebni podatki zbirajo poleg ali s posnetkom videonadzornega sistema.
(5) Osebni podatki iz prejšnjega odstavka se lahko hranijo najvec eno leto po nastanku, nato se zbrišejo, ce zakon ne doloca drugace.
Vecstanovanjske stavbe
76. člen
(1) Za uvedbo videonadzora v vecstanovanjski stavbi je potrebna pisna privolitev solastnikov, ki imajo v lasti vec kot 70 odstotkov solastniških deležev.
(2) Videonadzor se lahko v vecstanovanjski stavbi uvede le, kadar je to potrebno za varnost ljudi in premoženja.
(3) Z videonadzorom v vecstanovanjski stavbi se lahko nadzoruje le dostop do vhodov in izhodov vecstanovanjskih stavb ter njihovi skupni prostori. Prepovedano je izvajati videonadzor nad hišniškim stanovanjem ter delavnico za hišnika.
(4) Prepovedano je omogociti ali izvajati sprotno ali naknadno pregledovanje posnetkov videonadzornega sistema preko interne kabelske televizije, javne kabelske televizije, interneta ali s pomocjo drugega telekomunikacijskega sredstva, ki lahko prenaša te posnetke.
(5) Prepovedano je z videonadzornim sistemom snemati vhode v posamezna stanovanja.
Delovni prostori
77. člen
(1) Izvajanje videonadzora znotraj delovnih prostorov se lahko izvaja le v izjemnih primerih, kadar je to nujno potrebno za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ter poslovne skrivnosti, tega namena pa ni možno doseci z milejšimi sredstvi.
(2) Videonadzor se lahko izvaja le glede tistih delov prostorov, kjer je potrebno varovati interese iz prejšnjega odstavka.
(3) Prepovedano je izvajati videonadzor v delovnih prostorih izven delovnega mesta, zlasti v garderobah, dvigalih in sanitarnih prostorih.
(4) Zaposleni morajo biti pred zacetkom izvajanja videonadzora po tem členu vnaprej pisno obvešceni o njegovem izvajanju.
(5) Pred uvedbo videonadzora v osebi javnega ali zasebnega sektorja se mora delodajalec posvetovati z reprezentativnim sindikatom pri delodajalcu.
(6) Na podrocju obrambe države, obvešcevalno-varnostne dejavnosti države in varovanja tajnih podatkov se ne uporabljata cetrti in peti odstavek tega člena.
3. poglavje Biometrija
Splošna dolocba
78. člen
Z obdelavo biometricnih znacilnosti se ugotavljajo ali primerjajo lastnosti posameznika, tako da se lahko izvrši njegova identifikacija oziroma preveri njegova identiteta (v nadaljnjem besedilu: biometrijski ukrepi) pod pogoji, ki jih doloca ta zakon.
Biometrijski ukrepi v javnem sektorju
79. člen
(1) Biometrijske ukrepe v javnem sektorju se lahko doloci le z zakonom, ce je to nujno potrebno za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ter poslovne skrivnosti, tega namena pa ni možno doseci z milejšimi sredstvi.
(2) Ne glede na prejšnji odstavek se biometrijske ukrepe lahko doloci z zakonom, ce gre za izpolnjevanje obveznosti iz obvezujoce mednarodne pogodbe ali za identifikacijo posameznikov pri prehajanju državnih meja.
Biometrijski ukrepi v zasebnem sektorju
80. člen
(1) Zasebni sektor lahko izvaja biometrijske ukrepe le, ce so nujno potrebni za opravljanje dejavnosti, za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ali poslovne skrivnosti. Biometrijske ukrepe lahko izvaja le nad svojimi zaposlenimi, ce so bili predhodno o tem pisno obvešceni.
(2) Ce izvajanje dolocenih biometrijskih ukrepov v zasebnem sektorju ni urejeno z zakonom, je upravljavec osebnih podatkov, ki namerava izvajati biometrijske ukrepe, dolžan pred uvedbo ukrepov posredovati državnemu nadzornemu organu opis nameravanih ukrepov in razloge za njihovo uvedbo.
(3) Državni nadzorni organ je po prejemu posredovanih informacij iz prejšnjega odstavka dolžan v dveh mesecih odlociti, ali je nameravana uvedba biometrijskih ukrepov v skladu s tem zakonom, predvsem s pogoji iz prvega stavka prvega odstavka tega člena. Rok se lahko podaljša za najvec en mesec, ce bi uvajanje teh ukrepov prizadelo vec kot 20 zaposlenih v osebi zasebnega sektorja, ali ce reprezentativni sindikat pri delodajalcu zahteva sodelovanje v upravnem postopku.
(4) Upravljavec osebnih podatkov sme izvajati biometrijske ukrepe po prejemu odlocbe iz prejšnjega odstavka, s katero je izvajanje biometrijskih ukrepov dovoljeno.
(5) Zoper odlocbo državnega nadzornega organa iz tretjega odstavka tega člena ni pritožbe, dovoljen pa je upravni spor.
Biometrijski ukrepi v zvezi z zaposlenimi v javnem sektorju
81. člen
Ne glede na dolocbe 79. člena tega zakona se v javnem sektorju lahko uvedejo biometrijski ukrepi v zvezi z vstopom v stavbo ali dele stavbe in evidentiranjem prisotnosti zaposlenih na delu, ki se izvedejo ob smiselni uporabi drugega, tretjega in cetrtega odstavka 80. člena tega zakona.
4. poglavje Evidenca vstopov in izstopov iz prostorov
Evidenca
82. člen
(1) Oseba javnega ali zasebnega sektorja lahko za namene varovanja premoženja, življenja ali telesa posameznikov ter reda v njenih prostorih od posameznika, ki namerava vstopiti ali izstopiti iz tega prostora, zahteva, da navede vse ali nekatere osebne podatke iz drugega odstavka tega člena ter razlog vstopa ali izstopa. Po potrebi lahko osebne podatke preveri tudi z vpogledom v osebni dokument posameznika.
(2) V evidenci vstopov in izstopov se lahko o posamezniku vodijo samo naslednji osebni podatki: osebno ime, številka in vrsta osebnega dokumenta, naslov stalnega ali zacasnega prebivališca, zaposlitev ter datum, ura in razlog vstopa ali izstopa v ali iz prostorov.
(3) Evidenca iz prejšnjega odstavka velja za uradno evidenco v skladu z zakonom, ki ureja splošni upravni postopek, ce je potrebno pridobiti podatke z vidika koristi mladoletnika ali za izvrševanje pristojnosti policije ter obvešcevalno-varnostne dejavnosti.
(4) Osebni podatki iz evidence iz drugega odstavka tega člena se lahko hranijo najvec tri leta od vpisa, nato se zbrišejo ali na drug nacin unicijo, ce zakon ne doloca drugace.
5. poglavje Javne knjige in varstvo osebnih podatkov
Zakoniti namen javne knjige
83. člen
Osebni podatki iz javne knjige, urejene z zakonom, se lahko uporabljajo le v skladu z namenom, za katerega so bili zbrani ali se obdelujejo, ce je zakoniti namen njihovega zbiranja ali obdelave dolocen ali dolocljiv.
6. poglavje Povezovanje zbirk osebnih podatkov
Uradne evidence in javne knjige
84. člen
(1) Zbirke osebnih podatkov iz uradnih evidenc in javnih knjig je dovoljeno povezovati, ce tako doloca zakon.
(2) Upravljavci ali upravljavec osebnih podatkov, ki povezuje dve ali vec zbirk osebnih podatkov, ki se vodijo za razlicne namene, so dolžni o tem predhodno pisno obvestiti državni nadzorni organ.
(3) Ce vsaj ena zbirka osebnih podatkov, ki naj bi se jo povezalo, vsebuje obcutljive podatke, ali ce bi povezovanje imelo za posledico razkritje obcutljivih podatkov ali je za izvedbo povezovanja potrebna uporaba istega povezovalnega znaka, povezovanje ni dovoljeno brez predhodnega dovoljenja državnega nadzornega organa.
(4) Državni nadzorni organ dovoli povezavo iz prejšnjega odstavka na podlagi pisne vloge upravljavca osebnih podatkov, ce ugotovi, da upravljavci osebnih podatkov zagotavljajo ustrezno zavarovanje osebnih podatkov.
(5) Zoper odlocbo iz prejšnjega odstavka ni pritožbe, dovoljen pa je upravni spor.
Prepoved povezovanja
85. člen
Prepovedano je povezovati zbirke osebnih podatkov iz kazenske evidence in prekrškovnih evidenc z drugimi zbirkami osebnih podatkov ter povezovati zbirke osebnih podatkov iz kazenske evidence in prekrškovne evidence.
Posebna dolocba
86. člen
V registru zbirk osebnih podatkov se podatki o povezanih zbirkah osebnih podatkov iz uradnih evidenc ter javnih knjig vodijo posebej.
7. poglavje Strokovni nadzor
Uporaba dolocb tega poglavja
87. člen
Ce drug zakon ne doloca drugace, se dolocbe tega poglavja uporabljajo za obdelavo osebnih podatkov pri strokovnem nadzoru, ki je dolocen z zakonom.
Splošne dolocbe
88. člen
(1) Oseba javnega sektorja, ki izvaja strokovni nadzor (v nadaljnjem besedilu: izvajalec strokovnega nadzora), lahko obdeluje osebne podatke, ki jih obdelujejo upravljavci osebnih podatkov, nad katerimi ima po zakonu pristojnost izvajati strokovni nadzor.
(2) Izvajalec strokovnega nadzora ima pravico do vpogleda, izpisa, prepisovanja ali kopiranja vseh osebnih podatkov iz prejšnjega odstavka, pri njihovi obdelavi za namene strokovnega nadzora in izdelave porocila ali ocene pa je dolžan varovati njihovo tajnost. V porocilu ali oceni ob zakljucku strokovnega nadzora lahko izvajalec strokovnega nadzora zapiše le tiste osebne podatke, ki so nujni za dosego namena strokovnega nadzora.
(3) Stroške vpogleda, izpisa, prepisovanja ali kopiranja iz prejšnjega odstavka krije upravljavec osebnih podatkov.
Strokovni nadzor in dodatna obdelava osebnih podatkov
89. člen
(1) Izvajalec strokovnega nadzora lahko pri opravljanju strokovnega nadzora, pri katerem v skladu s prvim odstavkom 88. člena tega zakona obdeluje osebne podatke, pisno obvesti posameznika, na katerega se nanašajo osebni podatki, da izvaja strokovni nadzor in ga obvesti, da lahko pisno ali ustno poda svoja stališca.
(2) Posameznik iz prejšnjega odstavka lahko posreduje izvajalcu strokovnega nadzora za namene izvajanja strokovnega nadzora osebne podatke drugega posameznika, ki bi lahko o zadevi, v kateri se izvaja strokovni nadzor, kaj vedel. Ce izvajalec strokovnega nadzora ugotovi, da je to potrebno, opravi razgovor tudi z drugim posameznikom.
Strokovni nadzor in obcutljivi osebni podatki
90. člen
Ce se pri izvajanju strokovnega nadzora obdelujejo obcutljivi osebni podatki, izvajalec strokovnega nadzora o tem naredi uradni zaznamek ali drug uradni zapis v spisu zadeve upravljavca osebnih podatkov.
VII. DEL KAZENSKE DOLOCBE
Splošne kršitve dolocb tega zakona
91. člen
(1) Z globo od 1.000.000 do 3.000.000 tolarjev se kaznuje za prekršek pravna oseba ali samostojni podjetnik posameznik:
1. ce obdeluje osebne podatke, ne da bi imel za to podlago v zakonu ali v osebni privolitvi posameznika (8. člen);
2. ce posamezna opravila v zvezi z obdelavo osebnih podatkov zaupa drugi osebi, ne da bi sklenil pogodbo v skladu z drugim odstavkom 11. člena;
3. ce obdeluje obcutljive osebne podatke v nasprotju s 13. členom ali jih ne zavaruje v skladu s 14. členom;
4. ce avtomatizirano obdeluje osebne podatke v nasprotju s 15. členom;
5. ce zbira osebne podatke za namene, ki niso doloceni in zakoniti, ali ce jih nadalje obdeluje v nasprotju s 16. členom;
6. ce posreduje uporabniku osebnih podatkov osebne podatke v nasprotju z drugim odstavkom 17. člena ali ce ne unici osebnih podatkov v skladu s tretjim odstavkom 17. člena ali ne objavi rezultatov obdelave v skladu s cetrtim odstavkom 17. člena;
7. ce ne obvesti posameznika o obdelavi osebnih podatkov v skladu z 19. členom;
8. ce uporablja isti povezovalni znak v nasprotju z 20. členom:
9. ce ne zbriše, unici, blokira ali anonimizira osebnih podatkov, potem ko je bil izpolnjen namen obdelave v skladu z drugim odstavkom 21. člena;
10. ce ravna v nasprotju z 22. členom;
11. ce ne zagotovi, da katalog zbirke osebnih podatkov vsebuje podatke, ki jih doloca zakon (26. člen);
12. ce ne posreduje podatkov za potrebe registra zbirk osebnih podatkov (27. člen);
13. ce ravna v nasprotju s prvim ali drugim odstavkom 30. člena ali ce ravna v nasprotju z drugim, tretjim ali petim odstavkom 31. člena;
14. ce ravna v nasprotju z 32. členom ali ce ravna v nasprotju z drugim ali petim odstavkom 33. člena;
15. ce v nasprotju s prvim odstavkom 63. člena ali v nasprotju s 70. členom iznaša osebne podatke v tretjo državo.
(2) Z globo od 200.000 do 500.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi odgovorna oseba pravne osebe ali samostojnega podjetnika posameznika.
(3) Z globo od 200.000 do 500.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega organa ali organa samoupravne lokalne skupnosti, ki stori dejanje iz prvega odstavka tega člena.
(4) Z globo od 50.000 do 200.000 tolarjev se kaznuje za prekršek posameznik, ki stori dejanje iz prvega odstavka tega člena.
Kršitev dolocb o pogodbeni obdelavi
92. člen
(1) Z globo od 1.000.000 do 3.000.000 tolarjev se kaznuje za prekršek pravna oseba ali samostojni podjetnik posameznik, ce prekoraci pooblastila, vsebovana v pogodbi iz drugega odstavka 11. člena ali ne vrne osebnih podatkov v skladu s tretjim odstavkom 11. člena.
(2) Z globo od 200.000 do 500.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi odgovorna oseba pravne osebe ali samostojnega podjetnika posameznika.
(3) Z globo od 200.000 do 500.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega organa ali organa samoupravne lokalne skupnosti, ki stori dejanje iz prvega odstavka tega člena.
(4) Z globo od 50.000 do 200.000 tolarjev se kaznuje za prekršek posameznik, ki stori dejanje iz prvega odstavka tega člena.
Kršitev dolocb o zavarovanju osebnih podatkov
93. člen
(1) Z globo od 1.000.000 do 3.000.000 tolarjev se kaznuje za prekršek pravna oseba ali samostojni podjetnik posameznik, ce v skladu s tem zakonom obdeluje osebne podatke in ne zagotovi zavarovanja osebnih podatkov (24. in 25. člen).
(2) Z globo od 200.000 do 300.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi odgovorna oseba pravne osebe ali samostojnega podjetnika posameznika.
(3) Z globo od 200.000 do 300.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega organa ali organa samoupravne lokalne skupnosti, ki stori dejanje iz prvega odstavka tega člena.
(4) Z globo od 50.000 do 200.000 tolarjev se kaznuje za prekršek posameznik, ki stori dejanje iz prvega odstavka tega člena.
Kršitev dolocb o neposrednem trženju
94. člen
(1) Z globo od 500.000 do 1.000.000 tolarjev se kaznuje za prekršek pravna oseba ali samostojni podjetnik posameznik, ce v skladu s tem zakonom obdeluje osebne podatke za namene neposrednega trženja in ne ravna v skladu z 72. ali 73. členom.
(2) Z globo od 100.000 do 300.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi odgovorna oseba pravne osebe ali samostojnega podjetnika posameznika.
(3) Z globo od 50.000 do 200.000 tolarjev se kaznuje za prekršek posameznik, ki stori dejanje iz prvega odstavka tega člena.
Kršitev splošnih dolocb o videonadzoru
95. člen
(1) Z globo od 1.000.000 do 3.000.000 tolarjev se kaznuje za prekršek pravna oseba ali samostojni podjetnik posameznik:
1. ce ne objavi obvestila na nacin iz drugega odstavka 74. člena;
2. ce obvestilo ne vsebuje informacij iz tretjega odstavka 74. člena;
3. ce ne zavaruje videonadzornega sistema, s katerim se izvaja videonadzor, v nasprotju s petim odstavkom 74. člena.
(2) Z globo od 200.000 do 300.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi odgovorna oseba pravne osebe ali samostojnega podjetnika posameznika.
(3) Z globo od 200.000 do 300.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega organa ali organa samoupravne lokalne skupnosti, ki stori dejanje iz prvega odstavka tega člena.
(4) Z globo od 50.000 do 200.000 tolarjev se kaznuje za prekršek posameznik, ki stori dejanje iz prvega odstavka tega člena.
Kršitev dolocb o videonadzoru glede dostopa v uradne službene oziroma poslovne prostore
96. člen
(1) Z globo od 1.000.000 do 3.000.000 tolarjev se kaznuje za prekršek pravna oseba ali samostojni podjetnik posameznik:
1. ce izvaja videonadzor brez obrazložene pisne odlocitve ali brez druge pravne podlage iz prvega odstavka 75. člena;
2. ce izvaja videonadzor tako, da izvaja snemanje notranjosti stanovanjskih stavb, ki nimajo vpliva na dostop do njihovih prostorov ali posnetke vhodov v stanovanja (drugi odstavek 75. člena);
3. ce pisno ne obvesti zaposlenih (tretji odstavek 75. člena);
4. ce hrani osebne podatke v nasprotju s petim odstavkom 75. člena.
(2) Z globo od 200.000 do 300.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi odgovorna oseba pravne osebe ali samostojnega podjetnika posameznika.
(3) Z globo od 200.000 do 300.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega organa ali organa samoupravne lokalne skupnosti, ki stori dejanje iz prvega odstavka tega člena.
(4) Z globo od 50.000 do 200.000 tolarjev se kaznuje za prekršek posameznik, ki stori dejanje iz prvega odstavka tega člena.
Kršitev dolocb o videonadzoru pri vecstanovanjskih stavbah
97. člen
(1) Z globo od 500.000 do 2.000.000 tolarjev se kaznuje za prekršek pravna oseba ali samostojni podjetnik posameznik, ki izvaja videonadzor v nasprotju s 76. členom.
(2) Z globo od 100.000 do 300.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi odgovorna oseba pravne osebe ali samostojnega podjetnika posameznika.
(3) Z globo od 200.000 do 300.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega organa ali organa samoupravne lokalne skupnosti, ki stori dejanje iz prvega odstavka tega člena.
(4) Z globo od 50.000 do 100.000 tolarjev se kaznuje za prekršek posameznik, ki stori dejanje iz prvega odstavka tega člena.
Kršitev dolocb o videonadzoru v delovnih prostorih
98. člen
(1) Z globo od 1.000.000 do 3.000.000 tolarjev se kaznuje za prekršek pravna oseba ali samostojni podjetnik posameznik, ki izvaja videonadzor v delovnih prostorih v nasprotju z 77. členom.
(2) Z globo od 300.000 do 500.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi odgovorna oseba pravne osebe ali samostojnega podjetnika posameznika.
(3) Z globo od 300.000 do 500.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega organa ali organa samoupravne lokalne skupnosti, ki stori dejanje iz prvega odstavka tega člena.
(4) Z globo od 200.000 do 300.000 tolarjev se kaznuje za prekršek posameznik, ki stori dejanje iz prvega odstavka tega člena.
Kršitev dolocb o biometriji v javnem sektorju
99. člen
(1) Z globo od 1.000.000 do 3.000.000 tolarjev se kaznuje za prekršek pravna oseba javnega sektorja, ki izvaja biometrijske ukrepe v nasprotju s 79. členom.
(2) Z globo od 300.000 do 500.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi odgovorna oseba pravne osebe javnega sektorja.
(3) Z globo od 300.000 do 500.000 tolarjev se kaznuje za prekršek iz prvega odstavka tega člena tudi odgovorna oseba državnega organa ali organa samoupravne lokalne skupnosti, ki stori dejanje iz prvega odstavka tega člena.
Kršitev dolocb o biometriji v zasebnem sektorju
100. člen
(1) Z globo od 1.000.000 do 3.000.000 tolarjev se kaznuje za prekršek pravna oseba ali samostojni podjetnik posameznik, ki izvaja biometrijske ukrepe v nasprotju z 80. členom.
(2) Z globo od 300.000 do 500.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi odgovorna oseba pravne osebe ali samostojnega podjetnika posameznika.
Kršitev dolocb o evidenci vstopov in izstopov
101. člen
(1) Z globo od 500.000 do 1.000.000 tolarjev se kaznuje za prekršek pravna oseba ali samostojni podjetnik posameznik:
1. ki uporablja evidenco vstopov in izstopov kot uradno evidenco v nasprotju s tretjim odstavkom 82. člena;
2. ki ravna v nasprotju s cetrtim odstavkom 82. člena.
(2) Z globo od 50.000 do 200.000 tolarjev se za prekršek kaznuje tudi odgovorna oseba pravne osebe ali samostojnega podjetnika posameznika, ki stori prekršek iz prejšnjega odstavka.
(3) Z globo od 50.000 do 200.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega organa ali organa samoupravne lokalne skupnosti, ki stori prekršek iz prvega odstavka tega člena.
(4) Z globo od 50.000 do 100.000 tolarjev se kaznuje za prekršek posameznik, ki stori prekršek iz prvega odstavka tega člena.
Kršitev dolocb o povezovanju zbirk osebnih podatkov
102. člen
(1) Z globo od 200.000 do 500.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega organa ali samoupravne lokalne skupnosti, ki poveže zbirke osebnih podatkov v nasprotju s tretjim odstavkom 84. člena.
(2) Z globo od 200.000 do 500.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega organa ali samoupravne lokalne skupnosti, ki poveže zbirke osebnih podatkov iz kazenske evidence in prekrškovnih evidenc z drugimi zbirkami osebnih podatkov ali poveže zbirke osebnih podatkov iz kazenske evidence z zbirko osebnih podatkov iz prekrškovnih evidenc (85. člen).
Kršitev dolocb o strokovnem nadzoru
103. člen
(1) Z globo od 1.000.000 do 3.000.000 tolarjev se kaznuje za prekršek pravna oseba:
1. ce izvaja strokovni nadzor v nasprotju z drugim odstavkom 88. člena;
2. ce ne napravi uradnega zaznamka ali drugega uradnega zapisa v nasprotju z 90. členom tega zakona.
(2) Z globo od 200.000 do 300.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi odgovorna oseba pravne osebe.
(3) Z globo od 200.000 do 300.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega organa ali organa samoupravne lokalne skupnosti, ki stori dejanje iz prvega odstavka tega člena.
(4) Z globo od 50.000 do 200.000 tolarjev se kaznuje za prekršek posameznik, ki stori dejanje iz prvega odstavka tega člena.
VIII. DEL PREHODNE IN KONCNE DOLOCBE
Pristojnosti pooblašcenca za dostop do informacij javnega znacaja glede varstva osebnih podatkov
104. člen
(1) Zoper odlocbo ali sklep državnega nadzornega organa lahko pooblašcenec za dostop do informacij javnega znacaja do uveljavitve zakona, ki bo uredil to vprašanje, zacne upravni spor, ce oceni, da je z njo kršen dostop do informacij javnega znacaja.
(2) Postopek v upravnem sporu iz prejšnjega odstavka je nujen in prednosten.
(3) Pooblašcenec za dostop do informacij javnega znacaja je dolžan vrociti državnemu nadzornemu organu odlocbo ali sklep, v katerem se je pooblašcenec opredelil do vprašanja varstva osebnih podatkov.
Rok za izdajo podzakonskih predpisov
105. člen
(1) Pravilnik iz tretjega odstavka 28. člena in 69. člena tega zakona se izda v dveh mesecih od uveljavitve tega zakona.
(2) Predpis iz drugega odstavka 52. člena tega zakona se izda do 1. januarja 2006.
Prehodna ureditev
106. člen
(1) Javni skladi lahko obdelujejo ter zbirajo na podlagi osebne privolitve od posameznikov osebne podatke, ki se nanašajo na njih, ce so ti podatki potrebni in primerni za izvrševanje njihovih nalog in pristojnosti, ne glede na dolocbe zakonov, ki urejajo njihove naloge in pristojnosti ter dolocbe tega zakona, do uveljavitve posebnega zakona, ki bo uredil ta vprašanja.
(2) Upravljavci osebnih podatkov lahko javnosti posredujejo in javno objavijo osebno ime, naziv ali funkcijo, službeno telefonsko številko in naslov službene elektronske pošte predstojnika in tistih zaposlenih, katerih delo je pomembno zaradi poslovanja s strankami oziroma uporabniki storitev, do uveljavitve posebnega zakona, ki bo uredil ta vprašanja.
Izraz upravljavec osebnih podatkov
107. člen
Izrazi “upravljavec zbirke osebnih podatkov”, “upravljavec podatkov” ali “upravljalec zbirk podatkov” ali “upravljalec zbirke podatkov”, ki so doloceni v zakonih, se štejejo za izraz “upravljavec osebnih podatkov” po tem zakonu.
Zacetek delovanja Državnega nadzornega organa za varstvo osebnih podatkov
108. člen
(1) Državni nadzorni organ za varstvo osebnih podatkov zacne z delom 1. januarja 2006.
(2) Do zacetka delovanja Državnega nadzornega organa za varstvo osebnih podatkov njegove pristojnosti in naloge po tem zakonu opravlja Inšpektorat za varstvo osebnih podatkov Republike Slovenije kot organ v sestavi Ministrstva za pravosodje in inšpektorji, imenovani po Zakonu o varstvu osebnih podatkov (Uradni list RS, št. 59/99, 57/01, 59/01- popr., 52/02-ZDU-1 in 73/04 – ZUP-C).
Imenovanje glavnega državnega nadzornika
109. člen
(1) Postopek za imenovanje glavnega državnega nadzornika se zacne najkasneje 1. junija 2005.
(2) Z dnem imenovanja glavnega državnega nadzornika preneha mandat glavnemu inšpektorju za varstvo osebnih podatkov.
(3) Ce je glavni državni nadzornik imenovan pred zacetkom dela Državnega nadzornega organa za varstvo osebnih podatkov, je glavni državni nadzornik predstojnik Inšpektorata za varstvo osebnih podatkov Republike Slovenije kot organa v sestavi Ministrstva za pravosodje do zacetka dela državnega nadzornega organa za varstvo osebnih podatkov.
(4) Ce glavni državni nadzornik ni imenovan do zacetka dela Državnega nadzornega organa za varstvo osebnih podatkov, opravlja njegovo funkcijo glavni inšpektor za varstvo osebnih podatkov kot vršilec dolžnosti do imenovanja glavnega državnega nadzornika.
Prevzem zaposlenih in arhivov
110. člen
(1) Državni nadzorni organ za varstvo osebnih podatkov prevzame inšpektorje in druge zaposlene, ki na dan zacetka delovanja Državnega nadzornega organa za varstvo osebnih podatkov opravljajo delo v Inšpektoratu za varstvo osebnih podatkov Republike Slovenije.
(2) Na Državni nadzorni organ za varstvo osebnih podatkov se prenesejo nedokoncane zadeve, arhivi in evidence, ki jih vodi Inšpektorat za varstvo osebnih podatkov Republike Slovenije.
Uporaba posameznih dolocb tega zakona
111. člen
(1) Dolocbe drugega odstavka 48. člena ter 3. in 4. tocke prvega odstavka 49. člena tega zakona se zacnejo uporabljati z dnem zacetka delovanja Državnega nadzornega organa za varstvo osebnih podatkov.
(2) Do vzpostavitve spletne strani Državnega nadzornega organa za varstvo osebnih podatkov se informacije, ki jih po tem zakonu objavlja državni nadzorni organ na svoji spletni strani, objavljajo na spletni strani Ministrstva za pravosodje.
Dokoncanje tekocih postopkov
112. člen
Ce je odlocba ali sklep inšpektorja izdan pred uveljavitvijo tega zakona, se postopek konca po dolocbah Zakona o varstvu osebnih podatkov (Uradni list RS, št. 59/99, 57/01, 59/01 – popr., 52/02 – ZDU-1 in 73/04 – ZUP-C).
Prenos vodenja registra zbirk osebnih podatkov
113. člen
(1) Skupni katalog osebnih podatkov, ki se vodi po dolocbah Zakona o varstvu osebnih podatkov (Uradni list RS, št. 59/99, 57/01, 59/01 – popr., 52/02 – ZDU-1 in 73/04 – ZUP-C), se z dnem uveljavitve tega zakona preimenuje v register zbirk osebnih podatkov.
(2) Do 1. januarja 2006 vodi in vzdržuje register iz prejšnjega odstavka Ministrstvo za pravosodje, s tem datumom pa ga preda Državnemu nadzornemu organu za varstvo osebnih podatkov.
Dopolnitev podatkov v registru zbirk osebnih podatkov
114. člen
Upravljavci osebnih podatkov, ki so posredovali osebne podatke po dolocbah Zakona o varstvu osebnih podatkov (Uradni list RS, št. 59/99, 57/01, 59/01 – popr., 52/02 – ZDU-1 in 73/04 – ZUP-C) v skupni katalog osebnih podatkov morajo posredovati vse podatke iz 27. člena tega zakona pristojnemu organu iz 113. člena tega zakona v enem letu po uveljavitvi podzakonskega predpisa iz tretjega odstavka 28. člena tega zakona.
Prenehanje veljavnosti
115. člen
(1) Z dnem uveljavitve tega zakona preneha veljati Zakon o varstvu osebnih podatkov (Uradni list RS, št. 59/99, 57/01, 59/01 – popr., 52/02 – ZDU-1 in 73/04 – ZUP-C).
(2) Z dnem zacetka dela Državnega nadzornega organa za varstvo osebnih podatkov preneha veljati druga alinea prvega odstavka in tretji odstavek 13. člena Uredbe o organih v sestavi ministrstev (Uradni list RS, št. 58/03).
(3) Z dnem uveljavitve tega zakona prenehajo veljati dolocbe prvega odstavka 110. člena in drugega odstavka 111. člena Zakona o elektronskih komunikacijah (Uradni list RS, št. 43/04) v delu, ki dolocajo zbiranje, obdelavo in objavo EMŠO – enotne maticne številke obcana.
Sprememba v drugem zakonu
116. člen
V Zakonu o ratifikaciji Konvencije o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov (Uradni list RS, št. 11/94 – Mednarodne pogodbe, št. 3/94) se v 3. členu besedilo “znanost in tehnologijo” nadomesti z besedilom “pravosodje”.
Zacetek veljavnosti
117. člen
Ta zakon zacne veljati 1. januarja 2005.
Št. 210-01/89-3/25
Ljubljana, dne 15. julija 2004.
EPA 1228-III
Predsednik
Državnega zbora
Republike Slovenije
Feri Horvat l. r.